Initialiser Network Flow Monitor pour la surveillance de plusieurs comptes - Amazon CloudWatch
Présentation de la configuration de plusieurs comptesConfiguration AWS OrganizationsAjouter plusieurs comptesAjouter des autorisations pour la console

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Initialiser Network Flow Monitor pour la surveillance de plusieurs comptes

Si vous souhaitez surveiller les flux réseau dans Network Flow Monitor pour les ressources détenues par différents comptes, vous devez d'abord configurer Amazon CloudWatch avec AWS Organizations. Pour utiliser plusieurs comptes dans Network Flow Monitor, vous devez activer l'accès sécurisé pour CloudWatch, et il est recommandé d'enregistrer également un administrateur délégué.

En outre, si vous prévoyez de créer des moniteurs pour les flux réseau à partir de la console, vous devez ajouter une politique Network Flow Monitor au rôle qui est attaché à vos ressources. Cette politique vous permet d’afficher les ressources d’autres comptes dans la console, afin que vous puissiez ajouter les ressources de plusieurs comptes à un moniteur.

Pour surveiller les flux réseau des ressources appartenant à différents comptes, vous devez suivre des étapes de configuration supplémentaires. Tout d'abord, en tant que compte de gestion, vous devez configurer CloudWatch avec AWS Organizations pour activer l'accès sécurisé et, généralement, vous devez également enregistrer un compte d'administrateur délégué. Ensuite, à l’aide du compte d’administrateur délégué, vous pouvez ajouter d’autres comptes dans votre organisation, pour définir la portée de votre observabilité réseau afin d’inclure les ressources dans ces comptes. (Vous pouvez également ajouter plusieurs comptes avec un compte de gestion, mais une bonne pratique dans les organisations consiste à utiliser le compte de l’administrateur délégué lorsque vous travaillez avec des ressources dans un service. Nous fournissons des étapes qui suivent ces conseils dans les instructions ici pour Network Flow Monitor.)

Notez que si vous n’avez pas besoin de surveiller les flux réseau pour les instances de plusieurs comptes, vous pouvez utiliser Network Flow Monitor avec un seul compte. Le champ d'application de Network Flow Monitor est automatiquement défini en fonction du AWS compte avec lequel vous vous connectez.

Suivez les conseils des sections suivantes pour réaliser ces étapes.

Présentation des étapes pour l’utilisation de plusieurs comptes dans Network Flow Monitor

Pour commencer à utiliser Network Flow Monitor, tout compte qui n’a pas utilisé Network Flow Monitor auparavant doit initialiser Network Flow Monitor. Lorsque vous initialisez Network Flow Monitor pour un compte, Network Flow Monitor ajoute les autorisations de rôle lié à un service requises et crée une portée du ou des comptes à inclure dans l’observabilité du réseau. Pour travailler avec plusieurs comptes dans Network Flow Monitor, vous devez suivre des étapes supplémentaires AWS Organizations, à intégrer puis à ajouter les comptes à utiliser.

En résumé, vous devez suivre les étapes suivantes :

  1. Connectez-vous en AWS Management Console tant que compte de gestion, puis effectuez les opérations suivantes :

    • Effectuez les étapes requises pour l'intégration AWS Organizations dans CloudWatch.

  2. Connectez-vous au compte AWS Management Console d'administrateur délégué, puis effectuez les opérations suivantes :

    • Initialisez Network Flow Monitor, notamment en ajoutant des comptes à inclure dans votre portée.

    • Ajoutez les autorisations requises pour accéder aux ressources qui se trouvent dans d’autres comptes à partir de la console.

Si vous configurez Network Flow Monitor pour qu'il fonctionne avec plusieurs comptes et que vous ne le connaissez pas AWS Organizations, consultez les ressources suivantes pour en savoir plus sur des concepts tels que le compte de gestion, l'accès sécurisé et le compte d'administrateur délégué, et pour savoir comment intégrer les Organisations à CloudWatch.

Suivez les étapes des sections suivantes pour obtenir des conseils spécifiques sur la configuration de Network Flow Monitor pour plusieurs comptes.

Configurer AWS Organizations dans CloudWatch

Pour configurer Network Flow Monitor avec AWS Organizations, connectez-vous au compte de gestion et activez l'accès sécurisé pour CloudWatch. Ensuite, enregistrez un compte d’administrateur délégué à utiliser pour initialiser Network Flow Monitor et ajouter des comptes multiples.

Si vous avez déjà configuré Organizations in CloudWatch pour activer l'accès sécurisé pour Organizations in CloudWatch et pour enregistrer un compte d'administrateur délégué, il n'est pas nécessaire de configurer quoi que ce soit d'autre pour Organizations spécifique à Network Flow Monitor. Vous pouvez vous connecter avec le compte d'administrateur délégué pour CloudWatch, puis initialiser Network Flow Monitor, notamment en ajoutant plusieurs comptes pour le périmètre d'observabilité de votre réseau.

Si vous n'avez pas encore configuré Organizations in CloudWatch, suivez les étapes décrites ici pour activer l'accès sécurisé et enregistrer un compte d'administrateur délégué.

Activez l'accès sécurisé dans CloudWatch

Avant de pouvoir utiliser Network Flow Monitor avec plusieurs comptes dans votre organisation, vous devez activer l'accès sécurisé sur Amazon CloudWatch. AWS Organizations Procédez comme suit pour activer l'accès sécurisé dans la CloudWatch console.

Pour activer l’accès approuvé

  1. Connectez-vous à la console avec le compte de gestion de votre organisation.

  2. Dans le volet de navigation de la CloudWatch console, sélectionnez Paramètres.

  3. Choisissez l’onglet Organisations.

  4. Dans Paramètres de gestion de l’organisation, sélectionnez Activer. La page Activer l’accès approuvé s’affiche.

  5. Pour examiner la politique de rôle, sélectionnez Afficher les détails de l’autorisation pour voir la politique de rôle.

  6. Choisissez Enable trusted access (Activer l'accès approuvé).

Désormais, au fur et à mesure qu'il CloudWatch découvre des ressources, il met automatiquement à jour les informations relatives aux comptes pour lesquels vous êtes autorisé à accéder aux ressources dans Network Flow Monitor.

Enregistrer un compte d’administrateur délégué

Il est recommandé que le compte de gestion de votre organisation enregistre un compte de membre en tant que compte d'administrateur délégué pour CloudWatch. AWS Organizations Après avoir enregistré un compte d'administrateur délégué CloudWatch, les membres de votre organisation peuvent se connecter avec le compte d'administrateur délégué pour surveiller les performances du réseau pour les ressources de plusieurs comptes dans Network Flow Monitor.

À l’aide du compte d’administrateur délégué, vous pouvez ajouter plusieurs comptes pour votre portée d’observabilité du réseau dans Network Flow Monitor. Bien que le compte de gestion puisse également créer une portée incluant plusieurs comptes, nous vous recommandons de suivre les bonnes pratiques pour AWS Organizations et d’utiliser un compte d’administrateur délégué pour l’ajout de plusieurs comptes dans Network Flow Monitor. Pour les comptes membres qui ne sont pas le compte administrateur délégué, la portée est limitée au compte connecté, qui est automatiquement défini pour la portée.

Un compte d’administrateur délégué pour Organizations est un compte membre qui partage l’accès administrateur pour les autorisations gérées par le service. Le compte que vous choisissez d’enregistrer en tant que compte d’administrateur délégué doit être un compte membre de votre organisation. Un compte d'administrateur délégué pour votre organisation peut être utilisé en dehors de CloudWatch. Assurez-vous donc de bien comprendre ce type de compte avant de suivre cette procédure. Pour plus d'informations, consultez Amazon CloudWatch et AWS Organizations le guide de AWS Organizations l'utilisateur.

Pour enregistrer un compte d’administrateur délégué

  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  3. Sélectionnez l’onglet Organisation.

  4. Sélectionnez Enregistrer l'administrateur délégué.

  5. Dans la fenêtre Enregistrer un administrateur délégué, dans le champ ID de compte de l’administrateur délégué, saisissez l’ID de compte membre de l’organisation à 12 chiffres.

  6. Sélectionnez Enregistrer l'administrateur délégué. En haut de la page, un message s’affiche pour indiquer que le compte a été enregistré avec succès. La page Paramètres de l’organisation s’affiche. Pour obtenir des informations sur le compte de l’administrateur délégué, survolez le numéro situé sous Administrateurs délégués.

Pour supprimer ou modifier le compte de l’administrateur délégué, annulez d’abord l’inscription du compte. Pour plus d’informations, consultez Annuler l’inscription d’un compte d’administrateur délégué.

Ajout de plusieurs comptes à votre portée

Pour ajouter des comptes à votre portée Network Flow Monitor, connectez-vous avec le compte d’administrateur délégué. (Vous pouvez ajouter des comptes à un périmètre si vous êtes connecté avec le compte de gestion, mais il est recommandé d' AWS Organizations utiliser le compte d'administrateur délégué pour utiliser les ressources.)

Une fois connecté, suivez les étapes pour initialiser Network Flow Monitor, un processus qui autorise les autorisations requises pour les rôles liés au service, vous permet de définir l'étendue de l'observabilité de votre réseau en ajoutant des comptes, puis crée une topologie initiale pour les comptes dans l'étendue que vous avez définie. Le compte avec lequel vous vous connectez (dans ce cas, le compte d’administrateur délégué) est automatiquement inclus dans la portée de Network Flow Monitor.

Pour initialiser Network Flow Monitor avec plusieurs comptes dans votre champ d'application

  1. Connectez-vous à la console avec le compte d'administrateur délégué de votre organisation.

  2. Dans le volet de navigation de la CloudWatch console, sous Surveillance du réseau, sélectionnez Flow monitors.

  3. Sous Mise en route avec Network Flow Monitor, à l’étape 1, sélectionnez Démarrer l’initialisation.

  4. Sur la page Network Flow Monitor, sous Ajouter des comptes, sélectionnez Ajouter. Le compte avec lequel vous êtes connecté est automatiquement inclus dans la portée et apparaît déjà dans le tableau Comptes dans la portée sous le nom de (ce compte).

  5. Dans la page de dialogue Ajouter des comptes, filtrez éventuellement les comptes, puis sélectionnez jusqu’à 99 comptes complémentaires à ajouter à votre portée. Le nombre maximum de comptes dans une portée est de 100.

  6. Choisissez Ajouter.

  7. Sélectionnez Initialiser Network Flow Monitor. Network Flow Monitor ajoute les autorisations de rôle lié à un service requises, crée une portée qui inclut tous les comptes que vous avez spécifiés, puis crée une topologie initiale des ressources dans les comptes de votre portée.

Pour ajouter ou supprimer des comptes pour votre scope après avoir déjà initialisé Network Flow Monitor, suivez les étapes décrites ici.

Sachez qu'après avoir modifié votre étendue, que ce soit pour ajouter ou supprimer des comptes, vous devez attendre environ 20 minutes avant de pouvoir apporter une autre modification à l'étendue. Ce délai est dû au fait que Network Flow Monitor a besoin d'un court laps de temps pour mettre à jour ses informations topologiques.

Pour ajouter ou supprimer des comptes pour votre scope

  1. Connectez-vous à la console avec le compte d'administrateur délégué de votre organisation.

  2. Dans le volet de navigation de la CloudWatch console, sous Surveillance du réseau, sélectionnez Flow monitors.

  3. Sous Moniteurs, sélectionnez un moniteur.

  4. Dans l'onglet Détails du moniteur, sous Comptes concernés, choisissez Ajouter ou Supprimer.

  5. Sélectionnez les comptes à ajouter à votre périmètre, jusqu'à un total de 100 comptes, ou sélectionnez les comptes à supprimer.

  6. Suivez les étapes indiquées dans la boîte de dialogue de confirmation.

Configurer les autorisations pour l’accès aux ressources par plusieurs comptes (console uniquement)

Si vous prévoyez de créer des moniteurs pour les flux réseau à partir de la console, une politique spécifique est requise pour chaque compte membre de votre portée. Cette politique vous permet de visualiser les ressources d’autres comptes lorsque vous ajoutez des ressources locales et distantes à un moniteur.

Pour chacun des comptes concernés, créez un rôle et joignez la EC2 ReadOnlyAccess politique Amazon. NetworkFlowMonitorAccountResourceAccess Pour consulter les détails des autorisations relatives à cette politique, consultez Amazon EC2 ReadOnlyAccess dans le AWS Managed Policy Reference Guide.

Cette politique s’ajoute à celle que vous devez ajouter à chaque instance pour que l’agent Network Flow Monitor puisse envoyer des métriques de performance de l’instance au serveur dorsal d’ingestion de Network Flow Monitor. Pour plus d’informations sur les exigences relatives aux agents, consultez Installation d'agents Network Flow Monitor sur EC2 des instances Kubernetes autogérées.

La procédure suivante résume les étapes à suivre pour créer le rôle requis pour accéder aux ressources de votre portée dans la console Network Flow Monitor. Pour obtenir des instructions générales sur la création d'un rôle dans IAM, voir Créer un rôle pour accorder des autorisations à un utilisateur IAM dans le Guide de l' Gestion des identités et des accès AWS utilisateur.

Pour créer un rôle pour l’accès aux ressources dans la console Network Flow Monitor

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la.

  2. Dans le volet de navigation de la console, choisissez Rôles, puis Créer un rôle.

  3. Spécifiez l’entité de confiance du compte AWS . Ce type d'entité de confiance permet aux principaux d'autres AWS comptes d'assumer le rôle et d'accéder aux ressources d'autres comptes.

  4. Choisissez Suivant.

  5. Dans la liste des politiques AWS gérées, choisissez la EC2 ReadOnlyAccess politique Amazon.

  6. Choisissez Suivant.

  7. Pour le nom du rôle, entrez NetworkFlowMonitorAccountResourceAccess.

  8. Passez en revue les informations du rôle, puis choisissez Create role (Créer un rôle).