初始化 Network Flow Monitor 以進行多帳戶監控

如果想要監控 Network Flow Monitor 中不同帳戶擁有之資源的網路流量，必須先使用 AWS Organizations 設定 Amazon CloudWatch。若要在 Network Flow Monitor 中使用多個帳戶，必須開啟 CloudWatch 的受信任存取權，最佳做法是同時註冊委派管理員。

此外，如果您計畫從主控台建立網路流量的監視器，必須將 Network Flow Monitor 政策新增至連結資源的角色。此政策可讓您在主控台中檢視其他帳戶的資源，以便將多個帳戶中的資源新增至監視器。

若要監控不同帳戶擁有之資源的網路流量，需要採取額外的設定步驟。首先，身為管理帳戶，您必須使用 AWS Organizations 設定 CloudWatch 以開啟受信任的存取權，通常您也需要註冊委派的管理員帳戶。然後，您可以使用委派的管理員帳戶，在組織中新增更多帳戶，以設定網路可觀測性的範圍，將資源納入這些帳戶中。(您也可以使用管理帳戶新增多個帳戶，但是在組織中，當您處理服務中的資源時，使用委派的管理員帳戶是最佳做法。我們在此說明中提供遵循該指引的步驟，適用於 Network Flow Monitor。)

請注意，如果您不需要監控來自多個帳戶之執行個體的網路流量，可以搭配單一帳戶使用 Network Flow Monitor。Network Flow Monitor 的範圍會自動設定為您登入時使用的 AWS 帳戶。

使用下列各節中的指引來完成這些步驟。

在 Network Flow Monitor 中使用多個帳戶的步驟概觀

若要開始使用 Network Flow Monitor，之前未使用過 Network Flow Monitor 的帳戶都必須初始化 Network Flow Monitor。當您為帳戶初始化 Network Flow Monitor 時，Network Flow Monitor 會新增所需的服務連結角色許可，並建立一個或多個帳戶的範圍，以納入網路可觀測性。若要在 Network Flow Monitor 中處理多個帳戶，需執行額外步驟：先與 AWS Organizations 整合，再新增帳戶以進行處理。

總而言之，您需要採取下列步驟：

如果您要設定 Network Flow Monitor 來使用多個帳戶，但您並不熟悉 AWS Organizations，請參閱以下資源，了解管理帳戶、受信任存取權及委派管理員帳戶等概念，並學習如何將組織與 CloudWatch 整合。

請依循下列各節中的步驟，取得為多個帳戶設定 Network Flow Monitor 的特定指引。

在 CloudWatch 中設定 AWS Organizations

若要使用 AWS Organizations 設定 Network Flow Monitor，請登入管理帳戶，並開啟 CloudWatch 的受信任存取權。然後，註冊委派管理員帳戶，以用於初始化 Network Flow Monitor 並新增多個帳戶。

如果您已在 CloudWatch 中設定組織，開啟對 CloudWatch 組織的受信任存取權並註冊委派管理員帳戶，則不需要再針對 Network Flow Monitor 為組織設定任何其他項目。您可以使用 CloudWatch 的委派管理員帳戶登入，然後初始化 Network Flow Monitor，包括為您的網路可觀測性範圍新增多個帳戶。

如果尚未在 CloudWatch 中設定組織，請依循此處的步驟開啟受信任的存取權並註冊委派管理員帳戶。

在 CloudWatch 中開啟受信任的存取權

必須先在 Amazon CloudWatch 中開啟對 AWS Organizations 的受信任存取權，才能將 Network Flow Monitor 與組織中的多個帳戶搭配使用。依循下列步驟在 CloudWatch 主控台中開啟受信任的存取權。

現在，當 CloudWatch 偵測到資源時，會自動更新您有權存取 Network Flow Monitor 中資源的帳戶相關資訊。

註冊委派管理員帳戶

作為 AWS Organizations 的最佳實務，組織的管理帳戶應註冊一個會員帳戶，作為 CloudWatch 的委派管理員帳戶。在 CloudWatch 中註冊委派管理員帳戶後，組織的成員可以使用委派管理員帳戶登入，以監控 Network Flow Monitor 多個帳戶中資源的網路效能。

在委派管理員帳戶中，您可以在 Network Flow Monitor 中為您的網路可觀測性範圍新增多個帳戶。雖然管理帳戶也可以建立包含多個帳戶的範圍，但我們建議您遵循 AWS Organizations 的最佳實務，使用委派管理員帳戶在 Network Flow Monitor 中新增多個帳戶。對於非委派管理員帳戶的會員帳戶，範圍僅限於會針對範圍自動設定的登入帳戶。

組織的委派管理員帳戶是共用服務受管許可管理員存取權的會員帳戶。您選擇註冊為委派管理員帳戶的帳戶必須是組織中的會員帳戶。您組織的委派管理員帳戶可以在 CloudWatch 之外使用，因此請務必先了解此帳戶類型，再執行此程序。如需詳細資訊，請參閱《AWS Organizations 使用者指南》中的 Amazon CloudWatch 和 AWS Organizations。

若要移除或變更委派管理員帳戶，請先取消註冊該帳戶。如需詳細資訊，請參閱取消註冊委派管理員帳戶。

將多個帳戶新增至您的範圍

若要將帳戶新增至 Network Flow Monitor 範圍，請使用委派管理員帳戶登入。(如果您已使用管理帳戶登入，可以將帳戶新增至範圍，但在 AWS Organizations 中，最佳實務是使用委派管理員帳戶來處理資源。)

使用委派管理員帳戶登入後，初始化 Network Flow Monitor 以授權所需的服務連結角色許可、透過新增帳戶設定網路可觀測性的範圍，並為範圍內的帳戶建立初始拓撲。您登入所使用的帳戶 (在此情況下為委派管理員帳戶) 將自動納入您的 Network Flow Monitor 範圍。若要將帳戶新增至您的範圍，以便監控多個帳戶中資源的網路流量，請依循此處的步驟。

設定多帳戶資源存取許可 (僅主控台)

如果您計畫從主控台建立 Network Flow Monitor，則範圍內的每個會員帳戶都需要特定政策。當您將本地和遠端資源新增至監視器時，此政策可讓您檢視其他帳戶的資源。

針對您範圍內的每個帳戶，建立角色 NetworkFlowMonitorAccountResourceAccess，然後連結 AmazonEC2ReadOnlyAccess 政策。若要檢視此政策的許可詳細資訊，請參閱《AWS 受管政策參考指南》中的 AmazonEC2ReadOnlyAccess。

此政策附加於您必須為每個執行個體新增的政策之上，旨在確保 Network Flow Monitor 代理程式能將執行個體的效能指標傳送至 Network Flow Monitor 擷取後端伺服器。如需代理程式許可的詳細資訊，請參閱在執行個體上安裝 Network Flow Monitor 代理程式。

下列程序概述如何在 Network Flow Monitor 主控台內，建立存取範圍內的資源所需的角色。如需如何在 IAM 中建立角色的一般指引，請參閱《AWS Identity and Access Management 使用者指南》中的建立角色以授與 IAM 使用者許可。