# Network Synthetic Monitor の使用
Network Synthetic Monitor は、AWS ホストアプリケーションをオンプレミスの宛先に接続するネットワークのパフォーマンスを可視化し、ネットワークパフォーマンスの低下の原因を数分以内に特定できるようにします。Network Synthetic Monitor は AWS によって完全に管理されており、モニタリング対象リソース対して個別のエージェントは必要ありません。Network Synthetic Monitor を使用して、ハイブリッドネットワーク接続のパケット損失とレイテンシーの視覚化、およびアラートとしきい値の設定を行います。その後、この情報に基づいて、エンドユーザーのエクスペリエンスを向上させるためのアクションを実行できます。
Network Synthetic Monitor は、ネットワークのパフォーマンスをリアルタイムで把握しようとするネットワークオペレーターとアプリケーション開発者を対象としています。
## Network Synthetic Monitor の主な機能
+ Network Synthetic Monitor を使用すると、継続的にリアルタイムのパケット損失とレイテンシーのメトリクスを使って、変化するハイブリッドネットワーク環境のベンチマークを行うことができます。
+ AWS Direct Connect を使用して接続すると、Network Synthetic Monitor が Amazon CloudWatch アカウントに書き込む Network Health Indicator (NHI) を使用して、AWS ネットワーク内のネットワークの低下を迅速に診断することができます。NHI メトリクスはバイナリ値で、ネットワークの低下が AWS 内にあるかどうかに関する確率スコアに基づいています。
+ Network Synthetic Monitor は、フルマネージド型エージェントアプローチを使用してモニタリングを実現するため、VPC にもオンプレミスにもエージェントをインストールする必要はありません。開始するには、VPC サブネットとオンプレミス IP アドレスを指定するだけです。AWS PrivateLink を使用すると、VPC と Network Synthetic Monitor リソース間のプライベート接続を確立できます。詳細については、「[インターフェイス VPC エンドポイントでの CloudWatch、CloudWatch Synthetics、および CloudWatch Network Monitoring の使用](cloudwatch-and-interface-VPC.md)」を参照してください。
+ Network Synthetic Monitor は CloudWatch メトリクスにメトリクスを公開します。ダッシュボードを作成して、メトリクスを表示したり、アプリケーションに固有のメトリクスに基づく実用的なしきい値やアラームを作成したりすることもできます。
詳細については、「[Network Synthetic Monitor の仕組み](nw-monitor-how-it-works.md)」を参照してください。
## Network Synthetic Monitor の用語とコンポーネント
+ **プローブ** – プローブは、AWS ホストリソースからオンプレミスの宛先 IP アドレスに送信されるトラフィックです。プローブによって測定された Network Synthetic Monitor メトリクスは、モニターで設定した各プローブの CloudWatch アカウントに書き込まれます。
+ **モニター** – モニターは、作成した Network Synthetic Monitor *プローブ*が測定するトラフィックのネットワークパフォーマンスやその他のヘルス情報を表示します。モニターの作成の一環としてプローブを追加し、モニターを使用してネットワークパフォーマンスメトリクス情報を表示できます。アプリケーションのモニタを作成するときは、ネットワークソースとして AWS ホストリソースを追加します。Network Synthetic Monitor はその後、AWS ホストリソースと宛先 IP アドレスの間で組み合わせ可能なすべてのプローブのリストを作成します。トラフィックをモニターする送信先を選択します。
+ **AWS ネットワークソース** — AWS ネットワークソースは、モニタプローブの送信元の AWS ソースで、いずれかの VPC 内のサブネットになります。
+ **宛先** — 宛先は、オンプレミスネットワーク内にある、AWS ネットワークソースのターゲットです。宛先は、オンプレミスの IP アドレス、ネットワークプロトコル、ポート、およびネットワークパケットサイズで構成されます。IPv4 と IPv6 アドレスの両方がサポートされます。
## Network Synthetic Monitor の要件と制限
以下に、Network Synthetic Monitor の要件と制限をまとめています。特定のクォータ (または制限) については、「[Network Synthetic Monitor](cloudwatch_limits.md#nw-monitor-quotas)」を参照してください。
+ モニターサブネットは、モニターと同じアカウントが所有している必要があります。
+ Network Synthetic Monitor は、AWS ネットワークに問題が発生した場合に、自動ネットワークフェイルオーバーを提供しません。
+ 作成するプローブごとに料金が発生します。料金の詳細については、「[Network Synthetic Monitor の料金](pricing-nw.md)」を参照してください。
# Network Synthetic Monitor の仕組み
Network Synthetic Monitor は AWS によって完全に管理されており、モニタリング対象リソース対して個別のエージェントは必要ありません。代わりに、VPC サブネットとオンプレミス IP アドレスを指定することで、*プローブ*を指定します。
AWS ホスト リソースに Network Synthetic Monitor のモニターを作成すると、AWS は、ラウンドトリップタイムとパケット損失の測定に必要なインフラストラクチャをバックグラウンドで作成および管理します。AWS が必要な設定を管理するため、AWS インフラストラクチャ内へのエージェントのインストールやアンインストールを必要とせずに、モニタリングを迅速に拡張できます。
プローブを作成するとき、カスタマイズされた Elastic Network Interface (ENI) が作成され、プローブインスタンスとお客様のサブネットにアタッチされます。例えば、Network Synthetic Monitor がプローブインスタンスを置き換える場合、プローブに異常が発生すると、Network Synthetic Monitor は ENI をデタッチし、置き換えたプローブに再アタッチします。したがって、プローブを削除して同じ送信元と送信先用に新しいプローブを作成しない限り、ENI の IP アドレスが作成後に変更されることはありません。
Network Synthetic Monitor は、AWS リージョン からのすべてのフローを広範囲にモニタリングするのではなく、AWS ホストリソースからのフローがたどるルートを重点的にモニタリングします。ワークロードが複数のアベイラビリティーゾーンに分散している場合、Network Synthetic Monitor は各プライベートサブネットからのルートをモニタリングできます。
Network Synthetic Monitor は、モニタの作成時に設定した集計間隔に基づいて、ラウンドトリップタイムとパケット損失のメトリクスを Amazon CloudWatch アカウントに公開します。CloudWatch を使用して、モニタごとに個別のレイテンシーとパケット損失のしきい値を設定することもできます。例えば、パケット損失の影響を受けやすいワークロードのパケット損失平均が静的 0.1% のしきい値を超えた場合にユーザーに通知するアラームを作成できます。また、CloudWatch の異常検出機能を使用して、パケット損失やレイテンシーのメトリクスが望ましい範囲を超えたときにアラームを出すこともできます。
## 可用性とパフォーマンスの測定
Network Synthetic Monitor は、AWS リソースからオンプレミスの宛先に定期的にアクティブなプローブを送信します。モニタを作成する際には、以下を指定できます。
+ **[集約間隔:]** CloudWatch が測定結果を受け取る時間 (秒単位)。これは 30 秒ごと、または 60 秒ごとになります。モニタに選択した集計間隔は、そのモニタ内のすべてのプローブに適用されます。
+ **[プローブ ソース (AWS リソース):]** プローブのソースは、ネットワークが運用されているリージョン内の VPC および関連サブネット、または VPC サブネットのみです。
+ **[プローブの送信先 (顧客リソース):]** プローブの送信先は、オンプレミスの IP アドレス、ネットワーク プロトコル、ポート、ネットワーク パケット サイズの組み合わせです。
+ **[プローブ プロトコル:]** サポートされているプロトコル、ICMP または TCP のいずれか 1 つ。詳細については、「[サポートされる通信プロトコル](#nw-monitor-protocol)」を参照してください。
+ **[ポート (TCP 用):]** ネットワークが接続に使用するポート。
+ **[パケット サイズ (TCP 用):]** 1 つのプローブで AWS ホスト リソースと送信先との間で送信される各パケットのサイズ (バイト単位)。モニタ内のプローブごとに異なるパケットサイズを指定できます。
モニターが発行するメトリクスは次のとおりです:
+ **[ラウンドトリップタイム:]** このメトリクスは、マイクロ秒単位で測定され、パフォーマンスの尺度となります。プローブが送信先 IP アドレスに送信され、関連するレスポンスが受信されるまでにかかる時間を記録します。ラウンドトリップタイムは、集約間隔中に観測された平均時間です。
+ **[パケットロス:]** このメトリクスは、送信されたパケットの合計の割合を測定し、関連レスポンスを受信しなかった送信の数を記録します。応答がない場合は、パケットがネットワークパスで失われたことを意味します。
## サポートされる通信プロトコル
Network Synthetic Monitor は、ICMP と TCP の 2 つのプローブプロトコルをサポートしています。
ICMP ベースのプローブは、AWS ホストリソースからの ICMP エコー要求を宛先アドレスに送信し、その応答として ICMP エコーが返されることを期待します。Network Synthetic Monitor は、ICMP エコー要求と応答メッセージの情報を使用して、ラウンドトリップタイムとパケット損失のメトリクスを計算します。
TCP ベースのプローブは、AWS ホスト リソースからの TCP SYN パケットを送信先のアドレスとポートに送信し、TCP SYN\$1ACK パケットが返されることを期待します。Network Synthetic Monitor は、TCP SYN および TCP SYN\$1ACK メッセージの情報を使用して、ラウンドトリップタイムとパケット損失のメトリクスを計算します。Network Synthetic Monitor はソース TCP ポートを定期的に切り替えてネットワークカバレッジを広げます。これにより、パケット損失を検出できる可能性を高めています。
## AWS 向けネットワークヘルスインジケータ
Network Synthetic Monitor は、Network Synthetic Monitorは、Direct Connect 経由で接続された宛先を含むパスについて、AWS ネットワークの問題に関する情報を提供するネットワークヘルスインジケータ (NHI) メトリックを公開します。
NHI バイナリ値は、モニターがデプロイされている AWS ホスト リソースから Direct Connect ロケーションまでの、AWS が制御するネットワークパスの正常性を示す統計的測定値に基づいています。Network Synthetic Monitor は、異常検出機能を使用して、ネットワークパスにおける可用性の低下やパフォーマンスの低下を計算します。
NHI は、Cloud WAN を搭載した中間ルーティングを使用する Direct Connect アタッチメントに対しては正確ではありません。Cloud WAN を含むハイブリッドネットワークがある場合は、NHI 値をパフォーマンス問題の指標として使用しないでください。
**注記**
新しいモニタを作成したり、プローブを追加したり、プローブを再度有効にしたりするたびに、そのモニタの NHI に数時間遅延が生じます。その間に AWS はデータを収集して異常検出を実行します。
NHI の値を指定するために、Network Synthetic Monitor は、AWS サンプル データセット全体にも、ネットワークパスをシミュレートするトラフィックのパケット損失メトリクスと往復遅延メトリクスにも統計的相関も適用します。NHI は、1 または 0 の 2 つの値のいずれかになります。値が 1 の場合は、Network Synthetic Monitor が、AWS によって制御されているネットワークパス内でネットワークパフォーマンスの低下を観察したことを示します。値が 0 の場合は、Network Synthetic Monitor が、このパスに沿った AWS ネットワークのネットワークの低下を一切観測しなかったことを示します。NHI の値を使用することで、ネットワークの問題をより迅速に認識できます。例えば、NHI メトリクスにアラートを設定すると、ネットワークパスに沿った AWS ネットワークで発生している問題について通知を受けることができます。
## IPv4 アドレスと IPv6 アドレスのサポート
Network Synthetic Monitor は、IPv4 または IPv6 ネットワーク上の可用性とパフォーマンスのメトリクスを備え、デュアルスタック VPC の IPv4 または IPv6 アドレスをモニタリングできます。Network Synthetic Monitor では、同じモニタ内に IPv4 と IPv6 両方の宛先を設定することはできませんが、IPv4 のみの宛先と IPv6 のみの宛先のモニタを別々に作成することができます。
# Network Synthetic Monitor をサポートする AWS リージョン
このセクションでは、Network Synthetic Monitor がサポートされる AWS リージョン がリストされています。Network Synthetic Monitor がサポートされるリージョン (オプトイン リージョンを含む) の詳細については、「*Amazon Web Services 全般のリファレンス*」の「[Network Synthetic Monitor のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/cwnm_region.html)」を参照してください。
| リージョン名 | リージョン |
| --- | --- |
| アフリカ (ケープタウン) | af-south-1 |
| アジアパシフィック (香港) | ap-east-1 |
| アジアパシフィック (ハイデラバード) | ap-south-2 |
| アジアパシフィック (ジャカルタ) | ap-southeast-3 |
| アジアパシフィック (マレーシア) | ap-southeast-5 |
| アジアパシフィック (メルボルン) | ap-southeast-4 |
| アジアパシフィック (ムンバイ) | ap-south-1 |
| アジアパシフィック (大阪) | ap-northeast-3 |
| アジアパシフィック (ソウル) | ap-northeast-2 |
| アジアパシフィック (シンガポール) | ap-southeast-1 |
| アジアパシフィック (シドニー) | ap-southeast-2 |
| アジアパシフィック (タイ) | ap-southeast-7 |
| アジアパシフィック (東京) | ap-northeast-1 |
| カナダ (中部) | ca-central-1 |
| カナダ西部 (カルガリー) | ca-west-1 |
| 欧州 (フランクフルト) | eu-central-1 |
| 欧州 (アイルランド) | eu-west-1 |
| 欧州 (ロンドン) | eu-west-2 |
| ヨーロッパ (ミラノ) | eu-south-1 |
| 欧州 (パリ) | eu-west-3 |
| 欧州 (スペイン) | eu-south-2 |
| 欧州 (ストックホルム) | eu-north-1 |
| 欧州 (チューリッヒ) | eu-central-2 |
| イスラエル (テルアビブ) | il-central-1 |
| メキシコ (中部) | mx-central-1 |
| 中東 (バーレーン) | me-south-1 |
| 中東 (UAE) | me-central-1 |
| 南米 (サンパウロ) | sa-east-1 |
| 米国東部(バージニア北部) | us-east-1 |
| 米国東部 (オハイオ) | us-east-2 |
| 米国西部 (北カリフォルニア) | us-west-1 |
| 米国西部 (オレゴン) | us-west-2 |
# Network Synthetic Monitor の料金
Network Synthetic Monitor には前払いコストや長期間のコミットメントはありません。Network Synthetic Monitor の料金には次の 2 つの要素があります。
+ モニタリング対象 AWS リソースあたりの時間料金
+ CloudWatch メトリクス料金
Network Synthetic Monitor でモニターを作成する際に、モニタリング対象の AWS リソース (ソース) を関連付けます。Network Synthetic Monitor の場合、これらのリソースは Amazon Virtual Private Cloud (VPC) のサブネットです。各リソースごとに、VPC のサブネットから 4 つのユーザー送信先 IP アドレスへのトラフィックに対して、最大 4 つのプローブを作成できます。請求額を抑えるには、モニタリングするリソースの数を減らして、サブネットのカバレッジとオンプレミスの IP アドレス宛先カバレッジを調整します。
料金の詳細については、「[Amazon CloudWatch 料金表](https://aws.amazon.com//cloudwatch/pricing/)」を参照してください。
# Network Synthetic Monitor API オペレーション
次の表に、Amazon CloudWatch で使用できる Network Synthetic Monitor API オペレーションを示します。関連ドキュメントへのリンクについては、この表を参照してください。
| Action | API リファレンス | 詳細情報 |
| --- | --- | --- |
| 送信元サブネットと送信先 IP アドレスの間にモニターを作成します。 | 「[CreateMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_CreateMonitor.html)」を参照してください | 「[モニターを作成する](getting-started-nw.md)」を参照してください。 |
| モニター内にプローブを作成します。 | 「[CreateProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_CreateProbe.html)」を参照してください | 「[プローブのアクティブ化または非アクティブ化](nw-monitor-probe-status.md)」を参照してください。 |
| モニターを削除します。 | 「[DeleteMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_DeleteMonitor.html)」を参照してください | 「[モニタの削除](nw-monitor-delete.md)」を参照してください。 |
| 特定のプローブを削除します。 | 「[DeleteProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_DeleteProbe.html)」を参照してください | 「[プローブの削除](nw-monitor-probe-delete.md)」を参照してください。 |
| モニターに関する情報を取得します。 | 「[GetMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_GetMonitor.html)」を参照してください | 「[Network Synthetic Monitor でのモニタとプローブの操作](nw-monitor-working-with.md)」を参照してください。 |
| 固有の IdP に関する情報を取得します。 | 「[GetProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_GetProbe.html)」を参照してください | 「[Network Synthetic Monitor でのモニタとプローブの操作](nw-monitor-working-with.md)」を参照してください。 |
| すべてのモニターのリストを取得します。 | 「[ListMonitors](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_ListMonitors.html)」を参照してください | 「[Network Synthetic Monitor でのモニタとプローブの操作](nw-monitor-working-with.md)」を参照してください。 |
| リソースに割り当てられたタグを一覧表示します。 | 「[ListTagsForResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_ListTagsForResource.html)」を参照してください | 「[リソースのタグ付けまたはタグ付け解除](nw-monitor-tags-cli.md)」を参照してください。 |
| モニターまたはプローブにキーと値のペアまたはタグを追加します。 | 「[TagResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_TagResource.html)」を参照してください | 「[リソースのタグ付けまたはタグ付け解除](nw-monitor-tags-cli.md)」を参照してください。 |
| モニターまたはプローブからキーと値のペアまたはタグを削除します。 | 「[UntagResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UntagResource.html)」を参照してください | 「[リソースのタグ付けまたはタグ付け解除](nw-monitor-tags-cli.md)」を参照してください。 |
| モニターの集計期間を更新します。 | 「[UpdateMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UpdateMonitor)」を参照してください | 「[モニターの編集](nw-monitor-edit.md)」を参照してください。 |
| モニタのプローブを更新します。 | 「[UpdateProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UpdateProbe)」を参照してください | 「[プローブの編集](nw-monitor-probe-edit.md)」を参照してください。 |
# Network Synthetic Monitor でのモニタとプローブの操作
まず、Network Synthetic Monitor でプローブを使用してモニターを作成し、指定された集約期間におけるネットワークパフォーマンスを測定します。次に、モニターを更新して、集約期間の変更、プローブの非アクティブ化やアクティブ化、タグの追加や削除などの、必要な変更を行うことができます。
以下のセクションでは、Amazon CloudWatch コンソールを使用してモニターとプローブのこれらのタスクを完了するための段階的な手順を示します。また、AWS Command Line Interface を使用してモニターを変更することもできます。
**Topics**
+ [
# モニターを作成する
](getting-started-nw.md)
+ [
# モニターの編集
](nw-monitor-edit.md)
+ [
# モニタの削除
](nw-monitor-delete.md)
+ [
# プローブのアクティブ化または非アクティブ化
](nw-monitor-probe-status.md)
+ [
# プローブをモニタに追加する
](nw-monitor-add-probe.md)
+ [
# プローブの編集
](nw-monitor-probe-edit.md)
+ [
# プローブの削除
](nw-monitor-probe-delete.md)
+ [
# リソースのタグ付けまたはタグ付け解除
](nw-monitor-tags-cli.md)
# モニターを作成する
以下のセクションでは、必要なプローブを含め、Network Synthetic Monitor でモニターを作成する方法について説明します。モニターを作成するときは、ソース サブネットを選択してからそれぞれに最大 4 つの送信先を追加して、プローブを指定します。各送信元と送信先のペアはプローブです。
モニターの作成後に、プローブの追加、削除、無効化などの変更を加えることができます。詳細については、「[Network Synthetic Monitor でのモニタとプローブの操作](nw-monitor-working-with.md)」を参照してください。
Amazon CloudWatch コンソールまたは AWS Command Line Interface を使用して、モニターとプローブを操作できます。Network Synthetic Monitor をプログラムで操作するには、「AWS Command Line Interface コマンド リファレンス」の「[Network Synthetic Monitor API リファレンス](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)」と「[Networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)」を参照してください。
次の手順では、Amazon CloudWatch コンソールを使用してモニターを作成する方法を段階を追って説明します。
+ [モニターの詳細を定義する](#NWDefineDetails)
+ [送信元と送信先を選ぶ](#NWSourceDestination)
+ [プローブを確認する](#NWConfirmProbes)
+ [モニタ-を確認して作成する](#NWReviewCreate)
**重要**
これらの手順は、すべてを一度に完了することを想定しています。実行中の作業を保存して、後で続行することはできません。
## モニタの詳細を定義する
モニターを作成するための最初の手順は、モニターに名前を付け、集約期間を定義することで、基本的な詳細を定義することです。必要に応じて、タグも追加できます。
**モニタの詳細を定義するには**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) で CloudWatch コンソールを開き、**[ネットワークモニタリング]** の下で **[Synthetic Monitor]** を選択します。
1. **[Create monitor]** (モニターの作成) を選択します。
1. **[モニタ名]** には、モニタの名前を入力します。
1. **[集約期間]** には、CloudWatch にメトリクスを送信する頻度 (**[30 秒]** または **[60 秒]**) を選択します。
**注記**
集約期間が短いほど、ネットワークの問題をより迅速に検出できます。ただし、選択した集約期間は、請求費用に影響する可能性があります。料金の詳細については、「[Amazon CloudWatch 料金表](https://aws.amazon.com//cloudwatch/pricing/)」を参照してください。
1. (オプション) **[タグ]** には、このリソースを識別するのに役立つ **[キー]** と **[値]** のペアを追加して、特定の情報で検索またはフィルタリングできるようにします。
1. [**新しいタグを追加**] をクリックします。
1. **[キー]** の名前と関連する **[値]** を入力します。
1. **[新しいタグを追加]** を選択して新しいタグを追加します。
**[新しいタグを追加]** を選択して複数のタグを追加することも、**[削除]** を選択してタグを削除することもできます。
1. タグをモニタのプローブと関連付ける場合は、**[モニタによって作成されたプローブにタグを追加]** を選択したままにします。これによりタグがモニタプローブに追加され、タグベースの認証や計測に役立ちます。
1. [**次へ**] を選択します。次のページで、送信元と送信先を指定して、モニターのプローブを作成します。
## 送信元と送信先を選ぶ
Network Synthetic Monitor の各モニターに対して、1 つまたは複数のプローブを指定します。これは、AWS の送信元と送信先の組み合わせです。
+ プローブの送信元は、ネットワークが運用されているリージョンの VPC および関連するサブネット (または VPC サブネットのみ) です。
+ 送信先は、オンプレミスの IP アドレス、ネットワーク プロトコル、ポート、ネットワーク パケット サイズで構成されます。
**重要**
これらの手順は、すべてを一度に完了することを想定しています。実行中の作業を保存して、後で続行することはできません。
**送信元と送信先を選択するには**
1. 前提条件:「[モニタの詳細を定義する](#define-details-nw)」を完了していること。
1. **[AWS** **ネットワークソース]** で、モニタに含めるサブネットを 1 つ以上選択します。VPC 内のすべてのサブネットを選択するには、VPC を選択します。または、VPC 内の特定のサブネットを選択します。選択する VPC およびサブネットがモニターのソースです。
1. **[送信先 1]** には、オンプレミスネットワークの送信先 IP アドレスを入力します。IPv4 と IPv6 アドレスの両方がサポートされます。
1. **[詳細設定]** を選択します。
1. **[プロトコル]** では、オンプレミスの送信先のネットワーク プロトコルを選択します。プロトコルは **[ICMP]** または **[TCP]** のいずれかになります。
1. **[TCP]** を選択した場合は、次の情報を入力します。
1. ネットワークが接続に使用する **[ポート]** を入力します。ポートは **1**~**65535** の数字でなければなりません。
1. **[パケットサイズ]** を入力します。これは、送信元と送信先の間のプローブで送信される各パケットのサイズ (バイト単位) です。パケットサイズは **56**~**8500** の数値でなければなりません。
1. このモニターに別のオンプレミスの送信先を追加するには、**[送信先を追加]** を選択します。追加する宛先ごとに、この手順を繰り返します。
1. 送信元と送信先の追加が完了したら、**[次へ]** を選択してモニターのプローブを確認します。
## プローブを確認する
**[プローブの確認]** ページで、モニター用に作成されるすべてのプローブを確認し、送信元と送信先の正しいセットであることを確認します。
**[プローブの確認]** ページには、指定したプローブ仕様の送信元と送信先の可能なすべての組み合わせが表示されます。例えば、送信元サブネットが 6 つ、送信先 IP アドレスが 4 つある場合、組み合わせ可能なプローブは合計 24 とおりあるため、24 種類のプローブが作成されます。
**重要**
これらのステップは、1 回のセッションで完了することを目的としています。実行中の作業を保存して、後で続行することはできません。
**[プローブの確認]** ページには、プローブが有効かどうかは表示されません。このページをよく確認してから、有効でないプローブを削除することをお勧めします。削除しない場合は、有効でないプローブの料金が請求されることがあります。
**モニタプローブを確認するには**
1. 前提条件:「[送信元と送信先を選ぶ](#source-destination-nw)」を完了していること。
1. **[プローブの確認]** ページで、ソースと宛先プローブの組み合わせのリストを確認します。
1. モニタから削除するプローブを選択し、**[削除]** を選択します。
**注記**
プローブの削除を確認するプロンプトは表示されません。プローブを削除して復元する場合は、再度設定する必要があります。「[プローブをモニタに追加する](nw-monitor-add-probe.md)」の手順に従って、既存のモニタにプローブを追加できます。
1. **[次へ]** を選択し、モニターの詳細を確認します。
## モニターを確認して作成する
最後のステップでは、モニタ-の詳細とモニタ-のプローブを確認してから、モニターを作成します。この時点では、モニタに関するあらゆる情報を変更することができます。
正しくない情報すべての確認と変更が完了したら、モニタを作成します。
モニタを作成するとすぐに、Network Synthetic Monitor はメトリクスの追跡を開始し、モニタ内のプローブの課金を開始します。
**重要**
このステップは、1 回のセッションで完了することを目的としています。実行中の作業を保存して、後で続行することはできません。
セクションを編集する場合は、編集を行った時点からモニタを作成するプロセスを段階的に実行する必要があります。以前のモニタ作成ページでは、既に入力した情報が保持されます。
**モニタを確認して作成するには**
1. **[プローブの確認と作成]** ページで、変更したいセクションの **[編集]** を選択します。
1. そのセクションに変更を加え、**[次へ]** を選択します。
1. 編集が完了したら、**[モニタの作成]** を選択します。
[Network Synthetic Monitor] ページの **[モニター]** セクションには、モニタ作成の現在の状態が表示されます。Network Synthetic Monitor がモニタを作成している間、**[状態]** は **[保留中]** です。**[状態]** が **[アクティブ]** に変更されたら、モニター ダッシュボードに CloudWatch メトリクスを表示できます。
モニタダッシュボードの使用の詳細については、「[Network Synthetic Monitor ダッシュボード](nw-monitor-dashboards.md)」を参照してください。
**注記**
新しく追加されたモニタがネットワークメトリクスの収集を開始するまでに数分かかることがあります。
# モニターの編集
Network Synthetic Monitor の情報は編集できます。例えば名前を変更したり、新しい集計期間を設定したり、タグを追加または削除したりできます。モニタの情報を変更しても、関連するプローブは変更されません。
Amazon CloudWatch コンソールまたは AWS Command Line Interface を使用して、モニターとプローブを操作できます。Network Synthetic Monitor をプログラムで操作するには、「AWS Command Line Interface コマンド リファレンス」の「[Network Synthetic Monitor API リファレンス](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)」と「[Networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)」を参照してください。
**コンソールを使用してモニタを編集するには**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) で CloudWatch コンソールを開き、**[ネットワークモニタリング]** の下で **[Synthetic Monitor]** を選択します。
1. **[モニター]** セクションで、編集するモニタを選択します。
1. モニタのダッシュボードページで **[編集]** を選択します。
1. **[モニタ名]** には、モニタの新しい名前を入力します。
1. **[集計期間]** には、CloudWatch にメトリクスを送信する頻度を選択します。有効な期間は次のとおりです。
+ **30 秒**
+ **60 秒**
**注記**
集約期間が短いほど、ネットワークの問題をより迅速に検出できます。ただし、選択した集約期間は、請求費用に影響する可能性があります。料金の詳細については、「[Amazon CloudWatch 料金表](https://aws.amazon.com//cloudwatch/pricing/)」を参照してください。
1. (オプション) このリソースの特定を容易にするために、**[タグ]** セクションに **[キー]** と **[値]** のペアを追加します。これにより、特定の情報で検索またはフィルタリングできるようになります。また、現在のいずれかの **[キー]** の **[値]** だけを変更することもできます。
1. [**新しいタグを追加**] をクリックします。
1. **[キー]** の名前と関連する **[値]** を入力します。
1. **[新しいタグを追加]** を選択して新しいタグを追加します。
**[新しいタグを追加]** を選択して複数のタグを追加することも、**[削除]** を選択してタグを削除することもできます。
1. タグをモニタと関連付ける場合は、**[モニタによって作成されたプローブにタグを追加]** をオンのままにします。これによりタグがモニタプローブに追加され、タグベースの認証や計測を使用する場合に役立ちます。
1. **[Save changes]** (変更の保存) をクリックします。
# モニタの削除
Network Synthetic Monitor のモニターを削除する前に、モニターの **[状態]** に関係なく、そのモニターに関連付けられているすべてのプローブを非アクティブ化または削除する必要があります。モニターを非アクティブ化または削除すれば、モニターのプローブの料金を請求されることはありません。削除されたモニタを復元することはできないことに注意してください。
Amazon CloudWatch コンソールまたは AWS Command Line Interface を使用して、モニターとプローブを操作できます。Network Synthetic Monitor をプログラムで操作するには、「AWS Command Line Interface コマンド リファレンス」の「[Network Synthetic Monitor API リファレンス](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)」と「[Networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)」を参照してください。
**コンソールを使用してモニタを削除するには**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) で CloudWatch コンソールを開き、**[ネットワークモニタリング]** の下で **[Synthetic Monitor]** を選択します。
1. **[モニター]** セクションで、削除するモニタを選択します。
1. **[アクション]**、**[削除]** の順に選択します。
1. モニタにアクティブなプローブがある場合は、非アクティブ化するよう求められます。**[プローブを非アクティブ化]** を選択します。
**注記**
**[プローブを非アクティブ化]** を選択した後に、この操作をキャンセルまたは元に戻すことはできません。ただし、非アクティブ化されたプローブはモニタから削除されません。必要に応じて、後で再度アクティブ化できます。詳細については、「[プローブのアクティブ化または非アクティブ化](nw-monitor-probe-status.md)」を参照してください。
1. 確認フィールドに **confirm** を入力し、**[削除]** を選択します。
または、AWS Command Line Interface を使用するなどして、プログラムでモニターを削除することもできます。
**CLI を使用してモニタを削除するには**
1. モニタを削除するには、モニタ名が必要です。名前がわからない場合は、[list-monitors](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/list-monitors.html) コマンドを使用してモニタのリストを取得します。削除するモニタの名前を書き留めておきます。
1. そのモニタにアクティブなプローブが含まれているかどうかを確認します。前の手順で取得したモニタ名を使って [get-monitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/get-monitor.html) を使用します。これにより、そのモニタに関連するすべてのプローブのリストが返されます。
1. モニタにアクティブなプローブが含まれている場合は、まずそれらのプローブを非アクティブに設定するか、削除する必要があります。
+ プローブを非アクティブに設定するには、[update-probe](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/update-probe.html) を使用し、状態を `INACTIVE` に設定します。
+ プローブを削除するには、[delete-probe](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/delete-probe.html) を使用します。
1. プローブを `INACTIVE` に設定するか、削除したら、[delete-monitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/create-probe.html) コマンドを実行してモニタを削除できます。モニタを削除しても、非アクティブなプローブは削除されません。
# プローブのアクティブ化または非アクティブ化
Network Synthetic Monitor のモニターのプローブは、アクティブ化または非アクティブ化することができます。例えば、現在使用していないものの、将来再び使用する可能性があるプローブは、非アクティブ化することをお勧めします。プローブを削除するのではなく非アクティブ化することで、設定にもう一度時間を費やす必要がなくなります。非アクティブ化したプローブには課金されません。
Amazon CloudWatch コンソールまたは AWS Command Line Interface を使用して、モニターとプローブを操作できます。Network Synthetic Monitor をプログラムで操作するには、「AWS Command Line Interface コマンド リファレンス」の「[Network Synthetic Monitor API リファレンス](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)」と「[Networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)」を参照してください。
**コンソールを使用してプローブをアクティブまたは非アクティブに設定するには**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) で CloudWatch コンソールを開き、**[ネットワークモニタリング]** の下で **[Synthetic Monitor]** を選択します。
1. **[モニタの詳細]** タブを選択します。
1. **[プローブ]** セクションで、アクティブ化または非アクティブ化するプローブを選択します。
1. **[アクション]** を選択し、**[アクティブ化]** または **[非アクティブ化]** を選択します。
**注記**
プローブを再アクティブ化すると、プローブに対する課金が再開されます。
# プローブをモニタに追加する
Network Synthetic Monitor の既存のモニターにプローブを追加できます。プローブをモニタに追加すると、請求構造が更新され、新しいプローブが含まれるようになることに注意してください。
Amazon CloudWatch コンソールまたは AWS Command Line Interface を使用して、モニターとプローブを操作できます。Network Synthetic Monitor をプログラムで操作するには、「AWS Command Line Interface コマンド リファレンス」の「[Network Synthetic Monitor API リファレンス](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)」と「[Networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)」を参照してください。
**コンソールを使用してプローブをモニタに追加するには**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) で CloudWatch コンソールを開き、**[ネットワークモニタリング]** の下で **[Synthetic Monitor]** を選択します。
1. **[モニター]** セクションで、次のいずれかを実行します。
+ プローブの追加先のモニタの **[名前]** リンクを選択します。**[モニタの詳細]** タブを選択し、**[プローブ]** セクションで **[プローブを追加]** を選択します。
+ モニタのチェックボックスをオンにし、**[アクション]** を選択し、次に **[プローブを追加]** を選択します。
1. **[プローブを追加]** ページで、次の手順を実行します。
1. **[AWS** **ネットワークソース]** で、モニタに追加するサブネットを選択します。
**注記**
一度に追加できるプローブは 1 つだけです。モニタあたり最大 4 つのプローブを追加できます。
1. オンプレミスネットワークの宛先 **[IP アドレス]** を入力します。IPv4 と IPv6 両方のアドレスがサポートされます。
1. **[詳細設定]** を選択します。
1. 宛先のネットワークの **[プロトコル]** を選択します。**[ICMP]** または **[TCP]** を選択できます。
1. **[プロトコル]** を **[TCP]** にする場合は、次の情報を入力します。それ以外の場合は、次の手順に進みます。
+ ネットワークが接続に使用する **[ポート]** を入力します。ポートは **1**~**65535** の数字でなければなりません。
+ **[パケットサイズ]** を入力します。これは、プローブによってソースと宛先の間で送信される各パケットのサイズ (バイト単位) です。パケットサイズは **56**~**8500** の数値でなければなりません。
1. (オプション) このリソースの特定を容易にするために、**[タグ]** セクションに **[キー]** と **[値]** のペアを追加します。これにより、特定の情報で検索またはフィルタリングできるようになります。
1. [**新しいタグを追加**] をクリックします。
1. **[キー]** の名前と関連する **[値]** を入力します。
1. **[新しいタグを追加]** を選択して新しいタグを追加します。
**[新しいタグを追加]** を選択して複数のタグを追加することも、**[削除]** を選択して任意のタグを削除することもできます。
1. **[プローブを追加]** を選択します。
プローブのアクティブ化中は、**[状態]** は **[保留中]** になります。プローブが **[アクティブ]** になるまでに数分かかる場合があります。
# プローブの編集
プローブがアクティブか非アクティブかに関係なく、既存のプローブの情報はすべて変更することができます。
Amazon CloudWatch コンソールまたは AWS Command Line Interface を使用して、モニターとプローブを操作できます。Network Synthetic Monitor をプログラムで操作するには、「AWS Command Line Interface コマンド リファレンス」の「[Network Synthetic Monitor API リファレンス](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)」と「[Networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)」を参照してください。
**コンソールを使用してプローブを編集するには**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) で CloudWatch コンソールを開き、**[ネットワークモニタリング]** の下で **[Synthetic Monitor]** を選択します。
**[名前]** で、モニタリンクを選択して、モニタダッシュボードを開きます。
1. **[モニタの詳細]** タブを選択します。
1. **[プローブ]** セクションで、編集するプローブのリンクを選択します。
1. [プローブの詳細] ページで、**[編集]** を選択します。
1. **[プローブの編集]** ページで、プローブの新しい宛先の **[IP アドレス]** を入力します。IPv4 と IPv6 アドレスの両方がサポートされます。
1. **[詳細設定]** を選択します。
1. ネットワークの **[プロトコル]** (**[ICMP]** または **[TCP]**) を選択します。
1. **[プロトコル]** を **[TCP]** にする場合は、次の情報を入力します。
+ ネットワークが接続に使用する **[ポート]** を入力します。ポートは **1**~**65535** の数字でなければなりません。
+ **[パケットサイズ]** を入力します。これは、プローブによってソースと宛先の間で送信される各パケットのサイズ (バイト単位) です。パケットサイズは **56**~**8500** の数値でなければなりません。
1. (オプション) プローブのタグを追加、変更、または削除します。
1. **[Save changes]** (変更の保存) をクリックします。
# プローブの削除
後で再度必要としないことがわかっている場合は、プローブを非アクティブ化せずに削除できます。削除したプローブは復元できないため、再作成する必要があります。プローブが削除されると、そのプローブの課金は終了します。
Amazon CloudWatch コンソールまたは AWS Command Line Interface を使用して、モニターとプローブを操作できます。Network Synthetic Monitor をプログラムで操作するには、「AWS Command Line Interface コマンド リファレンス」の「[Network Synthetic Monitor API リファレンス](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)」と「[Networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)」を参照してください。
**コンソールを使用してプローブを削除するには**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) で CloudWatch コンソールを開き、**[ネットワークモニタリング]** の下で **[Synthetic Monitor]** を選択します。
1. **[モニター]** セクションの **[名前]** で、モニタリンクを選択してモニタダッシュボードを開きます。
1. **[モニタの詳細]** タブを選択します。
1. モニタのチェックボックスをオンにし、**[アクション]** を選択してから **[削除]** を選択します。
1. **[プローブを削除]** ダイアログボックスで、次の作業を行います:
1. **[削除]** を選択してプローブの削除を確定します。
**[プローブ]** セクションのプローブの **[状態]** に **[削除中]** と表示されます。削除が完了すると、そのプローブは **[プローブ]** セクションから削除されます。
# リソースのタグ付けまたはタグ付け解除
Network Synthetic Monitor でリソース タグを操作して、タグを追加または削除できます。
コンソールでモニターまたはプローブを更新することで、タグを更新できます。または、プログラムで、例えば AWS Command Line Interface を使用して、タグを操作することもできます。
**CLI を使用してモニタタグを更新するには**
+ リソースのタブをリストするには、[list-tags-for-resources](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/list-tags-for-resources.html) を使用します。
+ リソースにタグを付けるには、[tag-resource](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/tag-resource.html) を使用します。
+ リソースのタグを解除するには、[untag-resource](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/untag-resource.html) を使用します。
# Network Synthetic Monitor ダッシュボード
Network Synthetic Monitor のダッシュボードを使用すると、AWS によりネットワーク問題が発生しているかどうか確認できます。また、ネットワークヘルスインジケータ (NHI) を使用して、ラウンドトリップタイムとパケット損失を調べたりできます。この情報とメトリクスは、モニターや個々のプローブに対して表示できます。
Network Synthetic Monitor は、CloudWatch Metrics で表示できるメトリクスをいくつか作成します。Network Synthetic Monitor が返すメトリクスのアラームを指定できます。詳細については、「[プローブアラーム](cw-nwm-create-alarm.md)」を参照してください。
**Topics**
+ [
# モニター ダッシュボード
](nw-monitor-db.md)
+ [
# プローブ ダッシュボード
](nw-probe-db.md)
+ [
# メトリクスの時間枠を指定する
](nw-monitor-time-frame.md)
# モニター ダッシュボード
Network Synthetic Monitor のモニタダッシュボードを使用すると、ネットワークヘルスインジケータ (NHI) を表示したり、プローブのラウンドトリップタイムとモニタレベルでのパケット損失を調べたりできます。つまり、モニター ダッシュボードには、モニター用に作成されたすべてのプローブに対してこの情報が表示されます。
Network Synthetic Monitor には、プローブレベルの情報を表示するためのプローブ用のダッシュボードもあります。詳細については、「[プローブ ダッシュボード](nw-probe-db.md)」を参照してください。
**モニタダッシュボードにアクセスするには**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) で CloudWatch コンソールを開き、**[ネットワークモニタリング]** の下で **[Synthetic Monitor]** を選択します。
1. **[モニター]** セクションで、**[名前]** リンクを選択してモニタダッシュボードを開きます。
## 概要ページ
**[概要]** ページには、モニターの次の情報が表示されます。
+ **[ネットワークヘルス]** — ネットワークヘルスは、ネットワークヘルスインジケータ (NHI) 値を表示します。これは、AWS ネットワークのヘルスにのみ関連しています。NHI ステータスは **[正常]** または **[パフォーマンス低下]** として表示されます。**[正常]** ステータスは、Network Synthetic Monitor が AWS ネットワークに関する問題を観測しなかったことを示します。**[パフォーマンス低下]** ステータスは、Network Synthetic Monitor が AWS ネットワークに関する問題を観察したことを示します。このセクションのステータス バーには、デフォルト値の 1 時間にわたるネットワークヘルスインジケータの状態が表示されます。ステータス バーにある任意のポイントにカーソルを合わせると、追加の詳細が表示されます。
+ **[プローブ トラフィックの概要]** — モニターのプローブに指定された送信元 AWS サブネットとプローブの送信先 IP アドレス間のトラフィックの現在の状態が表示されます。この概要には、以下が表示されます:
+ **[アラームのプローブ]** — この数字は、パフォーマンスが低下している状態にある、このモニターのプローブの数を示します。アラームとして設定したメトリクスがトリガーされると、アラームがトリガーされます。Network Synthetic Monitor でのメトリクス用アラームの作成の詳細については、「[プローブアラーム](cw-nwm-create-alarm.md)」を参照してください。
+ **[パケット損失]** — ソースサブネットから宛先 IP アドレスの間で失われたパケットの数。これは、送信されたパケット全体に占める割合で表されます。
+ **[ラウンドトリップタイム]** — ソースサブネットからのパケットが送信先 IP アドレスに到達し、ソースに戻ってくるまでの時間 (ミリ秒単位)。ラウンドトリップタイムは、集約期間中に観測された平均 RTT です。
データはインタラクティブ グラフに表されるため、詳細を調べることができます。
デフォルトでは、データは現在の日付と時刻から計算された 2 時間の時間枠で表示されます。ただし、時間の範囲はニーズに合わせて変更することができます。詳細については、「[メトリクスの時間枠を指定する](nw-monitor-time-frame.md)」を参照してください。
### メトリクスの追跡
Network Synthetic Monitor の **[概要]** ダッシュボードには、モニターとプローブがグラフィカルに表示されます。以下のグラフが表示されます。
+ **ネットワークヘルスインジケータ** — これは、指定された期間にわたって NHI 値を表しています。NHI は、ネットワークの問題が AWS ネットワークの問題に起因するかどうかを示します。NHI は、**[正常]** (AWS ネットワークに問題なし) または **[パフォーマンス低下]** (AWS ネットワークに問題あり) として表示されます。
次の例では、15:00 UTC から 15:05 UTC までの間に、ネットワークの問題 (**[パフォーマンス低下]**) が原因で AWS ネットワークの問題が発生したことがわかります。15:05 以降、AWS ネットワークに関するネットワークの問題は終了し、値は **[正常]** に戻されました。グラフの任意の部分にカーソルを合わせると、追加の詳細が表示されます。
![\[正常な状態とパフォーマンス低下状態の両方を示す AWS ネットワークヘルスインジケータ。\]](http://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/monitoring/images/nwm_network_health.png)
**注記**
NHI は、問題が AWS ネットワークに起因することを示します。AWS ネットワークの全体的な正常性や Network Synthetic Monitor プローブの正常性については説明しません。
+ **パケットロス** — このグラフには、モニタ内の各プローブのパケットロスの割合を示す線が表示されます。ページ下部の凡例には、モニタ内の各プローブが一意になるように色分けされて表示されます。グラフのプローブにカーソルを合わせると、送信元サブネット、送信先 IP アドレス、およびパケットロスの割合が表示されます。
次の例では、サブネットから IP アドレス 127.0.0.1 へのプローブにパケットロスのアラームが作成されています。このアラームは、プローブのパケット損失がしきい値を超えたときにトリガーされました。グラフにカーソルを合わせると、プローブの送信元と送信先が表示され、11 月 21 日 02:41:30 にこのプローブで 30.97% のパケットロスがあったことがわかります。
![\[パケット損失が 30.97% のプローブの例を示す [パケット損失]。\]](http://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/monitoring/images/nwm_packet_loss.png)
+ **ラウンドトリップタイム** — このグラフには、各プローブのラウンドトリップタイムを示す線が表示されます。ページ下部の凡例には、モニタ内の各プローブが一意になるように色分けされて表示されます。このグラフのプローブにカーソルを合わせると、送信元サブネット、送信先 IP アドレス、およびラウンドトリップタイムが表示されます。
次の例は、11 月 21 日火曜日の 21:45:30 に、サブネットから IP アドレス 127.0.0.1 へのプローブのラウンドトリップタイムが 0.075 秒だったことを示しています。
![\[プローブのラウンドトリップタイムを示す例。\]](http://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/monitoring/images/nwm_rtt.png)
## モニタの詳細
**[モニターの詳細]** ページには、モニターのプローブのリストなど、モニターに関する詳細が表示されます。タグを更新または追加したり、プローブを追加したりできます。このページには以下のセクションがあります:
+ **[モニタの詳細]** — このページには、モニタに関する詳細が表示されます。このセクションでは情報を編集することはできません。ただし、Network Synthetic Monitor サービス リンクロールの詳細を表示できます: **[ロール名]** リンクを選択します。
+ **[プローブ]** — このセクションには、モニタに関連するすべてのプローブのリストが表示されます。**[VPC]** または **[サブネット ID]** リンクを選択すると、Amazon VPC コンソールで VPC またはサブネットの詳細が開きます。プローブを変更して、アクティブ化または非アクティブ化できます。詳細については、「[Network Synthetic Monitor でのモニタとプローブの操作](nw-monitor-working-with.md)」を参照してください。
**[プローブ]** セクションには、プローブの **[ID]**、**[VPC ID]**、**[サブネット ID]**、**[IP アドレス]**、**[プロトコル]**、およびプローブが **[アクティブ]** か **[非アクティブ]** かなど、そのモニターに設定された各プローブに関する情報が表示されます。
プローブにアラームが作成されている場合、そのアラームの現在の **[ステータス]** が表示されます。**[OK]** のステータスは、アラームをトリガーしたメトリクスイベントがないことを示します。**[アラーム内]** のステータスは、CloudWatch で作成したメトリクスがアラームをトリガーしたことを示します。プローブのステータスが表示されていない場合、その CloudWatch のアラームはありません。作成できる Network Synthetic Monitor のプローブ アラームのタイプについては、「[プローブアラーム](cw-nwm-create-alarm.md)」を参照してください。
+ **[タグ]** — モニタの現在のタグが表示されます。タグを追加または削除するには、**[タグを管理]** を選択します。これにより **[プローブの編集]** ページが開きます。タグの編集の詳細については、「[モニターの編集](nw-monitor-edit.md)」を参照してください。
# プローブ ダッシュボード
Network Synthetic Monitor の **[プローブ]** ダッシュボードを使用すると、プローブのネットワークヘルスインジケータ (NHI) や、特定のプローブのラウンドトリップタイムとパケットロスに関する情報を表示できます。**[概要]** ページと **[プローブの詳細]** ページの 2 つのプローブのダッシュボードがあります。
CloudWatch アラームを作成して、パケット損失とラウンドトリップタイムのメトリクスしきい値を設定することができます。メトリクスしきい値に達すると、CloudWatch アラームから通知が送信されます。プローブ作成の詳細については、「[プローブアラーム](cw-nwm-create-alarm.md) 」を参照してください。
**プローブダッシュボードにアクセスするには**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) で CloudWatch コンソールを開き、**[ネットワークモニタリング]** の下で **[Synthetic Monitor]** を選択します。
1. **[モニター]** セクションで、**[名前]** リンクを選択して特定のモニターのダッシュボードを開きます。
1. 特定のプローブのダッシュボードを表示するには、プローブの **[ID]** リンクを選択します。
## 概要ページ
**[概要]** ページには、プローブに関する次の情報が表示されます:
+ **[ネットワークヘルス]** — ネットワークヘルスは、ネットワークヘルスインジケータ (NHI) 値を表示します。これは、AWS ネットワークのヘルスにのみ関連しています。NHI ステータスは **[正常]** または **[パフォーマンス低下]** のいずれかになります。**[正常]** ステータスは、Network Synthetic Monitor がプローブの AWS ネットワークに関する問題を観測しなかったことを示します。**[パフォーマンス低下]** ステータスは、Network Synthetic Monitor が AWS ネットワークに関する問題を観察したことを示します。このセクションのステータス バーには、デフォルト値の 1 時間にわたるネットワークヘルスインジケータの状態が表示されます。ステータス バーにある任意のポイントにカーソルを合わせると、追加の詳細が表示されます。
+ **[パケット損失]** — ソースサブネットから宛先 IP アドレスの間で失われたこのプローブのパケットの数。
+ **[ラウンドトリップタイム]** — ソース サブネットからのパケットが送信先 IP アドレスに到達し、ソースに戻ってくるまでにかかる時間 (ミリ秒単位)。ラウンドトリップタイム (RTT) は、集約期間中に観測された平均 RTT です。
## プローブの詳細
**[プローブの詳細]** ページには、送信元や送信先などのプローブに関する情報が表示されます。プローブの編集、例えば、プローブを有効化または無効化することもできます。詳細については、「[Network Synthetic Monitor でのモニタとプローブの操作](nw-monitor-working-with.md)」を参照してください。
+ **[プローブの詳細]** — このセクションでは、編集できないプローブに関する一般的な情報が得られます。
+ **[プローブの送信元と送信先]** — このセクションにはプローブに関する詳細が表示されます。**[VPC]** または **[サブネット ID]** リンクを選択すると、Amazon VPC コンソールで VPC またはサブネットの詳細が開きます。プローブの変更、例えば、プローブのアクティブ化または非アクティブ化ができます。
+ **[タグ]** — モニタの現在のタグが表示されます。タグを追加または削除するには、**[タグを管理]** を選択します。これにより **[プローブの編集]** ページが開きます。タグの編集の詳細については、「[プローブの編集](nw-monitor-probe-edit.md)」を参照してください。
# メトリクスの時間枠を指定する
Network Synthetic Monitor のダッシュボード上のメトリクスとイベントは、現在の時刻から計算されたデフォルトの時刻である 2 時間を使用しますが、使用するカスタム メトリクスのデフォルトの時間枠を設定できます。デフォルトを次のいずれかのメトリクス時間枠のプリセット使用できます:
+ **1h** — 1 時間
+ **2h** — 2 時間
+ **1d** — 1 日
+ **1w** — 1 週間
カスタムの時間枠を設定することもできます。**[カスタム]** を選択し、**[絶対時間]** または **[相対時間]** を選択して、時間枠を任意の時間に設定します。相対時間は、CloudWatch のガイドラインに従って、今日の日付から 15 日前のみをサポートします。
さらに、UTC タイムゾーンまたはローカルタイムゾーンのいずれかに基づいてチャートに表示される時間を選択できます。
詳細については、「[CloudWatch ダッシュボードの時間範囲またはタイムゾーン形式の変更](change_dashboard_time_format.md)」を参照してください。
# プローブアラーム
Amazon CloudWatch アラームは、他の Amazon CloudWatch メトリクスと同様に、Network Synthetic Monitor メトリクスに基づいて作成できます。作成したアラームは、アラームがトリガーされたときに、Network Synthetic Monitor ダッシュボードの **[モニターの詳細]** セクションにあるプローブの **[ステータス]** 列に表示されます。ステータスは **[OK]** または **[アラーム状態]** になります。プローブのステータスが表示されない場合、そのプローブのアラームは作成されません。
例えば、Network Synthetic Monitor のメトリクス `PacketLoss` に基づいてアラームを作成し、このメトリクスが選択した値を上回ったときに通知を送信するように設定できます。Network Synthetic Monitor メトリクスのアラームは、他の CloudWatch メトリクスと同じガイドラインに従って設定します。
Network Synthetic Monitor 用の CloudWatch アラームを作成する場合、`AWS/NetworkMonitor` の以下のメトリクスを利用できます。
+ **ヘルスインジケータ**
+ **パケット損失**
+ **RTT (ラウンドトリップタイム)**
CloudWatch に Network Synthetic Monitor アラームを作成する手順については、「[静的しきい値に基づいて CloudWatch アラームを作成する](ConsoleAlarms.md)」を参照してください。
# Network Synthetic Monitor のデータセキュリティとデータ保護
AWS でのクラウドセキュリティは最優先事項です。AWS のユーザーは、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを利用できます。
セキュリティは AWS とお客様の間の共有責任です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)ではこれをクラウド*の*セキュリティおよびクラウド*内*のセキュリティと説明しています。
+ **クラウドのセキュリティ** - AWS は、AWS クラウド で AWS のサービスを実行するインフラストラクチャを保護する責任を担います。また、AWS は、ユーザーが安全に使用できるサービスも提供します。[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)の一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。Network Synthetic Monitor に適用するコンプライアンスプログラムの詳細については、「[コンプライアンスプログラムによる対象範囲内の AWS のサービス](https://aws.amazon.com/compliance/services-in-scope/)」「」を参照してください。
+ **クラウド内のセキュリティ** - ユーザーの責任は、使用する AWS のサービスに応じて異なります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。
このドキュメントは、Network Synthetic Monitor を使用する際の責任共有モデルの適用方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成に向けて Network Synthetic Monitor を設定する方法について説明します。また、Network Synthetic Monitor リソースのモニタリングや保護に役立つ他の AWS のサービスの使用方法についても説明します。
**Topics**
+ [
# Network Synthetic Monitor でのデータ保護
](data-protection-nw.md)
+ [
# Network Synthetic Monitor のインフラストラクチャセキュリティ
](infrastructure-security-nw.md)
# Network Synthetic Monitor でのデータ保護
AWS [責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)は、Network Synthetic Monitor のデータ保護に適用されます。このモデルで説明されているように、「AWS」は、「AWS クラウド」のすべてを実行するグローバルインフラストラクチャを保護する責任があります。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「AWS のサービス」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。
データを保護するため、「AWS アカウント」認証情報を保護し、AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ AWS CloudTrail で API とユーザーアクティビティロギングを設定します。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「**AWS CloudTrail ユーザーガイド」の「[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS のサービス内のすべてのデフォルトセキュリティコントロールに加え、AWS 暗号化ソリューションを使用します。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API を使用して AWS にアクセスする際に FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS SDK によって Network Synthetic Monitor や他の AWS のサービス サービスを使用する場合も同様です。タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
# Network Synthetic Monitor のインフラストラクチャセキュリティ
マネージドサービスである Network Synthetic Monitor は、「[Amazon Web Services: セキュリティプロセスの概要](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)」ホワイトペーパーに記載されている AWS グローバルネットワークセキュリティの手順で保護されています。
ネットワーク経由で Network Synthetic Monitor にアクセスするには、AWS が発行した API コールを使用します。クライアントで Transport Layer Security (TLS) 1.0 以降がサポートされている必要があります。TLS 1.2 以降が推奨されています。また、DHE (Ephemeral Diffie-Hellman) や ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。
また、リクエストにはアクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、[AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。
# Network Synthetic Monitor 用の ID およびアクセス管理
AWS Identity and Access Management (IAM) は、AWS リソースへのアクセスを管理者が安全に制御するために役立つ AWS のサービスです。IAM の管理者は、誰を認証 (サインインを許可) し、誰に Network Synthetic Monitor リソースの使用を承認する (アクセス許可を持たせる) かを制御します。IAM は、AWSのサービスで追加料金は発生しません。IAM の機能を使用して、他のユーザー、サービス、およびアプリケーションが完全にまたは制限付きでお客様のAWSリソースを使用できるようにします。その際、お客様のセキュリティ認証情報は共有されません。
デフォルトでは、IAM ユーザーには、AWS リソースを作成、表示、変更するためのアクセス許可はありません。IAM ユーザーがグローバルネットワークなどのリソースにアクセスし、タスクを実行できるようにするには、次の操作を行う必要があります。
+ 必要な特定のリソースと API アクションを使用するアクセス許可をユーザーに付与する IAM ポリシーを作成します。
+ IAM ユーザーまたは IAM ユーザーが属するグループに、そのポリシーをアタッチします。
ポリシーをユーザーまたはユーザーのグループにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。
## 条件キー
`Condition` 要素 (または条件ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition 要素はオプションです。イコールや以下などの条件演算子を使用する条件表現を構築して、リクエスト内に値のあるポリシーの条件に一致させることができます。詳細については、「AWS Identity and Access Management ユーザーガイド」の「[IAM JSON ポリシー要素: 条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)」を参照してください。
1 つのステートメントに複数の `Condition` 要素を指定する場合、または 1 つの `Condition` 要素に複数のキーを指定する場合、AWS では `AND` 論理演算子を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWS では `OR` 論理演算子を使用して条件を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。
条件を指定する際にプレースホルダー変数も使用できます。例えば IAM ユーザーに、IAM ユーザー名がタグ付けされている場合のみリソースにアクセスできる権限を付与することができます。
タグを Network Synthetic Monitor リソースにアタッチすることも、Cloud WAN へのリクエストでタグを渡すこともできます。タグに基づいてアクセスを制御するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの条件要素でタグ情報を提供します。詳細については、「AWS Identity and Access Management ユーザーガイド」の「[IAM JSON ポリシー要素: 条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
すべての AWS グローバル条件キーを確認するには、「AWS Identity and Access Management ユーザーガイド」の「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
## コアネットワークリソースのタグ付け
タグは、ユーザーまたは AWS が AWS リソースに割り当てるメタデータラベルです。各タグは、キーと値から構成されます。ユーザーが割り当てるタグは、ユーザーがキーと値を定義します。たとえば、1 つのリソースのキーを `purpose` と定義し、値を `test` と定義します。タグは、以下のことに役立ちます。
+ AWS リソースの特定と整理。多くの AWS のサービスではタグ付けがサポートされるため、さまざまなサービスからリソースに同じタグを割り当てて、リソースの関連を示すことができます。
+ AWS リソースへのアクセスを制御します。詳細については、「AWS Identity and Access Management ユーザーガイド」の「[タグを使用した AWS リソースへのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)」を参照してください。
# IAM と Network Synthetic Monitor の連携のしくみ
IAM を使用して Network Synthetic Monitor へのアクセスを管理する前に、Network Synthetic Monitor で利用できる IAM の機能を確認してください。
**Network Synthetic Monitor で利用できる IAM 機能**
| IAM 機能 | Network Synthetic Monitor のサポート |
| --- | --- |
| [アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies-nw) | あり |
| [リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies-nw) | なし |
| [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions-nw) | あり |
| [ポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources-nw) | あり |
| [ポリシー条件キー](#security_iam_service-with-iam-id-based-policies-conditionkeys-nw) | あり |
| [ACL](#security_iam_service-with-iam-acls-nw) | なし |
| [ABAC (ポリシー内のタグ)](#security_iam_service-with-iam-tags-nw) | 部分的 |
| [一時認証情報](#security_iam_service-with-iam-roles-tempcreds-nw) | あり |
| [プリンシパルアクセス権限](#security_iam_service-with-iam-principal-permissions-nw) | あり |
| [サービスロール](#security_iam_service-with-iam-roles-service-nw) | いいえ |
| [サービスリンクロール](#security_iam_service-with-iam-roles-service-linked-nw) | はい |
Network Synthetic Monitor およびその他の AWS サービスと多くの IAM 機能の連携についての概要は、「*IAM ユーザーガイド*」の「[IAM と連携する AWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## Network Synthetic Monitor の ID ベースのポリシー
**アイデンティティベースのポリシーのサポート:** あり
アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### Network Synthetic Monitor の ID ベースのポリシー例
Network Synthetic Monitor の ID ベースのポリシー例を確認するには、「[Amazon CloudWatch のアイデンティティベースのポリシー例](security_iam_id-based-policy-examples.md)」を参照してください。
## Network Synthetic Monitor 内のリソースベースのポリシー
**リソースベースのポリシーのサポート:** なし
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM *ロールの信頼ポリシー*や Amazon S3 *バケットポリシー*があげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーションユーザー、または AWS のサービス を含めることができます。
クロスアカウントアクセスを有効にするには、全体のアカウント、または別のアカウントの IAM エンティティを、リソースベースのポリシーのプリンシパルとして指定します。詳細については、IAM ユーザーガイド**の[IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)を参照してください。
## Network Synthetic Monitor のポリシーアクション
**ポリシーアクションのサポート:** あり
管理者は AWS JSON ポリシーを使用して、だれが何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどのような**リソース**にどのような**条件**で**アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Network Synthetic Monitor アクションのリストを確認するには、「*サービス認可リファレンス*」の「[Network Synthetic Monitor で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions)」を参照してください。
Network Synthetic Monitor のポリシーアクションは、アクションの前に次のプレフィックスを使用します。
```
networkmonitor
```
単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。
```
"Action": [
"networkmonitor:action1",
"networkmonitor:action2"
]
```
Network Synthetic Monitor の ID ベースのポリシー例を確認するには、「[Amazon CloudWatch のアイデンティティベースのポリシー例](security_iam_id-based-policy-examples.md)」を参照してください。
## Network Synthetic Monitor のポリシー リソース
**ポリシーリソースのサポート:** あり
管理者は AWS JSON ポリシーを使用して、だれが何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
Network Synthetic Monitor リソースのタイプとその ARN のリストを確認するには、「*サービス認可リファレンス*」の「[Network Synthetic Monitor で定義されるリソースタイプ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-resources-for-iam-policies)」を参照してください。どのアクションで各リソースの ARN を指定できるかについては、「[Network Synthetic Monitor で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions)」を参照してください。
## Network Synthetic Monitor のポリシー条件キー
**サービス固有のポリシー条件キーのサポート:** あり
管理者は AWS JSON ポリシーを使用して、だれが何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどんな**リソース**にどんな**条件**で**アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)を参照してください。
Network Synthetic Monitor の条件キーのリストを確認するには、「*サービス認可リファレンス*」の「[Network Synthetic Monitor の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-policy-keys)」を参照してください。どのアクションやリソースで条件キーを使用できるかについては、「[Network Synthetic Monitor で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions)」を参照してください。
## Network Synthetic Monitor の ACL
**ACL のサポート:** なし
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
## Network Synthetic Monitor での ABAC
**ABAC (ポリシー内のタグ) のサポート:** 一部
属性ベースのアクセスコントロール (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグを付けることで、プリンシパルのタグがリソースタグと一致するときに操作を許可する ABAC ポリシーを設計できます。
タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。
ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。
## Network Synthetic Monitor での一時的な認証情報の使用
**一時的な認証情報のサポート:** あり
一時的な認証情報は、AWSリソースへの短期的なアクセスを提供し、フェデレーションの使用時またはロールの切り替え時に自動的に作成されます。AWS では、長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## Network Synthetic Monitor のクロスサービスプリンシパル許可
**転送アクセスセッション (FAS) のサポート:** あり
転送アクセスセッション (FAS) は、AWS のサービス を呼び出すプリンシパルのアクセス許可を AWS のサービス のリクエストと合わせて使用し、ダウンストリームのサービスに対してリクエストを行います。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。
## Network Synthetic Monitor のサービスロール
**サービスロールのサポート:** なし
サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービス に許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。
**警告**
サービスロールのアクセス許可を変更すると、Network Synthetic Monitor の機能が破損する可能性があります。Network Synthetic Monitor が指示する場合以外は、サービスロールを編集しないでください。
## Network Synthetic Monitor のサービスにリンクされたロールの使用
**サービスリンクロールのサポート:** あり
サービスにリンクされたロールは、AWS のサービス にリンクされているサービスロールの一種です。サービスがロールを引き受け、ユーザーに代わってアクションを実行できるようになります。サービスにリンクされたロールは、AWS アカウント に表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。
サービスにリンクされたロールの作成または管理の詳細については、「[IAM と提携する AWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam-nw.html)」を参照してください。表の「**サービスリンクロール**」列に `Yes` と記載されたサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、**[はい]** リンクを選択します。
# Network Synthetic Monitor の ID ベースのポリシー例
デフォルトでは、ユーザーおよびロールには、Network Synthetic Monitor リソースを作成または変更するアクセス許可がありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
Network Synthetic Monitor が定義するアクションとリソースタイプ (リソースタイプごとの ARN の形式を含む) の詳細については、「*サービス認可リファレンス*」の「[Network Synthetic Monitor のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html)」を参照してください。
**Topics**
+ [
## ポリシーに関するベストプラクティス
](#security_iam_service-with-iam-policy-best-practices-nw)
+ [
## Network Synthetic Monitor コンソールの使用
](#security_iam_id-based-policy-examples-console-nw)
+ [
## 自分の権限の表示をユーザーに許可する
](#security_iam_id-based-policy-examples-view-own-permissions-nw)
+ [
# Network Synthetic Monitor の ID とアクセスのトラブルシューティング
](security_iam_troubleshoot-nw.md)
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、アカウント内で、Network Synthetic Monitor リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションでは、AWS アカウント に費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ **AWS マネージドポリシーの使用を開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードへのアクセス許可の付与を開始するには、多くの一般的なユースケースのためにアクセス許可を付与する *AWS マネージドポリシー*を使用します。これらは AWS アカウントで使用できます。ユースケースに固有の AWS カスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能の AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。また、CloudFormation などの特定の AWS のサービス を介して使用する場合、条件を使用してサービスアクションへのアクセスを許可することもできます。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – AWS アカウントで IAM ユーザーまたはルートユーザーを要求するシナリオがある場合は、セキュリティを強化するために MFA をオンにします。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## Network Synthetic Monitor コンソールの使用
Network Synthetic Monitor コンソールにアクセスするには、最小限のアクセス許可が必要です。これらのアクセス許可により、AWS アカウント の Network Synthetic Monitor リソースのリストと詳細を表示できます。最小限必要なアクセス許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) ではコンソールが意図したとおりに機能しません。
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソール権限を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスを許可します。
ユーザーとロールが引き続き Network Synthetic Monitor コンソールを使用できるようにするには、エンティティに Network Synthetic Monitor `ConsoleAccess` または `ReadOnly` AWS マネージドポリシーもアタッチします。詳細については、「*IAM ユーザーガイド*」の「[ユーザーへのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console-nw)」を参照してください。
## 自分の権限の表示をユーザーに許可する
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI か AWS API を使用してプログラム的に、このアクションを完了するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Network Synthetic Monitor の ID とアクセスのトラブルシューティング
Network Synthetic Monitor と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復には、次の情報を利用してください。
**Topics**
+ [
## Network Synthetic Monitor でアクションを実行する権限がない
](#security_iam_troubleshoot-no-permissions-nw)
+ [
## iam:PassRole を実行する権限がありません
](#security_iam_troubleshoot-passrole-nw)
+ [
## 自分の AWS アカウント 以外のユーザーに Network Synthetic Monitor リソースへのアクセスを許可したい
](#security_iam_troubleshoot-cross-account-access-nw)
## Network Synthetic Monitor でアクションを実行する権限がない
アクションを実行する権限がないというエラーが表示された場合は、そのアクションを実行できるようにポリシーを更新する必要があります。
次のエラー例は、`mateojackson` IAM ユーザーがコンソールを使用して、ある `my-example-widget` リソースに関する詳細情報を表示しようとしたことを想定して、その際に必要な `networkmonitor:GetWidget` アクセス許可を持っていない場合に発生するものです。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: networkmonitor:GetWidget on resource: my-example-widget
```
この場合、`networkmonitor:GetWidget` アクションを使用して `my-example-widget` リソースへのアクセスを許可するように、`mateojackson` ユーザーのポリシーを更新する必要があります。
サポートが必要な場合は、AWS 管理者に問い合わせてください。サインイン認証情報を提供した担当者が管理者です。
## iam:PassRole を実行する権限がありません
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Network Synthetic Monitor にロールを渡すことができるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールやサービスリンクロールを作成せずに、既存のロールをサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
以下の例に示すエラーは、`marymajor` という名前の IAM ユーザーがコンソールを使用して Network Synthetic Monitor でアクションを実行しようとした場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、AWS 管理者に問い合わせてください。サインイン認証情報を提供した担当者が管理者です。
## 自分の AWS アカウント 以外のユーザーに Network Synthetic Monitor リソースへのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください。
+ Network Synthetic Monitor でこれらの機能がサポートされているかどうかを確認するには、「[Amazon CloudWatch と IAM の連携方法](security_iam_service-with-iam.md)」を参照してください。
+ 所有している AWS アカウント 全体のリソースへのアクセス権を提供する方法については、*IAM ユーザーガイド* の [所有している別の AWS アカウント へのアクセス権を IAM ユーザーに提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) を参照してください。
+ サードパーティの AWS アカウント にリソースへのアクセス権を提供する方法については、「*IAM ユーザーガイド*」の「[サードパーティが所有する AWS アカウント へのアクセス権を付与する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、*IAM ユーザーガイド* の [IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
# Network Synthetic Monitor の AWS マネージドポリシー
ユーザー、グループ、ロールにアクセス許可を追加するには自分でポリシーを作成するよりも、AWS マネージドポリシーを使用する方が簡単です。チームに必要な権限のみを提供する [IAM カスタマーマネージドポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)には時間と専門知識が必要です。すぐに使用を開始するために、AWS マネージドポリシーを使用できます。これらのポリシーは一般的なユースケースを対象範囲に含めており、AWS アカウントで利用できます。AWS マネージドポリシーの詳細については「*IAM ユーザーガイド*」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
AWS のサービスはAWS マネージドポリシーを維持および更新します。AWS マネージドポリシーの許可を変更することはできません。サービスでは新しい機能を利用できるようにするために、AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスはAWS マネージドポリシーから権限を削除しないため、ポリシーの更新によって既存の権限が破棄されることはありません。
さらに、AWS は複数のサービスにまたがるジョブ機能の特徴に対するマネージドポリシーもサポートしています。例えば、`ReadOnlyAccess` AWS マネージドポリシーでは、すべての AWS のサービスおよびリソースへの読み取り専用アクセスを許可します。サービスが新しい機能を起動する場合、AWS は新たなオペレーションとリソース用に、読み取り専用の許可を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。
## AWS マネージドポリシー: CloudWatchNetworkMonitorServiceRolePolicy
`CloudWatchNetworkMonitorServiceRolePolicy` は、ユーザーに代わってアクションを実行することや、CloudWatch Network Synthetic Monitor に関連付けられているリソースにアクセスすることをサービスに許可する、サービスリンクロールにアタッチされます。このポリシーは IAM アイデンティティにはアタッチできません。詳細については、「[Network Synthetic Monitor のサービスにリンクされたロールの使用](monitoring-using-service-linked-roles-nw.md)」を参照してください。
## Network Synthetic Monitor の AWS マネージドポリシーへの更新
このサービスがこれらの変更の追跡を開始した以降の Network Synthetic Monitor の AWS マネージドポリシーの更新に関する詳細を表示するには、「[AWS マネージドポリシーへの CloudWatch 更新](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)」を参照してください。CloudWatch のマネージドポリシーの変更に関する自動通知を入手するには、CloudWatch [ドキュメントの履歴](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html)ページから、RSS フィードにサブスクライブしてください。
# Network Synthetic Monitor 用の IAM 許可
Network Synthetic Monitor を使用するには、ユーザーに適切な許可が必要です。
Amazon CloudWatch のセキュリティの詳細については、「[Amazon CloudWatch 用 Identity and Access Management](auth-and-access-control-cw.md)」を参照してください。
## モニタの表示に必要なアクセス許可
AWS マネジメントコンソール で Network Synthetic Monitor のモニタを表示するには、以下のアクセス許可が付与されたユーザーまたはロールとしてサインインする必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"networkmonitor:Get*",
"networkmonitor:List*"
],
"Resource": "*"
}
]
}
```
------
## モニターを作成するために必要なアクセス許可
Network Synthetic Monitor でモニタを作成するには、ユーザーが Network Synthetic Monitor に関連付けられたサービスリンクロールを作成するための許可を持っている必要があります。サービスリンクロールの詳細については、「[Network Synthetic Monitor のサービスにリンクされたロールの使用](monitoring-using-service-linked-roles-nw.md)」を参照してください。
AWS マネジメントコンソール で Network Synthetic Monitor のモニターを作成するには、以下のポリシーが含まれる許可を持つユーザーまたはロールとしてサインインする必要があります。
**注記**
制限の厳しいアイデンティティベースの許可ポリシーを作成する場合、そのポリシーを持つユーザーはモニターを作成できません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"networkmonitor:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/networkmonitor.amazonaws.com/AWSServiceRoleForNetworkMonitor",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "networkmonitor.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:GetRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/networkmonitor.amazonaws.com/AWSServiceRoleForNetworkMonitor"
},
{
"Action": [
"ec2:CreateSecurityGroup",
"ec2:CreateNetworkInterface",
"ec2:CreateTags"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
# Network Synthetic Monitor のサービスにリンクされたロールの使用
Network Synthetic Monitor は、ユーザーに代わって AWS の他のサービスを呼び出すために必要なアクセス許可のために、次のサービスにリンクされたロールを使用します。
+ [`AWSServiceRoleForNetworkMonitor`](#security-iam-awsmanpol-AWSServiceRoleForNetworkMonitor)
## `AWSServiceRoleForNetworkMonitor`
Network Synthetic Monitor は、`AWSServiceRoleForNetworkMonitor` という名前のサービスにリンクされたロールを使用してモニタの更新と管理を行います。
`AWSServiceRoleForNetworkMonitor` サービスにリンクされたロールはその引き受け時に、以下のサービスを信頼します。
+ `networkmonitor.amazonaws.com`
`CloudWatchNetworkMonitorServiceRolePolicy` はこのサービスにリンクされたロールにアタッチされ、アカウント内の VPC や EC2 リソースにアクセスしたり、ユーザーが作成したモニタを管理したりするためのアクセス権をサービスに付与します。
### アクセス許可グルーピング
ポリシーは、以下のアクセス許可セットにグループ化されます。
+ `cloudwatch` - ネットワークモニタリングメトリクスを CloudWatch リソースに公開することをサービスプリンシパルに許可します。
+ `ec2` - モニタとプローブを作成または更新するために、アカウント内に VPC とサブネットを記述することをサービスプリンシパルに許可します。また、エンドポイントにモニタリングトラフィックを送信するモニタまたはプローブを設定するために、セキュリティグループ、ネットワークインターフェイス、およびそれらに関連する権限を作成、変更、削除することもサービスプリンシパルに許可します。
このポリシーに対する許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[CloudWatchNetworkMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkMonitorServiceRolePolicy.html)」を参照してください。
## サービスにリンクされたロールの作成
`AWSServiceRoleForNetworkMonitor`
`AWSServiceRoleForNetworkMonitor` ロールを手動で作成する必要はありません。
+ `AWSServiceRoleForNetworkMonitor` ロールは、最初のネットワークモニタを作成するときに、Network Synthetic Monitor によって作成されます。このロールは、作成した追加のモニターすべてに適用されます。
お客様に代わってサービスリンクロールを作成するには、必要なアクセス許可がお客様に付与されていなければなりません。詳細については、*IAM ユーザーガイド*の「[サービスにリンクされたロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## サービスにリンクされたロールを編集する
IAM を使用して `AWSServiceRoleForNetworkMonitor ` の説明を編集することができます。詳細については、*IAM ユーザーガイド*の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## サービスにリンクされたロールを削除する
Network Synthetic Monitor を使用する必要がなくなった場合は、`AWSServiceRoleForNetworkMonitor` ロールを削除することをお勧めします。
これらのサービスにリンクされたロールは、モニターを削除した場合にのみ削除できます。詳細については、「[モニターの削除](https://docs.aws.amazon.com/ )」を参照してください。
サービスにリンクされたロールは、IAM コンソール、IAM CLI、または IAM API を使用して削除することができます。詳細については、*IAM ユーザーガイド*の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
`AWSServiceRoleForNetworkMonitor ` を削除すると、新規モニター作成時に、Network Synthetic Monitor によって再度このロールが作成されます。
## Network Synthetic Monitor のサービスにリンクされたロールでサポートされるリージョン
Network Synthetic Monitor は、そのサービスを利用できるすべての AWS リージョン で、サービスにリンクされたロールをサポートします。詳細については、「AWS 全般のリファレンス」の「[AWS エンドポイント](https://docs.aws.amazon.com//general/latest/gr/rande.html)」を参照してください。
## サービスにリンクされたロールを削除する
Network Synthetic Monitor を使用する必要がなくなった場合は、`AWSServiceRoleForNetworkMonitor` ロールを削除することをお勧めします。
これらのサービスにリンクされたロールは、モニターを削除した場合にのみ削除できます。詳細については、「[モニターの削除](https://docs.aws.amazon.com/ )」を参照してください。
サービスにリンクされたロールは、IAM コンソール、IAM CLI、または IAM API を使用して削除することができます。詳細については、*IAM ユーザーガイド*の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
`AWSServiceRoleForNetworkMonitor ` を削除すると、新規モニター作成時に、Network Synthetic Monitor によって再度このロールが作成されます。