Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation de la surveillance synthétique du réseau
La surveillance synthétique du réseau offre une visibilité sur les performances du réseau reliant vos applications hébergées sur AWS à vos destinations sur site, et vous permet d’identifier la source de toute dégradation des performances du réseau en quelques minutes. Network Synthetic Monitor est entièrement géré par AWS des agents distincts sur les ressources surveillées et ne nécessite pas d'agents distincts. Utilisez la surveillance synthétique du réseau pour visualiser la perte de paquets et la latence de vos connexions au réseau hybride et définir des alertes et des seuils. Ensuite, sur la base de ces informations, vous pouvez prendre des mesures pour améliorer l’expérience de vos utilisateurs finaux.
Une surveillance synthétique du réseau est destinée aux opérateurs réseau et aux développeurs d’applications qui veulent obtenir des informations en temps réel sur les performances du réseau.
## Principales fonctionnalités de la surveillance synthétique du réseau
+ Utilisez une surveillance synthétique du réseau pour évaluer votre environnement réseau hybride en constante évolution grâce à des métriques continues en temps réel sur la perte de paquets et la latence.
+ Lorsque vous vous connectez en utilisant AWS Direct Connect, Network Synthetic Monitor peut vous aider à diagnostiquer rapidement la dégradation du réseau au sein du AWS réseau à l'aide de l'indicateur de santé du réseau (NHI), que Network Synthetic Monitor écrit sur votre CloudWatch compte Amazon. La métrique NHI est une valeur binaire, basée sur un score probabiliste concernant la dégradation du réseau au sein d’ AWS.
+ Network Synthetic Monitor propose une approche de surveillance basée sur des agents entièrement gérés, de sorte que vous n'avez pas besoin d'installer d'agents sur site VPCs ou sur site. Pour commencer, il vous suffit de spécifier un sous-réseau VPC et une adresse IP sur site. Vous pouvez établir une connexion privée entre votre VPC et les ressources de Network Synthetic Monitor en utilisant. AWS PrivateLink Pour de plus amples informations, veuillez consulter [Utilisation CloudWatch, CloudWatch synthetics et surveillance du réseau avec des points de CloudWatch terminaison VPC d'interface](cloudwatch-and-interface-VPC.md).
+ Network Synthetic Monitor publie des métriques dans CloudWatch Metrics. Vous pouvez créer des tableaux de bord pour afficher vos métriques, mais aussi créer des seuils d’action et des alarmes sur les métriques spécifiques à votre application.
Pour de plus amples informations, veuillez consulter [Fonctionnement de la surveillance synthétique du réseau](nw-monitor-how-it-works.md).
## Terminologie et composants de la surveillance synthétique du réseau
+ **Sondes** — Une sonde est le trafic envoyé depuis une ressource AWS hébergée vers une adresse IP de destination sur site. Les métriques du Network Synthetic Monitor mesurées par la sonde sont enregistrées dans votre CloudWatch compte pour chaque sonde configurée dans un moniteur.
+ **Moniteur** : un moniteur affiche les performances du réseau et d’autres informations de santé pour le trafic pour lequel vous avez créé des *sondes* de surveillance synthétique du réseau. Vous ajoutez des sondes dans le cadre de la création d’un moniteur, puis vous pouvez afficher des informations sur les métriques de performances du réseau à l’aide du moniteur. Lorsque vous créez un moniteur pour une application, vous ajoutez une ressource AWS hébergée en tant que source réseau. Network Synthetic Monitor crée ensuite une liste de toutes les sondes possibles entre la ressource AWS hébergée et vos adresses IP de destination. Vous sélectionnez les destinations pour lesquelles vous voulez surveiller le trafic.
+ **AWS source réseau** — Une source AWS réseau est la source d'origine AWS d'une sonde de surveillance, qui est un sous-réseau de l'un de vos VPCs.
+ **Destination** : une destination est la cible dans votre réseau sur site pour la source de réseau AWS . Une destination est une combinaison de vos adresses IP locales, de vos protocoles réseau, de vos ports et de la taille de vos paquets réseau. IPv4 et les IPv6 adresses sont toutes deux prises en charge.
## Exigences et limitations de la surveillance synthétique du réseau
Vous trouverez ci-dessous un résumé des exigences et des limites de la surveillance synthétique du réseau. Pour les quotas (ou limites) spécifiques, consultez [Surveillance synthétique du réseau](cloudwatch_limits.md#nw-monitor-quotas).
+ Les sous-réseaux du moniteur doivent appartenir au même compte que le moniteur.
+ Network Synthetic Monitor ne fournit pas de basculement automatique du réseau en cas de problème AWS réseau.
+ Chaque sonde que vous créez est facturée. Pour plus de détails sur les prix, veuillez consulter [Tarification de la surveillance synthétique du réseau](pricing-nw.md).
# Fonctionnement de la surveillance synthétique du réseau
Network Synthetic Monitor est entièrement géré par AWS des agents distincts sur les ressources surveillées et ne nécessite pas d'agents distincts. Au lieu de cela, vous spécifiez des *sondes* en fournissant un sous-réseau VPC et des adresses IP sur site.
Lorsque vous créez un moniteur dans Network Synthetic Monitor pour les ressources AWS hébergées, vous AWS créez et gérez l'infrastructure en arrière-plan requise pour effectuer des mesures de temps aller-retour et de perte de paquets. Comme il AWS gère les configurations requises, vous pouvez rapidement adapter votre surveillance, sans avoir à installer ou à désinstaller des agents au sein de votre AWS infrastructure.
Lorsque des sondes sont créées, des interfaces réseau élastiques personnalisées (ENIs) sont créées et associées aux instances de sonde et aux sous-réseaux clients. Si Network Synthetic Monitor remplace une instance de sonde, par exemple si elle devient défectueuse, Network Synthetic Monitor la détache ENIs et la rattache à la sonde de remplacement. Cela signifie que les adresses IP des ENI ne sont pas modifiées après leur création, sauf si vous supprimez une sonde et en créez une nouvelle pour la même source et la même destination.
Network Synthetic Monitor concentre la surveillance sur les itinéraires empruntés par les flux provenant de vos ressources AWS hébergées au lieu de surveiller globalement tous les flux provenant de vos Région AWS ressources. Si vos charges de travail s’étendent sur plusieurs zones de disponibilité, la surveillance synthétique du réseau peut surveiller les routages à partir de chacun de vos sous-réseaux privés.
La surveillance synthétique du réseau diffuse des métriques de temps d’aller-retour et de perte de paquets sur votre compte Amazon CloudWatch , en fonction de l’intervalle d’agrégation que vous définissez lors de la création d’une surveillance. Vous pouvez également CloudWatch définir des seuils de latence et de perte de paquets individuels pour chaque moniteur. Par exemple, vous pouvez créer une alarme pour une charge de travail sensible à la perte de paquets afin de vous avertir si la perte moyenne de paquets est supérieure à un seuil statique de 0,1 %. Vous pouvez également utiliser la détection des CloudWatch anomalies pour signaler les mesures de perte de paquets ou de latence qui se situent en dehors des plages souhaitées.
## Mesures de disponibilité et de performance
Network Synthetic Monitor envoie des sondes actives périodiques depuis votre AWS ressource vers vos destinations sur site. Lorsque vous créez un moniteur, vous spécifiez les éléments suivants :
+ **Intervalle d'agrégation :** temps, en secondes, pendant lequel CloudWatch les résultats mesurés sont reçus. Ce sera toutes les 30 ou 60 secondes. La période d’agrégation que vous choisissez pour le moniteur s’applique à toutes les sondes de ce moniteur.
+ **Sources de sonde (AWS ressources) :** la source d'une sonde est un VPC et les sous-réseaux associés, ou simplement un sous-réseau VPC, dans les régions où fonctionne votre réseau.
+ **Destinations de la sonde (ressources client) :** une destination pour une sonde est la combinaison des adresses IP sur site, des protocoles réseau, des ports et de la taille des paquets réseau.
+ **Protocole de sonde :** l’un des protocoles pris en charge, ICMP ou TCP. Pour de plus amples informations, veuillez consulter [Protocoles de communication pris en charge](#nw-monitor-protocol).
+ **Port (pour TCP) :** le port que votre réseau utilise pour se connecter.
+ **Taille du paquet (pour TCP) :** taille, en octets, de chaque paquet transmis entre votre ressource AWS hébergée et votre destination sur une seule sonde. Vous pouvez spécifier une taille de paquet différente pour chaque sonde dans un moniteur.
Un moniteur publie les métriques suivantes :
+ **Temps d’aller-retour :** cette métrique, mesurée en microsecondes, est une mesure de performance. Elle enregistre le temps nécessaire à la transmission de la sonde à l’adresse IP de destination et à la réception de la réponse associée. Le temps d’aller-retour est le temps moyen observé pendant l’intervalle d’agrégation.
+ **Perte de paquets :** cette métrique mesure le pourcentage de paquets totaux envoyés et enregistre le nombre de transmissions qui n’ont pas reçu de réponse associée. L’absence de réponse signifie que les paquets ont été perdus sur le chemin du réseau.
## Protocoles de communication pris en charge
La surveillance synthétique du réseau prend en charge deux protocoles pour les sondes : ICMP et TCP.
Les sondes ICMP transportent les demandes d'écho ICMP provenant de vos ressources AWS hébergées vers l'adresse de destination et attendent une réponse d'écho ICMP en réponse. La surveillance synthétique du réseau utilise les informations sur les messages de requête d’écho ICMP et de réponse pour calculer le temps d’aller-retour et les métriques de perte de paquets.
Les sondes basées sur le protocole TCP transportent les paquets TCP SYN de vos ressources AWS hébergées vers l'adresse et le port de destination, et attendent un paquet TCP SYN\$1ACK en réponse. La surveillance synthétique du réseau utilise les informations sur les messages TCP SYN et TCP SYN\$1ACK pour calculer les métriques de temps d’aller-retour et de perte de paquets. La surveillance synthétique du réseau bascule périodiquement les ports TCP sources afin d’augmenter la couverture du réseau, ce qui accroît la probabilité de détecter la perte de paquets.
## Indicateur de santé du réseau pour AWS
Network Synthetic Monitor publie un indicateur de santé du réseau (NHI) qui fournit des informations sur les problèmes liés au AWS réseau pour les chemins incluant des destinations connectées. Direct Connect
La valeur binaire NHI est basée sur une mesure statistique de l'état du chemin réseau AWS contrôlé entre la ressource AWS hébergée, où le moniteur est déployé, et l'emplacement Direct Connect. Network Synthetic Monitor utilise la détection des anomalies pour calculer les baisses de disponibilité ou les baisses de performances le long des chemins réseau.
Le NHI n'est pas précis pour les Direct Connect pièces jointes qui utilisent un routage intermédiaire avec Cloud WAN. Lorsque vous disposez d'un réseau hybride qui inclut le Cloud WAN, n'utilisez pas la valeur NHI comme indication d'un problème de performance.
**Note**
Chaque fois que vous créez un nouveau moniteur, que vous ajoutez une sonde ou que vous réactivez une sonde, le NHI du moniteur est retardé de quelques heures pendant la AWS collecte de données pour détecter les anomalies.
Pour fournir la valeur NHI, la surveillance synthétique du réseau applique une corrélation statistique à travers les jeux de données d’échantillons AWS , ainsi qu’aux métriques de perte de paquets et de latence aller-retour pour le trafic simulant votre chemin de réseau. NHI peut prendre l’une des deux valeurs suivantes : 1 ou 0. La valeur 1 indique que Network Synthetic Monitor a observé une dégradation du réseau dans le chemin réseau AWS contrôlé. Une valeur de 0 indique que la surveillance synthétique du réseau n’a pas observé de dégradation du réseau pour le réseau AWS le long du chemin. L’utilisation de la valeur NHI vous permet de connaître plus rapidement la cause des problèmes de réseau. Par exemple, vous pouvez définir des alertes sur la métrique NHI afin d'être informé des problèmes récurrents liés au AWS réseau le long de vos chemins réseau.
## Support IPv4 et IPv6 adresses
Network Synthetic Monitor fournit des mesures de disponibilité et de performance sur nos IPv4 IPv6 réseaux, et peut surveiller l'une IPv4 ou l'autre des IPv6 adresses à partir d'une double pile VPCs. Network Synthetic Monitor ne permet pas de configurer à la fois les IPv6 destinations IPv4 et les destinations sur le même moniteur ; vous pouvez créer des moniteurs distincts pour les destinations IPv4 uniquement et uniquement pour les destinations IPv6 uniquement.
# Compatible avec Régions AWS le moniteur synthétique réseau
Les domaines Régions AWS dans lesquels le Network Synthetic Monitor est pris en charge sont répertoriés dans cette section. Pour plus d’informations sur les régions dans lesquelles la surveillance synthétique du réseau est prise en charge, y compris les régions d’intégration, consultez [Points de terminaison et quotas de la surveillance synthétique du réseau](https://docs.aws.amazon.com/general/latest/gr/cwnm_region.html) dans la *Référence générale Amazon Web Services*.
| Nom de la région | Région |
| --- | --- |
| Afrique (Le Cap) | af-south-1 |
| Asie-Pacifique (Hong Kong) | ap-east-1 |
| Asie-Pacifique (Hyderabad) | ap-south-2 |
| Asie-Pacifique (Jakarta) | ap-southeast-3 |
| Asie-Pacifique (Malaisie) | ap-southeast-5 |
| Asie-Pacifique (Melbourne) | ap-southeast-4 |
| Asie-Pacifique (Mumbai) | ap-south-1 |
| Asie-Pacifique (Osaka) | ap-northeast-3 |
| Asie-Pacifique (Séoul) | ap-northeast-2 |
| Asie-Pacifique (Singapour) | ap-southeast-1 |
| Asie-Pacifique (Sydney) | ap-southeast-2 |
| Asie-Pacifique (Thaïlande) | ap-southeast-7 |
| Asie-Pacifique (Tokyo) | ap-northeast-1 |
| Canada (Central) | ca-central-1 |
| Canada-Ouest (Calgary) | ca-west-1 |
| Europe (Francfort) | eu-central-1 |
| Europe (Irlande) | eu-west-1 |
| Europe (Londres) | eu-west-2 |
| Europe (Milan) | eu-south-1 |
| Europe (Paris) | eu-west-3 |
| Europe (Espagne) | eu-south-2 |
| Europe (Stockholm) | eu-north-1 |
| Europe (Zurich) | eu-central-2 |
| Israël (Tel Aviv) | il-central-1 |
| Mexique (Centre) | mx-central-1 |
| Moyen-Orient (Bahreïn) | me-south-1 |
| Moyen-Orient (EAU) | me-central-1 |
| Amérique du Sud (São Paulo) | sa-east-1 |
| USA Est (Virginie du Nord) | us-east-1 |
| USA Est (Ohio) | us-east-2 |
| USA Ouest (Californie du Nord) | us-west-1 |
| US West (Oregon) | us-west-2 |
# Tarification de la surveillance synthétique du réseau
Avec la surveillance synthétique du réseau, il n’y a pas de coûts initiaux ni d’engagements à long terme. La tarification de la surveillance synthétique du réseau comprend les deux éléments suivants :
+ Un tarif horaire par AWS ressource surveillée
+ CloudWatch frais liés aux métriques
Lorsque vous créez un moniteur dans Network Synthetic Monitor, vous lui associez des AWS ressources (sources) à surveiller. Pour Network Synthetic Monitor, ces ressources sont des sous-réseaux dans Amazon Virtual Private Cloud (VPC). Pour chaque ressource, vous pouvez créer jusqu’à quatre sondes, chacune concernant le trafic d’un sous-réseau du VPC vers quatre de vos adresses IP de destination. Pour mieux contrôler votre facture, vous pouvez ajuster votre couverture des sous-réseaux et des adresses IP de destination sur site en réduisant le nombre de ressources que vous surveillez.
Pour plus d'informations sur les tarifs, consultez la page de [ CloudWatch tarification d'Amazon](https://aws.amazon.com//cloudwatch/pricing/).
# Opérations API de la surveillance synthétique du réseau
Le tableau suivant répertorie les opérations de l'API Network Synthetic Monitor que vous pouvez utiliser avec Amazon CloudWatch. Reportez-vous à ce tableau pour obtenir des liens vers la documentation correspondante.
| Action | Référence des API | En savoir plus |
| --- | --- | --- |
| Créer un moniteur entre un sous-réseau source et une adresse IP de destination. | Consultez [CreateMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_CreateMonitor.html) | Consultez [Création d'une surveillance](getting-started-nw.md) |
| Créer une sonde au sein d’un moniteur. | Consultez [CreateProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_CreateProbe.html) | Consultez [Activation ou désactivation d’une sonde](nw-monitor-probe-status.md) |
| Supprimer un moniteur. | Consultez [DeleteMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_DeleteMonitor.html) | Consultez [Suppression d’un moniteur](nw-monitor-delete.md) |
| Supprimer une sonde spécifique. | Consultez [DeleteProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_DeleteProbe.html) | Consultez [Suppression d’une sonde](nw-monitor-probe-delete.md) |
| Obtenir des informations sur un moniteur. | Consultez [GetMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_GetMonitor.html) | Consultez [Utilisation des moniteurs et des sondes dans la surveillance synthétique du réseau](nw-monitor-working-with.md) |
| Obtenir des informations sur une sonde spécifique. | Consultez [GetProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_GetProbe.html) | Consultez [Utilisation des moniteurs et des sondes dans la surveillance synthétique du réseau](nw-monitor-working-with.md) |
| Obtenir une liste de tous vos moniteurs. | Consultez [ListMonitors](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_ListMonitors.html) | Consultez [Utilisation des moniteurs et des sondes dans la surveillance synthétique du réseau](nw-monitor-working-with.md) |
| Dresser la liste des balises attribuées à une ressource. | Consultez [ListTagsForResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_ListTagsForResource.html) | Consultez [Baliser ou supprimer les balises des ressources](nw-monitor-tags-cli.md) |
| Ajouter des paires clé-valeur, ou des balises, à un moniteur ou à une sonde. | Consultez [TagResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_TagResource.html) | Consultez [Baliser ou supprimer les balises des ressources](nw-monitor-tags-cli.md) |
| Supprimer une paire clé-valeur, ou une balise, d’un moniteur ou d’une sonde. | Consultez [UntagResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UntagResource.html) | Consultez [Baliser ou supprimer les balises des ressources](nw-monitor-tags-cli.md) |
| Mettre à jour une période d’agrégation pour un moniteur. | Consultez [UpdateMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UpdateMonitor) | Consultez [Modifier un moniteur](nw-monitor-edit.md) |
| Mettre à jour une sonde dans un moniteur. | Consultez [UpdateProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UpdateProbe) | Consultez [Modification d’une sonde](nw-monitor-probe-edit.md) |
# Utilisation des moniteurs et des sondes dans la surveillance synthétique du réseau
Pour commencer, créez un moniteur avec des sondes dans la surveillance synthétique du réseau pour mesurer les performances du réseau sur une période d’agrégation spécifiée. Vous pouvez ensuite mettre à jour un moniteur pour apporter les modifications souhaitées, par exemple pour changer la période d’agrégation, désactiver ou activer des sondes, ou ajouter ou supprimer des balises.
Les sections suivantes fournissent des step-by-step instructions pour effectuer ces tâches pour vos moniteurs et sondes à l'aide de la Amazon CloudWatch console. Vous pouvez également apporter des modifications à votre moniteur en utilisant l’ AWS Command Line Interface.
**Topics**
+ [Création d'une surveillance](getting-started-nw.md)
+ [Modifier un moniteur](nw-monitor-edit.md)
+ [Suppression d’un moniteur](nw-monitor-delete.md)
+ [Activation ou désactivation d’une sonde](nw-monitor-probe-status.md)
+ [Ajouter une sonde à un moniteur](nw-monitor-add-probe.md)
+ [Modification d’une sonde](nw-monitor-probe-edit.md)
+ [Suppression d’une sonde](nw-monitor-probe-delete.md)
+ [Baliser ou supprimer les balises des ressources](nw-monitor-tags-cli.md)
# Création d'une surveillance
Les sections suivantes décrivent comment créer un moniteur dans la surveillance synthétique du réseau, y compris les sondes requises. Lorsque vous créez un moniteur, vous spécifiez les sondes en choisissant les sous-réseaux sources, puis en ajoutant jusqu’à quatre destinations pour chacun d’entre eux. Chaque paire source-destination est une sonde.
Vous pouvez apporter des modifications à un moniteur après l’avoir créé, par exemple pour ajouter, supprimer ou désactiver des sondes. Pour de plus amples informations, veuillez consulter [Utilisation des moniteurs et des sondes dans la surveillance synthétique du réseau](nw-monitor-working-with.md).
Vous pouvez travailler avec les moniteurs et les sondes en utilisant soit la console Amazon CloudWatch , soit l’ AWS Command Line Interface. Pour utiliser Network Synthetic Monitor par programmation, consultez la référence de l'[API Network Synthetic Monitor et [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) dans la AWS Command Line Interface référence](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) des commandes.
Les procédures suivantes fournissent des step-by-step instructions sur la façon de créer un moniteur à l'aide de la Amazon CloudWatch console.
+ [Définir les détails du moniteur](#NWDefineDetails)
+ [Choisir les sources et les destinations](#NWSourceDestination)
+ [Confirmer les sondes](#NWConfirmProbes)
+ [Examiner et créer un moniteur](#NWReviewCreate)
**Important**
Ces étapes sont conçues pour être effectuées en une seule fois. Vous ne pouvez pas enregistrer un travail en cours pour le poursuivre plus tard.
## Définir les détails du moniteur
La première étape pour créer un moniteur consiste à définir les détails de base, en donnant un nom au moniteur et en définissant la période d’agrégation. Vous pouvez également ajouter des balises.
**Pour définir les détails du moniteur**
1. Ouvrez la CloudWatch console sur [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/), puis, sous **Surveillance du réseau**, choisissez **Moniteurs synthétiques**.
1. Choisissez **Create monitor (Créer un contrôle)**.
1. Pour **Nom du moniteur**, entrez un nom pour le moniteur.
1. Pour la **période d'agrégation**, choisissez la fréquence à laquelle vous souhaitez envoyer les métriques CloudWatch : **30 secondes** ou **60 secondes**.
**Note**
Une période d’agrégation plus courte permet de détecter plus rapidement les problèmes de réseau. Cependant, la période d’agrégation que vous choisissez peut affecter vos coûts de facturation. Pour plus d'informations sur les tarifs, consultez la page de [ CloudWatch tarification d'Amazon](https://aws.amazon.com//cloudwatch/pricing/).
1. (Facultatif) Pour les **balises**, ajoutez des paires **Clé** et **Valeur** pour aider à identifier cette ressource, afin que vous puissiez rechercher ou filtrer des informations spécifiques.
1. Sélectionnez **Ajouter une nouvelle balise**.
1. Saisissez le nom de la **Clé** et la **Valeur** associée.
1. Choisissez **Ajouter une nouvelle balise** pour ajouter une nouvelle balise.
Vous pouvez ajouter plusieurs balises en choisissant **Ajouter une nouvelle balise**, ou vous pouvez supprimer une balise en choisissant **Supprimer**.
1. Si vous voulez associer vos balises aux sondes du moniteur, gardez l’option **Ajouter les balises aux sondes créées par le moniteur** sélectionnée. Cela ajoute les balises aux sondes du moniteur, ce qui peut être utile pour l’authentification ou la mesure basée sur les balises.
1. Choisissez **Suivant**. Sur la page suivante, vous allez spécifier les sources et les destinations, afin de créer des sondes pour le moniteur.
## Choisir les sources et les destinations
Pour chaque moniteur dans Network Synthetic Monitor, vous spécifiez une ou plusieurs sondes, qui sont une combinaison d'une AWS source et d'une destination.
+ La source d’une sonde est un VPC et les sous-réseaux associés (ou simplement un sous-réseau VPC) dans les régions où votre réseau fonctionne.
+ Une destination est la combinaison des adresses IP sur site, des protocoles réseau, des ports et de la taille des paquets réseau.
**Important**
Ces étapes sont conçues pour être effectuées en une seule fois. Vous ne pouvez pas enregistrer un travail en cours pour le poursuivre plus tard.
**Pour choisir les sources et les destinations**
1. Prérequis : [Définir les détails du moniteur](#define-details-nw).
1. Sous **Source du réseau** **AWS**, choisissez un ou plusieurs sous-réseaux à inclure dans le moniteur. Pour choisir tous les sous-réseaux d’un VPC, sélectionnez le VPC. Vous pouvez également choisir des sous-réseaux spécifiques au sein d’un VPC. Les sous-réseaux que vous choisissez sont les sources du moniteur.
1. Pour **Destination 1**, entrez l'adresse IP de destination du réseau local. IPv4 et les IPv6 adresses sont toutes deux prises en charge.
1. Choisissez **Paramètres avancés**.
1. Pour **Protocole**, choisissez le protocole réseau pour la destination sur site. Le protocole peut être **ICMP** ou **TCP**.
1. Si vous choisissez **TCP**, saisissez les informations suivantes :
1. Saisissez le **Port** que votre réseau utilise pour se connecter. Le port doit être un nombre compris entre **1** et **65 535**.
1. Saisissez la **Taille de paquet**. Il s’agit de la taille, en octets, de chaque paquet envoyé sur la sonde, entre la source et la destination. La taille de paquet doit être un nombre compris entre **56** et **8 500**.
1. Choisissez **Ajouter une destination** pour ajouter une autre destination sur site au moniteur. Répétez ces étapes pour chaque destination que vous souhaitez ajouter.
1. Lorsque vous avez terminé d’ajouter des sources et des destinations, cliquez sur **Suivant** pour confirmer les sondes pour le moniteur.
## Confirmation des sondes
Sur la page **Confirmer les sondes**, passez en revue toutes les sondes qui seront créées pour le moniteur, afin de vous assurer qu’il s’agit de l’ensemble correct de sources et de destinations.
La page **Confirmer les sondes** affiche toutes les combinaisons possibles de sources et de destinations pour les spécifications des sondes que vous avez fournies à l’étape précédente. Par exemple, si vous avez six sous-réseaux sources et quatre adresses IP de destination, il existe 24 combinaisons de sondes possibles, et 24 sondes seront donc créées.
**Important**
Ces étapes doivent être effectuées en une seule session. Vous ne pouvez pas enregistrer un travail en cours pour le poursuivre plus tard.
La page **Confirmer les sondes** n’indique pas si une sonde est valide. Nous vous recommandons de lire attentivement cette page, puis de supprimer les sondes qui ne sont pas valides. Si vous ne les supprimez pas, vous risquez d’être facturé pour des sondes qui ne sont pas valides.
**Pour confirmer les sondes de moniteur**
1. Prérequis : [Choisir les sources et les destinations](#source-destination-nw).
1. Sur la page **Confirmer les sondes**, consultez la liste des combinaisons de sondes de source et de destination.
1. Sélectionnez les sondes que vous voulez supprimer du moniteur, puis cliquez sur **Supprimer**.
**Note**
Vous n’êtes pas invité à confirmer la suppression d’une sonde. Si vous supprimez une sonde et que vous voulez la restaurer, vous devez la configurer à nouveau. Vous pouvez ajouter une sonde à un moniteur existant en suivant les étapes décrites dans [Ajouter une sonde à un moniteur](nw-monitor-add-probe.md).
1. Sélectionnez **Suivant**, puis passez en revue les détails du moniteur.
## Examiner et créer un moniteur
La dernière étape consiste à examiner les détails du moniteur et des sondes pour le moniteur, puis à créer le moniteur. À ce stade, vous pouvez modifier toutes les informations relatives au moniteur.
Lorsque vous avez terminé de réviser et de mettre à jour toute information incorrecte, créez le moniteur.
Dès que vous créez le moniteur, la surveillance synthétique du réseau commence à suivre les métriques et vous commencez à être facturé pour les sondes du moniteur.
**Important**
Cette étape doit être réalisée en une seule session. Vous ne pouvez pas enregistrer un travail en cours pour le poursuivre plus tard.
Si vous choisissez de modifier une section, vous devez suivre le processus de création d’un moniteur à partir du moment où vous effectuez les modifications. Les pages de création de moniteurs précédentes conservent les informations que vous avez déjà saisies.
**Pour examiner et créer un moniteur**
1. Sur la page **Réviser et créer des sondes**, choisissez **Modifier** pour chaque section dans laquelle vous souhaitez apporter des modifications.
1. Apportez des modifications dans cette section, puis sélectionnez **Suivant**.
1. Lorsque vous avez terminé vos modifications, sélectionnez **Créer un moniteur**.
La page Surveillance synthétique du réseau affiche l’état actuel de la création du moniteur dans la section **Moniteurs**. Lorsque la surveillance synthétique du réseau est encore en train de créer le moniteur, l’**état** est **En attente**. Lorsque l'**état devient** **Actif**, vous pouvez consulter CloudWatch les statistiques dans le tableau de bord du moniteur.
Pour plus d’informations sur l’utilisation du tableau de bord du moniteur, veuillez consulter la rubrique [Tableaux de bord de la surveillance synthétique du réseau](nw-monitor-dashboards.md).
**Note**
Plusieurs minutes peuvent s’écouler avant qu’un moniteur nouvellement ajouté ne commence à collecter des métriques réseau.
# Modifier un moniteur
Vous pouvez modifier les informations d’une surveillance synthétique du réseau, notamment changer le nom, définir une nouvelle période d’agrégation ou ajouter ou supprimer des balises. La modification des informations d’un moniteur ne modifie aucune des sondes associées.
Vous pouvez travailler avec les moniteurs et les sondes en utilisant soit la console Amazon CloudWatch , soit l’ AWS Command Line Interface. Pour utiliser Network Synthetic Monitor par programmation, consultez la référence de l'[API Network Synthetic Monitor et [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) dans la AWS Command Line Interface référence](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) des commandes.
**Pour modifier un moniteur à l’aide de la console**
1. Ouvrez la CloudWatch console sur [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/), puis, sous **Surveillance du réseau**, choisissez **Moniteurs synthétiques**.
1. Dans la section **Moniteurs**, choisissez le moniteur que vous voulez modifier.
1. Sur la page du tableau de bord du moniteur, choisissez **Modifier**.
1. Pour le **Nom du moniteur**, saisissez le nouveau nom du moniteur.
1. Pour la **période d'agrégation**, choisissez la fréquence à laquelle vous souhaitez envoyer les métriques CloudWatch. Les périodes valides sont les suivantes :
+ **30 secondes**
+ **60 secondes**
**Note**
Une période d’agrégation plus courte permet de détecter plus rapidement les problèmes de réseau. Cependant, la période d’agrégation que vous choisissez peut affecter vos coûts de facturation. Pour plus d'informations sur les tarifs, consultez la page de [ CloudWatch tarification d'Amazon](https://aws.amazon.com//cloudwatch/pricing/).
1. (Facultatif) Dans la section **Balises**, ajoutez des paires **Clé** et **Valeur** pour mieux identifier cette ressource et vous permettre de rechercher ou de filtrer des informations spécifiques. Vous pouvez également simplement modifier la **Valeur** de n’importe quelle **Clé** actuelle.
1. Sélectionnez **Ajouter une nouvelle balise**.
1. Saisissez le nom de la **Clé** et la **Valeur** associée.
1. Choisissez **Ajouter une nouvelle balise** pour ajouter une nouvelle balise.
Vous pouvez ajouter plusieurs balises en choisissant **Ajouter une nouvelle balise**, ou vous pouvez supprimer une balise en choisissant **Supprimer**.
1. Si vous souhaitez associer vos balises au moniteur, maintenez la case **Ajouter des balises aux sondes créées par le moniteur** cochée. Cela ajoute les balises aux sondes du moniteur, ce qui peut être utile si vous utilisez l’authentification ou la mesure basée sur des balises.
1. Sélectionnez **Enregistrer les modifications**.
# Suppression d’un moniteur
Avant de pouvoir supprimer un moniteur dans la surveillance synthétique du réseau, vous devez désactiver ou supprimer toutes les sondes associées au moniteur, quel que soit l’**état** du moniteur. Après la suppression d’un moniteur, vous ne serez plus facturé pour les sondes du moniteur. Notez que vous ne pouvez pas restaurer un moniteur supprimé.
Vous pouvez travailler avec les moniteurs et les sondes en utilisant soit la console Amazon CloudWatch , soit l’ AWS Command Line Interface. Pour utiliser Network Synthetic Monitor par programmation, consultez la référence de l'[API Network Synthetic Monitor et [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) dans la AWS Command Line Interface référence](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) des commandes.
**Pour supprimer un moniteur à l’aide de la console**
1. Ouvrez la CloudWatch console sur [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/), puis, sous **Surveillance du réseau**, choisissez **Moniteurs synthétiques**.
1. Dans la section **Moniteurs**, sélectionnez le moniteur que vous voulez supprimer.
1. Choisissez **Actions**, puis **Supprimer**.
1. Si vous avez des sondes actives pour le moniteur, vous êtes invité à les désactiver. Choisissez **Désactiver les sondes**.
**Note**
Vous ne pouvez pas annuler cette action après avoir sélectionné **Désactiver les sondes**. Les sondes désactivées ne sont toutefois pas retirées du moniteur. Si vous le souhaitez, vous pouvez les réactiver ultérieurement. Pour de plus amples informations, veuillez consulter [Activation ou désactivation d’une sonde](nw-monitor-probe-status.md).
1. Saisissez **confirm** dans le champ de confirmation, puis choisissez **Supprimer**.
Vous pouvez également supprimer un moniteur de manière programmatique, par exemple à l’aide de l’ AWS Command Line Interface.
**Pour supprimer un moniteur à l’aide de l’interface de ligne de commande**
1. Pour supprimer un moniteur, vous devez connaître son nom. Si vous ne connaissez pas ce nom, obtenez une liste de vos moniteurs en exécutant la commande [list-monitors](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/list-monitors.html). Notez le nom du moniteur que vous voulez supprimer.
1. Vérifiez si le moniteur contient des sondes actives. Utilisez a commande [get-monitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/get-monitor.html) avec le nom du moniteur indiqué à l’étape précédente. Cela renvoie une liste de toutes les sondes associées à ce moniteur.
1. Si le moniteur contient des sondes actives, vous devez d’abord les rendre inactives ou les supprimer.
+ Pour rendre une sonde inactive, utilisez la commande [update-probe](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/update-probe.html) et définissez l’état sur `INACTIVE`.
+ Pour supprimer une sonde, utilisez la commande [delete-probe](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/delete-probe.html).
1. Une fois les sondes définies sur `INACTIVE` ou supprimées, vous pouvez supprimer le moniteur en exécutant la commande [delete-monitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/create-probe.html). Les sondes inactives ne sont pas supprimées lorsque vous supprimez le moniteur.
# Activation ou désactivation d’une sonde
Vous pouvez activer ou désactiver une sonde dans la surveillance synthétique du réseau. Vous pouvez vouloir désactiver une sonde, par exemple, si vous ne l’utilisez pas actuellement, mais que vous voudrez peut-être l’utiliser à nouveau à l’avenir. En désactivant une sonde au lieu de la supprimer, vous ne perdrez pas de temps à la configurer à nouveau. Les sondes désactivées ne vous sont pas facturées.
Vous pouvez travailler avec les moniteurs et les sondes en utilisant soit la console Amazon CloudWatch , soit l’ AWS Command Line Interface. Pour utiliser Network Synthetic Monitor par programmation, consultez la référence de l'[API Network Synthetic Monitor et [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) dans la AWS Command Line Interface référence](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) des commandes.
**Pour activer ou désactiver une sonde à l’aide de la console**
1. Ouvrez la CloudWatch console sur [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/), puis, sous **Surveillance du réseau**, choisissez **Moniteurs synthétiques**.
1. Choisissez l’onglet **Détails du moniteur**.
1. Dans la section **Sondes**, choisissez la sonde que vous souhaitez activer ou désactiver.
1. Choisissez **Actions**, puis **Activer** ou **Désactiver**.
**Note**
Lorsque vous réactivez une sonde, vous recommencez à percevoir des frais de facturation pour cette sonde.
# Ajouter une sonde à un moniteur
Vous pouvez ajouter une sonde à un moniteur existant dans la surveillance synthétique du réseau. Notez que lorsque vous ajoutez des sondes à un moniteur, votre structure de facturation est mise à jour pour inclure la nouvelle sonde.
Vous pouvez travailler avec les moniteurs et les sondes en utilisant soit la console Amazon CloudWatch , soit l’ AWS Command Line Interface. Pour utiliser Network Synthetic Monitor par programmation, consultez la référence de l'[API Network Synthetic Monitor et [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) dans la AWS Command Line Interface référence](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) des commandes.
**Pour ajouter une sonde à un moniteur à l’aide de la console**
1. Ouvrez la CloudWatch console sur [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/), puis, sous **Surveillance du réseau**, choisissez **Moniteurs synthétiques**.
1. Dans la section **Moniteurs**, effectuez l’une des opérations suivantes :
+ Choisissez le lien **Nom** du moniteur auquel vous souhaitez ajouter une sonde. Choisissez l’onglet **Détails du moniteur**, puis dans la section **Sondes**, sélectionnez **Ajouter une sonde**.
+ Cochez la case du moniteur, sélectionnez **Actions**, puis choisissez **Ajouter une sonde**.
1. Sur la page **Ajouter une sonde**, procédez de la façon suivante :
1. Sous **Source du réseau** **AWS**, choisissez un sous-réseau à ajouter au moniteur.
**Note**
Vous ne pouvez ajouter qu’une seule sonde à la fois et jusqu’à quatre sondes par moniteur.
1. Saisissez l’**adresse IP** de destination du réseau sur site. Les deux IPv4 IPv6 adresses sont prises en charge.
1. Choisissez **Paramètres avancés**.
1. Choisissez le **Protocole** réseau pour la destination. Celui-ci peut être **ICMP** ou **TCP**.
1. Si le **Protocole** est **TCP**, saisissez les informations suivantes. Sinon, passez à l’étape suivante :
+ Saisissez le **Port** que votre réseau utilise pour se connecter. Le port doit être un nombre compris entre **1** et **65 535**.
+ Saisissez la **Taille de paquet**. Il s’agit de la taille, en octets, de chaque paquet transmis par la sonde entre la source et la destination. La taille de paquet doit être un nombre compris entre **56** et **8 500**.
1. (Facultatif) Dans la section **Balises**, ajoutez des paires **Clé** et **Valeur** pour mieux identifier cette ressource et vous permettre de rechercher ou de filtrer des informations spécifiques.
1. Sélectionnez **Ajouter une nouvelle balise**.
1. Saisissez le nom de la **Clé** et la **Valeur** associée.
1. Choisissez **Ajouter une nouvelle balise** pour ajouter une nouvelle balise.
Vous pouvez ajouter plusieurs balises en choisissant **Ajouter une nouveau balise**, ou vous pouvez supprimer n’importe quelle balise en choisissant **Supprimer**.
1. Choisissez **Ajouter une sonde**.
Lorsque la sonde est en activation, l’**état** indique **En attente**. Plusieurs minutes peuvent être nécessaires pour que la sonde devienne **active**.
# Modification d’une sonde
Vous pouvez modifier toutes les informations d’une sonde existante, qu’elle soit active ou inactive.
Vous pouvez travailler avec les moniteurs et les sondes en utilisant soit la console Amazon CloudWatch , soit l’ AWS Command Line Interface. Pour utiliser Network Synthetic Monitor par programmation, consultez la référence de l'[API Network Synthetic Monitor et [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) dans la AWS Command Line Interface référence](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) des commandes.
**Pour modifier une sonde à l’aide de la console**
1. Ouvrez la CloudWatch console sur [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/), puis, sous **Surveillance du réseau**, choisissez **Moniteurs synthétiques**.
Sous **Nom**, choisissez un lien de moniteur pour ouvrir le tableau de bord du moniteur.
1. Choisissez l’onglet **Détails du moniteur**.
1. Dans la section **Sondes**, cliquez sur le lien de la sonde que vous voulez modifier.
1. Sur la page des détails de la sonde, sélectionnez **Modifier**.
1. Sur la page **Modifier la *sonde***, entrez la nouvelle **adresse IP** de destination de la sonde. IPv4 et les IPv6 adresses sont toutes deux prises en charge.
1. Choisissez **Paramètres avancés**.
1. Choisissez un **Protocole** réseau, **ICMP** ou **TCP**.
1. Si le **Protocole** est **TCP**, saisissez les informations suivantes :
+ Saisissez le **Port** que votre réseau utilise pour se connecter. Le port doit être un nombre compris entre **1** et **65 535**.
+ Saisissez la **Taille de paquet**. Il s’agit de la taille, en octets, de chaque paquet transmis par la sonde entre la source et la destination. La taille de paquet doit être un nombre compris entre **56** et **8 500**.
1. (Facultatif) Ajoutez, modifiez ou supprimez des balises pour la sonde.
1. Sélectionnez **Enregistrer les modifications**.
# Suppression d’une sonde
Vous pouvez supprimer une sonde au lieu de la désactiver si vous savez que vous n’en aurez plus besoin ultérieurement. Vous ne pouvez pas récupérer une sonde supprimée ; vous devez la recréer. Les frais de facturation d’une sonde prennent fin lorsque celle-ci est supprimée.
Vous pouvez travailler avec les moniteurs et les sondes en utilisant soit la console Amazon CloudWatch , soit l’ AWS Command Line Interface. Pour utiliser Network Synthetic Monitor par programmation, consultez la référence de l'[API Network Synthetic Monitor et [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) dans la AWS Command Line Interface référence](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) des commandes.
**Pour supprimer une sonde à l’aide de la console**
1. Ouvrez la CloudWatch console sur [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/), puis, sous **Surveillance du réseau**, choisissez **Moniteurs synthétiques**.
1. Dans la section **Moniteurs**, sous **Nom**, cliquez sur le lien d’un moniteur pour ouvrir le tableau de bord du moniteur.
1. Choisissez l’onglet **Détails du moniteur**.
1. Cochez la case du moniteur, sélectionnez **Actions**, puis sélectionnez **Supprimer**.
1. Dans la boîte de dialogue **Supprimer une sonde**, procédez comme suit :
1. Choisissez **Supprimer** pour confirmer que vous voulez supprimer la sonde.
L’**état** de la sonde dans la section **Sondes** indique **Suppression**. Une fois supprimée, la sonde est retirée de la section **Sondes.**
# Baliser ou supprimer les balises des ressources
Vous pouvez utiliser les balises de ressources dans la surveillance synthétique du réseau afin d’ajouter ou de supprimer des balises.
Vous pouvez mettre à jour les balises en mettant à jour les moniteurs ou les sondes dans la console. Vous pouvez également utiliser les balises par programmation, par exemple en utilisant le. AWS Command Line Interface
**Pour mettre à jour les balises de moniteur à l’aide de la CLI**
+ Pour répertorier les balises de ressources, utilisez [list-tags-for-resources](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/list-tags-for-resources.html).
+ Pour baliser une ressource, utilisez la commande [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/tag-resource.html).
+ Pour annuler le balisage d’une ressource, utilisez la commande [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/untag-resource.html).
# Tableaux de bord de la surveillance synthétique du réseau
Vous pouvez utiliser les tableaux de bord de Network Synthetic Monitor pour déterminer si un problème réseau est dû AWS, à l'aide de l'indicateur de santé du réseau (NHI), et visualiser le temps d'aller-retour de la sonde et la perte de paquets. Vous pouvez afficher ces informations et métriques pour les moniteurs, ainsi que pour les sondes individuelles.
Network Synthetic Monitor crée plusieurs métriques que vous pouvez consulter dans CloudWatch Metrics. Vous pouvez spécifier des alarmes pour les métriques que la surveillance synthétique du réseau renvoie. Pour de plus amples informations, veuillez consulter [Alarmes de sonde](cw-nwm-create-alarm.md).
**Topics**
+ [Tableaux de bord de surveillance](nw-monitor-db.md)
+ [Tableaux de bord de sonde](nw-probe-db.md)
+ [Spécifier l’intervalle de temps des métriques](nw-monitor-time-frame.md)
# Tableaux de bord de surveillance
Vous pouvez utiliser le tableau de bord du moniteur dans la surveillance synthétique du réseau pour afficher l’indicateur de l’état du réseau (NHI), ainsi que le temps d’aller-retour de la sonde et la perte de paquets au niveau d’un moniteur. En d’autres termes, le tableau de bord d’un moniteur affiche ces informations pour toutes les sondes créées pour le moniteur.
La surveillance synthétique du réseau dispose également de tableaux de bord pour les sondes, afin d’afficher les informations au niveau d’une sonde. Pour de plus amples informations, veuillez consulter [Tableaux de bord de sonde](nw-probe-db.md).
**Pour accéder au tableau de bord d’un moniteur**
1. Ouvrez la CloudWatch console à [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/), puis sous **Surveillance du réseau**, choisissez **Moniteurs synthétiques**.
1. Dans la section **Moniteurs**, cliquez sur le lien **Nom** pour ouvrir le tableau de bord du moniteur.
## Page Présentation
La page **Vue d’ensemble** affiche les informations suivantes pour un moniteur :
+ **État du réseau** — L'état du réseau affiche la valeur de l'indicateur de santé du réseau (NHI), qui concerne uniquement l'état du réseau. AWS L’état NHI est affiché comme **sain** ou **dégradé**. Un état **sain** indique que le Network Synthetic Monitor n'a détecté aucun problème avec le AWS réseau. L'état **Dégradé** indique que le Network Synthetic Monitor a détecté un problème avec le AWS réseau. La barre d’état de cette section montre l’état de l’indicateur de l’état du réseau sur une durée par défaut d’une heure. Survolez n’importe quel point de la barre d’état pour afficher des détails supplémentaires.
+ **Résumé du trafic des sondes** : affiche l'état actuel du trafic entre les AWS sous-réseaux sources spécifiés pour les sondes sur le moniteur et les adresses IP de destination des sondes. Ce résumé affiche les éléments suivants :
+ **Sondes en alarme** : ce nombre indique combien de vos sondes dans ce moniteur sont dans un état dégradé. Une alarme est déclenchée lorsqu’une métrique que vous avez configurée comme alarme est déclenchée. Pour plus d’informations sur la création d’alarmes pour les métriques dans la surveillance synthétique du réseau, consultez [Alarmes de sonde](cw-nwm-create-alarm.md).
+ **Perte de paquets** : nombre de paquets perdus du sous-réseau source vers l’adresse IP de destination. Ceci est représenté sous forme de pourcentage du nombre total de paquets envoyés.
+ **Temps d’aller-retour** : le temps nécessaire, affiché en millisecondes, pour qu’un paquet du sous-réseau source atteigne l’adresse IP de destination, puis revienne. Le temps d’aller-retour est le RTT moyen observé au cours de la période d’agrégation.
Les données sont représentées sur un graphique interactif, ce qui vous permet d’explorer les détails.
Par défaut, les données sont affichées pendant une période de deux heures, calculée à partir de la date et de l’heure actuelles. Toutefois, vous pouvez modifier la plage pour l’adapter à vos besoins. Pour de plus amples informations, veuillez consulter [Spécifier l’intervalle de temps des métriques](nw-monitor-time-frame.md).
### Métriques de suivi
Le tableau de bord **Vue d’ensemble** de la surveillance synthétique du réseau affiche une représentation graphique d’un moniteur et de sondes. Les graphiques suivants sont affichés :
+ **Indicateur de l’état du réseau** : il s’agit des valeurs NHI sur une période donnée. Le NHI indique si un problème de réseau est dû à des problèmes liés au AWS réseau. Le NHI est affiché comme étant **en bonne santé** (aucun problème avec le AWS réseau) ou **Dégradé** (il y a un problème avec le AWS réseau).
Dans l'exemple suivant, vous pouvez constater qu'entre 15 h 00 UTC et 15 h 05 UTC, un problème réseau est survenu en raison d'un problème AWS réseau (**dégradé**). **Après 15 h 05, le problème réseau avec le AWS réseau a pris fin, de sorte que la valeur est revenue à Healthy.** Vous pouvez survoler n’importe quelle section du graphique pour obtenir des détails supplémentaires.
![\[AWS indicateur de santé du réseau indiquant à la fois un état sain et un état dégradé.\]](http://docs.aws.amazon.com/fr_fr/AmazonCloudWatch/latest/monitoring/images/nwm_network_health.png)
**Note**
Le NHI indique qu'un problème est dû au AWS réseau. Il ne décrit pas l'état général du AWS réseau ni celui des sondes Network Synthetic Monitor.
+ **Perte de paquets** : ce graphique affiche une ligne indiquant le pourcentage de perte de paquets pour chaque sonde d’un moniteur. La légende au bas de la page affiche chacune des sondes du moniteur, codées par couleur pour garantir leur unicité. Vous pouvez survoler une sonde dans le graphique pour voir le sous-réseau source, l’adresse IP de destination et le pourcentage de perte de paquets.
Dans l’exemple suivant, une alarme de perte de paquets a été créée pour une sonde provenant d’un sous-réseau vers l’adresse IP 127.0.0.1. L’alarme a été déclenchée lorsque le seuil de perte de paquets a été dépassé pour la sonde. Si vous survolez le graphique, vous pouvez voir la source et la destination de la sonde, et qu’il y a eu une perte de paquets de 30,97 % pour cette sonde le 21 novembre à 2 h 41 min 30 s.
![\[Perte de paquets illustrant un exemple de sonde avec une perte de paquets de 30,97 %.\]](http://docs.aws.amazon.com/fr_fr/AmazonCloudWatch/latest/monitoring/images/nwm_packet_loss.png)
+ **Temps d’aller-retour** : ce graphique affiche une ligne indiquant le temps d’aller-retour pour chaque sonde. La légende au bas de la page affiche chacune des sondes du moniteur, codées par couleur pour garantir leur unicité. Vous pouvez survoler une sonde dans le graphique pour voir le sous-réseau source, l’adresse IP de destination et le temps d’aller-retour.
L’exemple suivant montre que le mardi 21 novembre à 21 h 45 min 30 s, le temps de propagation aller et retour d’une sonde entre un sous-réseau et l’adresse IP 127.0.0.1 était de 0,075 seconde.
![\[Exemple illustrant le temps de propagation aller et retour pour une sonde.\]](http://docs.aws.amazon.com/fr_fr/AmazonCloudWatch/latest/monitoring/images/nwm_rtt.png)
## Détails du moniteur
La page **Détails du moniteur** affiche des détails sur votre moniteur, notamment une liste des sondes pour le moniteur. Vous pouvez mettre à jour ou ajouter des balises, ou ajouter une sonde. La page comprend les sections suivantes :
+ **Détails du moniteur** : cette section fournit des informations sur votre moniteur. Vous ne pouvez pas modifier les informations de cette section. Toutefois, vous pouvez afficher les détails du rôle lié à un service de la surveillance synthétique du réseau : cliquez sur le lien **Nom du rôle** pour afficher les détails.
+ **Sondes** : cette section affiche la liste de toutes les sondes associées au moniteur. Choisissez un lien **VPC** ou **ID de sous-réseau** pour ouvrir les détails du VPC ou du sous-réseau dans la console Amazon VPC. Vous pouvez modifier une sonde, l’activer ou la désactiver. Pour de plus amples informations, veuillez consulter [Utilisation des moniteurs et des sondes dans la surveillance synthétique du réseau](nw-monitor-working-with.md).
La section **Sondes** affiche des informations sur chaque sonde configurée pour ce moniteur, y compris l’**ID de** la sonde, l’**ID VPC**, l’** ID du sous-réseau**, l’**adresse IP**, le **protocole** et si la sonde est **active** ou **inactive**.
Si vous avez créé une alarme pour une sonde, le **statut** actuel de l’alarme est affiché. Le statut **OK** indique qu’aucun événement métrique n’a déclenché d’alarme. Le statut **En alarme** indique qu'une métrique que vous avez créée a CloudWatch déclenché une alarme. Si aucun état n'est affiché pour une sonde, cela signifie qu'il n'y a pas CloudWatch d'alarme pour celle-ci. Pour en savoir plus sur les types d’alarmes de sonde de surveillance synthétique du réseau que vous pouvez créer, consultez [Alarmes de sonde](cw-nwm-create-alarm.md).
+ **Balises** : affiche les balises actuelles d’un moniteur. Vous pouvez ajouter ou supprimer des balises en choisissant **Gérer les balises**. Cela ouvre la page **Modifier la sonde**. Pour en savoir plus sur la modification des balises, veuillez consulter la rubrique [Modifier un moniteur](nw-monitor-edit.md).
# Tableaux de bord de sonde
Vous pouvez utiliser un tableau de bord de **sonde** dans la surveillance synthétique du réseau pour afficher l’indicateur d’état du réseau (NHI) pour une sonde, ainsi que des informations sur le temps d’aller-retour et la perte de paquets pour des sondes spécifiques. Il existe deux tableaux de bord pour les sondes : une page **Vue d’ensemble** et une page** Détails de la sonde**.
Vous pouvez créer des CloudWatch alarmes pour définir des seuils métriques de perte de paquets et de temps d'aller-retour. Lorsqu'un seuil est atteint pour une métrique, une CloudWatch alarme vous en informe. Pour plus d’informations sur la création d’alarmes de sonde, veuillez consulter la rubrique [Alarmes de sonde](cw-nwm-create-alarm.md).
**Pour accéder à un tableau de bord de sonde**
1. Ouvrez la CloudWatch console sur [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/), puis, sous **Surveillance du réseau**, choisissez **Moniteurs synthétiques**.
1. Dans la section **Moniteurs**, cliquez sur le lien **Nom** pour ouvrir le tableau de bord d’un moniteur spécifique.
1. Pour afficher le tableau de bord d’une sonde spécifique, cliquez sur le lien **ID** de la sonde.
## Page Présentation
La page **Vue d’ensemble** affiche les informations suivantes pour une sonde :
+ **État du réseau** — L'état du réseau affiche la valeur de l'indicateur de santé du réseau (NHI), qui concerne uniquement l'état du AWS réseau. L’état NHI est indiqué comme **sain** ou **dégradé**. Un état **sain** indique que le Network Synthetic Monitor n'a détecté aucun problème avec le AWS réseau lors d'une sonde. L'état **Dégradé** indique que le Network Synthetic Monitor a détecté un problème avec le AWS réseau. La barre d’état de cette section montre l’état de l’indicateur de l’état du réseau sur une durée par défaut d’une heure. Survolez n’importe quel point de la barre d’état pour afficher des détails supplémentaires.
+ **Perte de paquets** : nombre de paquets perdus depuis le sous-réseau source vers l’adresse IP de destination pour cette sonde.
+ **Temps de propagation aller et retour** : temps nécessaire, en millisecondes, à un paquet provenant du sous-réseau source pour atteindre l’adresse IP de destination, puis revenir. Le temps de propagation aller et retour (RTT) est le RTT moyen observé au cours de la période d’agrégation.
## Détails de la sonde
La page **Détails de la sonde** affiche des informations sur une sonde, y compris la source et la destination. Vous pouvez également modifier la sonde, par exemple pour l’activer ou la désactiver. Pour de plus amples informations, veuillez consulter [Utilisation des moniteurs et des sondes dans la surveillance synthétique du réseau](nw-monitor-working-with.md).
+ **Détails de la sonde** : cette section fournit des informations générales sur la sonde, qui ne peuvent pas être modifiées.
+ **Source et destination de la sonde** : cette section affiche les détails de la sonde. Choisissez un lien **VPC** ou **ID de sous-réseau** pour ouvrir les détails du VPC ou du sous-réseau dans la console Amazon VPC. Vous pouvez modifier une sonde, par exemple pour l’activer ou la désactiver.
+ **Balises** : affiche les balises actuelles d’un moniteur. Vous pouvez ajouter ou supprimer des balises en choisissant **Gérer les balises**. Cela ouvre la page **Modifier la sonde**. Pour en savoir plus sur la modification des balises, veuillez consulter la rubrique [Modification d’une sonde](nw-monitor-probe-edit.md).
# Spécifier l’intervalle de temps des métriques
Les métriques et les événements des tableaux de bord de la surveillance synthétique du réseau utilisent une durée par défaut de deux heures, calculée à partir de l’heure actuelle, mais vous pouvez définir une durée par défaut personnalisée pour les métriques à utiliser. Vous pouvez modifier la valeur par défaut en choisissant l’un des préréglages suivants pour l’intervalle de temps des métriques :
+ **1h** : une heure
+ **2h** : deux heures
+ **1d** : un jour
+ **1w** : une semaine
Vous pouvez également définir une durée personnalisée. Choisissez **Personnalisé**, choisissez un temps **absolu** ou **relatif**, puis définissez le délai à une durée de votre choix. Le temps relatif ne prend en charge que 15 jours à compter de la date d'aujourd'hui, CloudWatch conformément aux directives.
En outre, vous pouvez choisir que l’heure affichée dans les graphiques soit basée sur le fuseau horaire UTC ou sur un fuseau horaire local.
Pour de plus amples informations, veuillez consulter [Modification de la plage horaire ou du format du fuseau horaire d'un CloudWatch tableau de bord](change_dashboard_time_format.md).
# Alarmes de sonde
Vous pouvez créer des CloudWatch alarmes Amazon en fonction des métriques du Network Synthetic Monitor, comme vous le pouvez pour les autres CloudWatch métriques Amazon. Toute alarme que vous créez apparaîtra dans la colonne **Statut** de la sonde de la section **Détails du moniteur** du tableau de bord de la surveillance synthétique du réseau lorsque l’alarme est déclenchée. Le statut sera soit **OK**, soit **En alarme**. Si aucun statut ne s’affiche pour une sonde, c’est qu’aucune alarme n’a été créée pour cette sonde.
Par exemple, vous pouvez créer une alarme basée sur la métrique `PacketLoss` de la surveillance synthétique du réseau et la configurer pour qu’elle envoie une notification lorsque la métrique est supérieure à une valeur que vous choisissez. Vous configurez les alarmes pour les métriques Network Synthetic Monitor en suivant les mêmes directives que pour les autres CloudWatch métriques.
Les mesures suivantes sont disponibles ci-dessous `AWS/NetworkMonitor` lors de la création d'une CloudWatch alarme pour Network Synthetic Monitor.
+ **HealthIndicator**
+ **PacketLoss**
+ **RTT (Round-trip time)**
Pour les étapes à suivre pour créer une alarme Network Synthetic Monitor dans CloudWatch, voir[Création d'une CloudWatch alarme basée sur un seuil statique](ConsoleAlarms.md).
# Sécurité et protection des données dans la surveillance synthétique du réseau
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez de centres de données et d'architectures réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité *du* cloud et la sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à Network Synthetic Monitor, voir [AWS Services concernés par programme de conformitéAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l’utilisation de la surveillance synthétique du réseau. Les rubriques suivantes vous montrent comment configurer la surveillance synthétique du réseau pour répondre à vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser les ressources de votre Network Synthetic Monitor.
**Topics**
+ [Protection des données dans la surveillance synthétique du réseau](data-protection-nw.md)
+ [Sécurité de l’infrastructure dans la surveillance synthétique du réseau](infrastructure-security-nw.md)
# Protection des données dans la surveillance synthétique du réseau
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) s'applique à la protection des données dans Network Synthetic Monitor. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec Network Synthetic Monitor ou autre Services AWS à l'aide de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
# Sécurité de l’infrastructure dans la surveillance synthétique du réseau
En tant que service géré, Network Synthetic Monitor est protégé par les procédures de sécurité du réseau AWS mondial décrites dans le livre blanc [Amazon Web Services : présentation des processus de sécurité](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Vous utilisez des appels d'API AWS publiés pour accéder à Network Synthetic Monitor via le réseau. Les clients doivent supporter le protocole TLS (Sécurité de la couche transport) 1.0 ou une version ultérieure. Nous vous recommandons le certificat TLS 1.2 ou une version ultérieure. Les clients doivent aussi prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.
# Gestion des identités et des accès pour la surveillance synthétique du réseau
AWS Identity and Access Management (IAM) est un AWS service qui permet à un administrateur de contrôler en toute sécurité l'accès aux ressources. AWS Les administrateurs IAM contrôlent qui peut être authentifié (connecté) et autorisé (avoir des autorisations) à utiliser les ressources de la surveillance synthétique du réseau. IAM est un AWS service que vous pouvez utiliser sans frais supplémentaires. Vous pouvez utiliser les fonctions d'IAM pour permettre à d'autres utilisateurs, services et applications d'utiliser vos ressources AWS pleinement ou de façon limitée, sans partager vos autorisations.
Par défaut, les utilisateurs IAM ne sont pas autorisés à créer, afficher ou modifier les ressources AWS . Pour permettre à un utilisateur IAM d'accéder à des ressources, telles qu'un réseau mondial, et d'effectuer des tâches, vous devez :
+ Créer une politique IAM qui accorde à l’utilisateur IAM l’autorisation d’utiliser les actions d’API et les ressources spécifiques dont il a besoin
+ Attacher la politique à l’utilisateur IAM ou au groupe auquel cet utilisateur IAM appartient.
Quand vous attachez une stratégie à un utilisateur ou à un groupe d'utilisateurs, elle accorde ou refuse aux utilisateurs l'autorisation d'exécuter les tâches spécifiées sur les ressources mentionnées.
## Clés de condition
L’élément `Condition` (ou le bloc Condition) vous permet de spécifier des conditions lorsqu’une instruction est appliquée. L’élément Condition est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), comme égal ou inférieur, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour plus d’informations, veuillez consulter la rubrique [Éléments de politique JSON IAM : Opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) dans le *Guide de l’utilisateur AWS Identity and Access Management*.
Si vous spécifiez plusieurs éléments `Condition` dans une instruction, ou plusieurs clés dans un seul élément `Condition`, AWS les évalue à l’aide d’une opération `AND` logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une `OR` opération logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées.
Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez accorder à un utilisateur IAM l’autorisation d’accéder à une ressource uniquement si elle est balisée avec son nom d’utilisateur IAM.
Vous pouvez associer des balises aux ressources de la surveillance synthétique du réseau ou transmettre des balises dans une requête adressée au réseau WAN Cloud. Pour contrôler l’accès basé sur des balises, vous devez fournir les informations des balises dans l’élément de condition d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Veuillez consulter la rubrique [Éléments de politique JSON IAM : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur AWS Identity and Access Management* pour plus d’informations.
Pour voir toutes les clés de condition AWS globales, voir les [clés contextuelles de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur d'AWS Identity and Access Management*.
## Étiqueter les ressources du réseau principal
Une balise est une étiquette de métadonnées que vous attribuez ou que vous AWS attribuez à une AWS ressource. Chaque balise se compose d'une clé et d'une valeur. Vous définissez la clé et la valeur des balises que vous affectez. Par exemple, vous pouvez définir la clé `purpose` et la valeur `test` pour une ressource. Les balises vous permettent d’effectuer les actions suivantes :
+ Identifiez et organisez vos AWS ressources. De nombreux AWS services prennent en charge le balisage. Vous pouvez donc attribuer le même tag aux ressources de différents services pour indiquer que les ressources sont liées.
+ Contrôlez l'accès à vos AWS ressources. Pour plus d'informations, consultez la section [Contrôle de l'accès aux AWS ressources à l'aide de balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) dans le *Guide de AWS l'utilisateur de la gestion des identités et des accès*.
# Comment la surveillance synthétique du réseau fonctionne avec IAM
Avant d’utiliser IAM pour gérer l’accès à la surveillance synthétique du réseau, découvrez les fonctionnalités IAM que vous pouvez utiliser avec la surveillance synthétique du réseau.
**Fonctions IAM que vous pouvez utiliser avec la surveillance synthétique du réseau**
| Fonctionnalité IAM | Prise en charge de la surveillance synthétique du réseau |
| --- | --- |
| [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies-nw) | Oui |
| [Politiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies-nw) | Non |
| [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions-nw) | Oui |
| [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources-nw) | Oui |
| [Clés de condition de politique](#security_iam_service-with-iam-id-based-policies-conditionkeys-nw) | Oui |
| [ACLs](#security_iam_service-with-iam-acls-nw) | Non |
| [ABAC (identifications dans les politiques)](#security_iam_service-with-iam-tags-nw) | Partielle |
| [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds-nw) | Oui |
| [Autorisations de principal](#security_iam_service-with-iam-principal-permissions-nw) | Oui |
| [Rôles du service](#security_iam_service-with-iam-roles-service-nw) | Non |
| [Rôles liés à un service](#security_iam_service-with-iam-roles-service-linked-nw) | Oui |
Pour obtenir une vue d'ensemble de la façon dont Network Synthetic Monitor et les autres AWS services fonctionnent avec la plupart des fonctionnalités IAM, consultez la section [AWS Services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le guide de l'utilisateur *IAM*.
## Politiques basées sur l’identité pour la surveillance synthétique du réseau
**Prend en charge les politiques basées sur l’identité :** oui
Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
### Exemples de politiques basées sur l’identité pour la surveillance synthétique du réseau
Pour afficher des exemples de politiques basées sur l’identité pour la surveillance synthétique du réseau, consultez [Exemples de politiques basées sur l'identité pour Amazon CloudWatch](security_iam_id-based-policy-examples.md).
## Politiques basées sur les ressources pour la surveillance synthétique du réseau
**Prend en charge les politiques basées sur les ressources :** non
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Par exemple, les *politiques de confiance de rôle* IAM et les *politiques de compartiment* Amazon S3 sont des politiques basées sur les ressources. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources. Les principaux peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou. Services AWS
Pour permettre un accès intercompte, vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que principal dans une politique basée sur les ressources. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Actions de politique pour la surveillance synthétique du réseau
**Prend en charge les actions de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Pour consulter une liste des actions de la surveillance synthétique du réseau, consultez [Actions définies par la surveillance synthétique du réseau](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions) dans la *Référence pour l’autorisation des services*.
Les actions de politique dans la surveillance synthétique du réseau utilisent le préfixe suivant avant l’action :
```
networkmonitor
```
Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.
```
"Action": [
"networkmonitor:action1",
"networkmonitor:action2"
]
```
Pour afficher des exemples de politiques basées sur l’identité pour la surveillance synthétique du réseau, consultez [Exemples de politiques basées sur l'identité pour Amazon CloudWatch](security_iam_id-based-policy-examples.md).
## Ressources de politique pour la surveillance synthétique du réseau
**Prend en charge les ressources de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Pour consulter la liste des types de ressources Network Synthetic Monitor et leurs caractéristiques ARNs, consultez la section [Ressources définies par Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-resources-for-iam-policies) dans la *référence d'autorisation de service*. Pour savoir avec quelles actions vous pouvez spécifier l’ARN de chaque ressource, consultez [Actions définies par la surveillance synthétique du réseau](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions).
## Clés de condition de politique pour la surveillance synthétique du réseau
**Prend en charge les clés de condition de politique spécifiques au service :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Pour voir une liste des clés de condition de la surveillance synthétique du réseau, consultez [Clés de condition pour la surveillance synthétique du réseau](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-policy-keys) dans la *Référence pour l’autorisation de service*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez [Actions définies par la surveillance synthétique du réseau](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions).
## ACLs dans un moniteur synthétique en réseau
**Supports ACLs :** Non
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
## ABAC avec la surveillance synthétique du réseau
**Prend en charge ABAC (identifications dans les politiques) :** partiellement
Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit les autorisations en fonction des attributs nommés balise. Vous pouvez associer des balises aux entités et aux AWS ressources IAM, puis concevoir des politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de la ressource.
Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.
Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est **Oui**. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est **Partielle**.
Pour plus d’informations sur ABAC, consultez [Définition d’autorisations avec l’autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*. Pour accéder à un didacticiel décrivant les étapes de configuration de l’ABAC, consultez [Utilisation du contrôle d’accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation d’informations d’identification temporaires avec la surveillance synthétique du réseau
**Prend en charge les informations d’identification temporaires :** oui
Les informations d'identification temporaires fournissent un accès à court terme aux AWS ressources et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d’informations, consultez [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.
## Autorisations de principal interservices pour la surveillance synthétique du réseau
**Prend en charge les sessions d’accès direct (FAS) :** oui
Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Rôles de service pour la surveillance synthétique du réseau
**Prend en charge les rôles de service :** Non
Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*.
**Avertissement**
La modification des autorisations d’un rôle de service peut interrompre la fonctionnalité de la surveillance synthétique du réseau. Modifiez les rôles de service uniquement lorsque la surveillance synthétique du réseau fournit des conseils à cet effet.
## Utilisation d’un rôle lié à un service pour la surveillance synthétique du réseau
**Prend en charge les rôles liés à un service :** oui
Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre Compte AWS fichier et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Pour plus d’informations sur la création ou la gestion des rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam-nw.html). Recherchez un service dans le tableau qui inclut un `Yes` dans la colonne **Rôle lié à un service**. Choisissez le lien **Oui** pour consulter la documentation du rôle lié à ce service.
# Exemples de politiques basées sur l’identité pour la surveillance synthétique du réseau
Par défaut, les utilisateurs et les rôles n’ont pas l’autorisation de créer ou de modifier les ressources de la surveillance synthétique du réseau. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.
Pour plus de détails sur les actions et les types de ressources définis par Network Synthetic Monitor, y compris le ARNs format de chaque type de ressource, voir [Actions, ressources et clés de condition pour Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html) dans la *référence d'autorisation de service*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices-nw)
+ [Utilisation de la console de la surveillance synthétique du réseau](#security_iam_id-based-policy-examples-console-nw)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions-nw)
+ [Dépannage de l’identité et de l’accès de la surveillance synthétique du réseau](security_iam_troubleshoot-nw.md)
## Bonnes pratiques en matière de politiques
Les stratégies basées sur l’identité déterminent si quelqu’un peut créer, accéder ou supprimer des ressources de la surveillance synthétique du réseau dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la console de la surveillance synthétique du réseau
Pour accéder à la console de la surveillance synthétique du réseau, vous devez disposer d’un ensemble minimum d’autorisations. Ces autorisations doivent vous permettre de répertorier et d’afficher des détails sur les ressources de la surveillance synthétique du réseau dans votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API qu’ils tentent d’effectuer.
Pour garantir que les utilisateurs et les rôles peuvent toujours utiliser la console Network Synthetic Monitor, associez également le Network Synthetic Monitor `ConsoleAccess` ou la politique `ReadOnly` AWS gérée aux entités. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console-nw) dans le *Guide de l’utilisateur IAM*.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Dépannage de l’identité et de l’accès de la surveillance synthétique du réseau
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec la surveillance synthétique du réseau et l’IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans la surveillance synthétique du réseau](#security_iam_troubleshoot-no-permissions-nw)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole-nw)
+ [Je souhaite autoriser des personnes extérieures à moi Compte AWS à accéder aux ressources de mon Network Synthetic Monitor](#security_iam_troubleshoot-cross-account-access-nw)
## Je ne suis pas autorisé à effectuer une action dans la surveillance synthétique du réseau
Si vous recevez une erreur qui indique que vous n’êtes pas autorisé à effectuer une action, vos politiques doivent être mises à jour afin de vous permettre d’effectuer l’action.
L’exemple d’erreur suivant se produit quand l’utilisateur IAM `mateojackson` tente d’utiliser la console pour afficher des informations détaillées sur une ressource `my-example-widget` fictive, mais ne dispose pas des autorisations `networkmonitor:GetWidget` fictives.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: networkmonitor:GetWidget on resource: my-example-widget
```
Dans ce cas, la politique qui s’applique à l’utilisateur `mateojackson` doit être mise à jour pour autoriser l’accès à la ressource `my-example-widget` à l’aide de l’action `networkmonitor:GetWidget`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je ne suis pas autorisé à effectuer iam : PassRole
Si vous recevez une erreur indiquant que vous n’êtes pas autorisé à effectuer l’action `iam:PassRole`, vos politiques doivent être mises à jour pour vous permettre de transmettre un rôle à la surveillance synthétique du réseau.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L’exemple d’erreur suivant se produit lorsqu’un utilisateur IAM nommé `marymajor` tente d’utiliser la console pour effectuer une action dans la surveillance synthétique du réseau. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je souhaite autoriser des personnes extérieures à moi Compte AWS à accéder aux ressources de mon Network Synthetic Monitor
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si la surveillance synthétique du réseau prend en charge ces fonctionnalités, consultez [Comment Amazon CloudWatch travaille avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# AWS politiques gérées pour Network Synthetic Monitor
Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l’expertise pour [créer des politiques gérées par le client IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre AWS compte. Pour plus d'informations sur les politiques AWS gérées, voir les [politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *guide de l'utilisateur IAM*.
AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonctionnalité est lancée ou quand de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique `ReadOnlyAccess` AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page [politiques gérées par AWS pour les fonctions de tâche](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : CloudWatchNetworkMonitorServiceRolePolicy
`CloudWatchNetworkMonitorServiceRolePolicy`Il est associé à un rôle lié au service qui permet au service d'effectuer des actions en votre nom et d'accéder aux ressources associées à CloudWatch Network Synthetic Monitor. Vous ne pouvez pas associer cette politique à vos identités IAM. Pour de plus amples informations, veuillez consulter [Utilisation d’un rôle lié à un service pour la surveillance synthétique du réseau](monitoring-using-service-linked-roles-nw.md).
## Mises à jour des politiques AWS gérées par Network Synthetic Monitor
Pour en savoir plus sur les mises à jour des politiques AWS gérées pour Network Synthetic Monitor depuis que ce service a commencé à suivre ces modifications, consultez la section [CloudWatch mises à jour des politiques AWS gérées](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates). Pour recevoir des alertes automatiques concernant les modifications de politique gérées dans CloudWatch, abonnez-vous au flux RSS sur la page [Historique du CloudWatch document](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html).
# Autorisations IAM pour la surveillance synthétique du réseau
Pour utiliser la surveillance synthétique du réseau, les utilisateurs doivent disposer des autorisations correctes.
Pour plus d'informations sur la sécurité sur Amazon CloudWatch, consultez[Gestion des identités et des accès pour Amazon CloudWatch](auth-and-access-control-cw.md).
## Autorisations requises pour afficher un moniteur
Pour afficher un moniteur pour Network Synthetic Monitor dans le AWS Management Console, vous devez être connecté en tant qu'utilisateur ou en tant que rôle disposant des autorisations suivantes :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"networkmonitor:Get*",
"networkmonitor:List*"
],
"Resource": "*"
}
]
}
```
------
## Autorisations requises pour créer un moniteur
Pour créer une surveillance du réseau synthétique, les utilisateurs doivent avoir l’autorisation de créer un rôle lié à un service qui est associé à la surveillance synthétique du réseau. Pour en savoir plus sur le rôle lié au service, veuillez consulter la rubrique [Utilisation d’un rôle lié à un service pour la surveillance synthétique du réseau](monitoring-using-service-linked-roles-nw.md).
Pour créer un moniteur pour Network Synthetic Monitor dans le AWS Management Console, vous devez être connecté en tant qu'utilisateur ou en tant que rôle disposant des autorisations incluses dans la politique suivante.
**Note**
Si vous créez une politique d'autorisations basée sur l'identité qui est plus restrictive, les utilisateurs tributaires de cette politique ne pourront pas créer de moniteur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"networkmonitor:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/networkmonitor.amazonaws.com/AWSServiceRoleForNetworkMonitor",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "networkmonitor.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:GetRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/networkmonitor.amazonaws.com/AWSServiceRoleForNetworkMonitor"
},
{
"Action": [
"ec2:CreateSecurityGroup",
"ec2:CreateNetworkInterface",
"ec2:CreateTags"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
# Utilisation d’un rôle lié à un service pour la surveillance synthétique du réseau
Network Synthetic Monitor utilise le rôle lié au service suivant pour les autorisations dont il a besoin pour appeler d'autres AWS services en votre nom :
+ [`AWSServiceRoleForNetworkMonitor`](#security-iam-awsmanpol-AWSServiceRoleForNetworkMonitor)
## `AWSServiceRoleForNetworkMonitor`
La surveillance synthétique du réseau utilise le rôle lié à un service nommé `AWSServiceRoleForNetworkMonitor` pour mettre à jour et gérer les moniteurs.
Le rôle lié à un service `AWSServiceRoleForNetworkMonitor` approuve le fait que le service suivant endosse le rôle :
+ `networkmonitor.amazonaws.com`
Le `CloudWatchNetworkMonitorServiceRolePolicy` est attaché au rôle lié à un service et accorde au service l’accès aux ressources VPC et EC2 de votre compte, ainsi que la gestion des moniteurs que vous créez.
### Groupes d'autorisations
La politique est regroupée dans les ensembles d’autorisations suivants :
+ `cloudwatch`- Cela permet au directeur du service de publier les métriques de surveillance du réseau sur les CloudWatch ressources.
+ `ec2`- Cela permet au responsable du service de décrire les sous-réseaux de votre compte VPCs et de créer ou de mettre à jour des moniteurs et des sondes. Cela permet également au principal du service de créer, de modifier et de supprimer des groupes de sécurité, des interfaces réseau et leurs autorisations associées afin de configurer le moniteur ou la sonde afin d’envoyer le trafic de surveillance à vos points de terminaison.
Pour voir les autorisations de cette stratégie, consultez [CloudWatchNetworkMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkMonitorServiceRolePolicy.html) dans le *AWS Guide de référence des stratégies gérées par*.
## Création du rôle lié à un service
`AWSServiceRoleForNetworkMonitor`
Vous n'avez pas besoin de créer manuellement le rôle lié à un service `AWSServiceRoleForNetworkMonitor`.
+ La surveillance synthétique du réseau crée le rôle `AWSServiceRoleForNetworkMonitor` lorsque vous créez votre premier moniteur avec la fonctionnalité. Ce rôle s’applique ensuite à tous les moniteurs supplémentaires que vous créez.
Pour qu’un rôle lié à un service puisse être créé en votre nom, vous devez avoir les autorisations requises. Pour de plus amples informations, veuillez consulter [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le * Guide de l'utilisateur IAM*
## Modification du rôle lié à un service
Vous pouvez modifier la description de `AWSServiceRoleForNetworkMonitor ` à l’aide d’IAM. Pour de plus amples informations, veuillez consulter [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Suppression du rôle lié à un service
Si vous n’avez plus besoin d’utiliser la surveillance synthétique du réseau, nous vous recommandons de supprimer le rôle `AWSServiceRoleForNetworkMonitor`.
Vous ne pouvez supprimer ces rôles liés à un service qu’après avoir supprimé vos moniteurs. Pour plus d’informations, consultez [Supprimer un moniteur](https://docs.aws.amazon.com/ ).
Vous pouvez utiliser la console IAM, l'IAM CLI ou l'IAM API pour supprimer les rôles liés aux services. Pour de plus amples informations, veuillez consulter [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l'utilisateur IAM*.
Après avoir supprimé `AWSServiceRoleForNetworkMonitor `, la surveillance synthétique du réseau créera à nouveau le rôle lorsque vous créerez un nouveau moniteur.
## Régions prises en charge pour le rôle lié à un service de la surveillance synthétique du réseau
Network Synthetic Monitor prend en charge le rôle lié au service partout Régions AWS où le service est disponible. Pour plus d’informations, veuillez consulter la rubrique [Points de terminaison AWS](https://docs.aws.amazon.com//general/latest/gr/rande.html) dans le *Références générales AWS*.
## Supprimer le rôle lié à un service
Si vous n’avez plus besoin d’utiliser la surveillance synthétique du réseau, nous vous recommandons de supprimer le rôle `AWSServiceRoleForNetworkMonitor`.
Vous ne pouvez supprimer ces rôles liés à un service qu’après avoir supprimé vos moniteurs. Pour plus d’informations, consultez [Supprimer un moniteur](https://docs.aws.amazon.com/ ).
Vous pouvez utiliser la console IAM, l'IAM CLI ou l'IAM API pour supprimer les rôles liés aux services. Pour de plus amples informations, veuillez consulter [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l'utilisateur IAM*.
Après avoir supprimé `AWSServiceRoleForNetworkMonitor `, la surveillance synthétique du réseau créera à nouveau le rôle lorsque vous créerez un nouveau moniteur.