Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden von Network Synthetic Monitor
Network Synthetic Monitor bietet Einblick in die Leistung des Netzwerks, das Ihre von AWS gehosteten Anwendungen mit Ihren On-Premises-Zielen verbindet, und ermöglicht es Ihnen, innerhalb von Minuten die Ursache von Netzwerkleistungs-Einbußen zu identifizieren. Network Synthetic Monitor wird vollständig von AWSüberwachten Ressourcen verwaltet und benötigt keine separaten Agenten. Verwenden Sie Network Synthetic Monitor, um Paketverluste und Latenz für Ihre hybriden Netzwerkverbindungen zu visualisieren sowie Alarme und Schwellenwerte festzulegen. Auf der Grundlage dieser Informationen können Sie anschließend Maßnahmen ergreifen, um die Erfahrung Ihrer Endbenutzer zu verbessern.
Network Synthetic Monitor richtet sich an Netzwerkbetreiber und Anwendungsentwickler, die in Echtzeit Einblicke in die Netzwerkleistung erhalten möchten.
## Wichtigste Funktionen von Network Synthetic Monitor
+ Verwenden Sie Network Synthetic Monitor, um Ihre sich verändernde hybride Netzwerkumgebung mit kontinuierlichen Metriken zu Paketverlusten und Latenz in Echtzeit zu vergleichen.
+ Wenn Sie eine Verbindung über Network Synthetic Monitor herstellen AWS Direct Connect, können Sie mithilfe des Network Health Indicator (NHI), den AWS Network Synthetic Monitor auf Ihr CloudWatch Amazon-Konto schreibt, schnell eine Netzwerkverschlechterung innerhalb des Netzwerks diagnostizieren. Die Metrik NHI ist ein binärer Wert, der auf einer probabilistischen Bewertung darüber basiert, ob die Beeinträchtigung im AWS-Netzwerk auftritt.
+ Network Synthetic Monitor bietet einen vollständig verwalteten Überwachungsansatz mit Agenten, sodass Sie weder vor Ort noch vor Ort Agenten installieren müssen. VPCs Sie müssen lediglich ein VPC-Subnetz und eine On-Premises-IP-Adresse angeben, um loszulegen. Sie können eine private Verbindung zwischen Ihren VPC- und Network Synthetic Monitor-Ressourcen herstellen, indem Sie AWS PrivateLink. Weitere Informationen finden Sie unter [Verwendung CloudWatch, CloudWatch Synthetics und CloudWatch Netzwerküberwachung mit VPC-Endpunkten mit Schnittstellen](cloudwatch-and-interface-VPC.md).
+ Network Synthetic Monitor veröffentlicht Metriken unter CloudWatch Metrics. Sie können Dashboards erstellen, um Ihre Metriken anzuzeigen, und Sie können umsetzbare Schwellenwerte und Alarme für Ihre anwendungsspezifischen Metriken erstellen.
Weitere Informationen finden Sie unter [Funktionsweise von Network Synthetic Monitor](nw-monitor-how-it-works.md).
## Terminologie und Komponenten von Network Synthetic Monitor
+ **Tests** — Eine Sonde ist der Datenverkehr, der von einer AWS-gehosteten Ressource an eine lokale Ziel-IP-Adresse gesendet wird. Die von der Sonde gemessenen Network Synthetic Monitor-Metriken werden für jede Sonde, die in einem Monitor konfiguriert ist, in Ihr CloudWatch Konto geschrieben.
+ **Monitor**: Ein Monitor zeigt die Netzwerkleistung und andere Zustandsinformationen für Datenverkehr an, für den Sie *Sonden* in Network Synthetic Monitor erstellt haben. Sie fügen Sonden beim Erstellen eines Monitors hinzu und können dann mithilfe des Monitors Informationen zu Netzwerkleistungsmetriken anzeigen. Wenn Sie einen Monitor für eine Anwendung erstellen, fügen Sie eine AWS gehostete Ressource als Netzwerkquelle hinzu. Network Synthetic Monitor erstellt dann eine Liste aller möglichen Tests zwischen der AWS gehosteten Ressource und Ihren Ziel-IP-Adressen. Sie wählen die Ziele aus, für die Sie den Datenverkehr überwachen möchten.
+ **AWS Netzwerkquelle** — Eine AWS Netzwerkquelle ist die AWS Ausgangsquelle einer Monitorprobe, bei der es sich um ein Subnetz in einem Ihrer Netzwerke handelt. VPCs
+ **Ziel**: Dies ist das Ziel in Ihrem On-Premises-Netzwerk für die AWS -Netzwerkquelle. Ein Ziel ist eine Kombination aus Ihren lokalen IP-Adressen, Netzwerkprotokollen, Ports und der Größe der Netzwerkpakete. IPv4 und IPv6 Adressen werden beide unterstützt.
## Anforderungen und Einschränkungen von Network Synthetic Monitor
Im Folgenden werden die Anforderungen und Einschränkungen von Network Synthetic Monitor zusammengefasst. Spezifische Kontingente (oder Beschränkungen) finden Sie unter [Network Synthetic Monitor](cloudwatch_limits.md#nw-monitor-quotas).
+ Monitor-Subnetze müssen sich im Besitz desselben Kontos befinden wie der Monitor.
+ Network Synthetic Monitor bietet kein automatisches Netzwerk-Failover im Falle eines AWS Netzwerkproblems.
+ Für jede Sonde, die Sie erstellen, wird eine Gebühr berechnet. Weitere Details finden Sie unter [Preise für Network Synthetic Monitor](pricing-nw.md).
# Funktionsweise von Network Synthetic Monitor
Network Synthetic Monitor wird vollständig von AWSüberwachten Ressourcen verwaltet und benötigt keine separaten Agenten. Stattdessen geben Sie *Sonden* an, indem Sie ein VPC-Subnetz und On-Premises-IP-Adressen festlegen.
Wenn Sie in Network Synthetic Monitor einen Monitor für AWS gehostete Ressourcen erstellen, AWS erstellt und verwaltet er die Infrastruktur im Hintergrund, die für die Durchführung von Round-Time-Messungen und Paketverlusten erforderlich ist. Da die erforderlichen Konfigurationen AWS verwaltet werden, können Sie Ihre Überwachung schnell skalieren, ohne Agenten in Ihrer AWS Infrastruktur installieren oder deinstallieren zu müssen.
Bei der Erstellung von Sonden werden benutzerdefinierte Elastic Network-Schnittstellen (ENIs) erstellt und an Sonde-Instances und Kundensubnetze angehängt. Wenn Network Synthetic Monitor beispielsweise eine Sonde-Instance ersetzt, wenn sie defekt ist, trennt Network Synthetic Monitor sie ENIs und fügt sie wieder an die Ersatzsonde an. ENI-IP-Adressen werden nach ihrer Erstellung demnach nicht geändert, es sei denn, Sie löschen eine Sonde und erstellen eine neue für dieselbe Quelle und dasselbe Ziel.
Network Synthetic Monitor konzentriert sich bei der Überwachung auf die Routen, die von Datenströmen aus Ihren AWS gehosteten Ressourcen genommen werden, anstatt alle Datenflüsse von Ihren Ressourcen umfassend zu überwachen. AWS-Region Wenn sich Ihre Workloads auf mehrere Availability Zones verteilen, kann Network Synthetic Monitor die Routen über jedes Ihrer privaten Subnetze überwachen.
Network Synthetic Monitor veröffentlicht Metriken zu Round-Trip-Zeiten und Paketverlusten in Ihrem Amazon CloudWatch -Konto auf der Grundlage des Aggregationsintervalls, das Sie bei der Erstellung eines Monitors festgelegt haben. Sie können CloudWatch damit auch individuelle Schwellenwerte für Latenz und Paketverlust für jeden Monitor festlegen. Sie können beispielsweise einen Alarm für eine Workload einrichten, die anfällig für Paketverluste ist, um benachrichtigt zu werden, wenn der durchschnittliche Paketverlust einen statischen Schwellenwert von 0,1 % übersteigt. Sie können die CloudWatch Anomalieerkennung auch verwenden, um bei Messwerten für Paketverlust oder Latenz, die außerhalb der gewünschten Bereiche liegen, einen Alarm auszulösen.
## Verfügbarkeits- und Leistungsmessungen
Network Synthetic Monitor sendet regelmäßig aktive Tests von Ihrer AWS Ressource an Ihre lokalen Ziele. Beim Erstellen eines Monitors geben Sie Folgendes an:
+ **Aggregationsintervall:** Die Zeit in Sekunden, in der die Messergebnisse CloudWatch empfangen werden. Dies erfolgt entweder alle 30 oder 60 Sekunden. Der Aggregationszeitraum, den Sie für den Monitor wählen, gilt für alle Sonden in diesem Monitor.
+ **Sondenquellen (AWS Ressourcen):** Eine Quelle für eine Probe ist eine VPC und zugehörige Subnetze oder einfach ein VPC-Subnetz in den Regionen, in denen Ihr Netzwerk betrieben wird.
+ **Sonden-Ziele (Kundenressourcen):** Ein Ziel für eine Sonde ist eine Kombination aus On-Premises-IP-Adressen, Netzwerkprotokollen, Ports und Netzwerkpaketgröße.
+ **Sondenprotokoll:** Eines der unterstützten Protokolle – ICMP oder TCP. Weitere Informationen finden Sie unter [Unterstützte Kommunikationsprotokolle](#nw-monitor-protocol).
+ **Port (für TCP):** Der Port, den Ihr Netzwerk für die Verbindung verwendet.
+ **Paketgröße (für TCP):** Die Größe jedes Pakets in Byte, das auf einer einzigen Sonde zwischen Ihrer AWS gehosteten Ressource und Ihrem Ziel übertragen wird. Sie können für jede Sonde in einem Monitor eine andere Paketgröße angeben.
Ein Monitor veröffentlicht die folgenden Metriken:
+ **Round-Trip-Zeit:** Diese in Mikrosekunden gemessene Metrik ist ein Maß für die Leistung. Sie zeichnet auf, wie lang es dauert, die Sonde an die Ziel-IP-Adresse zu übertragen und die zugehörige Antwort zu empfangen. Die Round-Trip-Zeit ist die durchschnittliche Zeit, die während des Aggregationsintervalls beobachtet wurde.
+ **Paketverlust:** Mit dieser Metrik wird der Prozentsatz der insgesamt gesendeten Pakete gemessen und die Anzahl der Übertragungen aufgezeichnet, für die keine Antwort empfangen wurde. Keine Antwort bedeutet, dass die Pakete entlang des Netzwerkpfads verloren gegangen sind.
## Unterstützte Kommunikationsprotokolle
Network Synthetic Monitor unterstützt zwei Protokolle für Sonden: ICMP und TCP.
ICMP-basierte Sonden leiten ICMP-Echoanfragen von Ihren AWS gehosteten Ressourcen an die Zieladresse weiter und erwarten als Antwort eine ICMP-Echoantwort. Network Synthetic Monitor verwendet die Informationen der ICMP-Echoanforderung und der ICMP-Echoantwortnachrichten, um die Round-Trip-Zeit- und Paketverlust-Metriken zu berechnen.
TCP-basierte Sonden übertragen TCP-SYN-Pakete von Ihren AWS gehosteten Ressourcen zur Zieladresse und zum Zielport und erwarten als Antwort ein TCP-SYN\$1ACK-Paket. Network Synthetic Monitor verwendet die Informationen der TCP-SYN- und TCP-SYN\$1ACK-Nachrichten, um die Metriken für Round-Trip-Zeit und Paketverlust zu berechnen. Network Synthetic Monitor wechselt in regelmäßigen Abständen die TCP-Quell-Ports, um die Netzwerkabdeckung zu erhöhen, was wiederum die Wahrscheinlichkeit erhöht, dass Paketverluste erkannt werden.
## Anzeige des Netzwerkzustands für AWS
Network Synthetic Monitor veröffentlicht eine Metrik zur Netzwerkintegritätsanzeige (Network Health Indicator, NHI), die Informationen zu AWS Netzwerkproblemen bei Pfaden liefert, die auch Ziele enthalten, über Direct Connect die eine Verbindung hergestellt wurde.
Der NHI-Binärwert basiert auf einer statistischen Messung des Zustands des AWS-gesteuerten Netzwerkpfads von der AWS gehosteten Ressource, auf der der Monitor bereitgestellt wird, zum Direct Connect-Standort. Network Synthetic Monitor verwendet die Erkennung von Anomalien, um Verfügbarkeitseinbrüche oder Leistungseinbußen entlang der Netzwerkpfade zu berechnen.
NHI ist nicht korrekt für Direct Connect Anhänge, die zwischengeschaltetes Routing mit Cloud WAN verwenden. Wenn Sie über ein Hybridnetzwerk verfügen, das Cloud-WAN umfasst, verwenden Sie den NHI-Wert nicht als Hinweis auf ein Leistungsproblem.
**Anmerkung**
Jedes Mal, wenn Sie einen neuen Monitor erstellen, eine Sonde hinzufügen oder eine Sonde reaktivieren, wird der NHI für den Monitor um einige Stunden verzögert, während gleichzeitig Daten zur Erkennung von AWS Anomalien erfasst werden.
Um den NHI-Wert bereitzustellen, wendet Network Synthetic Monitor eine statistische Korrelation zwischen AWS -Beispieldatensätzen sowie auf die Metriken für Paketverlust und Round-Trip-Latenz für den Datenverkehr an, der Ihren Netzwerkpfad simuliert. Der NHI kann einen von zwei Werten haben: 1 oder 0. Ein Wert von 1 gibt an, dass Network Synthetic Monitor eine Netzwerkverschlechterung innerhalb des AWS kontrollierten Netzwerkpfads beobachtet hat. Ein Wert von 0 gibt an, dass Network Synthetic Monitor keine Netzwerkbeeinträchtigung für das AWS -Netzwerk innerhalb des Pfads beobachtet hat. Durch die Verwendung des NHI-Werts können Sie die Ursache von Netzwerkproblemen schneller ermitteln. Sie können beispielsweise Warnmeldungen für die NHI-Metrik einrichten, sodass Sie über aktuelle Netzwerkprobleme entlang Ihrer AWS Netzwerkpfade informiert werden.
## Support für IPv4 und IPv6 Adressen
Network Synthetic Monitor bietet Verfügbarkeits- und Leistungsmetriken über IPv4 unsere IPv6 Netzwerke und kann entweder IPv6 Adressen IPv4 oder Adressen aus Dual-Stack VPCs überwachen. Network Synthetic Monitor erlaubt nicht, dass IPv4 sowohl IPv6 Ziele als auch Ziele auf demselben Monitor konfiguriert werden. Sie können separate Monitore für Ziele erstellen, die nur für die Option und für die Option IPv4 „Nur“ bestimmt sind IPv6.
# Wird AWS-Regionen für Network Synthetic Monitor unterstützt
Die Länder AWS-Regionen , in denen Network Synthetic Monitor unterstützt wird, sind in diesem Abschnitt aufgeführt. Weitere Informationen zu Regionen, in denen Network Synthetic Monitor unterstützt wird, einschließlich Opt-in-Regionen, finden Sie unter [Endpunkte und Kontingente von Network Synthetic Monitor](https://docs.aws.amazon.com/general/latest/gr/cwnm_region.html) in der *Allgemeinen Referenz für Amazon Web Services*.
| Name der Region | Region |
| --- | --- |
| Afrika (Kapstadt) | af-south-1 |
| Asien-Pazifik (Hongkong) | ap-east-1 |
| Asien-Pazifik (Hyderabad) | ap-south-2 |
| Asien-Pazifik (Jakarta) | ap-southeast-3 |
| Asien-Pazifik (Malaysia) | ap-southeast-5 |
| Asien-Pazifik (Melbourne) | ap-southeast-4 |
| Asien-Pazifik (Mumbai) | ap-south-1 |
| Asia Pacific (Osaka) | ap-northeast-3 |
| Asien-Pazifik (Seoul) | ap-northeast-2 |
| Asien-Pazifik (Singapur) | ap-southeast-1 |
| Asien-Pazifik (Sydney) | ap-southeast-2 |
| Asien-Pazifik (Thailand) | ap-southeast-7 |
| Asien-Pazifik (Tokio) | ap-northeast-1 |
| Kanada (Zentral) | ca-central-1 |
| Kanada West (Calgary) | ca-west-1 |
| Europa (Frankfurt) | eu-central-1 |
| Europa (Irland) | eu-west-1 |
| Europa (London) | eu-west-2 |
| Europa (Milan) | eu-south-1 |
| Europa (Paris) | eu-west-3 |
| Europa (Spanien) | eu-south-2 |
| Europa (Stockholm) | eu-north-1 |
| Europa (Zürich) | eu-central-2 |
| Israel (Tel Aviv) | il-central-1 |
| Mexiko (Zentral) | mx-central-1 |
| Naher Osten (Bahrain) | me-south-1 |
| Naher Osten (VAE) | me-central-1 |
| Südamerika (São Paulo) | sa-east-1 |
| USA Ost (Nord-Virginia) | us-east-1 |
| USA Ost (Ohio) | us-east-2 |
| USA West (Nordkalifornien) | us-west-1 |
| USA West (Oregon) | us-west-2 |
# Preise für Network Synthetic Monitor
Für Network Synthetic Monitor fallen keine Vorabkosten oder langfristigen Verpflichtungen an. Die Preise für Network Synthetic Monitor setzen sich aus den zwei folgenden Komponenten zusammen:
+ Eine stündliche Gebühr pro überwachter AWS Ressource
+ CloudWatch Kennzahlen, Gebühren
Wenn Sie in Network Synthetic Monitor einen Monitor erstellen, ordnen Sie ihm AWS Ressourcen (Quellen) zu, die überwacht werden sollen. Für Network Synthetic Monitor sind diese Ressourcen Subnetze in Amazon Virtual Private Cloud (VPC). Für jede Ressource können Sie bis zu vier Sonden erstellen, die jeweils für den Datenverkehr von einem Subnetz in der VPC zu einer Ziel-IP-Adresse bestimmt sind. Zur Kostenkontrolle können Sie die Subnetzabdeckung und die Abdeckung der On-Premises-IP-Adressziele anpassen, indem Sie die Anzahl der überwachten Ressourcen reduzieren.
Weitere Informationen zur Preisgestaltung finden Sie auf der Seite mit den [ CloudWatch Amazon-Preisen](https://aws.amazon.com//cloudwatch/pricing/).
# API-Operationen für Network Synthetic Monitor
In der folgenden Tabelle sind die API-Operationen von Network Synthetic Monitor aufgeführt, die Sie mit Amazon verwenden können CloudWatch. In der Tabelle finden Sie Links zu relevanter Dokumentation.
| Action | API-Referenz | Weitere Informationen |
| --- | --- | --- |
| Einen Monitor zwischen einem Quellsubnetz und einer Ziel-IP-Adresse erstellen | Siehe [CreateMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_CreateMonitor.html) | Siehe [Einen Monitor erstellen](getting-started-nw.md) |
| Eine Sonde innerhalb eines Monitors erstellen | Siehe [CreateProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_CreateProbe.html) | Siehe [Eine Sonde aktivieren oder deaktivieren](nw-monitor-probe-status.md) |
| Einen Monitor entfernen | Siehe [DeleteMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_DeleteMonitor.html) | Siehe [Einen Monitor löschen](nw-monitor-delete.md) |
| Eine spezifische Sonde löschen | Siehe [DeleteProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_DeleteProbe.html) | Siehe [Eine Sonde löschen](nw-monitor-probe-delete.md) |
| Informationen zu einem Monitor abrufen | Siehe [GetMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_GetMonitor.html) | Siehe [Arbeiten mit Monitoren und Sonden in Network Synthetic Monitor](nw-monitor-working-with.md) |
| Informationen zu einer spezifischen Sonde abrufen | Siehe [GetProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_GetProbe.html) | Siehe [Arbeiten mit Monitoren und Sonden in Network Synthetic Monitor](nw-monitor-working-with.md) |
| Eine Liste all Ihrer Monitore abrufen | Siehe [ListMonitors](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_ListMonitors.html) | Siehe [Arbeiten mit Monitoren und Sonden in Network Synthetic Monitor](nw-monitor-working-with.md) |
| Tags auflisten, die einer Ressource zugeordnet sind | Siehe [ListTagsForResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_ListTagsForResource.html) | Siehe [Ressourcen mit Tags versehen oder Tags entfernen](nw-monitor-tags-cli.md) |
| Einem Monitor oder einer Sonde Schlüssel-Wert-Paare oder Tags hinzufügen | Siehe [TagResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_TagResource.html) | Siehe [Ressourcen mit Tags versehen oder Tags entfernen](nw-monitor-tags-cli.md) |
| Ein Schlüssel-Wert-Paar oder Tag von einem Monitor oder einer Sonde entfernen | Siehe [UntagResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UntagResource.html) | Siehe [Ressourcen mit Tags versehen oder Tags entfernen](nw-monitor-tags-cli.md) |
| Einen Aggregationszeitraum für einen Monitor aktualisieren | Siehe [UpdateMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UpdateMonitor) | Siehe [Einen Monitor bearbeiten](nw-monitor-edit.md) |
| Eine Sonde in einem Monitor aktualisieren | Siehe [UpdateProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UpdateProbe) | Siehe [Eine Sonde bearbeiten](nw-monitor-probe-edit.md) |
# Arbeiten mit Monitoren und Sonden in Network Synthetic Monitor
Erstellen Sie in Network Synthetic Monitor zunächst einen Monitor mit Sonden, um die Netzwerkleistung in einem festgelegten Aggregationszeitraum zu messen. Dann können Sie Änderungen an einem Monitor vornehmen, z. B. um den Aggregationszeitraum zu ändern, Sonden zu deaktivieren oder zu aktivieren oder Tags hinzuzufügen oder zu entfernen.
Die folgenden Abschnitte enthalten step-by-step Anweisungen zur Ausführung dieser Aufgaben für Ihre Monitore und Tests mithilfe der Amazon CloudWatch Konsole. Sie können Änderungen an Ihrem Monitor auch über die AWS Command Line Interface vornehmen.
**Topics**
+ [Einen Monitor erstellen](getting-started-nw.md)
+ [Einen Monitor bearbeiten](nw-monitor-edit.md)
+ [Einen Monitor löschen](nw-monitor-delete.md)
+ [Eine Sonde aktivieren oder deaktivieren](nw-monitor-probe-status.md)
+ [Einem Monitor eine Sonde hinzufügen](nw-monitor-add-probe.md)
+ [Eine Sonde bearbeiten](nw-monitor-probe-edit.md)
+ [Eine Sonde löschen](nw-monitor-probe-delete.md)
+ [Ressourcen mit Tags versehen oder Tags entfernen](nw-monitor-tags-cli.md)
# Einen Monitor erstellen
In den folgenden Abschnitten wird beschrieben, wie Sie in Network Synthetic Monitor einen Monitor und die erforderlichen Sonden erstellen. Beim Erstellen eines Monitors geben Sie die Sonden an, indem Sie Quellsubnetze auswählen und dann für jedes Subnetz bis zu vier Ziele hinzufügen. Jedes Quell-Ziel-Paar ist eine Sonde.
Sie können nach der Erstellung Änderungen an einem Monitor vornehmen, z. B. um Sonden hinzuzufügen, zu entfernen oder zu deaktivieren. Weitere Informationen finden Sie unter [Arbeiten mit Monitoren und Sonden in Network Synthetic Monitor](nw-monitor-working-with.md).
Sie können über die Amazon CloudWatch -Konsole oder die AWS Command Line Interface mit Monitoren und Sonden arbeiten. Informationen zur programmgesteuerten Arbeit mit Network Synthetic Monitor finden Sie in der [API-Referenz von Network Synthetic Monitor und unter [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) in der Befehlsreferenz](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html). AWS Command Line Interface
Die folgenden Verfahren enthalten step-by-step Anweisungen zum Erstellen eines Monitors mithilfe der Konsole. Amazon CloudWatch
+ [Definieren von Monitordetails](#NWDefineDetails)
+ [Auswählen von Quellen und Zielen](#NWSourceDestination)
+ [Bestätigen Sie die Tests](#NWConfirmProbes)
+ [Erstellen und Überprüfen des Monitors](#NWReviewCreate)
**Wichtig**
Diese Schritte sind so konzipiert, dass sie alle auf einmal ausgeführt werden können. Sie können Ihre Arbeit nicht zwischenspeichern, um sie später fortzusetzen.
## Definieren von Monitordetails
Der erste Schritt beim Erstellen eines Monitors besteht darin, die Basisdetails zu definieren. Dazu geben Sie dem Monitor einen Namen und legen den Aggregationszeitraum fest. Optional können Sie noch Tags hinzufügen.
**So definieren Sie Monitor-Details**
1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/), und wählen Sie dann unter **Netzwerküberwachung** die Option **Synthetische Monitore** aus.
1. Klicken Sie auf **Create monitor** (Überwachung erstellen).
1. Geben Sie unter **Monitorname** einen Namen ein.
1. Wählen Sie **unter Aggregationszeitraum** aus, wie oft Sie Metriken senden möchten CloudWatch: **30 Sekunden** oder **60 Sekunden.**
**Anmerkung**
Ein kürzerer Aggregationszeitraum ermöglicht eine schnellere Erkennung von Netzwerkproblemen. Beachten Sie, dass sich der gewählte Aggregationszeitraum auf Ihre Abrechnungskosten niederschlagen kann. Weitere Informationen zur Preisgestaltung finden Sie auf der Seite mit den [ CloudWatch Amazon-Preisen](https://aws.amazon.com//cloudwatch/pricing/).
1. (Optional) Fügen Sie für **Tags** Paare aus **Schlüsseln** und **Werten** hinzu, um die Ressource leichter identifizieren zu können. Sie können dann nach bestimmten Informationen suchen oder filtern.
1. Wählen Sie **Neues Tag hinzufügen** aus.
1. Geben Sie einen **Schlüsselnamen** und den zugehörigen **Wert** ein.
1. Wählen Sie **Neuen Tag hinzufügen**, um den neuen Tag hinzuzufügen.
Sie können mehrere Tags hinzufügen, indem Sie **Neues Tag hinzufügen** auswählen, oder Sie klicken auf **Entfernen**, um ein beliebiges Tag zu entfernen.
1. Wenn Sie Ihre Tags den Sonden für den Monitor zuordnen möchten, lassen Sie die Option **Tags zu den vom Monitor erstellten Sonden hinzufügen** aktiviert. Dadurch werden die Tags den Monitor-Sonden hinzugefügt, was für die Tag-basierte Authentifizierung oder Messung hilfreich sein kann.
1. Wählen Sie **Weiter** aus. Auf der nächsten Seite geben Sie Quellen und Ziele an, um Sonden für den Monitor zu erstellen.
## Auswählen von Quellen und Zielen
Für jeden Monitor in Network Synthetic Monitor geben Sie einen oder mehrere Sonden an, bei denen es sich um eine Kombination aus AWS Quelle und Ziel handelt.
+ Eine Quelle für eine Sonde ist eine VPC mit zugehörigen Subnetzen (oder einfach ein VPC-Subnetz) in den Regionen, in denen Ihr Netzwerk betrieben wird.
+ Ein Ziel ist die Kombination aus On-Premises-IP-Adressen, Netzwerkprotokollen, Ports und der Größe der Netzwerkpakete.
**Wichtig**
Diese Schritte sind so konzipiert, dass sie alle auf einmal ausgeführt werden können. Sie können Ihre Arbeit nicht zwischenspeichern, um sie später fortzusetzen.
**Wählen Sie Quellen und Ziele wie folgt aus:**
1. Voraussetzung: [Definieren von Monitordetails](#define-details-nw).
1. Wählen Sie unter **AWS**-**Netzwerkquelle** ein oder mehrere Subnetze aus, die in den Monitor aufgenommen werden sollen. Um alle Subnetze innerhalb einer VPC auszuwählen, wählen Sie die VPC aus. Sie können aber auch bestimmte Subnetze innerhalb einer VPC auswählen. Die ausgewählten Subnetze sind die Monitorquellen.
1. Geben Sie für **Ziel 1** eine Ziel-IP-Adresse des lokalen Netzwerks ein. IPv4 und IPv6 Adressen werden beide unterstützt.
1. Wählen Sie **Erweiterte Einstellungen** aus.
1. Wählen Sie unter **Protokoll** das Netzwerkprotokoll für das On-Premises-Ziel aus. Das Protokoll kann entweder **ICMP** oder **TCP** sein.
1. Wenn Sie **TCP** auswählen, geben Sie die folgenden Informationen ein:
1. Geben Sie den **Port** ein, den Ihr Netzwerk für die Verbindung verwendet. Der Port muss eine Zahl zwischen **1** und **65 535** sein.
1. Geben Sie die **Paketgröße** ein. Dies ist die Größe jedes Pakets in Byte, das auf der Sonde zwischen Quelle und Ziel gesendet wird. Die Paketgröße muss eine Zahl zwischen **56** und **8 500** sein.
1. Wählen Sie **Ziel hinzufügen** aus, um dem Monitor ein weiteres On-Premises-Ziel hinzuzufügen. Wiederholen Sie diese Schritte für jeden Benutzer, den Sie hinzufügen möchten.
1. Wenn Sie mit dem Hinzufügen von Quellen und Zielen fertig sind, klicken Sie auf **Weiter**, um die Sonden für den Monitor zu bestätigen.
## Bestätigen Sie die Sonden
Überprüfen Sie auf der Seite **Sonden bestätigen** alle Sonden, die für den Monitor erstellt werden, um sicherzustellen, dass die richtigen Quellen und Ziele angegeben sind.
Auf der Seite **Sonden bestätigen** werden alle möglichen Kombinationen der Quellen und Ziele für die Sondenspezifikationen angezeigt, die Sie im vorherigen Schritt angegeben haben. Wenn Sie beispielsweise sechs Quellsubnetze und vier Ziel-IP-Adressen haben, gibt es 24 mögliche Sonden-Kombinationen, weshalb 24 Sonden erstellt werden.
**Wichtig**
Diese Schritte sollten in einer Sitzung abgeschlossen werden. Sie können Ihre Arbeit nicht zwischenspeichern, um sie später fortzusetzen.
Auf der Seite **Sonden bestätigen** wird nicht angegeben, ob eine Sonde gültig ist. Wir empfehlen Ihnen, diese Seite sorgfältig zu lesen und dann alle Sonden zu löschen, die nicht relevant sind. Nicht relevante Sonden können Ihnen in Rechnung gestellt werden, wenn Sie sie nicht entfernen.
**So bestätigen Sie Überwachungs-Sonden**
1. Voraussetzung: [Auswählen von Quellen und Zielen](#source-destination-nw).
1. Überprüfen Sie auf der Seite **Sonden bestätigen** die Liste der Quell- und Zielkombinationen.
1. Wählen Sie Sonden aus, die Sie vom Monitor entfernen möchten, und wählen Sie dann **Entfernen** aus.
**Anmerkung**
Sie werden nicht aufgefordert, das Löschen einer Sonde zu bestätigen. Wenn Sie eine gelöschte Sonde wiederherstellen möchten, müssen Sie sie neu einrichten. Sie können einem Monitor eine Sonde hinzufügen, indem Sie die Schritte unter [Einem Monitor eine Sonde hinzufügen](nw-monitor-add-probe.md) ausführen.
1. Wählen Sie **Weiter** aus und überprüfen Sie die Monitordetails.
## Erstellen und Überprüfen des Monitors
Der letzte Schritt besteht darin, die Details des Monitors und der zugehörigen Sonden zu überprüfen und den Monitor dann zu erstellen. An dieser Stelle können Sie jedes Monitordetail ändern.
Wenn Sie alle Informationen überprüft und gegebenenfalls aktualisiert haben, erstellen Sie den Monitor.
Sobald Sie den Monitor erstellt haben, beginnt Network Synthetic Monitor damit, Metriken zu erfassen, und die Sonden für den Monitor werden Ihnen in Rechnung gestellt.
**Wichtig**
Dieser Schritt sollte in einer Sitzung abgeschlossen werden. Sie können Ihre Arbeit nicht zwischenspeichern, um sie später fortzusetzen.
Wenn Sie einen Abschnitt bearbeiten, müssen Sie den Vorgang zum Erstellen eines Monitors ab dem Zeitpunkt ausführen, an dem Sie die Änderungen vornehmen. Auf früheren Seiten zur Monitor-Erstellung werden die zuvor eingegebenen Informationen beibehalten.
**So überprüfen und erstellen Sie einen Monitor**
1. Wählen Sie auf der Seite **Sonden überprüfen und erstellen** für jeden Abschnitt, in dem Sie Änderungen vornehmen möchten, die Option **Bearbeiten**.
1. Nehmen Sie in diesem Abschnitt Änderungen vor und klicken Sie auf **Weiter**.
1. Wenn Sie fertig sind, wählen Sie **Monitor erstellen** aus.
Auf der Network-Synthetic-Monitor-Seite im Bereich **Monitore** wird der aktuelle Status der Monitor-Erstellung angezeigt. Wenn Network Synthetic Monitor den Monitor noch erstellt, lautet der **Status** **Ausstehend**. Wenn der **Status** auf **Aktiv** wechselt, können Sie die CloudWatch Metriken im Monitor-Dashboard einsehen.
Weitere Informationen zum Arbeiten mit dem Monitor-Dashboard finden Sie unter [Dashboards von Network Synthetic Monitor](nw-monitor-dashboards.md).
**Anmerkung**
Es kann ein paar Minuten dauern, bis ein neuer Monitor mit der Erfassung von Netzwerkmetriken beginnt.
# Einen Monitor bearbeiten
Sie können alle Informationen für einen Monitor in Network Synthetic Monitor bearbeiten. Sie können ihn z. B. umbenennen, einen neuen Aggregationszeitraum festlegen oder Tags hinzufügen und entfernen. Durch das Ändern der Informationen eines Monitors werden keine der zugehörigen Sonden geändert.
Sie können über die Amazon CloudWatch -Konsole oder die AWS Command Line Interface mit Monitoren und Sonden arbeiten. Informationen zur programmgesteuerten Arbeit mit Network Synthetic Monitor finden Sie in der [API-Referenz von Network Synthetic Monitor und unter [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) in der AWS Command Line Interface Befehlsreferenz](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html).
**So bearbeiten Sie einen Monitor mithilfe der Konsole**
1. **Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)und wählen Sie dann unter **Netzwerküberwachung** die Option Synthetische Monitore aus.**
1. Wählen Sie im Abschnitt **Monitore** den Monitor aus, den Sie bearbeiten möchten.
1. Wählen Sie auf der Monitor-Dashboard-Seite die Option **Bearbeiten**.
1. Geben Sie als **Monitornamen** den neuen Namen für den Monitor ein.
1. Wählen Sie für den **Aggregationszeitraum** aus, an wie oft Sie Metriken senden möchten. CloudWatch Gültige Zeiträume sind:
+ **30 Sekunden**
+ **60 Sekunden**
**Anmerkung**
Ein kürzerer Aggregationszeitraum ermöglicht eine schnellere Erkennung von Netzwerkproblemen. Beachten Sie, dass sich der gewählte Aggregationszeitraum auf Ihre Abrechnungskosten niederschlagen kann. Weitere Informationen zur Preisgestaltung finden Sie auf der Seite mit den [ CloudWatch Amazon-Preisen](https://aws.amazon.com//cloudwatch/pricing/).
1. (Optional) Fügen Sie im Abschnitt **Tags** **Schlüssel**- und **Wertepaare** hinzu, um diese Ressource besser identifizieren zu können, was Ihnen das Suchen oder Filtern nach bestimmten Informationen ermöglicht. Sie können auch einfach den **Wert** eines beliebigen aktuellen **Schlüssels** ändern.
1. Wählen Sie **Neues Tag hinzufügen** aus.
1. Geben Sie einen **Schlüsselnamen** und den zugehörigen **Wert** ein.
1. Wählen Sie **Neuen Tag hinzufügen**, um den neuen Tag hinzuzufügen.
Sie können mehrere Tags hinzufügen, indem Sie **Neues Tag hinzufügen** auswählen, oder Sie klicken auf **Entfernen**, um ein beliebiges Tag zu entfernen.
1. Wenn Sie Ihre Tags dem Monitor zuordnen möchten, lassen Sie die Option **Tags zu den vom Monitor erstellten Sonden hinzufügen** aktiviert. Dadurch werden die Tags zu den Monitor-Sonden hinzugefügt. Dies kann hilfreich sein, wenn Sie die Tag-basierte Authentifizierung oder Messung verwenden.
1. Wählen Sie **Änderungen speichern ** aus.
# Einen Monitor löschen
Bevor Sie einen Monitor in Network Synthetic Monitor löschen können, müssen Sie alle zugehörigen Sonden deaktivieren oder löschen, unabhängig vom **Status** des Monitors. Nach dem Löschen eines Monitors werden Ihnen für die zugehörigen Sonden keine Gebühren mehr berechnet. Gelöschte Monitore können nicht wiederhergestellt werden.
Sie können über die Amazon CloudWatch -Konsole oder die AWS Command Line Interface mit Monitoren und Sonden arbeiten. Informationen zur programmgesteuerten Arbeit mit Network Synthetic Monitor finden Sie in der [API-Referenz von Network Synthetic Monitor und unter [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) in der AWS Command Line Interface Befehlsreferenz](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html).
**So löschen Sie einen Monitor mithilfe der Konsole**
1. **Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)und wählen Sie dann unter **Netzwerküberwachung** die Option Synthetische Monitore aus.**
1. Wählen Sie im Abschnitt **Monitore** den Monitor aus, den Sie löschen möchten.
1. Wählen Sie **Aktionen** und anschließend **Löschen** aus.
1. Wenn Sie aktive Sonden für den Monitor haben, werden Sie aufgefordert, diese zu deaktivieren. Wählen Sie **Sonden deaktivieren**.
**Anmerkung**
Sie können diese Aktion nicht abbrechen oder rückgängig machen, nachdem Sie **Sonden deaktivieren** ausgewählt haben. Deaktivierte Sonden werden jedoch nicht aus dem Monitor entfernt. Sie können sie später wieder aktivieren. Weitere Informationen finden Sie unter [Eine Sonde aktivieren oder deaktivieren](nw-monitor-probe-status.md).
1. Geben Sie in das Bestätigungsfeld **confirm** ein und wählen Sie dann **Löschen**.
Sie können einen Monitor auch programmgesteuert löschen, beispielsweise mit der AWS Command Line Interface.
**Mit der CLI löschen Sie einen Monitor wie folgt:**
1. Wenn Sie einen Monitor löschen möchten, benötigen Sie seinen Namen. Falls Sie den Namen nicht kennen, können Sie mit dem Befehl [list-monitors](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/list-monitors.html) eine Liste Ihrer Monitore abrufen. Notieren Sie den Namen des Monitors, den Sie löschen möchten.
1. Überprüfen Sie, ob der Monitor aktive Sonden enthält. Verwenden Sie [get-monitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/get-monitor.html) mit dem Monitor-Namen aus dem vorherigen Schritt. Dadurch wird eine Liste aller Sonden zurückgegeben, die diesem Monitor zugeordnet sind.
1. Wenn der Monitor aktive Sonden enthält, müssen Sie sie zuerst auf inaktiv setzen oder löschen.
+ Um eine Sonde auf inaktiv zu setzen, verwenden Sie [update-probe](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/update-probe.html) und setzen Sie den Status auf `INACTIVE`.
+ Verwenden Sie [delete-probe](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/delete-probe.html), um einen Test zu löschen.
1. Nachdem die Sonden auf `INACTIVE` gesetzt oder gelöscht wurden, können Sie den Monitor mit dem Befehl [delete-monitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/create-probe.html) löschen. Inaktive Sonden werden dabei nicht gelöscht.
# Eine Sonde aktivieren oder deaktivieren
Sie können die Sonde eines Monitors in Network Synthetic Monitor aktivieren oder deaktivieren. Möglicherweise möchten Sie eine Sonde deaktivieren, wenn Sie sie derzeit nicht verwenden, aber sie vielleicht in der Zukunft erneut verwenden möchten. Wenn Sie eine Sonde deaktivieren, statt sie zu löschen, müssen Sie später keine Zeit damit verbringen, sie erneut einzurichten. Deaktivierte Sonden werden Ihnen nicht in Rechnung gestellt.
Sie können über die Amazon CloudWatch -Konsole oder die AWS Command Line Interface mit Monitoren und Sonden arbeiten. Informationen zur programmgesteuerten Arbeit mit Network Synthetic Monitor finden Sie in der [API-Referenz für Network Synthetic Monitor und unter [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) in der AWS Command Line Interface Befehlsreferenz](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html).
**Mit der Konsole setzen Sie eine Sonde wie folgt auf aktiv oder inaktiv:**
1. **Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)und wählen Sie dann unter **Netzwerküberwachung** die Option Synthetische Monitore aus.**
1. Wählen Sie die Registerkarte **Monitor-Details**.
1. Wählen Sie im Abschnitt **Sonden** die Sonde aus, die Sie aktivieren oder deaktivieren möchten.
1. Wählen Sie **Aktionen** und dann entweder **Aktivieren** oder **Deaktivieren** aus.
**Anmerkung**
Wenn Sie eine Probe reaktivieren, fallen für diese wieder Abrechnungsgebühren an.
# Einem Monitor eine Sonde hinzufügen
Sie können einem vorhandenen Monitor in Network Synthetic Monitor eine Sonde hinzufügen. Wenn Sie einem Monitor Sonden hinzufügen, werden diese auch in Ihre Abrechnungsstruktur aufgenommen.
Sie können über die Amazon CloudWatch -Konsole oder die AWS Command Line Interface mit Monitoren und Sonden arbeiten. Informationen zur programmgesteuerten Arbeit mit Network Synthetic Monitor finden Sie in der [API-Referenz für Network Synthetic Monitor und unter [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) in der AWS Command Line Interface Befehlsreferenz](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html).
**So fügen Sie einem Monitor mithilfe der Konsole eine Sonde hinzu**
1. **Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)und wählen Sie dann unter **Netzwerküberwachung** die Option Synthetische Monitore aus.**
1. Führen Sie im Abschnitt **Monitore** einen der folgenden Schritte aus:
+ Wählen Sie den Link **Name** des Monitors aus, dem eine Sonde hinzugefügt werden soll. Wählen Sie die Registerkarte **Monitor-Details** und wählen Sie dann im Abschnitt **Sonden** die Option **Sonde hinzufügen**.
+ Aktivieren Sie das Monitor-Kontrollkästchen, wählen Sie **Aktionen** und anschließend **Sonde hinzufügen**.
1. Führen Sie auf der Seite **Sonde hinzufügen** die folgenden Schritte aus:
1. Wählen Sie unter **AWS**-**Netzwerkquelle** ein Subnetz aus, das dem Monitor hinzugefügt werden soll.
**Anmerkung**
Sie können jeweils nur eine Sonde und bis zu vier Sonden pro Monitor hinzufügen.
1. Geben Sie die Ziel-**IP-Adresse** des On-Premises-Netzwerks ein. IPv4 Sowohl IPv6 Adressen als auch werden unterstützt.
1. Wählen Sie **Erweiterte Einstellungen** aus.
1. Wählen Sie das **Netzwerkprotokoll** für das Ziel aus. Dies kann entweder **ICMP** oder **TCP** sein.
1. Wenn das **Protokoll** **TCP** ist, geben Sie die folgenden Informationen ein. Andernfalls überspringen Sie diesen Schritt und gehen Sie direkt zum nächsten:
+ Geben Sie den **Port** ein, den Ihr Netzwerk für die Verbindung verwendet. Der Port muss eine Zahl zwischen **1** und **65 535** sein.
+ Geben Sie die **Paketgröße** ein. Dabei handelt es sich um die Größe jedes Pakets in Byte, das auf der Sonde zwischen Quelle und Ziel gesendet wird. Die Paketgröße muss eine Zahl zwischen **56** und **8 500** sein.
1. (Optional) Fügen Sie im Abschnitt **Tags** **Schlüssel**- und **Wertepaare** hinzu, um diese Ressource besser identifizieren zu können, was Ihnen das Suchen oder Filtern nach bestimmten Informationen ermöglicht.
1. Wählen Sie **Neues Tag hinzufügen** aus.
1. Geben Sie einen **Schlüsselnamen** und den zugehörigen **Wert** ein.
1. Wählen Sie **Neuen Tag hinzufügen**, um den neuen Tag hinzuzufügen.
Sie können mehrere Tags hinzufügen, indem Sie **Neuen Tag hinzufügen** wählen, oder Sie können ein beliebiges Tag entfernen, indem Sie **Entfernen** wählen.
1. Wählen Sie **Sonde hinzufügen**.
Während die Sonde aktiviert wird, wird der **Status** als **Ausstehend** angezeigt. Möglicherweise dauert es ein paar Minuten, bis die Sonde **aktiv** wird.
# Eine Sonde bearbeiten
Sie können alle Informationen einer Sonde ändern, unabhängig davon, ob sie aktiv oder inaktiv ist.
Sie können über die Amazon CloudWatch -Konsole oder die AWS Command Line Interface mit Monitoren und Sonden arbeiten. Informationen zur programmgesteuerten Arbeit mit Network Synthetic Monitor finden Sie in der [API-Referenz von Network Synthetic Monitor und unter [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) in der AWS Command Line Interface Befehlsreferenz](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html).
**Bearbeiten Sie eine Sonde über die Konsole wie folgt:**
1. **Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)und wählen Sie dann unter **Netzwerküberwachung** die Option Synthetische Monitore aus.**
Wählen Sie unter **Name** einen Monitor-Link aus, um das Monitor-Dashboard zu öffnen.
1. Wählen Sie die Registerkarte **Monitor-Details**.
1. Wählen Sie im Abschnitt **Sonden** den Link für die Sonde aus, die Sie bearbeiten möchten.
1. Klicken Sie auf der Seite mit den Sondendetails auf **Bearbeiten**.
1. Geben Sie auf der Seite **„*Probe* bearbeiten**“ die neue **Ziel-IP-Adresse** für den Test ein. IPv4 und IPv6 Adressen werden beide unterstützt.
1. Wählen Sie **Erweiterte Einstellungen** aus.
1. Wählen Sie ein **Netzwerkprotokoll** aus, entweder **ICMP** oder **TCP**.
1. Wenn das **Protokoll** **TCP** ist, geben Sie die folgenden Informationen ein:
+ Geben Sie den **Port** ein, den Ihr Netzwerk für die Verbindung verwendet. Der Port muss eine Zahl zwischen **1** und **65 535** sein.
+ Geben Sie die **Paketgröße** ein. Dabei handelt es sich um die Größe jedes Pakets in Byte, das auf der Sonde zwischen Quelle und Ziel gesendet wird. Die Paketgröße muss eine Zahl zwischen **56** und **8 500** sein.
1. (Optional) Fügen Sie Tags für die Sonde hinzu oder ändern oder entfernen Sie sie.
1. Wählen Sie **Änderungen speichern ** aus.
# Eine Sonde löschen
Sie können eine Sonde löschen, anstatt sie zu deaktivieren, wenn Sie wissen, dass Sie sie später nicht mehr benötigen. Gelöschte Sonden können nicht wiederhergestellt werden – sie müssen sie neu erstellen. Durch das Löschen wird die Abrechnung für die Sonde beendet.
Sie können über die Amazon CloudWatch -Konsole oder die AWS Command Line Interface mit Monitoren und Sonden arbeiten. Informationen zur programmgesteuerten Arbeit mit Network Synthetic Monitor finden Sie in der [API-Referenz von Network Synthetic Monitor und unter [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) in der AWS Command Line Interface Befehlsreferenz](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html).
**So löschen Sie eine Sonde mithilfe der Konsole**
1. **Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)und wählen Sie dann unter **Netzwerküberwachung** die Option Synthetische Monitore aus.**
1. Wählen Sie im Bereich **Monitore** unter **Name** einen Monitor-Link aus, um das Monitor-Dashboard zu öffnen.
1. Wählen Sie die Registerkarte **Monitor-Details**.
1. Wählen Sie das Monitor-Kontrollkästchen, dann **Aktionen** und anschließend **Löschen** aus.
1. Führen Sie im Dialogfeld **Sonde löschen** einen der folgenden Schritte aus:
1. Wählen Sie **Löschen**, um zu bestätigen, dass Sie die Sonde löschen möchten.
Der **Status** der Sonde wird im Abschnitt **Sonden** als **Wird gelöscht** angezeigt. Nach dem Löschen wird die Sonde aus dem Abschnitt **Sonden** entfernt.
# Ressourcen mit Tags versehen oder Tags entfernen
Sie können in Network Synthetic Monitor Ressourcen-Tags hinzufügen oder entfernen.
Sie können Tags aktualisieren, indem Sie Monitore oder Sonden in der Konsole aktualisieren. Sie können auch programmgesteuert mit Tags arbeiten, z. B. mit dem. AWS Command Line Interface
**Aktualisieren Sie Monitor-Tags über die CLI wie folgt:**
+ Um Ressourcen-Tags aufzulisten, verwenden Sie. [list-tags-for-resources](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/list-tags-for-resources.html)
+ Verwenden Sie [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/tag-resource.html), um eine Ressource zu markieren.
+ Verwenden Sie [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/untag-resource.html), um das Tag einer Ressource aufzuheben.
# Dashboards von Network Synthetic Monitor
Mithilfe von Dashboards in Network Synthetic Monitor können Sie mithilfe des Network Health Indicators (NHI) feststellen AWS, ob ein Netzwerkproblem verursacht wurde, und sich die Zeit der Sonde und den Paketverlust anzeigen lassen. Sie können diese Informationen und Metriken sowohl für Monitore als auch für einzelne Sonden anzeigen.
Network Synthetic Monitor erstellt mehrere Messwerte, die Sie unter Metriken einsehen können. CloudWatch Sie können Alarme für die Metriken einrichten, die Network Synthetic Monitor zurückgibt. Weitere Informationen finden Sie unter [Sondenalarme](cw-nwm-create-alarm.md).
**Topics**
+ [Monitor-Dashboards](nw-monitor-db.md)
+ [Sonden-Dashboards](nw-probe-db.md)
+ [Angeben eines Zeitrahmen für Metriken](nw-monitor-time-frame.md)
# Monitor-Dashboards
Sie können das Monitor-Dashboard in Network Synthetic Monitor verwenden, um den Network Health Indicator (NHI) anzuzeigen und die Round-Trip-Zeit und Paketverluste der Sonde auf Monitorebene zu untersuchen. Genau genommen werden diese Informationen in einem Monitor-Dashboard für alle Sonden angezeigt, die für den Monitor erstellt wurden.
Network Synthetic Monitor bietet auch Dashboards für Sonden, um Informationen auf Sondenebene anzuzeigen. Weitere Informationen finden Sie unter [Sonden-Dashboards](nw-probe-db.md).
**So greifen Sie auf ein Monitor-Dashboard zu**
1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)und wählen Sie dann unter **Netzwerküberwachung** die Option **Synthetische Monitore** aus.
1. Wählen Sie im Bereich **Monitore** den Link **Name** aus, um das Monitor-Dashboard zu öffnen.
## Seite „Übersicht“
Die Seite **Übersicht** zeigt die folgenden Informationen für einen Monitor an:
+ **Netzwerkintegrität** — Der Netzwerkstatus zeigt den Wert des Network Health Indicator (NHI) an, der sich nur auf den AWS Zustand des Netzwerks bezieht. Der NHI-Status wird als **Fehlerfrei** oder **Beeinträchtigt** angezeigt. Der Status **Fehlerfrei** bedeutet, dass Network Synthetic Monitor keine Probleme mit dem AWS Netzwerk festgestellt hat. Der Status **Heruntergestuft** bedeutet, dass Network Synthetic Monitor ein Problem mit dem AWS Netzwerk festgestellt hat. Die Statusleiste in diesem Abschnitt zeigt den Status des Network Health Indicator über einen Standardzeitraum von einer Stunde an. Bewegen Sie den Mauszeiger auf einen beliebigen Punkt der Statusleiste, um weitere Details anzuzeigen.
+ **Zusammenfassung des Sondenverkehrs** — Zeigt den aktuellen Status des Datenverkehrs zwischen den AWS Quellsubnetzen an, die für die Sonden im Monitor angegeben wurden, und den Ziel-IP-Adressen der Sonden. In dieser Zusammenfassung sehen Sie Folgendes:
+ **Sonden im Alarmzustand**: Diese Zahl gibt an, wie viele Ihrer Sonden sich in einem beeinträchtigten Zustand befinden. Ein Alarm wird ausgelöst, wenn eine Metrik ausgelöst wird, die Sie als Alarm eingerichtet haben. Informationen zum Erstellen von Alarmen für Metriken in Network Synthetic Monitor finden Sie unter [Sondenalarme](cw-nwm-create-alarm.md).
+ **Paketverlust** – Die Anzahl der Pakete, die vom Quellsubnetz zur Ziel-IP-Adresse verloren gegangen sind. Dies wird als Prozentsatz der insgesamt gesendeten Pakete dargestellt.
+ **Round-Trip-Zeit**: Die Zeit in Millisekunden, die ein Paket aus dem Quellsubnetz benötigt, um die Ziel-IP-Adresse zu erreichen und dann wieder zurückzukommen. Die Round-Trip-Zeit ist der durchschnittliche RTT-Wert, der während des Aggregationszeitraums beobachtet wurde.
Die Daten werden in einem interaktiven Diagramm dargestellt, das sie untersuchen können, um weitere Details zu erfahren.
Standardmäßig werden Daten für einen Zeitraum von zwei Stunden angezeigt, der anhand des aktuellen Datums und der aktuellen Uhrzeit berechnet wird. Sie können den Bereich jedoch entsprechend Ihren Anforderungen ändern. Weitere Informationen finden Sie unter [Angeben eines Zeitrahmen für Metriken](nw-monitor-time-frame.md).
### Verfolgen von Metriken
Das Dashboard **Übersicht** in Network Synthetic Monitor enthält eine grafische Darstellung Ihrer Monitore und Sonden. Die folgenden Graphen werden angezeigt:
+ **Network Health Indicator**: Dies stellt die NHI-Werte über einen bestimmten Zeitraum dar. NHI gibt an, ob ein Netzwerkproblem auf Netzwerkprobleme zurückzuführen ist. AWS **NHI wird als Fehlerfrei **(**kein Problem mit dem AWS Netzwerk) oder Heruntergefahren (es liegt ein Problem mit dem AWS Netzwerk vor) angezeigt.**
**Im folgenden Beispiel können Sie sehen, dass zwischen 15:00 Uhr UTC und 15:05 Uhr UTC ein Netzwerkproblem aufgetreten ist, das auf ein Netzwerkproblem zurückzuführen ist ( AWS Heruntergefahren).** **Nach 15:05 Uhr wurde das Netzwerkproblem mit dem AWS Netzwerk beendet, sodass der Wert wieder auf Healthy zurückgesetzt wurde.** Sie können den Mauszeiger auf einen beliebigen Abschnitt des Diagramms bewegen, um weitere Details zu sehen.
![\[AWS Netzwerkintegritätsindikator, der sowohl einen gesunden als auch einen schlechten Zustand anzeigt.\]](http://docs.aws.amazon.com/de_de/AmazonCloudWatch/latest/monitoring/images/nwm_network_health.png)
**Anmerkung**
Der NHI gibt an, dass ein Problem auf das AWS Netzwerk zurückzuführen ist. Es beschreibt weder den allgemeinen Zustand des Netzwerks noch den Zustand der AWS Network Synthetic Monitor-Sonden.
+ **Paketverlust**: Dieses Diagramm zeigt eine Linie, die den Prozentsatz des Paketverlusts für jede Sonde im Monitor darstellt. In der Legende unten auf der Seite werden alle Sonden auf dem Monitor angezeigt, wobei die einzelnen Sonden farblich gekennzeichnet sind, um ihre Eindeutigkeit zu gewährleisten. Sie können den Mauszeiger auf eine Sonde in diesem Diagramm bewegen, um das Quellsubnetz, die Ziel-IP-Adresse und den Prozentsatz des Paketverlusts anzuzeigen.
Im folgenden Beispiel wurde ein Paketverlust-Alarm für eine Sonde von einem Subnetz zur IP-Adresse 127.0.0.1 erstellt. Der Alarm wurde ausgelöst, als der Schwellenwert für den Paketverlust für die Sonde überschritten wurde. Wenn Sie den Mauszeiger auf das Diagramm bewegen, sehen Sie die Quelle und das Ziel der Sonde. Außerdem sehen Sie, dass bei dieser Sonde am 21. November um 02:41:30 Uhr ein Paketverlust von 30,97 % zu verzeichnen war.
![\[Beim Paketverlust wird eine Beispielsonde mit einem Paketverlust von 30,97 % angezeigt.\]](http://docs.aws.amazon.com/de_de/AmazonCloudWatch/latest/monitoring/images/nwm_packet_loss.png)
+ **Round-Trip-Zeit**: In diesem Diagramm wird eine Linie angezeigt, die die Round-Trip-Zeit für jede Sonde darstellt. In der Legende unten auf der Seite werden alle Sonden auf dem Monitor angezeigt, wobei die einzelnen Sonden farblich gekennzeichnet sind, um ihre Eindeutigkeit zu gewährleisten. Sie können den Mauszeiger auf eine Sonde in diesem Diagramm bewegen, um das Quellsubnetz, die Ziel-IP-Adresse und die Round-Trip-Zeit anzuzeigen.
Das folgende Beispiel zeigt, dass am Dienstag, den 21. November, um 21:45:30 Uhr die Round-Trip-Zeit für eine Sonde von einem Subnetz zur IP-Adresse 127.0.0.1 0,075 Sekunden betrug.
![\[Beispiel, das die Zeit für Hin- und Rückfahrt für eine Sonde zeigt.\]](http://docs.aws.amazon.com/de_de/AmazonCloudWatch/latest/monitoring/images/nwm_rtt.png)
## Monitor-Details
Auf der Seite mit den **Monitor-Details** sehen Sie Informationen zu Ihrem Monitor, einschließlich einer Liste der zugehörigen Sonden. Sie können Tags aktualisieren oder hinzufügen oder eine Sonde hinzufügen. Die Seite enthält die folgenden Bereiche:
+ **Monitor-Details** – Diese Seite enthält Details zu Ihrem Monitor. Die Informationen in diesem Abschnitt können nicht bearbeitet werden. Sie können aber Details zur serviceverknüpften Network-Synthetic-Monitor-Rolle anzeigen: wählen Sie den **Rollennamen** aus, um Details zu sehen.
+ **Sonden** – In diesem Abschnitt wird eine Liste aller dem Monitor zugeordneten Sonden angezeigt. Wählen Sie einen **VPC**- oder **Subnetz-ID**-Link, um die VPC- oder Subnetz-Details in der Amazon-VPC-Konsole zu öffnen. Sie können eine Sonde ändern, um sie zu aktivieren oder zu deaktivieren. Weitere Informationen finden Sie unter [Arbeiten mit Monitoren und Sonden in Network Synthetic Monitor](nw-monitor-working-with.md).
**Im Abschnitt **Sonden** werden Informationen zu jeder Sonde angezeigt, die für diesen Monitor eingerichtet wurde, einschließlich der **ID**, der **VPC-ID**, der **Subnetz-ID**, der **IP-Adresse**, des **Protokolls** und ob die Sonde **aktiv** oder inaktiv** ist.
Wenn Sie einen Alarm für eine Sonde erstellt haben, wird der aktuelle **Status** des Alarms angezeigt. Der Status **OK** gibt an, dass keine Metrikereignisse Alarme ausgelöst haben. Der Status **In Alarm** gibt an, dass eine Metrik, die Sie in erstellt haben, einen Alarm CloudWatch ausgelöst hat. Wenn für eine Sonde kein Status angezeigt wird, liegt auch kein CloudWatch Alarm vor. Informationen zu den Alarmtypen von Network-Synthetic-Monitor-Sonden, die Sie erstellen können, finden Sie unter [Sondenalarme](cw-nwm-create-alarm.md).
+ **Tags** – Zeigt die aktuellen Tags für einen Monitor an. Sie können Tags hinzufügen oder entfernen, indem Sie **Tags verwalten** wählen. Dadurch wird die Seite **Sonde bearbeiten** geöffnet. Weitere Informationen zum Bearbeiten von Tags finden Sie unter [Einen Monitor bearbeiten](nw-monitor-edit.md).
# Sonden-Dashboards
Über ein **Sonden-Dashboard** in Network Synthetic Monitor können Sie den Network Health Indicator (NHI) für eine Sonde sowie Informationen zu Round-Trip-Zeit und Paketverlusten für spezifische Sonden einsehen. Es gibt zwei Dashboards für Sonden: die Seite **Übersicht** und die Seite **Sonden-Details**.
Sie können CloudWatch Alarme erstellen, um Metrik-Schwellenwerte für Paketverlust und Round-Trip-Zeit festzulegen. Wenn ein Schwellenwert für eine Metrik erreicht wird, werden Sie durch einen CloudWatch Alarm benachrichtigt. Weitere Informationen zum Erstellen von Sonden-Alarmen finden Sie unter [Sondenalarme](cw-nwm-create-alarm.md).
**So greifen Sie auf ein Sonden-Dashboard zu**
1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)und wählen Sie dann unter **Netzwerküberwachung** die Option **Synthetische Monitore** aus.
1. Wählen Sie im Bereich **Monitore** den Link **Name** aus, um das Dashboard für einen bestimmten Monitor zu öffnen.
1. Das Dashboard für eine bestimmte Sonde können Sie öffnen, indem Sie den entsprechenden **ID**-Link auswählen.
## Seite „Übersicht“
Die Seite **Übersicht** zeigt die folgenden Informationen für eine Sonde an:
+ **Netzwerkintegrität** — Der Netzwerkstatus zeigt den Wert des Network Health Indicator (NHI) an, der sich nur auf den Zustand des AWS Netzwerks bezieht. Der NHI-Status wird als **Fehlerfrei** oder **Beeinträchtigt** angegeben. Der Status **Fehlerfrei** gibt an, dass Network Synthetic Monitor keine Probleme mit dem AWS Netzwerk festgestellt hat, um eine Untersuchung durchzuführen. Der Status **Heruntergestuft** weist darauf hin, dass Network Synthetic Monitor ein Problem mit dem AWS Netzwerk festgestellt hat. Die Statusleiste in diesem Abschnitt zeigt den Status des Network Health Indicator über einen Standardzeitraum von einer Stunde an. Bewegen Sie den Mauszeiger auf einen beliebigen Punkt der Statusleiste, um weitere Details anzuzeigen.
+ **Paketverlust** – Die Anzahl der Pakete, die für diese Sonde vom Quellsubnetz zur Ziel-IP-Adresse verloren gegangen sind.
+ **Round-Trip-Zeit**: Die Zeit in Millisekunden, die ein Paket aus dem Quellsubnetz benötigt, um die Ziel-IP-Adresse zu erreichen und dann wieder zurückzukommen. Die Round-Trip-Zeit ist der durchschnittliche RTT-Wert, der während des Aggregationszeitraums beobachtet wurde.
## Sonden-Details
Auf der Seite mit den **Sondendetails** werden Informationen zu einer Sonde angezeigt, einschließlich Quelle und Ziel. Sie können die Sonde auch bearbeiten, zum Beispiel um sie zu aktivieren oder zu deaktivieren. Weitere Informationen finden Sie unter [Arbeiten mit Monitoren und Sonden in Network Synthetic Monitor](nw-monitor-working-with.md).
+ **Sondendetails**: Dieser Abschnitt enthält allgemeine Informationen zur Sonde, die nicht bearbeitet werden können.
+ **Quelle und Ziel der Sonde** – In diesem Abschnitt werden Details zur Sonde angezeigt. Wählen Sie einen **VPC**- oder **Subnetz-ID**-Link, um die VPC- oder Subnetz-Details in der Amazon-VPC-Konsole zu öffnen. Sie können eine Sonde ändern, zum Beispiel um sie zu aktivieren oder zu deaktivieren.
+ **Tags** – Zeigt die aktuellen Tags für einen Monitor an. Sie können Tags hinzufügen oder entfernen, indem Sie **Tags verwalten** wählen. Dadurch wird die Seite **Sonde bearbeiten** geöffnet. Weitere Informationen zum Bearbeiten von Tags finden Sie unter [Eine Sonde bearbeiten](nw-monitor-probe-edit.md).
# Angeben eines Zeitrahmen für Metriken
Für Metriken und Ereignisse in den Dashboards in Network Synthetic Monitor wird eine Standardzeit von zwei Stunden verwendet, die anhand der aktuellen Uhrzeit berechnet wird. Sie können aber auch einen Standardzeitrahmen für benutzerdefinierte Metriken festlegen. Sie können die Standardeinstellung für den Zeitraumen für Metriken in eine der folgenden Voreinstellungen ändern:
+ **1h** – eine Stunde
+ **2h** – zwei Stunden
+ **1d** – ein Tag
+ **1w** – eine Woche
Sie können auch einen benutzerdefinierten Zeitrahmen festlegen. Wählen Sie **Benutzerdefiniert**, wählen Sie eine **Absolute** oder **Relative** Zeit und legen Sie dann den Zeitrahmen auf eine Zeit Ihrer Wahl fest. Relative Zeit unterstützt gemäß den CloudWatch Richtlinien nur einen Zeitraum von 15 Tagen ab dem heutigen Datum.
Darüber hinaus können Sie die in den Diagrammen angezeigte Uhrzeit entweder auf der Grundlage der UTC-Zeitzone oder einer lokalen Zeitzone auswählen.
Weitere Informationen finden Sie unter [Ändern des Zeitbereichs oder des Zeitzonenformats eines CloudWatch Dashboards](change_dashboard_time_format.md).
# Sondenalarme
Sie können CloudWatch Amazon-Alarme auf der Grundlage von Network Synthetic Monitor-Metriken erstellen, genau wie Sie es für andere CloudWatch Amazon-Metriken tun können. Jeder erstellte Alarm wird in der **Statusspalte** der Sonde im Abschnitt **Monitor-Details** des Dashboards von Network Synthetic Monitor angezeigt, wenn der Alarm ausgelöst wird. Der Status lautet entweder **OK** oder **Alarm**. Wenn für eine Sonde kein Status angezeigt wird, wurde für diese Sonde kein Alarm erstellt.
Sie können z. B. einen Alarm auf der Grundlage der Network-Synthetic-Monitor-Metrik `PacketLoss` erstellen und ihn so konfigurieren, dass eine Benachrichtigung gesendet wird, wenn die Metrik über einem von Ihnen gewählten Wert liegt. Sie konfigurieren Alarme für Network Synthetic Monitor-Metriken nach denselben Richtlinien wie für andere CloudWatch Metriken.
Die folgenden Metriken sind unter `AWS/NetworkMonitor` Beim Erstellen eines CloudWatch Alarms für Network Synthetic Monitor verfügbar.
+ **HealthIndicator**
+ **PacketLoss**
+ **RTT (Zeit für Rundumlauf)**
Die Schritte zum Erstellen eines Network Synthetic Monitor-Alarms in CloudWatch finden Sie unter[Erstellen Sie einen CloudWatch Alarm auf der Grundlage eines statischen Schwellenwerts](ConsoleAlarms.md).
# Datensicherheit und Datenschutz in Network Synthetic Monitor
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von Rechenzentren und Netzwerkarchitekturen, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame AWS Verantwortung von Ihnen und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, auf der AWS Dienste in der ausgeführt AWS Cloud werden. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für Network Synthetic Monitor gelten, finden Sie unter [AWS Services im Umfang nach Compliance-Programm AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
In dieser Dokumentation wird erläutert, wie das Modell der geteilten Verantwortung bei der Verwendung von Network Synthetic Monitor zum Tragen kommt. Die folgenden Themen zeigen Ihnen, wie Sie Network Synthetic Monitor zur Erfüllung Ihrer Sicherheits- und Compliance-Ziele konfigurieren können. Sie lernen auch, wie Sie andere AWS Dienste nutzen können, die Ihnen bei der Überwachung und Sicherung Ihrer Network Synthetic Monitor-Ressourcen helfen.
**Topics**
+ [Datenschutz in Network Synthetic Monitor](data-protection-nw.md)
+ [Infrastruktur-Sicherheit in Network Synthetic Monitor](infrastructure-security-nw.md)
# Datenschutz in Network Synthetic Monitor
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) und geteilter Verantwortung gilt für den Datenschutz in Network Synthetic Monitor. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der AWS Cloud alle Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Network Synthetic Monitor oder anderen Geräten AWS-Services über die Konsole, API oder arbeiten. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
# Infrastruktur-Sicherheit in Network Synthetic Monitor
Als verwalteter Service ist Network Synthetic Monitor durch die AWS globalen Netzwerksicherheitsverfahren geschützt, die im Whitepaper [Amazon Web Services: Security Processes im Überblick](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) beschrieben sind.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Network Synthetic Monitor zuzugreifen. Kunden müssen Transport Layer Security (TLS) 1.0 oder neuer unterstützen. Wir empfehlen TLS 1.2 oder neuer. Clients müssen außerdem Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) unterstützen. Die meisten modernen Systemen wie Java 7 und höher unterstützen diese Modi.
Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.
# Identity and Access Management für Network Synthetic Monitor
AWS Identity and Access Management (IAM) ist ein AWS Dienst, der einem Administrator hilft, den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren steuern, wer für die Nutzung von Network-Synthetic-Monitor-Ressourcen authentifiziert (angemeldet) und autorisiert (mit Berechtigungen ausgestattet) werden kann. IAM ist ein AWS Dienst, den Sie ohne zusätzliche Kosten nutzen können. Sie können IAM-Funktionen verwenden, um anderen Benutzern, Services und Anwendungen die uneingeschränkte oder eingeschränkte Nutzung Ihrer AWS -Ressourcen zu erlauben, ohne Ihre Sicherheitsanmeldeinformationen zu teilen.
IAM-Benutzer sind standardmäßig nicht berechtigt, AWS -Ressourcen zu erstellen, anzuzeigen oder zu ändern. Damit ein IAM-Benutzer auf Ressourcen wie ein globales Netzwerk zugreifen und Aufgaben ausführen kann, müssen Sie Folgendes tun:
+ Eine IAM-Richtlinie erstellen, die dem Benutzer die Berechtigung zur Nutzung der spezifischen Ressourcen und API-Aktionen erteilt, die er benötigt
+ Die Richtlinie dem IAM-Benutzer oder der Gruppe zuweisen, zu der der IAM-Benutzer gehört
Wenn Sie einem Benutzer oder einer Benutzergruppe eine Richtlinie zuweisen, wird den Benutzern die Ausführung der angegebenen Aufgaben für die angegebenen Ressourcen gestattet oder verweigert.
## Bedingungsschlüssel
Das `Condition`-Element (auch Bedingungs-Block genannt) ermöglicht Ihnen die Angabe der Bedingungen, unter denen eine Anweisung wirksam ist. Das Bedingungselement ist optional. Sie können bedingte Ausdrücke erstellen, die Bedingungs-Operatoren verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) im *Benutzerhandbuch für AWS Identity and Access Management*.
Wenn Sie mehrere `Condition`-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen `Condition`-Element angeben, wertet AWS diese mittels einer logischen `AND`-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen `OR` Operation aus. Alle Bedingungen müssen erfüllt sein, bevor die Berechtigungen für die Anweisung erteilt werden.
Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Beispielsweise können Sie einem IAM-Benutzer die Berechtigung für den Zugriff auf eine Ressource nur dann gewähren, wenn sie mit dessen IAM-Benutzernamen gekennzeichnet ist.
Sie können Tags an Network-Synthetic-Monitor-Ressourcen anfügen oder Tags in einer Anforderung an Cloud-WAN übergeben. Um den Zugriff auf Basis von Tags zu steuern, geben Sie Tag-Informationen im Bedingungselement einer Richtlinie mithilfe der Bedingungsschlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` oder `aws:TagKeys` an. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *Benutzerhandbuch für AWS Identity and Access Management*.
Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *AWS Identity and Access Management-Benutzerhandbuch*.
## Kern-Netzwerkressourcen markieren
Ein Tag ist eine Metadaten-Bezeichnung, die Sie oder einer AWS Ressource AWS zuweisen. Jedes Tag besteht aus einem Schlüssel und einem Wert. Für Tags, die Sie zuweisen, definieren Sie einen Schlüssel und einen Wert. So können Sie beispielsweise den Schlüssel als `purpose` und den Wert für eine Ressource als `test` definieren. Tags sind für folgende Aktivitäten nützlich:
+ Identifizieren und organisieren Sie Ihre AWS Ressourcen. Viele AWS Dienste unterstützen Tagging, sodass Sie Ressourcen aus verschiedenen Diensten dasselbe Tag zuweisen können, um anzuzeigen, dass die Ressourcen miteinander verknüpft sind.
+ Kontrollieren Sie den Zugriff auf Ihre AWS Ressourcen. Weitere Informationen finden Sie unter [Steuern des Zugriffs auf AWS Ressourcen mithilfe von Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) im *AWS Identify and Access Management-Benutzerhandbuch*.
# Funktionsweise von Network Synthetic Monitor mit IAM
Bevor Sie IAM zum Verwalten des Zugriffs auf Network Synthetic Monitor verwenden, erfahren Sie hier, welche IAM-Features Sie mit Network Synthetic Monitor verwenden können.
**IAM-Features, die Sie mit Network Synthetic Monitor verwenden können**
| IAM-Feature | Unterstützung für Network Synthetic Monitor |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies-nw) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies-nw) | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions-nw) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources-nw) | Ja |
| [Bedingungsschlüssel für die Richtlinie](#security_iam_service-with-iam-id-based-policies-conditionkeys-nw) | Ja |
| [ACLs](#security_iam_service-with-iam-acls-nw) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags-nw) | Teilweise |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds-nw) | Ja |
| [Prinzipalberechtigungen](#security_iam_service-with-iam-principal-permissions-nw) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service-nw) | Nein |
| [Serviceverknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked-nw) | Ja |
Einen allgemeinen Überblick darüber, wie Network Synthetic Monitor und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Identitätsbasierte Richtlinien für Network Synthetic Monitor
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für Network Synthetic Monitor
Beispiele für identitätsbasierte Richtlinien für Network Synthetic Monitor finden Sie unter [Beispiele für identitätsbasierte Richtlinien für Amazon CloudWatch](security_iam_id-based-policy-examples.md).
## Ressourcenbasierte Richtlinien in Network Synthetic Monitor
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Richtlinienaktionen für Network Synthetic Monitor
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der Aktionen für Network Synthetic Monitor finden Sie unter [Von Network Synthetic Monitor definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions) in der *Referenz zur Serviceautorisierung*.
Richtlinienaktionen in Network Synthetic Monitor verwenden das folgende Präfix vor der Aktion:
```
networkmonitor
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"networkmonitor:action1",
"networkmonitor:action2"
]
```
Beispiele für identitätsbasierte Richtlinien für Network Synthetic Monitor finden Sie unter [Beispiele für identitätsbasierte Richtlinien für Amazon CloudWatch](security_iam_id-based-policy-examples.md).
## Richtlinienressourcen für Network Synthetic Monitor
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der Network Synthetic Monitor-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von Network Synthetic Monitor definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter [Von Network Synthetic Monitor definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions).
## Richtlinien-Bedingungsschlüssel für Network Synthetic Monitor
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste von Bedingungsschlüsseln für Network Synthetic Monitor finden Sie unter [Bedingungsschlüssel für Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-policy-keys) in der *Referenz zur Serviceautorisierung*. Informationen dazu, mit welchen Aktionen und Ressourcen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Network Synthetic Monitor definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions).
## ACLs im Network Synthetic Monitor
**Unterstützt ACLs:** Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## ABAC mit Network Synthetic Monitor
**Unterstützt ABAC (Tags in Richtlinien):** Teilweise
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
## Verwenden von temporären Anmeldeinformationen mit Network Synthetic Monitor
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen den kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Serviceübergreifende Prinzipalberechtigungen für Network Synthetic Monitor
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anfrage, Anfragen AWS-Service an nachgeschaltete Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für Network Synthetic Monitor
**Unterstützt Servicerollen:** Nein
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Das Ändern der Berechtigungen für eine Servicerolle kann die Funktionalität von Network Synthetic Monitor beeinträchtigen. Bearbeiten Sie Servicerollen nur, wenn Network Synthetic Monitor Sie entsprechend anweist.
## Verwenden einer dienstverknüpften Rolle für Network Synthetic Monitor
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam-nw.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.
# Beispiele für identitätsbasierte Richtlinien für Network Synthetic Monitor
Benutzer und Rollen haben standardmäßig nicht die Berechtigung, Ressourcen von Network Synthetic Monitor zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von Network Synthetic Monitor definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html) in der *Referenz zur Serviceautorisierung.*
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices-nw)
+ [Verwenden der Konsole von Network Synthetic Monitor](#security_iam_id-based-policy-examples-console-nw)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions-nw)
+ [Fehlerbehebung bei Identität und Zugriff für Network Synthetic Monitor](security_iam_troubleshoot-nw.md)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien können festlegen, ob jemand Ressourcen von Network Synthetic Monitor in Ihrem Konto erstellen, darauf zugreifen oder löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Konsole von Network Synthetic Monitor
Um auf die Konsole von Network Synthetic Monitor zugreifen zu können, müssen Sie über einen Mindestsatz von Berechtigungen verfügen. Diese Berechtigungen müssen Ihnen das Auflisten und Anzeigen von Details zu den Ressourcen von Network Synthetic Monitor in Ihrem AWS-Konto gestatten. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API oder die API aufrufen, keine Mindestberechtigungen für die AWS CLI Konsole gewähren. AWS Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass Benutzer und Rollen die Network Synthetic Monitor-Konsole weiterhin verwenden können, fügen Sie den Entitäten auch den Network Synthetic Monitor `ConsoleAccess` oder die `ReadOnly` AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console-nw) im *IAM-Benutzerhandbuch*.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der AWS CLI AWS OR-API.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Fehlerbehebung bei Identität und Zugriff für Network Synthetic Monitor
Verwenden Sie die folgenden Informationen, um häufige Probleme zu diagnostizieren und zu beheben, die beim Arbeiten mit Network Synthetic Monitor und IAM auftreten können.
**Topics**
+ [Ich bin nicht autorisiert, eine Aktion in Network Synthetic Monitor auszuführen](#security_iam_troubleshoot-no-permissions-nw)
+ [Ich bin nicht berechtigt, iam durchzuführen: PassRole](#security_iam_troubleshoot-passrole-nw)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Network Synthetic Monitor-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access-nw)
## Ich bin nicht autorisiert, eine Aktion in Network Synthetic Monitor auszuführen
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `networkmonitor:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: networkmonitor:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `networkmonitor:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin nicht berechtigt, iam durchzuführen: PassRole
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zum Durchführen der `iam:PassRole`-Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um Ihnen die Übergabe einer Rolle an Network Synthetic Monitor zu erlauben.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Network Synthetic Monitor auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Network Synthetic Monitor-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen dazu, ob Network Synthetic Monitor diese Features unterstützt, finden Sie unter [So CloudWatch arbeitet Amazon mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen in AWS-Konten Ihrem Besitz gewähren können, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , dem Sie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) gehören.*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# AWS verwaltete Richtlinien für Network Synthetic Monitor
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um [von Kunden verwaltete IAM-Richtlinien zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html), die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Services fügen einer von AWS verwalteten Richtlinien gelegentlich zusätzliche Berechtigungen hinzu, um neue Features zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die `ReadOnlyAccess` AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in [Verwaltete AWS -Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Leitfaden*.
## AWS verwaltete Richtlinie: CloudWatchNetworkMonitorServiceRolePolicy
Die `CloudWatchNetworkMonitorServiceRolePolicy` ist einer dienstbezogenen Rolle zugeordnet, die es dem Dienst ermöglicht, Aktionen in Ihrem Namen durchzuführen und auf Ressourcen zuzugreifen, die mit CloudWatch Network Synthetic Monitor verknüpft sind. Sie können diese Richtlinie nicht an Ihre IAM-Identitäten anfügen. Weitere Informationen finden Sie unter [Verwenden Sie eine dienstverknüpfte Rolle für Network Synthetic Monitor](monitoring-using-service-linked-roles-nw.md).
## Network Synthetic Monitor aktualisiert AWS verwaltete Richtlinien
Einzelheiten zu den Aktualisierungen der AWS verwalteten Richtlinien für Network Synthetic Monitor seit Beginn der Nachverfolgung dieser Änderungen finden Sie unter [CloudWatch Updates für AWS verwaltete Richtlinien](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates). Abonnieren Sie den RSS-Feed auf der Seite CloudWatch [Dokumentenverlauf CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html), um automatische Benachrichtigungen über verwaltete Richtlinienänderungen in zu erhalten.
# IAM-Berechtigungen für Network Synthetic Monitor
Um Network Synthetic Monitor verwenden zu können, müssen Benutzer über die richtigen Berechtigungen verfügen.
Weitere Informationen zur Sicherheit bei Amazon CloudWatch finden Sie unter[Identitäts- und Zugriffsmanagement für Amazon CloudWatch](auth-and-access-control-cw.md).
## Für die Anzeige eines Monitors sind Berechtigungen erforderlich
Um einen Monitor für Network Synthetic Monitor in der anzeigen zu können AWS-Managementkonsole, müssen Sie als Benutzer oder mit einer Rolle angemeldet sein, die über die folgenden Berechtigungen verfügt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"networkmonitor:Get*",
"networkmonitor:List*"
],
"Resource": "*"
}
]
}
```
------
## Erforderliche Berechtigungen für die Erstellung eines Monitors
Um einen Monitor in Network Synthetic Monitor zu erstellen, müssen Benutzer über die Berechtigung verfügen, eine serviceverknüpfte Rolle zu erstellen, die Network Synthetic Monitor zugeordnet ist. Weitere Informationen zur serviceverknüpften Rolle finden Sie unter [Verwenden Sie eine dienstverknüpfte Rolle für Network Synthetic Monitor](monitoring-using-service-linked-roles-nw.md).
Um einen Monitor für Network Synthetic Monitor in der zu erstellen AWS-Managementkonsole, müssen Sie als Benutzer oder mit einer Rolle angemeldet sein, der über die in der folgenden Richtlinie enthaltenen Berechtigungen verfügt.
**Anmerkung**
Wenn Sie eine identitätsbasierte Berechtigungsberechtigungsrichtlinie erstellen, die restriktiver ist, können Benutzer mit dieser Richtlinie keine Überwachung erstellen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"networkmonitor:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/networkmonitor.amazonaws.com/AWSServiceRoleForNetworkMonitor",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "networkmonitor.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:GetRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/networkmonitor.amazonaws.com/AWSServiceRoleForNetworkMonitor"
},
{
"Action": [
"ec2:CreateSecurityGroup",
"ec2:CreateNetworkInterface",
"ec2:CreateTags"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
# Verwenden Sie eine dienstverknüpfte Rolle für Network Synthetic Monitor
Network Synthetic Monitor verwendet die folgende dienstbezogene Rolle für die Berechtigungen, die erforderlich sind, um andere AWS Dienste in Ihrem Namen aufzurufen:
+ [`AWSServiceRoleForNetworkMonitor`](#security-iam-awsmanpol-AWSServiceRoleForNetworkMonitor)
## `AWSServiceRoleForNetworkMonitor`
Network Synthetic Monitor verwendet die serviceverknüpfte Rolle `AWSServiceRoleForNetworkMonitor` für die Aktualisierung und Verwaltung von Monitoren.
Die serviceverknüpfte Rolle `AWSServiceRoleForNetworkMonitor` vertraut darauf, dass der folgende Service die Rolle annimmt:
+ `networkmonitor.amazonaws.com`
`CloudWatchNetworkMonitorServiceRolePolicy` ist der serviceverknüpften Rolle angefügt und gewährt dem Service Zugriff auf VPC- und EC2-Ressourcen in Ihrem Konto sowie auf die Verwaltung der erstellten Monitore.
### Berechtigungsgruppierungen
Die Richtlinie wird in die folgenden Berechtigungsgruppen eingeteilt:
+ `cloudwatch`- Auf diese Weise kann der Dienstprinzipal Netzwerküberwachungsmetriken für CloudWatch Ressourcen veröffentlichen.
+ `ec2`- Auf diese Weise kann der Service Principal die Subnetze in Ihrem Konto beschreiben VPCs und so Monitore und Tests erstellen oder aktualisieren. Dies erlaubt es dem Service-Prinzipal auch, Sicherheitsgruppen, Netzwerkschnittstellen und die zugehörigen Berechtigungen zu erstellen, zu ändern und zu löschen, um den Monitor oder die Sonde so zu konfigurieren, dass Überwachungs-Datenverkehr an Ihre Endpunkte gesendet wird.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [CloudWatchNetworkMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkMonitorServiceRolePolicy.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
## Erstellen der serviceverknüpften Rolle
`AWSServiceRoleForNetworkMonitor`
Sie müssen die Rolle `AWSServiceRoleForNetworkMonitor` nicht manuell erstellen.
+ Network Synthetic Monitor erstellt die Rolle `AWSServiceRoleForNetworkMonitor`, wenn Sie Ihren ersten Monitor mit dieser Funktion erstellen. Diese Rolle gilt dann für alle zusätzlichen Monitore, die Sie erstellen.
Sie müssen über die erforderlichen Berechtigungen verfügen, um eine serviceverknüpfte Rolle in Ihrem Namen zu erstellen. Weitere Informationen finden Sie unter [Berechtigungen für serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Bearbeiten der serviceverknüpften Rolle
Sie können die Beschreibung der `AWSServiceRoleForNetworkMonitor ` mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen der serviceverknüpften Rolle
Wenn Sie Network Synthetic Monitor nicht mehr verwenden müssen, empfehlen wir, die Rolle `AWSServiceRoleForNetworkMonitor` zu löschen.
Sie können diese serviceverknüpfte Rollen erst löschen, nachdem Sie alle Monitore gelöscht haben. Weitere Informationen finden Sie unter [Löschen eines Monitors](https://docs.aws.amazon.com/ ).
Sie können die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden, um serviceverknüpfte Rollen zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
Nach dem Löschen von `AWSServiceRoleForNetworkMonitor ` erstellt Network Synthetic Monitor die Rolle erneut, wenn Sie einen neuen Monitor erstellen.
## Unterstützte Regionen für die serviceverknüpfte Rolle von Network Synthetic Monitor
Network Synthetic Monitor unterstützt die dienstbezogene Rolle überall dort, AWS-Regionen wo der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS -Endpunkte](https://docs.aws.amazon.com//general/latest/gr/rande.html) in der *Allgemeine AWS-Referenz*.
## Löschen der serviceverknüpften Rolle
Wenn Sie Network Synthetic Monitor nicht mehr verwenden müssen, empfehlen wir, die Rolle `AWSServiceRoleForNetworkMonitor` zu löschen.
Sie können diese serviceverknüpfte Rollen erst löschen, nachdem Sie alle Monitore gelöscht haben. Weitere Informationen finden Sie unter [Löschen eines Monitors](https://docs.aws.amazon.com/ ).
Sie können die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden, um serviceverknüpfte Rollen zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
Nach dem Löschen von `AWSServiceRoleForNetworkMonitor ` erstellt Network Synthetic Monitor die Rolle erneut, wenn Sie einen neuen Monitor erstellen.