初始化网络流量监测仪进行多个账户监控

如果想在网络流量监测仪中监控不同账户所拥有资源的网络流，则必须先通过 AWS Organizations 配置 Amazon CloudWatch。要在网络流量监测仪中使用多个账户，您需要为 CloudWatch 启用可信访问，最好还要注册委托管理员。

此外，如果计划通过控制台为网络流创建监测仪，则必须将网络流量监测仪策略添加到资源相关角色。该策略允许您在控制台中查看其他账户的资源，以便您将多个账户中的资源添加到一个监测仪中。

要监测不同账户所拥有资源的网络流，还需执行其他配置步骤。首先，作为管理账户，您必须通过 AWS Organizations 配置 CloudWatch 来启用可信访问，并且通常还需注册委托管理员账户。然后，您可以使用委托管理员账户在组织中添加更多账户，将网络可观测性范围设置为包含这些账户中的资源。（您也可以使用管理账户添加多个账户，但在 Organizations 中，当您使用服务中的资源时，最佳做法是使用委托管理员账户。我们在此处的网络流量监测仪说明中提供了遵循该指导的步骤。）

请注意，如果不需要监控多个账户中实例的网络流，则可在单个账户中使用网络流量监测仪。网络流量监测仪的范围会自动设置为登录时所使用的 AWS 账户。

请按照以下各节中的指导完成这些步骤。

在网络流量监测仪中使用多个账户的步骤概述

要开始使用网络流量监测仪，任何之前未使用过网络流量监测仪的账户都必须初始化网络流量监测仪。为账户初始化网络流量监测仪时，网络流量监测仪会添加所需的服务相关角色权限，并创建要包含在网络可观测性中的一个或多个账户范围。要在网络流量监测仪中使用多个账户，还需执行其他步骤：与 AWS Organizations 集成，然后添加要使用的账户。

总之，您需要执行以下步骤：

如果要将网络流量监测仪设置为使用多个账户，但不熟悉 AWS Organizations，请查看以下资源，从中了解管理账户、可信访问和委托管理员账户等概念，学习如何将 Organizations 与 CloudWatch 集成。

要获得为多个账户配置网络流量监测仪的具体指导，请按照以下各节中的步骤进行操作。

在 CloudWatch 中配置 AWS Organizations

要通过 AWS Organizations 配置网络流量监测仪，请登录管理账户，再为 CloudWatch 启用可信访问。然后，注册委托管理员账户，用于初始化网络流量监测仪和添加多个账户。

如果您已在 CloudWatch 中配置 Organizations，为 CloudWatch 中的 Organizations 启用了可信访问并注册了委托管理员账户，则无需为网络流量监测仪特定的 Organizations 配置任何其他内容。可以使用 CloudWatch 的委托管理员账户登录，然后初始化网络流量监测仪，包括为网络可观测性范围添加多个账户。

如果尚未在 CloudWatch 中配置 Organizations，请按照此处的步骤启用可信访问并注册委托管理员账户。

在 CloudWatch 中启用可信访问

必须先在 Amazon CloudWatch 中为 AWS Organizations 启用可信访问，然后才能将网络流量监测仪用于组织中的多个账户。请执行以下步骤，在 CloudWatch 控制台中启用可信访问。

现在，当 CloudWatch 发现资源后，会自动更新有关您在网络流量监测仪中有权访问其资源的账户的相关信息。

注册委托管理员账户

组织的管理账户应遵循 AWS Organizations 的最佳做法，将成员账户注册为 CloudWatch 的委托管理员账户。在 CloudWatch 中注册委托管理员账户后，组织成员可以使用该委托管理员账户进行登录，以便在网络流量监测仪中监控多个账户中资源的网络性能。

借助委托管理员账户，您可以为网络流量监测仪中的网络可观测性范围添加多个账户。虽然管理账户也可以创建包含多个账户的范围，但还是建议您遵循 AWS Organizations 的最佳做法，使用委托管理员账户在网络流量监测仪中添加多个账户。对于非委托管理员账户的成员账户，范围将仅限于登录账户，且该账户会自动设置为范围。

Organizations 的委托管理员账户是一个成员账户，可以共享服务管理权限的管理员访问权限。您选择注册为委托管理员账户的账户必须是组织中的成员账户。组织的委托管理员账户可在 CloudWatch 之外使用，因此在执行此步骤之前，请务必了解此账户类型。有关更多信息，请参阅《AWS Organizations 用户指南》中的 Amazon CloudWatch 和 AWS Organizations。

要移除或更改委托管理员账号，请先注销该账户。有关更多信息，请参阅注销委托管理员账户。

将多个账户添加到范围

要将账户添加到网络流量监测仪范围，请使用委托管理员账户进行登录。（如果使用管理账户进行登录，也可将账户添加到范围；但在 AWS Organizations 中，最佳做法是通过委托管理员账户使用资源。）

使用委托管理员账户进行登录后便初始化网络流量监测仪，以便授权所需的服务相关角色权限、通过添加账户来设置网络可观测性范围并为范围内的账户创建初始拓扑。登录时所使用的账户（本例中为委托管理员账户）会自动包含在网络流量监测仪范围内。要将账户添加到范围中，以便您可以监测多个账户中资源的网络流，请按照此处的步骤操作。

设置多个账户资源访问权限（仅限控制台）

如果计划通过控制台为网络流创建监测仪，则必须为范围内的每个成员账户添加特定策略。此策略允许您在将本地资源和远程资源添加到监测仪时，查看其他账户的资源。

为范围内的每个账户创建名为 NetworkFlowMonitorAccountResourceAccess 的角色，并附加 AmazonEC2ReadOnlyAccess 策略。要查看此策略的权限详细信息，请参阅《AWS Managed Policy Reference Guide》中的 AmazonEC2ReadOnlyAccess。

此策略是必须添加到每个实例的策略之外的附加策略，便于网络流量监测仪代理将性能指标从实例发送到网络流量监测仪后端接收服务器。有关代理要求的更多信息，请参阅在实例上安装 Network Flow Monitor 代理。

以下过程概述了为在网络流量监测仪控制台中访问范围内资源创建所需角色的步骤。有关如何在 IAM 中创建角色的一般指导，请参阅《AWS Identity and Access Management 用户指南》中的创建角色，向 IAM 用户授予权限。