Inizializzazione di Network Flow Monitor per il monitoraggio di più account - Amazon CloudWatch
Panoramica della configurazione di più accountConfigurazione AWS OrganizationsAggiunta di più accountAggiunta di autorizzazioni per la console

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Inizializzazione di Network Flow Monitor per il monitoraggio di più account

Se desideri monitorare i flussi di rete in Network Flow Monitor per risorse di proprietà di account diversi, devi prima configurare Amazon CloudWatch con AWS Organizations. Per utilizzare più account in Network Flow Monitor, devi attivare l'accesso affidabile per CloudWatch ed è consigliabile registrare anche un amministratore delegato.

Inoltre, se prevedi di creare monitoraggi per i flussi di rete dalla console, devi aggiungere una policy di Network Flow Monitor al ruolo collegato alle tue risorse. La policy consente di visualizzare le risorse di altri account nella console, in modo da poter aggiungere le risorse di più account a un monitoraggio.

Per monitorare i flussi di rete relativi alle risorse di proprietà di account diversi, è necessario eseguire ulteriori passaggi di configurazione. Innanzitutto, come account di gestione, devi configurare CloudWatch con AWS Organizations per attivare l'accesso affidabile e, in genere, devi registrare anche un account amministratore delegato. Quindi, utilizzando l'account amministratore delegato, è possibile aggiungere altri account all'interno dell'organizzazione, per impostare l'ambito di osservabilità della rete e includere le risorse in tali account. Puoi anche aggiungere più account con un account di gestione, ma in Organizations è consigliabile utilizzare l'account amministratore delegato quando si lavora con le risorse di un servizio. Le istruzioni per Network Flow Monitor riportate qui di seguito si attengono a tale procedura consigliata.

Tieni presente che se non hai bisogno di monitorare i flussi di rete per le istanze di più account, puoi utilizzare Network Flow Monitor con un solo account. L'ambito di Network Flow Monitor viene impostato automaticamente sull' AWS account con cui accedi.

Utilizza le istruzioni riportate nelle sezioni seguenti per completare questa procedura.

Panoramica dei passaggi per l'utilizzo di più account in Network Flow Monitor

Per iniziare a usare Network Flow Monitor, tutti gli account che non hanno mai utilizzato Network Flow Monitor devono inizializzare il servizio. Quando inizializzi Network Flow Monitor per un account, Network Flow Monitor aggiunge le autorizzazioni necessarie per i ruoli collegati ai servizi e crea un ambito dell'account o degli account da includere nell'osservabilità della rete. Per utilizzare più account in Network Flow Monitor, sono necessari passaggi aggiuntivi con AWS Organizations cui eseguire l'integrazione e quindi aggiungere gli account con cui lavorare.

In breve, procedi nel seguente modo:

  1. Accedi a Console di gestione AWS come account di gestione, quindi procedi come segue:

    • Completa i passaggi richiesti per l'integrazione con AWS Organizations in CloudWatch.

  2. Accedi a Console di gestione AWS come account amministratore delegato, quindi procedi come segue:

    • Inizializza Network Flow Monitor, inclusa l'aggiunta di account da includere nel tuo ambito.

    • Aggiungi le autorizzazioni necessarie per accedere alle risorse presenti in altri account dalla console.

Se stai configurando Network Flow Monitor per lavorare con più account e non hai dimestichezza con questo AWS Organizations, consulta le seguenti risorse per conoscere concetti come l'account di gestione, l'accesso affidabile e l'account amministratore delegato e per scoprire come integrare Organizations con CloudWatch.

Segui i passaggi nelle sezioni seguenti per indicazioni specifiche sulla configurazione di Network Flow Monitor per più account.

Configura AWS Organizations in CloudWatch

Per configurare Network Flow Monitor con AWS Organizations, accedi all'account di gestione e attiva l'accesso affidabile per CloudWatch. Quindi, registra un account amministratore delegato da utilizzare per inizializzare Network Flow Monitor e aggiungere più account.

Se hai già configurato Organizations in CloudWatch per attivare l'accesso affidabile per Organizations in CloudWatch e registrare un account amministratore delegato, non è necessario configurare altro per Organizations specifico per Network Flow Monitor. Puoi accedere con l'account amministratore delegato di e quindi inizializzare Network Flow Monitor CloudWatch, inclusa l'aggiunta di più account per l'ambito di osservabilità della rete.

Se non hai ancora configurato Organizations in CloudWatch, segui i passaggi qui per attivare l'accesso affidabile e registrare un account amministratore delegato.

Attiva l'accesso affidabile in CloudWatch

Prima di poter utilizzare Network Flow Monitor con più di un account nella tua organizzazione, devi attivare la funzione di accesso affidabile AWS Organizations in Amazon CloudWatch. Utilizza i seguenti passaggi per attivare l'accesso affidabile nella CloudWatch console.

Per attivare l'accesso attendibile

  1. Accedi alla console utilizzando l'account di gestione della tua organizzazione.

  2. Nella CloudWatch console, nel riquadro di navigazione, scegli Impostazioni.

  3. Scegli la scheda Organizzazioni.

  4. In Impostazioni di gestione organizzativa, scegli Attiva. Viene visualizzata la pagina Abilita accesso attendibile.

  5. Per rivedere la policy relativa a questo ruolo, scegli Visualizza autorizzazioni per visualizzare la policy del ruolo.

  6. Scegliere Enable trusted access (Abilita accesso sicuro).

Ora, man mano che CloudWatch rileva le risorse, aggiorna automaticamente le informazioni sugli account per i quali hai l'autorizzazione ad accedere alle risorse in Network Flow Monitor.

Registrazione di un account di amministratore delegato

Come procedura consigliata AWS Organizations, l'account di gestione dell'organizzazione dovrebbe registrare un account membro come account amministratore delegato per. CloudWatch Dopo aver registrato un account amministratore delegato CloudWatch, i membri dell'organizzazione possono accedere con l'account amministratore delegato per monitorare le prestazioni di rete relative alle risorse di più account in Network Flow Monitor.

Effettuando l'accesso con l'account di amministratore delegato, puoi aggiungere account al tuo ambito di osservabilità della rete in Network Flow Monitor. Sebbene l'account di gestione possa anche creare un ambito che include più account, consigliamo di seguire le best practice per AWS Organizations e di utilizzare un account di amministratore delegato per aggiungere più account in Network Flow Monitor. Per gli account membro che non sono l'account di amministratore delegato, l'ambito è limitato all'account con il quale è stato effettuato l'accesso, che viene impostato automaticamente quale ambito.

Un account di amministratore delegato per Organizations è un account membro che condivide l'accesso di amministratore per le autorizzazioni gestite dal servizio. L'account che scegli di registrare come account di amministratore delegato deve essere un account membro dell'organizzazione. È possibile utilizzare un account amministratore delegato per l'organizzazione al di fuori di CloudWatch, quindi assicurati di conoscere questo tipo di account prima di seguire questa procedura. Per ulteriori informazioni, consulta Amazon CloudWatch e AWS Organizations nella Guida AWS Organizations per l'utente.

Per registrare un account di amministratore delegato

  1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione scegli Impostazioni.

  3. Scegli la scheda Organizzazione.

  4. Scegliere Registra amministratore delegato.

  5. Nella finestra Registra amministratore delegato, nel campo ID account amministratore delegato, inserisci l'ID dell'account membro di Organizations a 12 cifre.

  6. Scegliere Registra amministratore delegato. Nella parte superiore della pagina, viene visualizzato un messaggio che indica che l'account è stato registrato correttamente. Viene visualizzata la pagina Impostazioni dell'organizzazione. Per visualizzare le informazioni sull'account di amministratore delegato, passa il mouse sul numero sotto Amministratori delegati.

Per rimuovere o modificare l'account di amministratore delegato, annulla prima la registrazione dell'account. Per ulteriori informazioni, consulta Deregistering a delegated administrator account.

Aggiungi più account al tuo ambito

Per aggiungere account al tuo ambito di Network Flow Monitor, effettua l'accesso con l'account di amministratore delegato. (Puoi aggiungere account a un ambito se hai effettuato l'accesso con l'account di gestione, ma è consigliabile AWS Organizations utilizzare l'account amministratore delegato per lavorare con le risorse.)

Dopo aver effettuato l'accesso, segui i passaggi per inizializzare Network Flow Monitor, un processo che autorizza le autorizzazioni richieste per i ruoli collegati ai servizi, ti consente di impostare l'ambito per l'osservabilità della rete aggiungendo account e quindi crea una topologia iniziale per gli account nell'ambito che hai impostato. L'account con cui accedi, in questo caso l'account di amministratore delegato, viene automaticamente incluso nell'ambito di Network Flow Monitor.

Per inizializzare Network Flow Monitor con più account nell'ambito

  1. Accedi alla console con l'account amministratore delegato della tua organizzazione.

  2. Nel pannello di navigazione della CloudWatch console, in Monitoraggio della rete, scegli Monitoraggi di flusso.

  3. In Guida introduttiva a Network Flow Monitor, nel Passaggio 1, scegli Avvia inizializzazione.

  4. Nella pagina Network Flow Monitor, in Aggiungi account, scegli Aggiungi. L'account con cui hai effettuato l'accesso viene automaticamente incluso nell'ambito e appare già nella tabella Account nell'ambito come (questo account).

  5. Nella pagina di dialogo Aggiungi account, filtra facoltativamente gli account, quindi seleziona fino a 99 account aggiuntivi da aggiungere all'ambito. Il numero massimo di account in un ambito è 100.

  6. Scegliere Aggiungi.

  7. Scegli Inizializza Network Flow Monitor. Network Flow Monitor aggiunge le autorizzazioni necessarie per i ruoli collegati ai servizi, crea un ambito che include tutti gli account specificati e quindi crea una topologia iniziale delle risorse negli account inclusi nell'ambito.

Per aggiungere o rimuovere account per il tuo ambito dopo aver già inizializzato Network Flow Monitor, procedi nel seguente modo.

Tieni presente che dopo aver apportato una modifica all'ambito, per aggiungere o eliminare account, devi attendere circa 20 minuti prima di poter apportare un'altra modifica all'ambito. Questo ritardo è dovuto al fatto che Network Flow Monitor richiede un breve periodo di tempo per aggiornare le informazioni sulla topologia.

Per aggiungere o rimuovere account per il tuo ambito

  1. Accedi alla console con l'account amministratore delegato della tua organizzazione.

  2. Nel pannello di navigazione della CloudWatch console, in Monitoraggio della rete, scegli Monitoraggi di flusso.

  3. In Monitor, seleziona un monitor.

  4. Nella scheda Dettagli del monitor, nell'ambito Account, scegli Aggiungi o Elimina.

  5. Seleziona gli account da aggiungere all'ambito, fino a un totale di 100 account, oppure seleziona gli account da eliminare.

  6. Completa i passaggi nella finestra di dialogo di conferma.

Configurazione delle autorizzazioni per l'accesso alle risorse multi-account (solo console)

Se prevedi di creare monitoraggi per i flussi di rete dalla console, è necessaria una policy specifica per ogni account membro del tuo ambito. Questa policy consente di visualizzare le risorse di altri account quando si aggiungono risorse locali e remote a un monitoraggio.

Per ogni account che rientra nel tuo ambito, crea un ruolo e allega la EC2 ReadOnlyAccess policy di Amazon. NetworkFlowMonitorAccountResourceAccess Per vedere i dettagli delle autorizzazioni per la politica, consulta Amazon EC2 ReadOnlyAccess nella AWS Managed Policy Reference Guide.

Questa policy si aggiunge alla policy che devi aggiungere a ciascuna istanza in modo che l'agente Network Flow Monitor possa inviare le metriche delle prestazioni dall'istanza al server di backend di importazione di Network Flow Monitor. Per ulteriori informazioni sui requisiti per gli agenti, consulta Installa gli agenti Network Flow Monitor EC2 e gestisci automaticamente le istanze Kubernetes.

La procedura seguente fornisce un riepilogo dei passaggi per creare il ruolo richiesto per l'accesso alle risorse dell'ambito nella console Network Flow Monitor. Per indicazioni generali su come creare un ruolo in IAM, consulta Creare un ruolo per concedere autorizzazioni a un utente IAM nella Guida per l' AWS Identity and Access Management utente.

Per creare un ruolo per l'accesso alle risorse nella console Network Flow Monitor

  1. Accedi Console di gestione AWS e apri la console IAM.

  2. Nel pannello di navigazione della console, scegli Ruoli e successivamente Crea ruolo.

  3. Specifica l'entità attendibile dell'account AWS . Questo tipo di entità affidabile consente ai responsabili di altri AWS account di assumere il ruolo e accedere alle risorse di altri account.

  4. Scegli Next (Successivo).

  5. Nell'elenco delle politiche AWS gestite, scegli la EC2 ReadOnlyAccess politica di Amazon.

  6. Scegli Next (Successivo).

  7. Per il nome del ruolo, inserisci NetworkFlowMonitorAccountResourceAccess.

  8. Verificare il ruolo e quindi scegliere Create role (Crea ruolo).