Initialiser le Network Flow Monitor pour une surveillance multi-comptes - Amazon CloudWatch
Vue d'ensemble de la configuration multi-comptesConfiguration AWS OrganizationsAjouter plusieurs comptesAjouter des autorisations pour la console

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Initialiser le Network Flow Monitor pour une surveillance multi-comptes

Si vous souhaitez surveiller les flux réseau dans Network Flow Monitor pour les ressources détenues par différents comptes, vous devez d'abord configurer Amazon CloudWatch avec AWS Organizations. Pour utiliser plusieurs comptes dans Network Flow Monitor, vous devez activer l'accès sécurisé pour CloudWatch, et il est recommandé d'enregistrer également un administrateur délégué.

En outre, si vous envisagez de créer des moniteurs pour les flux réseau à partir de la console, vous devez ajouter une politique Network Flow Monitor au rôle associé à vos ressources. La politique vous permet de consulter les ressources d'autres comptes dans la console, afin que vous puissiez ajouter les ressources de plusieurs comptes à un moniteur.

Pour surveiller les flux réseau pour les ressources détenues par différents comptes, vous devez suivre des étapes de configuration supplémentaires. Tout d'abord, en tant que compte de gestion, vous devez configurer CloudWatch avec AWS Organizations pour activer l'accès sécurisé et, généralement, vous devez également enregistrer un compte d'administrateur délégué. Ensuite, à l'aide du compte d'administrateur délégué, vous pouvez ajouter d'autres comptes dans votre organisation, afin de définir l'étendue de l'observabilité de votre réseau afin d'inclure des ressources dans ces comptes. (Vous pouvez également ajouter plusieurs comptes avec un compte de gestion, mais il est recommandé dans Organizations d'utiliser le compte d'administrateur délégué lorsque vous travaillez avec les ressources d'un service. Nous indiquons les étapes qui suivent ces instructions dans les instructions fournies ici pour Network Flow Monitor.)

Notez que si vous n'avez pas besoin de surveiller les flux réseau pour les instances provenant de plusieurs comptes, vous pouvez utiliser Network Flow Monitor avec un seul compte. Le champ d'application de Network Flow Monitor est automatiquement défini en fonction du AWS compte avec lequel vous vous connectez.

Suivez les instructions des sections suivantes pour effectuer ces étapes.

Vue d'ensemble des étapes d'utilisation de plusieurs comptes dans Network Flow Monitor

Pour commencer à utiliser Network Flow Monitor, tout compte qui n'a jamais utilisé Network Flow Monitor auparavant doit initialiser Network Flow Monitor. Lorsque vous initialisez Network Flow Monitor pour un compte, Network Flow Monitor ajoute les autorisations de rôle liées au service requises et crée une étendue du ou des comptes à inclure dans l'observabilité du réseau. Pour travailler avec plusieurs comptes dans Network Flow Monitor, vous devez suivre des étapes supplémentaires AWS Organizations, à intégrer puis à ajouter les comptes à utiliser.

En résumé, vous devez suivre les étapes suivantes :

  1. Connectez-vous en AWS Management Console tant que compte de gestion, puis effectuez les opérations suivantes :

    • Effectuez les étapes requises pour l'intégration avec AWS Organizations in CloudWatch.

  2. Connectez-vous au compte AWS Management Console d'administrateur délégué, puis effectuez les opérations suivantes :

    • Initialisez Network Flow Monitor, notamment en ajoutant des comptes à inclure dans votre champ d'application.

    • Ajoutez les autorisations requises pour accéder aux ressources présentes dans d'autres comptes depuis la console.

Si vous configurez Network Flow Monitor pour qu'il fonctionne avec plusieurs comptes et que vous ne le connaissez pas AWS Organizations, consultez les ressources suivantes pour en savoir plus sur des concepts tels que le compte de gestion, l'accès sécurisé et le compte d'administrateur délégué, et pour savoir comment intégrer les Organisations à CloudWatch.

Suivez les étapes décrites dans les sections suivantes pour obtenir des instructions spécifiques sur la configuration de Network Flow Monitor pour plusieurs comptes.

Configurer AWS Organizations dans CloudWatch

Pour configurer Network Flow Monitor avec AWS Organizations, connectez-vous au compte de gestion et activez l'accès sécurisé pour CloudWatch. Enregistrez ensuite un compte d'administrateur délégué à utiliser pour initialiser Network Flow Monitor et ajouter plusieurs comptes.

Si vous avez déjà configuré Organizations in CloudWatch pour activer l'accès sécurisé pour Organizations in CloudWatch et pour enregistrer un compte d'administrateur délégué, il n'est pas nécessaire de configurer quoi que ce soit d'autre pour Organizations spécifique à Network Flow Monitor. Vous pouvez vous connecter avec le compte d'administrateur délégué pour CloudWatch, puis initialiser Network Flow Monitor, notamment en ajoutant plusieurs comptes pour le périmètre d'observabilité de votre réseau.

Si vous n'avez pas encore configuré Organizations in CloudWatch, suivez les étapes décrites ici pour activer l'accès sécurisé et enregistrer un compte d'administrateur délégué.

Activez l'accès sécurisé dans CloudWatch

Avant de pouvoir utiliser Network Flow Monitor avec plusieurs comptes dans votre organisation, vous devez activer l'accès sécurisé sur Amazon CloudWatch. AWS Organizations Procédez comme suit pour activer l'accès sécurisé dans la CloudWatch console.

Pour activer l'accès sécurisé

  1. Connectez-vous à la console avec le compte de gestion de votre organisation.

  2. Dans le volet de navigation de la CloudWatch console, sélectionnez Paramètres.

  3. Choisissez l'onglet Organizations.

  4. Dans les paramètres de gestion de l'organisation, choisissez Activer. La page Activer l'accès sécurisé s'affiche.

  5. Pour consulter la politique de rôle, choisissez Afficher les détails des autorisations pour voir la politique de rôle.

  6. Choisissez Enable trusted access (Activer l'accès approuvé).

Désormais, au fur et à mesure qu'il CloudWatch découvre des ressources, il met automatiquement à jour les informations relatives aux comptes pour lesquels vous êtes autorisé à accéder aux ressources dans Network Flow Monitor.

Enregistrer un compte d'administrateur délégué

Il est recommandé que le compte de gestion de votre organisation enregistre un compte de membre en tant que compte d'administrateur délégué pour CloudWatch. AWS Organizations Après avoir enregistré un compte d'administrateur délégué CloudWatch, les membres de votre organisation peuvent se connecter avec le compte d'administrateur délégué pour surveiller les performances du réseau pour les ressources de plusieurs comptes dans Network Flow Monitor.

À l'aide du compte d'administrateur délégué, vous pouvez ajouter plusieurs comptes pour l'étendue d'observabilité de votre réseau dans Network Flow Monitor. Bien que le compte de gestion puisse également créer un périmètre incluant plusieurs comptes, nous vous recommandons de suivre les meilleures pratiques AWS Organizations et d'utiliser un compte d'administrateur délégué pour ajouter plusieurs comptes dans Network Flow Monitor. Pour les comptes de membre qui ne sont pas le compte d'administrateur délégué, l'étendue est limitée au compte connecté, qui est automatiquement défini pour l'étendue.

Un compte administrateur délégué pour Organizations est un compte membre qui partage l'accès administrateur pour les autorisations gérées par le service. Le compte que vous choisissez d'enregistrer en tant que compte d'administrateur délégué doit être un compte de membre de votre organisation. Un compte d'administrateur délégué pour votre organisation peut être utilisé en dehors de CloudWatch. Assurez-vous donc de bien comprendre ce type de compte avant de suivre cette procédure. Pour plus d'informations, consultez Amazon CloudWatch et AWS Organizations le guide de AWS Organizations l'utilisateur.

Pour enregistrer un compte d'administrateur délégué

  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  3. Choisissez l'onglet Organisation.

  4. Sélectionnez Enregistrer l'administrateur délégué.

  5. Dans la fenêtre Enregistrer un administrateur délégué, dans le champ ID de compte d'administrateur délégué, entrez l'ID de compte de membre de l'organisation à 12 chiffres.

  6. Sélectionnez Enregistrer l'administrateur délégué. En haut de la page, un message apparaît indiquant que le compte a été enregistré avec succès. La page Paramètres de l'organisation apparaît. Pour afficher des informations sur le compte d'administrateur délégué, passez le curseur sur le numéro situé sous Administrateurs délégués.

Pour supprimer ou modifier le compte d'administrateur délégué, désenregistrez-le d'abord. Pour plus d'informations, voir Désenregistrer un compte d'administrateur délégué.

Ajoutez plusieurs comptes à votre champ d'application

Pour ajouter des comptes au périmètre de votre Network Flow Monitor, connectez-vous avec le compte d'administrateur délégué. (Vous pouvez ajouter des comptes à un périmètre si vous êtes connecté avec le compte de gestion, mais il est recommandé d' AWS Organizations utiliser le compte d'administrateur délégué pour utiliser les ressources.)

Après vous être connecté avec le compte d'administrateur délégué, initialisez Network Flow Monitor pour autoriser les autorisations de rôle liées au service requises, définissez l'étendue de l'observabilité de votre réseau en ajoutant des comptes et créez une topologie initiale pour les comptes de votre périmètre. Le compte avec lequel vous vous connectez (dans ce cas, le compte d'administrateur délégué) est automatiquement inclus dans le champ d'application de votre Network Flow Monitor. Pour ajouter des comptes à votre périmètre afin de pouvoir surveiller les flux réseau pour les ressources de plusieurs comptes, suivez les étapes décrites ici.

Pour ajouter des comptes à votre champ d'application

  1. Connectez-vous à la console avec le compte de gestion de votre organisation.

  2. Dans le volet de navigation de la CloudWatch console, sous Surveillance du réseau, sélectionnez Flow monitors.

  3. Sous Démarrage avec Network Flow Monitor, à l'étape 1, choisissez Démarrer l'initialisation.

  4. Sur la page Network Flow Monitor, sous Ajouter des comptes, choisissez Ajouter. Le compte avec lequel vous êtes connecté est automatiquement inclus dans le champ d'application et apparaît déjà dans le tableau Comptes concernés sous la forme (ce compte).

  5. Sur la page de dialogue Ajouter des comptes, filtrez éventuellement les comptes, puis sélectionnez jusqu'à 99 comptes supplémentaires à ajouter à votre champ d'application. Le nombre maximum de comptes dans un scope est de 100.

  6. Choisissez Ajouter.

  7. Choisissez Initialize Network Flow Monitor. Network Flow Monitor ajoute les autorisations de rôle liées au service requises, crée une étendue qui inclut tous les comptes que vous avez spécifiés, puis crée une topologie initiale des ressources des comptes de votre étendue.

Configurer les autorisations pour l'accès aux ressources multi-comptes (console uniquement)

Si vous envisagez de créer des moniteurs pour les flux réseau à partir de la console, une politique spécifique est requise pour chaque compte membre de votre périmètre. Cette politique vous permet de consulter les ressources d'autres comptes lorsque vous ajoutez des ressources locales et distantes à un moniteur.

Pour chacun des comptes concernés, créez un rôle et joignez la EC2 ReadOnlyAccess politique Amazon. NetworkFlowMonitorAccountResourceAccess Pour consulter les détails des autorisations relatives à cette politique, consultez Amazon EC2 ReadOnlyAccess dans le AWS Managed Policy Reference Guide.

Cette politique s'ajoute à celle que vous devez ajouter à chaque instance afin que l'agent Network Flow Monitor puisse envoyer des mesures de performance de l'instance au serveur principal d'ingestion de Network Flow Monitor. Pour plus d'informations sur les exigences applicables aux agents, consultezInstallation des agents Network Flow Monitor sur les instances.

La procédure suivante fournit un résumé des étapes permettant de créer le rôle requis pour accéder aux ressources de votre périmètre dans la console Network Flow Monitor. Pour obtenir des instructions générales sur la création d'un rôle dans IAM, voir Créer un rôle pour accorder des autorisations à un utilisateur IAM dans le Guide de l' AWS Identity and Access Management utilisateur.

Pour créer un rôle d'accès aux ressources dans la console Network Flow Monitor

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la.

  2. Dans le volet de navigation de la console, sélectionnez Rôles, puis sélectionnez Créer un rôle.

  3. Spécifiez l'entité de confiance du AWS compte. Ce type d'entité de confiance permet aux principaux d'autres AWS comptes d'assumer le rôle et d'accéder aux ressources d'autres comptes.

  4. Choisissez Suivant.

  5. Dans la liste des politiques AWS gérées, choisissez la EC2 ReadOnlyAccess politique Amazon.

  6. Choisissez Suivant.

  7. Pour le nom du rôle, entrez NetworkFlowMonitorAccountResourceAccess.

  8. Passez en revue les informations du rôle, puis choisissez Create role (Créer un rôle).