初始化網路流量監控以進行多帳戶監控 - Amazon CloudWatch
多帳戶設定概觀設定 AWS Organizations新增多個帳戶新增 主控台的許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

初始化網路流量監控以進行多帳戶監控

如果您想要監控 Network Flow Monitor 中不同帳戶擁有的資源的網路流程,您必須先使用 設定 Amazon CloudWatch AWS Organizations。若要在 Network Flow Monitor 中使用多個帳戶,您必須開啟 CloudWatch 的受信任存取,而且最佳實務是註冊委派管理員。

此外,如果您計劃從主控台建立網路流程的監控,則必須將網路流量監控政策新增至連接至資源的角色。此政策可讓您在主控台中檢視其他帳戶的資源,以便將多個帳戶中的資源新增至監視器。

若要監控不同帳戶所擁有資源的網路流程,需要採取額外的組態步驟。首先,身為管理帳戶,您必須使用 設定 CloudWatch AWS Organizations 以開啟受信任的存取,而且通常您也會註冊委派的管理員帳戶。然後,使用委派的管理員帳戶,您可以在組織中新增更多帳戶,以設定網路可觀測性的範圍,以在這些帳戶中包含資源。(您也可以使用管理帳戶新增多個帳戶,但使用服務中的資源時,使用委派管理員帳戶的最佳實務是 Organizations。 我們提供遵循 Network Flow Monitor 此處指示中該指引的步驟。)

請注意,如果您不需要監控來自多個帳戶之執行個體的網路流程,您可以搭配單一帳戶使用網路流程監視器。Network Flow Monitor 的範圍會自動設定為您登入 AWS 的帳戶。

使用下列各節中的指引來完成這些步驟。

在網路流量監控中使用多個帳戶的步驟概觀

若要開始使用網路流量監視器,任何在 之前未使用網路流量監視器的帳戶都必須初始化網路流量監視器。當您初始化帳戶的 Network Flow Monitor 時,Network Flow Monitor 會新增所需的服務連結角色許可,並建立要包含在網路可觀測性中的帳戶範圍。若要在 Network Flow Monitor 中使用多個帳戶,還有其他步驟要與 整合 AWS Organizations,然後新增要使用的帳戶。

總而言之,您會採取下列步驟:

  1. 以管理帳戶 AWS Management Console 身分登入 ,然後執行下列動作:

    • 完成在 CloudWatch AWS Organizations 中與 整合的必要步驟。

  2. 以委派管理員帳戶 AWS Management Console 身分登入 ,然後執行下列動作:

    • 初始化網路流量監控,包括新增要包含在範圍內的帳戶。

    • 新增從主控台存取其他帳戶中的資源所需的許可。

如果您要設定 Network Flow Monitor 來使用多個帳戶,但您不熟悉 AWS Organizations,請檢閱下列資源,以了解管理帳戶、信任存取和委派管理員帳戶的概念,並了解如何將 Organizations 與 CloudWatch 整合。

請遵循下列各節中的步驟,以取得為多個帳戶設定網路流量監控的特定指引。

在 CloudWatch AWS Organizations 中設定

若要使用 設定網路流量監視器 AWS Organizations,請登入 管理帳戶,並開啟 CloudWatch 的受信任存取。然後,註冊委派管理員帳戶,以用於初始化網路流量監控和新增多個帳戶。

如果您已在 CloudWatch 中設定 Organizations 以開啟 CloudWatch 中 Organizations 的受信任存取,並註冊委派管理員帳戶,則不需要再為 Network Flow Monitor 特定的 Organizations 設定任何其他項目。您可以使用 CloudWatch 的委派管理員帳戶登入,然後初始化網路流量監控,包括為您的網路可觀測性範圍新增多個帳戶。

如果您尚未在 CloudWatch 中設定 Organizations,請依照此處的步驟開啟受信任的存取並註冊委派的管理員帳戶。

在 CloudWatch 中開啟受信任的存取

您必須先在 Amazon CloudWatch AWS Organizations 中開啟 的受信任存取,才能將網路流量監視器與組織中的多個帳戶搭配使用。使用下列步驟在 CloudWatch 主控台中開啟受信任的存取。

開啟受信任的存取

  1. 使用組織的管理帳戶登入 主控台。

  2. 在 CloudWatch 主控台的導覽窗格中,選擇設定

  3. 選擇組織索引標籤。

  4. 組織管理設定中,選擇開啟啟用受信任存取頁面隨即出現。

  5. 若要檢閱角色政策,請選擇檢視許可詳細資訊以查看角色政策。

  6. 選擇 Enable trusted access (啟用信任存取)

現在,當 CloudWatch 探索資源時,它會自動更新您有權存取 Network Flow Monitor 中 資源的帳戶相關資訊。

註冊委派管理員帳戶

作為 的最佳實務 AWS Organizations,組織的管理帳戶應將成員帳戶註冊為 CloudWatch 的委派管理員帳戶。在 CloudWatch 中註冊委派管理員帳戶後,組織的成員可以使用委派管理員帳戶登入,以監控網路流量監視器中多個帳戶中資源的網路效能。

使用委派的管理員帳戶,您可以在網路流量監控中為您的網路可觀測性範圍新增多個帳戶。雖然管理帳戶也可以建立包含多個帳戶的範圍,但我們建議您遵循 AWS Organizations 的最佳實務,並使用委派管理員帳戶在網路流量監控中新增多個帳戶。對於非委派管理員帳戶的成員帳戶,範圍僅限於登入帳戶,該帳戶會自動為範圍設定。

Organizations 的委派管理員帳戶是共用服務受管許可管理員存取權的成員帳戶。您選擇註冊為委派管理員帳戶的帳戶必須是組織中的成員帳戶。您組織的委派管理員帳戶可以在 CloudWatch 外部使用,因此請務必先了解此帳戶類型,再遵循此程序。如需詳細資訊,請參閱《 使用者指南》中的 Amazon CloudWatch 和 AWS Organizations 。 AWS Organizations

註冊委派管理員帳戶

  1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 在導覽窗格中,選擇 Settings (設定)。

  3. 選擇組織索引標籤。

  4. 選擇 Register delegated administrator (註冊委派管理員)

  5. 註冊委派管理員視窗的委派管理員帳戶 ID 欄位中,輸入 12 位數的組織成員帳戶 ID。

  6. 選擇 Register delegated administrator (註冊委派管理員)。頁面頂端會出現一則訊息,指出帳戶已成功註冊。組織設定頁面隨即出現。若要查看委派管理員帳戶的相關資訊,請將滑鼠游標移至委派管理員下方的數字上。

若要移除或變更委派管理員帳戶,請先取消註冊帳戶。如需詳細資訊,請參閱取消註冊委派管理員帳戶

將多個帳戶新增至您的範圍

若要將帳戶新增至網路流量監控範圍,請使用委派的管理員帳戶登入。(如果您已使用管理帳戶登入,您可以將帳戶新增至範圍,但最佳實務是 AWS Organizations 使用委派管理員帳戶來處理 資源。)

使用委派的管理員帳戶登入後,初始化網路流量監控以授權所需的服務連結角色許可、透過新增帳戶來設定網路可觀測性的範圍,並為範圍內的帳戶建立初始拓撲。您登入的帳戶 - 在此情況下,委派管理員帳戶 - 會自動包含在網路流量監控範圍內。若要將帳戶新增至您的範圍,以便您可以監控多個帳戶中資源的網路流程,請遵循此處的步驟。

將帳戶新增至您的範圍

  1. 使用組織的管理帳戶登入 主控台。

  2. 在 CloudWatch 主控台的導覽窗格中,選擇網路監控的流程監控

  3. 網路流量監控入門下,在步驟 1 中,選擇開始初始化

  4. 網路流量監控頁面的新增帳戶下,選擇新增。您使用 登入的帳戶會自動包含在 範圍中,並已顯示在 範圍內的帳戶資料表中為 (此帳戶)

  5. 新增帳戶對話方塊頁面上,選擇性地篩選帳戶,然後選擇最多 99 個額外的帳戶以新增至您的範圍。範圍內的帳戶數量上限為 100。

  6. 選擇新增

  7. 選擇初始化網路流量監控。Network Flow Monitor 新增必要的服務連結角色許可、建立包含您指定之所有帳戶的範圍,然後建立您範圍內帳戶中資源的初始拓撲。

設定多帳戶資源存取的許可 (僅限主控台)

如果您計劃從主控台建立網路流程的監控,則範圍內的每個成員帳戶都需要特定政策。當您將本機和遠端資源新增至監視器時,此政策可讓您檢視來自其他 帳戶的資源。

針對您範圍內的每個帳戶,建立角色 NetworkFlowMonitorAccountResourceAccess,並連接 AmazonEC2ReadOnlyAccess 政策。若要查看政策的許可詳細資訊,請參閱《 受管政策參考指南》中的 AmazonEC2ReadOnlyAccess。 AWS

此政策是除了您必須新增至每個執行個體的政策之外,讓 Network Flow Monitor 代理程式可以將執行個體的效能指標傳送至 Network Flow Monitor 擷取後端伺服器。如需客服人員需求的詳細資訊,請參閱 在執行個體上安裝網路流量監控代理程式

下列程序提供在 Network Flow Monitor 主控台中建立必要角色以存取範圍內資源的步驟摘要。如需如何在 IAM 中建立角色的一般指引,請參閱 AWS Identity and Access Management 《 使用者指南》中的建立角色以授予許可給 IAM 使用者

在網路流量監控主控台中建立資源存取的角色

  1. 登入 AWS Management Console 並開啟 IAM 主控台。

  2. 在主控台的導覽窗格中,選擇角色,然後選擇建立角色

  3. 指定AWS 帳戶信任的實體。此信任的實體類型可讓其他 AWS 帳戶中的主體擔任該角色,並存取其他帳戶中的資源。

  4. 選擇下一步

  5. 在 AWS 受管政策清單中,選擇 AmazonEC2ReadOnlyAccess 政策。

  6. 選擇下一步

  7. 針對角色名稱,輸入 NetworkFlowMonitorAccountResourceAccess

  8. 檢閱角色,然後選擇 Create role (建立角色)。