Inicialización de Network Flow Monitor para la supervisión de varias cuentas - Amazon CloudWatch
Descripción general de la configuración de varias cuentasConfigurar AWS OrganizationsAdición de varias cuentasAdición de permisos para la consola

Inicialización de Network Flow Monitor para la supervisión de varias cuentas

Si desea supervisar los flujos de red en Network Flow Monitor para recursos que son propiedad de diferentes cuentas, primero debe configurar Amazon CloudWatch con AWS Organizations. Para usar varias cuentas en Network Flow Monitor, debe activar el acceso de confianza para CloudWatch y, además, se recomienda registrar un administrador delegado.

Además, si planea crear monitores para los flujos de red desde la consola, debe añadir una política de Network Flow Monitor al rol asociado a sus recursos. La política le permite ver los recursos de otras cuentas en la consola, de modo que puede añadir los recursos de varias cuentas a un monitor.

Para supervisar los flujos de red de recursos que son propiedad de diferentes cuentas, hay que seguir algunos pasos de configuración adicionales. En primer lugar, como cuenta de administración, debe configurar CloudWatch con AWS Organizations para activar el acceso de confianza y, normalmente, también registrará una cuenta de administrador delegado. A continuación, con la cuenta de administrador delegado, puede añadir más cuentas a su organización para establecer el ámbito de la observabilidad de la red a fin de incluir recursos en esas cuentas. (También puede añadir varias cuentas con una cuenta de administración, pero en Organizations se recomienda usar la cuenta de administrador delegado cuando trabaja con los recursos de un servicio. En las instrucciones que aparecen aquí para Network Flow Monitor, proporcionamos los pasos que siguen esa recomendación).

Tenga en cuenta que si no necesita supervisar los flujos de red para las instancias de varias cuentas, puede usar Network Flow Monitor con una sola cuenta. El ámbito de Network Flow Monitor se establece automáticamente en la cuenta de AWS con la que inicie sesión.

Siga las instrucciones que se detallan en las siguientes secciones para completar estos pasos.

Descripción general de los pasos para usar varias cuentas en Network Flow Monitor

Para empezar a utilizar Network Flow Monitor, cualquier cuenta que no haya utilizado Network Flow Monitor anteriormente debe inicializarlo. Al inicializar Network Flow Monitor para una cuenta, este añade los permisos de rol vinculados al servicio necesarios y crea un ámbito de la cuenta o cuentas que se incluirán en la observabilidad de la red. Para trabajar con varias cuentas en Network Flow Monitor, hay pasos adicionales para integrarse con AWS Organizations y luego añadir las cuentas con las que se trabajará.

En resumen, debe seguir estos pasos:

  1. Inicie sesión en la AWS Management Console como cuenta de administración y haga lo siguiente:

    • Complete los pasos necesarios para la integración con AWS Organizations en CloudWatch.

  2. Inicie sesión en la AWS Management Console como cuenta de administrador delegado y haga lo siguiente:

    • Inicialice Network Flow Monitor, incluida la adición de cuentas para incluirlas en su ámbito.

    • Agregue los permisos necesarios para acceder a los recursos que se encuentran en otras cuentas desde la consola.

Si está configurando Network Flow Monitor para que funcione con varias cuentas y no está familiarizado con AWS Organizations, consulte los siguientes recursos para obtener información sobre algunos conceptos (como la cuenta de administración, el acceso de confianza y la cuenta de administrador delegado) y para aprender a integrar Organizations con CloudWatch.

Siga los pasos de las siguientes secciones para obtener instrucciones específicas sobre la configuración de Network Flow Monitor para varias cuentas.

Configuración de AWS Organizations en CloudWatch

Para configurar Network Flow Monitor con AWS Organizations, inicie sesión en la cuenta de administración y active el acceso de confianza para CloudWatch. A continuación, registre una cuenta de administrador delegado para inicializar Network Flow Monitor y añadir varias cuentas.

Si ya ha configurado Organizaciones en CloudWatch para activar el acceso de confianza para Organizations en CloudWatch y registrar una cuenta de administrador delegado, no necesita configurar nada más para Organizations específico de Network Flow Monitor. Puede iniciar sesión con la cuenta de administrador delegado de CloudWatch y, a continuación, inicializar Network Flow Monitor, lo que incluye añadir varias cuentas para el ámbito de observabilidad de la red.

Si aún no ha configurado Organizations en CloudWatch, siga los pasos que se indican aquí para activar el acceso de confianza y registrar una cuenta de administrador delegado.

Activación del acceso de confianza en CloudWatch

Antes de poder utilizar Network Flow Monitor con más de una cuenta en su organización, debe activar el acceso de confianza para AWS Organizations en Amazon CloudWatch. Siga estos pasos para activar el acceso de confianza en la consola de CloudWatch.

Activación del acceso de confianza

  1. Inicie sesión en la consola con la cuenta de administración de su organización.

  2. Elija Configuración en el panel de navegación de la consola de CloudWatch.

  3. Seleccione la pestaña Organizaciones.

  4. En Configuración de administración de la organización, seleccione Activar. Aparecerá la página Habilitar el acceso de confianza.

  5. Para revisar la política de roles, seleccione Ver detalles de permisos.

  6. Elija Habilitar acceso de confianza.

Ahora, a medida que CloudWatch descubre los recursos, actualiza automáticamente la información sobre las cuentas para las que tiene permiso para acceder a los recursos en Network Flow Monitor.

Registro de una cuenta de administrador delegado

Como práctica recomendada con AWS Organizations, la cuenta de administración de su organización debe registrar una cuenta de miembro como cuenta de administrador delegado para CloudWatch. Después de registrar una cuenta de administrador delegado en CloudWatch, los miembros de su organización pueden iniciar sesión con la cuenta de administrador delegado para supervisar el rendimiento de la red de los recursos en varias cuentas en Network Flow Monitor.

Con la cuenta de administrador delegado, puede añadir varias cuentas para el ámbito de observabilidad de la red en Network Flow Monitor. Aunque la cuenta de administración también puede crear un ámbito que incluya varias cuentas, le recomendamos que siga las prácticas recomendadas para AWS Organizations y que utilice una cuenta de administrador delegado para añadir varias cuentas en Network Flow Monitor. En el caso de las cuentas de miembros que no son la cuenta de administrador delegado, el ámbito se limita a la cuenta con la que se ha iniciado sesión, que se configura automáticamente para el ámbito.

Una cuenta de administrador delegado para Organizations es una cuenta de miembro que comparte el acceso de administrador para los permisos administrados por el servicio. La cuenta que decida registrar como administrador delegado debe ser una cuenta de miembro de su organización. Una cuenta de administrador delegado para su organización puede usarse fuera de CloudWatch, así que asegúrese de entender este tipo de cuenta antes de seguir este procedimiento. Para obtener más información, consulte Amazon CloudWatch y AWS Organizations en la guía del usuario de AWS Organizations.

Registro de un administrador delegado

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, seleccione Configuración.

  3. Seleccione la pestaña Organización.

  4. Elija Registrar administrador delegado.

  5. En la ventana Registrar administrador delegado, en el campo ID de cuenta de administrador delegado, introduzca el ID de cuenta del miembro de la organización de 12 dígitos.

  6. Elija Registrar administrador delegado. En la parte superior de la página, aparece un mensaje en el que se indica que la cuenta se registró correctamente. Aparecerá la página Configuración de la organización. Para ver información sobre la cuenta de administrador delegado, coloque el cursor sobre el número que aparece debajo de Administradores delegados.

Para eliminar o cambiar la cuenta de administrador delegado, primero anule el registro de la cuenta. Para obtener más información, consulte Anulación del registro de un administrador delegado.

Adición de varias cuentas a su ámbito

Para añadir cuentas a su ámbito de Network Flow Monitor, inicie sesión con la cuenta de administrador delegado. (Puede añadir cuentas a un ámbito si ha iniciado sesión con la cuenta de administración, pero se recomienda utilizar la cuenta de administrador delegado en AWS Organizations para trabajar con los recursos).

Después de iniciar sesión con la cuenta de administrador delegado, inicialice Network Flow Monitor para autorizar los permisos de rol vinculados al servicio necesarios, establezca el ámbito de la observabilidad de la red añadiendo cuentas y cree una topología inicial para las cuentas de su ámbito. La cuenta con la que inicia sesión (en este caso, la cuenta de administrador delegado) se incluye automáticamente en el ámbito de Network Flow Monitor. Para añadir cuentas a su ámbito de forma que pueda supervisar los flujos de red de recursos en varias cuentas, siga los pasos que se indican aquí.

Adición de cuentas a su ámbito

  1. Inicie sesión en la consola con la cuenta de administración de su organización.

  2. En el panel de navegación de la consola de CloudWatch, en Monitorización de redes, elija Monitores de flujo.

  3. En Introducción a Network Flow Monitor, en el paso 1, seleccione Comenzar inicialización.

  4. En la página Network Flow Monitor, en Añadir cuentas, elija Añadir. La cuenta con la que ha iniciado sesión se incluye automáticamente en el ámbito y ya aparece en la tabla Cuentas incluidas como (esta cuenta).

  5. En la página de diálogo Añadir cuentas, puede filtrar las cuentas y, a continuación, seleccionar hasta 99 cuentas adicionales para añadirlas a su ámbito. El número máximo de cuentas en un ámbito es 100.

  6. Elija Agregar.

  7. Elija Inicialización de Network Flow Monitor. Network Flow Monitor añade los permisos de roles vinculados al servicio necesarios, crea un ámbito que incluye todas las cuentas que especificó y, a continuación, crea una topología inicial de los recursos en las cuentas de su ámbito.

Configuración de los permisos para el acceso a los recursos de varias cuentas (solo en la consola)

Si planea crear monitores para los flujos de red desde la consola, se requiere una política específica para cada cuenta de miembro en su ámbito. Esta política le permite ver los recursos de otras cuentas al añadir recursos locales y remotos a un monitor.

Para cada una de las cuentas de su ámbito, cree un rol, NetworkFlowMonitorAccountResourceAccess, y adjunte la política AmazonEC2ReadOnlyAccess. Para ver los detalles de permisos de la política, consulte AmazonEC2ReadOnlyAccess en la Guía de referencia de políticas administradas por AWS.

Esta política se suma a la política que debe añadir a cada instancia para que el agente de Network Flow Monitor pueda enviar las métricas de rendimiento de la instancia al servidor backend de ingestión de Network Flow Monitor. Para obtener más información acerca de los requisitos de los agentes, consulte Instalación de agentes de Network Flow Monitor en instancias.

El siguiente procedimiento proporciona un resumen de los pasos necesarios para crear el rol requerido para acceder a los recursos de su ámbito en la consola de Network Flow Monitor. Para obtener instrucciones generales sobre cómo crear un rol en IAM, consulte Creación de un rol para delegar permisos a un usuario de IAM en la Guía del usuario de AWS Identity and Access Management.

Creación de un rol para el acceso a los recursos en la consola de Network Flow Monitor

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM.

  2. En el panel de navegación de la consola, elija Roles y, a continuación, seleccione Create role (Crear rol).

  3. Especifique la entidad de confianza de la cuenta de AWS. Este tipo de entidad de confianza permite que las entidades principales de otras cuentas de AWS asuman el rol y accedan a los recursos de otras cuentas.

  4. Elija Siguiente.

  5. En la lista de políticas administradas por AWS, elija la política AmazonEC2ReadOnlyAccess.

  6. Elija Siguiente.

  7. Para el nombre del rol, escriba NetworkFlowMonitorAccountResourceAccess.

  8. Revise el rol y, a continuación, elija Crear rol.