

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 初始化 Network Flow Monitor 以進行多帳戶監控
<a name="CloudWatch-NetworkFlowMonitor-multi-account"></a>

如果想要監控 Network Flow Monitor 中不同帳戶擁有之資源的網路流量，必須先使用 AWS Organizations設定 Amazon CloudWatch。若要在 Network Flow Monitor 中使用多個帳戶，必須開啟 CloudWatch 的受信任存取權，最佳做法是同時註冊委派管理員。

此外，如果您計畫從主控台建立網路流量的監視器，必須將 Network Flow Monitor 政策新增至連結資源的角色。此政策可讓您在主控台中檢視其他帳戶的資源，以便將多個帳戶中的資源新增至監視器。

若要監控不同帳戶擁有之資源的網路流量，需要採取額外的設定步驟。首先，作為管理帳戶，您必須使用 設定 CloudWatch AWS Organizations 以開啟受信任的存取，通常您也會註冊委派的管理員帳戶。然後，您可以使用委派的管理員帳戶，在組織中新增更多帳戶，以設定網路可觀測性的範圍，將資源納入這些帳戶中。(您也可以使用管理帳戶新增多個帳戶，但是在組織中，當您處理服務中的資源時，使用委派的管理員帳戶是最佳做法。我們在此說明中提供遵循該指引的步驟，適用於 Network Flow Monitor。)

請注意，如果您不需要監控來自多個帳戶之執行個體的網路流量，可以搭配單一帳戶使用 Network Flow Monitor。Network Flow Monitor 的範圍會自動設定為您登入 AWS 的帳戶。

使用下列各節中的指引來完成這些步驟。

**與 Amazon EKS 叢集共用 VPC**  
如果您的 Amazon EKS 叢集在使用共用子網路 （另一個帳戶擁有的子網路） 的成員帳戶中執行，您必須在擁有子網路的帳戶 （通常是委派的管理員或管理帳戶） 中建立監視器，而不是在 Amazon EKS 叢集所在的成員帳戶中。在成員帳戶中建立的監視器無法比對網路流程資料，因為成員帳戶不擁有子網路資源。若要監控 Amazon EKS 叢集的流程，請在子網路擁有帳戶中建立監視器，並將 Amazon EKS 叢集指定為本機資源。

**Topics**
+ [多帳戶設定概觀](#CloudWatch-NetworkFlowMonitor-multi-account.overview)
+ [設定 AWS Organizations](#CloudWatch-NetworkFlowMonitor-multi-account.config-orgs)
+ [新增多個帳戶](#CloudWatch-NetworkFlowMonitor-multi-account.config-scope)
+ [新增主控台的許可](#CloudWatch-NetworkFlowMonitor-multi-account.console-perms)

## 在 Network Flow Monitor 中使用多個帳戶的步驟概觀
<a name="CloudWatch-NetworkFlowMonitor-multi-account.overview"></a>

若要開始使用 Network Flow Monitor，之前未使用過 Network Flow Monitor 的帳戶都必須初始化 Network Flow Monitor。當您為帳戶初始化 Network Flow Monitor 時，Network Flow Monitor 會新增所需的服務連結角色許可，並建立一個或多個帳戶的範圍，以納入網路可觀測性。若要在 Network Flow Monitor 中使用多個帳戶，還有其他步驟要與 整合 AWS Organizations，然後新增要使用的帳戶。

總而言之，您需要採取下列步驟：

1. 以管理帳戶 AWS 管理主控台 身分登入 ，然後執行下列動作：
   + 完成在 CloudWatch AWS Organizations 中與 整合的必要步驟。

1. 以委派管理員帳戶 AWS 管理主控台 身分登入 ，然後執行下列動作：
   + 初始化 Network Flow Monitor，包括將帳戶新增至監控範圍。
   + 新增從主控台存取其他帳戶中的資源所需的許可。

如果您要設定 Network Flow Monitor 來使用多個帳戶，但您不熟悉 AWS Organizations，請檢閱下列資源，以了解管理帳戶、信任存取和委派管理員帳戶等概念，並了解如何將 Organizations 與 CloudWatch 整合。
+  AWS Organizations 《 使用者指南》[中的使用 管理組織中的帳戶 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html)。
+  AWS Organizations 《 使用者指南》中的 [Amazon CloudWatch 和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html) 。

請依循下列各節中的步驟，取得為多個帳戶設定 Network Flow Monitor 的特定指引。

## 在 CloudWatch AWS Organizations 中設定
<a name="CloudWatch-NetworkFlowMonitor-multi-account.config-orgs"></a>

若要使用 設定網路流量監視器 AWS Organizations，請登入 管理帳戶，並開啟 CloudWatch 的受信任存取。然後，註冊委派管理員帳戶，以用於初始化 Network Flow Monitor 並新增多個帳戶。

如果您已在 CloudWatch 中設定組織，開啟對 CloudWatch 組織的受信任存取權並註冊委派管理員帳戶，則不需要再針對 Network Flow Monitor 為組織設定任何其他項目。您可以使用 CloudWatch 的委派管理員帳戶登入，然後初始化 Network Flow Monitor，包括為您的網路可觀測性範圍新增多個帳戶。

如果尚未在 CloudWatch 中設定組織，請依循此處的步驟開啟受信任的存取權並註冊委派管理員帳戶。

### 在 CloudWatch 中開啟受信任的存取權
<a name="CloudWatch-NetworkFlowMonitor-multi-account.config-orgs.trusted-access"></a>

必須先在 Amazon CloudWatch 中開啟對 AWS Organizations 的受信任存取權，才能將 Network Flow Monitor 與組織中的多個帳戶搭配使用。依循下列步驟在 CloudWatch 主控台中開啟受信任的存取權。

**開啟受信任的存取權**

1. 使用組織的管理帳戶登入主控台。

1. 在 CloudWatch 主控台的導覽窗格中選擇**設定**。

1. 選擇**組織**索引標籤。

1. 在**組織管理設定**中，選擇**開啟**。**啟用受信任的存取權**頁面隨即出現。

1. 若要檢閱角色政策，請選擇**檢視許可詳細資訊**，角色政策將顯示在視窗中。

1.  選擇 **Enable trusted access (啟用信任存取)**。

現在，當 CloudWatch 偵測到資源時，會自動更新您有權存取 Network Flow Monitor 中資源的帳戶相關資訊。

### 註冊委派管理員帳戶
<a name="CloudWatch-NetworkFlowMonitor-multi-account.config-orgs.delegated-admin"></a>

作為 的最佳實務 AWS Organizations，組織的管理帳戶應將成員帳戶註冊為 CloudWatch 的委派管理員帳戶。在 CloudWatch 中註冊委派管理員帳戶後，組織的成員可以使用委派管理員帳戶登入，以監控 Network Flow Monitor 多個帳戶中資源的網路效能。

在委派管理員帳戶中，您可以在 Network Flow Monitor 中為您的網路可觀測性範圍新增多個帳戶。雖然管理帳戶也可以建立包含多個帳戶的範圍，但我們建議您遵循 AWS Organizations 的最佳實務，使用委派管理員帳戶在 Network Flow Monitor 中新增多個帳戶。對於非委派管理員帳戶的會員帳戶，範圍僅限於會針對範圍自動設定的登入帳戶。

組織的委派管理員帳戶是共用服務受管許可管理員存取權的會員帳戶。您選擇註冊為委派管理員帳戶的帳戶必須是組織中的會員帳戶。您組織的委派管理員帳戶可以在 CloudWatch 之外使用，因此請務必先了解此帳戶類型，再執行此程序。如需詳細資訊，請參閱 AWS Organizations 《 使用者指南》中的 [Amazon CloudWatch 和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html) 。

**註冊委派管理員帳戶**

1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在導覽窗格中，選擇 ** Settings** (設定)。

1. 選擇**組織**索引標籤。

1. 選擇 **Register delegated administrator (註冊委派管理員)**。

1. 在**註冊委派管理員**視窗的**委派管理員帳戶 ID** 欄位中，輸入 12 位的組織會員帳戶 ID。

1. 選擇 **Register delegated administrator (註冊委派管理員)**。隨即出現確認訊息，指出帳戶已成功註冊。**組織設定**頁面隨即顯示。若要查看委派管理員帳戶的相關資訊，請將滑鼠游標移至**委派管理員**旁的號碼上。

若要移除或變更委派管理員帳戶，請先取消註冊該帳戶。如需詳細資訊，請參閱[取消註冊委派管理員帳戶](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html#telemetry-config-deregister-administrator)。

## 將多個帳戶新增至您的範圍
<a name="CloudWatch-NetworkFlowMonitor-multi-account.config-scope"></a>

若要將帳戶新增至 Network Flow Monitor 範圍，請使用委派管理員帳戶登入。（如果您已使用管理帳戶登入，您可以將帳戶新增至範圍，但最佳實務是 AWS Organizations 使用委派管理員帳戶來處理 資源。) 

登入後，請依照步驟初始化 Network Flow Monitor，這是一個授權所需服務連結角色許可的程序，可讓您透過新增帳戶來設定網路可觀測性的範圍，然後為您所設定範圍內的帳戶建立初始拓撲。您登入所使用的帳戶 (在此情況下為委派管理員帳戶) 將自動納入您的 Network Flow Monitor 範圍。

**使用範圍內的多個帳戶初始化網路流量監控**

1. 使用組織的委派管理員帳戶登入主控台。

1. 在 CloudWatch 主控台的導覽窗格中，在**網路監控**下選擇**流量監控**。

1. 在**開始使用 Network Flow Monitor** 的步驟 1 中，選擇**開始初始化**。

1. 在 **Network Flow Monitor** 頁面的**新增帳戶**下，選擇**新增**。您登入時使用的帳戶會自動包含在範圍中，並在**範圍內的帳戶**資料表中顯示為 **(此帳戶)**。

1. 在**新增帳戶**對話方塊頁面上，選擇性地篩選帳戶，然後選擇最多 99 個額外帳戶新增至範圍。範圍內的帳戶數目上限為 100。

1. 選擇**新增**。

1. 選擇**初始化 Network Flow Monitor**。Network Flow Monitor 會新增必要的服務連結角色許可、建立包含您指定之所有帳戶的範圍，然後建立您範圍內帳戶中資源的初始拓撲。

若要在已初始化網路流量監視器之後新增或移除範圍的帳戶，請依照此處的步驟進行。

請注意，變更範圍後，若要新增或刪除帳戶，您必須先等待約 20 分鐘，才能對範圍進行其他變更。此延遲是因為網路流量監控需要短暫的時間來更新其拓撲資訊。

**為您的範圍新增或移除帳戶**

1. 使用組織的委派管理員帳戶登入主控台。

1. 在 CloudWatch 主控台的導覽窗格中，在**網路監控**下選擇**流量監控**。

1. 在**監視器**下，選取監視器。

1. 在**監控詳細資訊**索引標籤中，於**範圍內的帳戶**下，選擇**新增****或刪除**。

1. 選取要新增至範圍的帳戶，最多總共 100 個帳戶，或選取要刪除的帳戶。

1. 完成確認對話方塊中的步驟。

## 設定多帳戶資源存取許可 (僅主控台)
<a name="CloudWatch-NetworkFlowMonitor-multi-account.console-perms"></a>

如果您計畫從主控台建立 Network Flow Monitor，則範圍內的每個會員帳戶都需要特定政策。當您將本地和遠端資源新增至監視器時，此政策可讓您檢視其他帳戶的資源。

針對您範圍內的每個帳戶，建立角色 **NetworkFlowMonitorAccountResourceAccess**，然後連結 **AmazonEC2ReadOnlyAccess** 政策。若要查看政策的許可詳細資訊，請參閱[《 受管政策參考指南》中的 AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)。 AWS 

如果您想要在主控台中檢視來自其他帳戶的 Amazon EKS 叢集資源，您還必須將下列許可新增至 **NetworkFlowMonitorAccountResourceAccess** 角色：

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EKSReadAccess",
            "Effect": "Allow",
            "Action": [
                "eks:ListClusters",
                "eks:DescribeCluster",
                "eks:ListNodegroups",
                "eks:DescribeNodegroup",
                "eks:ListFargateProfiles",
                "eks:DescribeFargateProfile",
                "eks:ListAddons",
                "eks:DescribeAddon",
                "eks:AccessKubernetesApi"
            ],
            "Resource": "*"
        }
    ]
}
```

此政策附加於您必須為每個執行個體新增的政策之上，旨在確保 Network Flow Monitor 代理程式能將執行個體的效能指標傳送至 Network Flow Monitor 擷取後端伺服器。如需代理程式許可的詳細資訊，請參閱[在 EC2 和自我管理的 Kubernetes 執行個體上安裝網路流量監控代理程式](CloudWatch-NetworkFlowMonitor-agents.md)。

下列程序概述如何在 Network Flow Monitor 主控台內，建立存取範圍內的資源所需的角色。如需如何在 IAM 中建立角色的一般指引，請參閱 AWS Identity and Access Management 《 使用者指南》中的[建立角色以授予許可給 IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)。

**在 Network Flow Monitor 主控台中建立資源存取角色**

1. 登入 AWS 管理主控台 並開啟 IAM 主控台。

1. 在主控台的導覽窗格中，選擇**角色**，然後選擇**建立角色**。

1. 指定 **AWS 帳戶**受信任實體。這種信任的實體類型可讓其他 AWS 帳戶中的主體擔任該角色，並存取其他帳戶中的資源。

1. 選擇**下一步**。

1. 在 AWS 受管政策清單中，選擇 **AmazonEC2ReadOnlyAccess** 政策。

1. 選擇**下一步**。

1. 針對角色名稱，輸入 **NetworkFlowMonitorAccountResourceAccess**。

1. 檢閱角色，然後選擇 **Create role** (建立角色)。