Inicialização do Network Flow Monitor para monitoramento em diversas contas - Amazon CloudWatch
Visão geral da configuração para diversas contasConfigurar o AWS OrganizationsAdição de diversas contasAdição de permissões para o console

Inicialização do Network Flow Monitor para monitoramento em diversas contas

Se deseja monitorar fluxos de rede no Network Flow Monitor para recursos pertencentes a diferentes contas, antes de mais nada, você deve configurar o Amazon CloudWatch com o AWS Organizations. Para usar diversas contas no Network Flow Monitor, é necessário ativar o acesso confiável para o CloudWatch, sendo também uma prática recomendada registrar um administrador delegado.

Além disso, caso planeje criar monitores para fluxos de rede diretamente pelo console, será preciso adicionar uma política do Network Flow Monitor ao perfil que está associado aos recursos. Com essa política, é possível visualizar no console os recursos de outras contas, permitindo que você os adicione a um monitor abrangente entre contas.

Caso deseje monitorar fluxos de rede referentes a recursos pertencentes a diferentes contas, será preciso realizar configurações adicionais. Como primeira etapa, a conta gerencial deve configurar o CloudWatch com o AWS Organizations para ativar o acesso confiável, sendo uma prática comum também registrar uma conta como administrador delegado. Em seguida, usando a conta de administrador delegado, é possível adicionar outras contas da sua organização com a finalidade de definir o escopo da observabilidade de rede para incluir os recursos presentes nessas contas. (Você também pode adicionar diversas contas usando uma conta gerencial, entretanto, como prática recomendada no Organizations, deve-se usar a conta de administrador delegado ao trabalhar com os recursos de um serviço. As etapas fornecidas nesta seção para o Network Flow Monitor seguem essa orientação.)

É importante salientar que, se o monitoramento de fluxos de rede para instâncias de diversas contas não for requerido, é possível usar o Network Flow Monitor com uma conta única. O escopo para o Network Flow Monitor é definido automaticamente para a conta da AWS usada no momento do acesso.

Use as orientações apresentadas nas seções a seguir para concluir essas etapas.

Visão geral das etapas para usar diversas contas no Network Flow Monitor

Para começa a usar o Network Flow Monitor, é necessário que qualquer conta que nunca tenha usado o serviço realize usa inicialização. Ao inicializar o Network Flow Monitor para uma conta, o serviço adiciona as permissões necessárias por meio de um perfil vinculado ao serviço e cria um escopo com a conta ou com as contas a serem incluídas na observabilidade da rede. Para trabalhar com diversas contas no Network Flow Monitor, é necessário realizar etapas adicionais para integração com o AWS Organizations e, posteriormente, incluir as contas desejadas para o trabalho.

Em resumo, você deve seguir as seguintes etapas:

  1. Acesse o AWS Management Console como a conta gerencial e, em seguida, execute o seguinte:

    • Conclua as etapas necessárias para realizar a integração com o AWS Organizations no CloudWatch.

  2. Acesse o AWS Management Console como a conta de administrador delegado e, em seguida, execute o seguinte:

    • Realize a inicialização do Network Flow Monitor, incluindo a adição de contas que devem ser incluídas no seu escopo.

    • Adicione as permissões necessárias para acessar, pelo console, recursos que estejam em outras contas.

Caso você esteja configurando o Network Flow Monitor para trabalhar com diversas contas e ainda não tenha familiaridade com o AWS Organizations, consulte os recursos apresentados a seguir para compreender conceitos como a conta gerencial, o acesso confiável e a conta de administrador delegado, bem como para aprender a realizar a integração do Organizations com o CloudWatch.

Siga as etapas apresentadas nas seções a seguir para obter orientações específicas sobre a configuração do Network Flow Monitor para diversas contas.

Configuração do AWS Organizations no CloudWatch

Para configurar o Network Flow Monitor com o AWS Organizations, acesse a conta gerencial e ative o acesso confiável para o CloudWatch. Em seguida, registre uma conta de administrador delegado para ser usada na inicialização do Network Flow Monitor e na adição de diversas contas.

Caso o Organizations já tenha sido configurado no CloudWatch para ativar o acesso confiável para o Organizations no CloudWatch e registrar a conta de administrador delegado, nenhuma configuração adicional específica ao Network Flow Monitor será necessária no Organizations. É possível acessar o CloudWatch com a conta de administrador delegado e, posteriormente, inicializar o Network Flow Monitor, incluindo a adição de diversas contas para o escopo de observabilidade da rede.

Caso o Organizations ainda não tenha sido configurado no CloudWatch, siga as etapas apresentadas nesta seção para ativar o acesso confiável e realizar o registro de uma conta de administrador delegado.

Ativação do acesso confiável no CloudWatch

Antes de usar o Network Flow Monitor com mais de uma conta em sua organização, é necessário ativar o acesso confiável para o AWS Organizations no Amazon CloudWatch. Use as etapas apresentadas a seguir para ativar esse acesso confiável no console do CloudWatch.

Como realizar a ativação do acesso confiável

  1. Efetue o acesso ao console por meio da conta gerencial da organização.

  2. No console do CloudWatch, localize o painel de navegação e selecione a opção Configurações.

  3. Escolha a guia Organizations.

  4. Em Configurações de gerenciamento de organizações, escolha Ativar. A página Habilitar acesso confiável é exibida.

  5. Para analisar a política associada ao perfil, escolha Visualizar detalhes da permissão para visualizar a política.

  6. Escolha Enable trusted access (Habilitar acesso confiável).

A partir deste momento, à medida que o CloudWatch realiza a descoberta de recursos, as informações referentes às contas com permissão de acesso aos recursos no Network Flow Monitor são atualizadas automaticamente.

Registro de uma conta de administrador delegado

Recomenda-se, como prática recomendada no uso do AWS Organizations, que a conta gerencial da organização registre uma conta de membro como uma conta de administrador delegado para o CloudWatch. Após o registro de uma conta de administrador delegado no CloudWatch, os membros da organização estarão autorizados a acessar essa conta para monitorar a performance da rede para os recursos pertencentes a diversas contas no Network Flow Monitor.

Ao usar a conta de administrador delegado, é possível adicionar diversas contas ao escopo de observabilidade da rede no Network Flow Monitor. Embora também seja possível usar a conta gerencial para criar um escopo que inclua diversas contas, recomenda-se seguir as práticas recomendadas para o AWS Organizations e usar uma conta de administrador delegado para adicionar diversas contas no Network Flow Monitor. No caso das contas de membros que não atuam como contas de administradores delegados, o escopo fica restrito à conta usada no momento do acesso, sendo este atribuído automaticamente.

Uma conta de administrador delegado para o Organizations consiste em uma conta de membro que compartilha o acesso de administrador para permissões gerenciadas pelo serviço. A conta selecionada para ser registrada como uma conta de administrador delegado deve ser uma conta de membro pertencente à sua organização. Uma conta de administrador delegado da sua organização pode ser usada de forma externa ao CloudWatch, portanto, certifique-se de compreender esse tipo de conta antes de prosseguir com o presente procedimento. Para obter mais informações, consulte Amazon CloudWatch e AWS Organizations no Guia do usuário do AWS Organizations.

Para registrar uma conta de administrador delegado

  1. Abra o console do CloudWatch, em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, selecione Configurações.

  3. Escolha a guia Organização.

  4. Selecione Registrar administrador delegado.

  5. Na janela Registrar administrador delegado, no campo ID da conta de administrador delegado, insira o ID da conta de membro da organização de 12 dígitos.

  6. Selecione Registrar administrador delegado. Na parte superior da página, uma mensagem é exibida indicando que a conta foi registrada com êxito. A página Configurações da organização é exibida. Para ver informações sobre a conta de administrador delegado, passe o mouse sobre o número abaixo de Administradores delegados.

Para remover ou alterar a conta de administrador delegado, primeiro cancele o registro da conta. Para obter mais informações, consulte Cancelar o registro de uma conta de administrador delegado.

Adição de diversas contas ao escopo

Para realizar a adição contas no escopo do Network Flow Monitor, acesse o sistema usando a conta de administrador delegado. (É possível adicionar contas para um escopo ao realizar o acesso com a conta gerencial, entretanto, recomenda-se, como uma prática recomendada no AWS Organizations, usar a conta de administrador delegado para trabalhar com os recursos.)

Após realizar o acesso com a conta de administrador delegado, realize a inicialização do Network Flow Monitor para autorizar as permissões requeridas pelo perfil vinculado ao serviço, defina o escopo da observabilidade da rede por meio da adição de contas, e crie uma topologia inicial para as contas incluídas no escopo. A conta com a qual você realiza o login, que, neste caso, é a conta de administrador delegado, é automaticamente incluída no escopo do Network Flow Monitor. Para adicionar contas ao seu escopo com a finalidade de monitorar os fluxos de rede dos recursos em diversas contas, siga as etapas apresentadas nesta seção.

Como realizar a adição de contas ao escopo

  1. Efetue o acesso ao console por meio da conta gerencial da organização.

  2. No painel de navegação do console do CloudWatch, em Monitoramento da rede, selecione Monitores de fluxo.

  3. Em Conceitos básicos do Network Flow Monitor, na Etapa 1, selecione Iniciar inicialização.

  4. Na página Network Flow Monitor, em Adicionar contas, escolha Adicionar. A conta usada no momento do acesso é incluída automaticamente no escopo e já aparece na tabela Contas no escopo como (esta conta).

  5. Na interface de diálogo Adicionar contas, você pode, opcionalmente, filtrar as contas e, em seguida, selecionar até 99 contas adicionais para compor seu escopo. O número total permitido de contas em um escopo é 100.

  6. Escolha Adicionar.

  7. Selecione Inicializar o Network Flow Monitor. O Network Flow Monitor adicionará as permissões requeridas pelo perfil vinculado ao serviço, criará um escopo que inclui todas as contas especificadas por você e, posteriormente, criará uma topologia inicial dos recursos presentes nas contas incluídas no escopo.

Configuração de permissões para o acesso a recursos entre diversas contas (somente no console)

Se você pretende criar monitores para os fluxos de rede usando o console, é necessária uma política específica para cada conta de membro incluída em seu escopo. Essa política possibilita a visualização de recursos de outras contas ao adicionar recursos locais e remotos em um monitor.

Para cada uma das contas presentes no seu escopo, crie um perfil chamado NetworkFlowMonitorAccountResourceAccess e associe a política AmazonEC2ReadOnlyAccess. Para obter mais detalhes sobre as permissões para essa política, consulte a seção AmazonEC2ReadOnlyAccess no Guia de referência de políticas gerenciadas pela AWS.

Essa política trata-se de uma adição àquela que deve ser atribuída a cada instância, a fim de permitir que o agente do Network Flow Monitor envie métricas de performance da instância ao servidor de backend de ingestão do Network Flow Monitor. Para obter mais informações sobre os requisitos para os agentes, consulte Instalar agentes do Network Flow Monitor nas instâncias.

O procedimento apresentado a seguir fornece um resumo das etapas para a criação do perfil necessário para acessar recursos dentro do seu escopo no console do Network Flow Monitor. Para obter orientações gerais sobre a criação de perfis no IAM, consulte a seção Criar um perfil para conceder permissões a um usuário do IAM no Guia do usuário do AWS Identity and Access Management.

Como criar um perfil para o acesso a recursos no console do Network Flow Monitor

  1. Faça login no AWS Management Console e abra o console do IAM.

  2. No painel de navegação do console, escolha Funções e, em seguida, clique em Criar função.

  3. Especifique a entidade confiável da conta da AWS. Esse tipo de entidade confiável permite que entidades principais em outras contas da AWS assumam o perfil e acessem recursos em outras contas.

  4. Escolha Próximo.

  5. Na lista de políticas gerenciadas pela AWS, selecione a política AmazonEC2ReadOnlyAccess.

  6. Escolha Próximo.

  7. No campo destinado ao nome do perfil, insira NetworkFlowMonitorAccountResourceAccess.

  8. Reveja a função e escolha Criar função.