# Usar o Network Synthetic Monitor
O Network Synthetic Monitor fornece uma visibilidade da performance da rede que conecta as aplicações hospedadas na AWS aos seus destinos on-premises, e permite que você identifique a origem de qualquer degradação da performance da rede em questão de minutos. O Network Synthetic Monitor é totalmente gerenciado pela AWS e não exige agentes separados nos recursos monitorados. Use o Network Synthetic Monitor para visualizar a perda de pacotes e a latência das conexões de rede híbrida e definir alertas e limites. Em seguida, você pode adotar as medidas cabíveis para melhorar a experiência dos seus usuários finais com base nessas informações.
O Network Synthetic Monitor é destinado a operadores de rede e desenvolvedores de aplicações que desejam insights em tempo real sobre a performance da rede.
## Principais recursos do Network Synthetic Monitor
+ Use o Network Synthetic Monitor para comparar um ambiente de rede híbrido em constante mudança com métricas contínuas de latência e perda de pacotes em tempo real.
+ Quando você se conecta usando o AWS Direct Connect, o Network Synthetic Monitor pode ajudar a diagnosticar rapidamente a degradação da rede na rede da AWS com o indicador de integridade da rede (NHI), que o Network Synthetic Monitor grava em sua conta do Amazon CloudWatch. A métrica do NHI é um valor binário, com base em uma pontuação probabilística sobre se a degradação da rede está na AWS.
+ O Network Synthetic Monitor fornece um monitoramento com uma abordagem de agente totalmente gerenciado, o que significa que você não precisa instalar agentes em VPCs ou on-premises. Para começar, você só precisa especificar uma sub-rede da VPC e um endereço IP on-premises. É possível estabelecer uma conexão privada entre a VPC e os recursos do Network Synthetic Monitor usando AWS PrivateLink. Para obter mais informações, consulte [Usar o CloudWatch, o CloudWatch Synthetics e o CloudWatch Network Monitoring com endpoints de VPC de interface](cloudwatch-and-interface-VPC.md).
+ O Network Synthetic Monitor publica métricas no CloudWatch Metrics. Você pode criar painéis para visualizar as métricas, e também pode criar limites e alarmes acionáveis nas métricas específicas da sua aplicação.
Para obter mais informações, consulte [Como o Network Synthetic Monitor funciona](nw-monitor-how-it-works.md).
## Terminologia e componentes do Network Synthetic Monitor
+ **Sondas**: uma sonda é o tráfego enviado de um recurso hospedado na AWS para um endereço IP de destino on-premises. As métricas do Network Synthetic Monitor medidas pela sonda são gravadas na conta do CloudWatch para cada sonda configurada em um monitor.
+ **Monitor**: um monitor exibe o desempenho da rede e outras informações de integridade do tráfego para o qual você criou *sondas* do Network Synthetic Monitor. Você adiciona sondas como parte da criação de um monitor e, em seguida, pode visualizar as informações de métricas de desempenho da rede usando o monitor. Ao criar um monitor para uma aplicação, você adiciona um recurso hospedado na AWS como a origem da rede. O Network Synthetic Monitor então cria uma lista de todas as possíveis sondas entre os recursos hospedados na AWS e os endereços IP de destino. Você seleciona os destinos para os quais deseja monitorar o tráfego.
+ **Origem da rede da AWS**: uma origem de rede da AWS é uma sonda de monitor derivada da origem da AWS, que é uma sub-rede em qualquer uma das VPCs.
+ **Destino**: é o destino na rede on-premises para a origem da rede da AWS. O destino é uma combinação dos endereços IP on-premises, dos protocolos de rede, das portas e do tamanho do pacote da rede. Os endereços IPv4 e IPv6 são compatíveis.
## Requisitos e limitações do Network Synthetic Monitor
Veja abaixo um resumo dos requisitos e limitações do Network Synthetic Monitor. Para cotas (ou limites) específicos, consulte [Network Synthetic Monitor](cloudwatch_limits.md#nw-monitor-quotas).
+ As sub-redes do monitor devem pertencer à mesma conta do monitor.
+ O Network Synthetic Monitor não fornece failover de rede automático no caso de um problema de rede da AWS.
+ Há uma cobrança para cada sonda que você cria. Para obter detalhes de preço, consulte [Preços do Network Synthetic Monitor](pricing-nw.md).
# Como o Network Synthetic Monitor funciona
O Network Synthetic Monitor é totalmente gerenciado pela AWS e não exige agentes separados nos recursos monitorados. Em vez disso, você especifica as *sondas* fornecendo uma sub-rede da VPC e endereços IP on-premises.
Quando você cria um monitor no Network Synthetic Monitor para recursos hospedados na AWS, a AWS cria e gerencia toda a infraestrutura em segundo plano necessária para executar cálculos de tempo de ida e volta e de perda de pacotes. Como a AWS gerencia as configurações necessárias, você pode escalar seu monitoramento rapidamente sem precisar instalar ou desinstalar qualquer agente na sua infraestrutura da AWS.
Quando as sondas são criadas, interfaces de rede elásticas (ENIs) personalizadas são criadas e anexadas às instâncias de sonda e às sub-redes do cliente. Se o Network Synthetic Monitor substituir uma instância de sonda (p. ex., se ela ficar não íntegra), o Network Synthetic Monitor desconectará as ENIs e as reconectará à sonda substituta. Isso significa que os endereços IP das ENIs não são alterados após a criação, a menos que você exclua uma sonda e crie uma nova para a mesma origem e destino.
O Network Synthetic Monitor se concentra no monitoramento das rotas percorridas pelos fluxos originários dos recursos hospedados na AWS, em vez de monitorar amplamente todos os fluxos da Região da AWS. Se as workloads estiverem espalhadas por várias zonas de disponibilidade, o Network Synthetic Monitor poderá monitorar as rotas de cada uma das sub-redes privadas.
O Network Synthetic Monitor publica métricas de tempo de ida e volta e de perda de pacotes na conta do Amazon CloudWatch com base no intervalo de agregação que você definiu ao criar um monitor. Você também pode usar o CloudWatch para definir limites individuais de latência e perda de pacotes para cada monitor. Por exemplo, você poderá criar um alarme para uma workload sensível a perda de pacotes para avisar quando sua média de perda de pacotes for maior que o limite estático de 0,1%. Você também pode usar a detecção de anomalias do CloudWatch para alertar sobre perda de pacotes ou métricas de latência fora dos intervalos desejados.
## Medições de disponibilidade e performance
O Network Synthetic Monitor envia sondas ativas periódicas do recurso da AWS para os destinos on-premises. Ao criar um monitor, especifique o seguinte:
+ **Intervalo de agregação:** o tempo, em segundos, em que o CloudWatch recebe os resultados calculados. Isso será a cada 30 ou 60 segundos. O período de agregação escolhido para o monitor se aplica a todas as sondas desse monitor.
+ **Fontes de sondas (recursos da AWS):** uma fonte para uma sonda é uma VPC e sub-redes associadas, ou apenas uma sub-rede da VPC, nas regiões em que sua rede opera.
+ **Destinos da sonda (recursos do cliente):** o destino de uma sonda é a combinação dos endereços IP on-premises, dos protocolos de rede, das portas e do tamanho do pacote da rede.
+ **Protocolo de sonda:** um dos protocolos compatíveis, ICMP ou TCP. Para obter mais informações, consulte [Protocolos de comunicação compatíveis](#nw-monitor-protocol).
+ **Porta (para TCP):** a porta que a rede usa para se conectar.
+ **Tamanho do pacote (para TCP):** o tamanho, em bytes, de cada pacote transmitido entre o recurso hospedado na AWS e o destino em uma única sonda. Você pode especificar um tamanho de pacote diferente para cada sonda em um monitor.
Um monitor publica as seguintes métricas:
+ **Tempo de ida e volta:** essa métrica, calculada em microssegundos, é uma medição de performance. Ela registra o tempo necessário para que a sonda seja transmitida para o endereço IP de destino e para que a resposta associada seja recebida. O tempo de ida e volta é o tempo médio observado durante o intervalo de agregação.
+ **Perda de pacotes:** esta métrica calcula o porcentual do total de pacotes enviados e registra o número de transmissões que não receberam uma resposta associada. Nenhuma resposta significa que os pacotes foram perdidos ao longo do caminho da rede.
## Protocolos de comunicação compatíveis
O Network Synthetic Monitor é compatível com dois protocolos para sondas: ICMP e TCP.
As sondas baseadas em ICMP transportam solicitações de eco ICMP dos recursos hospedados na AWS para o endereço de destino e esperam uma resposta de eco ICMP do endereço de destino. O Network Synthetic Monitor usa as informações na solicitação de eco ICMP e as mensagens de resposta para calcular o tempo de ida e volta e as métricas de perda de pacotes.
As sondas baseadas em TCP transportam pacotes TCP SYN dos recursos hospedados na AWS para a porta e o endereço de destino e esperam um pacote TCP SYN\$1ACK na resposta. O Network Synthetic Monitor usa as informações nas mensagens de TCP SYN e TCP SYN\$1ACK para calcular o tempo de ida e volta e as métricas de perda de pacotes. O Network Synthetic Monitor alterna periodicamente as portas TCP de origem para aumentar a cobertura da rede, o que pode aumentar a probabilidade de detecção de perda de pacotes.
## Indicador de integridade da rede da AWS
O Network Synthetic Monitor publica uma métrica do indicador de integridade da rede (NHI), que fornece informações sobre os problemas com a rede da AWS para caminhos que incluem destinos conectados por meio do Direct Connect.
O valor binário do NHI é baseado em uma análise estatística da integridade do caminho de rede controlado pela AWS do recurso hospedado na AWS, que é onde o monitor está implantado, até o local do Direct Connect. O Network Synthetic Monitor usa detecção de anomalias para calcular quedas de disponibilidade ou degradação de performance ao longo dos caminhos da rede.
O NHI não é preciso para anexos Direct Connect que usem roteamento intermediário com o Cloud WAN. Quando você tiver uma rede híbrida que inclui o Cloud WAN, não use o valor do NHI como uma indicação de problema de performance.
**nota**
Toda vez que você cria um novo monitor, adiciona uma sonda ou reativa uma sonda, o NHI desse monitor é adiado em algumas horas para permitir que a AWS colete dados para realizar a detecção de anomalias.
Para fornecer o valor do NHI, o Network Synthetic Monitor aplica correlação estatística a conjuntos de dados de exemplo da AWS, bem como às métricas de perda de pacotes e de latência de ida e volta para tráfego, simulando o caminho de rede. O NHI pode ser um de dois valores: 1 ou 0. Um valor de 1 indica que o Network Synthetic Monitor observou uma degradação da rede no caminho de rede controlado pela AWS. Um valor de 0 indica que o Network Synthetic Monitor não observou qualquer degradação da rede da AWS ao longo do caminho. Usar o valor do NHI permite que você tenha ciência das causas dos problemas de rede mais rapidamente. Por exemplo, você pode definir alertas na métrica do NHI para receber notificações sobre problemas persistentes com a rede da AWS ao longo dos seus caminhos de rede.
## Suporte para endereços IPv4 e IPv6
O Network Synthetic Monitor fornece métricas de disponibilidade e performance em redes IPv4 ou IPv6, e pode monitorar endereços IPv4 ou IPv6 de VPCs de pilha dupla. O Network Synthetic Monitor não permite que destinos IPv4 e IPv6 sejam configurados no mesmo monitor, mas você pode criar monitores separados para destinos somente IPv4 e somente IPv6.
# Regiões da AWS compatível com o Network Synthetic Monitor
As Regiões da AWS com as quais o Network Synthetic Monitor é compatível estão descritas nesta seção. Para obter mais informações sobre as regiões compatíveis com o Network Synthetic Monitor, incluindo as regiões de ativação, consulte [Network Synthetic Monitor endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/cwnm_region.html) na *Referência geral da Amazon Web Services*.
| Nome da região | Região |
| --- | --- |
| África (Cidade do Cabo) | af-south-1 |
| Ásia-Pacífico (Hong Kong) | ap-east-1 |
| Ásia-Pacífico (Hyderabad) | ap-south-2 |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 |
| Ásia-Pacífico (Malásia) | ap-southeast-5 |
| Ásia-Pacífico (Melbourne) | ap-southeast-4 |
| Ásia-Pacífico (Mumbai) | ap-south-1 |
| Ásia-Pacífico (Osaka) | ap-northeast-3 |
| Ásia-Pacífico (Seul) | ap-northeast-2 |
| Ásia-Pacífico (Singapura) | ap-southeast-1 |
| Ásia-Pacífico (Sydney) | ap-southeast-2 |
| Ásia-Pacífico (Tailândia) | ap-southeast-7 |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 |
| Canadá (Central) | ca-central-1 |
| Oeste do Canadá (Calgary) | ca-west-1 |
| Europa (Frankfurt) | eu-central-1 |
| Europa (Irlanda) | eu-west-1 |
| Europa (Londres) | eu-west-2 |
| Europa (Milão) | eu-south-1 |
| Europa (Paris) | eu-west-3 |
| Europa (Espanha) | eu-south-2 |
| Europa (Estocolmo) | eu-north-1 |
| Europa (Zurique) | eu-central-2 |
| Israel (Tel Aviv) | il-central-1 |
| México (Central) | mx-central-1 |
| Oriente Médio (Barém) | me-south-1 |
| Oriente Médio (Emirados Árabes Unidos) | me-central-1 |
| América do Sul (São Paulo) | sa-east-1 |
| Leste dos EUA (Norte da Virgínia) | us-east-1 |
| Leste dos EUA (Ohio) | us-east-2 |
| Oeste dos EUA (N. da Califórnia) | us-west-1 |
| Oeste dos EUA (Oregon) | us-west-2 |
# Preços do Network Synthetic Monitor
Com o Network Synthetic Monitor, não há custos iniciais nem compromissos de longo prazo. O preço do Network Synthetic Monitor tem os dois seguintes componentes:
+ Uma taxa horária por recurso da AWS monitorado
+ Taxas das métricas do CloudWatch
Ao criar um monitor no Network Synthetic Monitor, você associa recursos (origens) da AWS a ele que serão monitorados. Para o Network Synthetic Monitor, esses recursos são sub-redes na Amazon Virtual Private Cloud (VPC). Para cada recurso monitorado, você pode criar até quatro sondas, de uma sub-rede na VPC a quatro endereços IP de destino do cliente. Para ajudar a controlar sua fatura, você pode ajustar sua cobertura de sub-rede e de destino de endereço IP on-premises reduzindo o número de recursos monitorados.
Para obter mais informações sobre a definição de preços, consulte a página [Definição de preços do Amazon CloudWatch](https://aws.amazon.com//cloudwatch/pricing/).
# Operações da API do Network Synthetic Monitor
A tabela a seguir lista operações da API do Network Synthetic Monitor que você pode usar com o Amazon CloudWatch. Consulte esta tabela para obter links para a documentação relevante.
| Ação | Referência de API | Mais informações |
| --- | --- | --- |
| Crie um monitor entre uma sub-rede de origem e um endereço IP de destino. | Consultar [CreateMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_CreateMonitor.html) | Consulte [Criar um monitor](getting-started-nw.md) |
| Crie uma sonda em um monitor. | Consultar [CreateProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_CreateProbe.html) | Consulte [Ativar ou desativar uma sonda](nw-monitor-probe-status.md) |
| Remova um monitor. | Consultar [DeleteMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_DeleteMonitor.html) | Consulte [Excluir um monitor](nw-monitor-delete.md) |
| Exclua uma sonda específica. | Consultar [DeleteProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_DeleteProbe.html) | Consulte [Excluir uma sonda](nw-monitor-probe-delete.md) |
| Obtenha informações sobre um monitor. | Consultar [GetMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_GetMonitor.html) | Consulte [Trabalhar com monitores e sondas no Network Synthetic Monitor](nw-monitor-working-with.md) |
| Obtenha informações sobre uma sonda específica. | Consultar [GetProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_GetProbe.html) | Consulte [Trabalhar com monitores e sondas no Network Synthetic Monitor](nw-monitor-working-with.md) |
| Obtenha uma lista de todos os seus monitores. | Consultar [ListMonitors](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_ListMonitors.html) | Consulte [Trabalhar com monitores e sondas no Network Synthetic Monitor](nw-monitor-working-with.md) |
| Liste tags atribuídas a um recurso. | Consultar [ListTagsForResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_ListTagsForResource.html) | Consulte [Marcar e desmarcar recursos](nw-monitor-tags-cli.md) |
| Adicione pares de chave/valor, ou tags, a um monitor ou sonda. | Consultar [TagResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_TagResource.html) | Consulte [Marcar e desmarcar recursos](nw-monitor-tags-cli.md) |
| Remova um par de chave/valor, ou uma tag, de um monitor ou sonda. | Consultar [UntagResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UntagResource.html) | Consulte [Marcar e desmarcar recursos](nw-monitor-tags-cli.md) |
| Atualize um período de agregação para um monitor. | Consultar [UpdateMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UpdateMonitor) | Consulte [Editar um monitor](nw-monitor-edit.md) |
| Atualize uma sonda em um monitor. | Consultar [UpdateProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UpdateProbe) | Consulte [Editar uma sonda](nw-monitor-probe-edit.md) |
# Trabalhar com monitores e sondas no Network Synthetic Monitor
Para começar, crie um monitor com sondas no Network Synthetic Monitor para avaliar a performance da rede em um período de agregação especificado. Em seguida, você pode atualizar um monitor para fazer as alterações desejadas, por exemplo, alterar o período de agregação, desativar ou ativar sondas ou adicionar ou remover tags.
As etapas a seguir fornecem instruções detalhadas sobre como executar essas tarefas em seus monitores e sondas usando o console do Amazon CloudWatch. Você também pode fazer alterações no monitor usando a AWS Command Line Interface.
**Topics**
+ [Criar um monitor](getting-started-nw.md)
+ [Editar um monitor](nw-monitor-edit.md)
+ [Excluir um monitor](nw-monitor-delete.md)
+ [Ativar ou desativar uma sonda](nw-monitor-probe-status.md)
+ [Adicionar uma sonda a um monitor](nw-monitor-add-probe.md)
+ [Editar uma sonda](nw-monitor-probe-edit.md)
+ [Excluir uma sonda](nw-monitor-probe-delete.md)
+ [Marcar e desmarcar recursos](nw-monitor-tags-cli.md)
# Criar um monitor
As seções a seguir descrevem como criar um monitor no Network Synthetic Monitor, inclusive as sondas necessárias. Ao criar um monitor, você especifica as sondas escolhendo sub-redes de origem e adicionando até quatro destinos para cada uma. Cada par de origem e destino é uma sonda.
Você pode fazer alterações em um monitor depois de criá-lo, por exemplo, para adicionar, remover ou desativar sondas. Para obter mais informações, consulte [Trabalhar com monitores e sondas no Network Synthetic Monitor](nw-monitor-working-with.md).
Você pode trabalhar com monitores e sondas usando o console do Amazon CloudWatch ou a AWS Command Line Interface. Para trabalhar com o Network Monitor de forma programática, consulte a [Referência de APIs do Network Synthetic Monitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) e [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) na Referência de comandos da AWS Command Line Interface.
Os procedimentos a seguir fornecem instruções detalhadas sobre como criar um monitor usando o console do Amazon CloudWatch.
+ [Definir os detalhes do monitor](#NWDefineDetails)
+ [Ecolher origens e destinos](#NWSourceDestination)
+ [Confirmar sondas](#NWConfirmProbes)
+ [Revisar e criar um monitor](#NWReviewCreate)
**Importante**
Essas etapas foram projetadas para serem concluídas de uma só vez. Não é possível salvar trabalhos em andamento para continuar mais tarde.
## Definir os detalhes do monitor
A primeira etapa para criar um monitor é definir os detalhes básicos, dando um nome ao monitor e definindo o período de agregação. Opcionalmente, você também pode adicionar tags.
**Como definir os detalhes do monitor**
1. Abra o console do CloudWatch em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) e, em seguida, em **Monitoramento de rede**, escolha **Monitores do Synthetic**.
1. Escolha **Criar monitor**.
1. Em **Nome do monitor**, insira um nome para o monitor.
1. Em **Período de agregação**, escolha com que frequência você deseja enviar métricas para o CloudWatch: **30 segundos** ou **60 segundos**.
**nota**
Um período de agregação mais curto fornece uma detecção mais rápida de problemas de rede. No entanto, o período de agregação que você escolher pode afetar os custos de faturamento. Para obter mais informações sobre a definição de preços, consulte a página [Definição de preços do Amazon CloudWatch](https://aws.amazon.com//cloudwatch/pricing/).
1. (Opcional) Em **Tags**, adicione pares de **chave** e **valor** para ajudar a identificar esse recurso, para que você possa pesquisar ou filtrar informações específicas.
1. Selecione **Adicionar nova tag**.
1. Insira um nome de **Chave** e o **Valor** associado.
1. Escolha **Adicionar nova tag** para adicionar a nova tag.
Você pode adicionar várias tags escolhendo **Adicionar nova tag**, ou pode emover qualquer tag escolhendo **Remover**.
1. Se você quiser associar as tags às sondas para o monitor, mantenha a opção **Adicionar tags às sondas criadas pelo monitor** selecionada. Essa configuração adiciona as tags às sondas do monitor, o que poderá ser útil se você estiver usando autenticação ou medição baseada em tags.
1. Escolha **Próximo**. Na próxima página, você especificará origens e destinos para criar sondas para o monitor.
## Ecolher origens e destinos
Para cada monitor no Network Synthetic Monitor, você especifica uma ou mais sondas, que são uma combinação de uma origem e um destino da AWS.
+ A origem de uma sonda é uma VPC e as sub-redes associadas (ou apenas uma sub-rede de VPC) nas regiões em que sua rede opera.
+ O destino é a combinação dos endereços IP on-premises, dos protocolos de rede, das portas e do tamanho do pacote da rede.
**Importante**
Essas etapas foram projetadas para serem concluídas de uma só vez. Não é possível salvar trabalhos em andamento para continuar mais tarde.
**Para escolher origens e destinos**
1. Pré-requisito: [Definir os detalhes do monitor](#define-details-nw).
1. Em **Origem da rede** da **AWS**, escolha uma ou mais sub-redes para incluir no monitor. Para escolher todas as sub-redes em uma VPC, escolha a VPC. Ou escolha sub-redes específicas em uma VPC. As sub-redes que você escolher serão as origens do monitor.
1. Em **Destino 1**, insira o endereço IP de destino da rede on-premises. Os endereços IPv4 e IPv6 são compatíveis.
1. Selecione **Advanced settings (Configurações avançadas)**.
1. Em **Protocolo**, escolha o protocolo de rede para o destino on-premises. O protocolo pode ser **ICMP** ou **TCP**.
1. Se você escolher **TCP**, insira as seguintes informações:
1. Insira a **Porta** que a rede usa para se conectar. A porta deve ter um número de **1** a **65535**.
1. Insira o **Tamanho do pacote**. Esse é o tamanho, em bytes, de cada pacote enviado na sonda entre a origem e o destino. O tamanho do pacote deve ser um número de **56** a **8.500**.
1. Escolha **Adicionar destino** para adicionar outro destino on-premises ao monitor. Repita essas etapas para cada destino que você quiser adicionar.
1. Quando terminar de adicionar origens e destinos, escolha **Próximo** para confirmar as sondas do monitor.
## Confirmar sondas
Na página **Confirmar sondas**, revise todas as sondas que serão criadas para o monitor para garantir que elas sejam o conjunto correto de origens e destinos.
A página **Confirmar sondas** mostra todas as combinações possíveis das origens e destinos das especificações das sondas que você forneceu na etapa anterior. Por exemplo, caso tenha seis sub-redes de origem e quatro endereços IP de destino, haverá um total de 24 possíveis combinações de sondas, então 24 sondas serão criadas.
**Importante**
Essas etapas devem ser concluídas em uma sessão. Não é possível salvar trabalhos em andamento para continuar mais tarde.
A página **Confirmar sondas** não indica se uma sonda é válida. Recomendamos que revise cuidadosamente esta página e depois exclua quaisquer sondas inválidas. Você poderá ser cobrado pelas sondas inválidas se não removê-las.
**Como confirmar sondas de monitor**
1. Pré-requisito: [Ecolher origens e destinos](#source-destination-nw).
1. Na página **Confirmar sondas**, revise a lista das combinações de sondas de origem e destino.
1. Escolha uma ou mais sondas que você deseja remover do monitor, e então escolha **Remover**.
**nota**
Você não será solicitado a confirmar a exclusão. Caso exclua uma sonda e queira restaurá-la, você deverá configurá-la novamente. Você pode adicionar uma sonda a um monitor existente seguindo as etapas em [Adicionar uma sonda a um monitor](nw-monitor-add-probe.md).
1. Escolha **Próximo** e, em seguida, revise os detalhes do monitor.
## Revisar e criar um monitor
A etapa final é revisar os detalhes e as sondas do monitor e depois criá-lo. Nesse momento, você poderá alterar quaisquer informações sobre o monitor.
Ao terminar a revisão e a atualização de quaisquer informações que não estejam corretas, crie o monitor.
Assim que você criar o monitor, o Network Synthetic Monitor começará a rastrear as métricas e você começará a ser cobrado pelas sondas no monitor.
**Importante**
Essa etapa deve ser concluída em uma sessão. Não é possível salvar trabalhos em andamento para continuar mais tarde.
Caso opte por editar uma seção, você deverá percorrer o processo de criação de um monitor a partir do ponto em que fizer as edições. As páginas anteriores de criação de monitores mantêm as informações que você já inseriu.
**Como revisar e criar um monitor**
1. Na página **Revisar e criar sondas**, escolha **Editar** para a seção em que você deseja fazer alterações.
1. Faça as alterações na seção e, em seguida, escolha **Próximo**.
1. Quando terminar de editar, escolha **Criar monitor**.
A página do Network Synthetic Monitor exibe o estado atual da criação do monitor na seção **Monitores**. Enquanto o Network Synthetic Monitor estiver criando o monitor, o **Estado** será **Pendente**. Quando o **Estado** mudar para **Ativo**, você poderá visualizar as métricas do CloudWatch no painel do monitor.
Para obter mais informações sobre como trabalhar com o painel do monitor, consulte [Painéis do Network Synthetic Monitor](nw-monitor-dashboards.md).
**nota**
Pode levar vários minutos para que o monitor recém-adicionado comece a coletar métricas de rede.
# Editar um monitor
Você pode editar as informações em um Network Synthetic Monitor, incluindo renomeá-lo, definir um novo período de agregação ou adicionar ou remover tags. Alterar as informações de um monitor não altera as sondas associadas a ele.
Você pode trabalhar com monitores e sondas usando o console do Amazon CloudWatch ou a AWS Command Line Interface. Para trabalhar com o Network Monitor de forma programática, consulte a [Referência de APIs do Network Synthetic Monitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) e [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) na Referência de comandos da AWS Command Line Interface.
**Como editar um monitor usando o console**
1. Abra o console do CloudWatch em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) e, em seguida, em **Monitoramento de rede**, escolha **Monitores do Synthetic**.
1. Na seção **Monitores**, escolha o monitor que você deseja editar.
1. Na página do painel do monitor, escolha **Editar**.
1. Em **Nome do monitor**, insira o novo nome do monitor.
1. No **Período de agregação**, escolha com que frequência você deseja enviar métricas para o CloudWatch. Os períodos válidos são:
+ **30 segundos**
+ **60 segundos**
**nota**
Um período de agregação mais curto fornece uma detecção mais rápida de problemas de rede. No entanto, o período de agregação que você escolher pode afetar os custos de faturamento. Para obter mais informações sobre a definição de preços, consulte a página [Definição de preços do Amazon CloudWatch](https://aws.amazon.com//cloudwatch/pricing/).
1. (Opcional) Na seção **Tags**, adicione pares de **Chave** e **Valor** para ajudar ainda mais a identificar esse recurso, permitindo que você pesquise ou filtre informações específicas. Você também pode simplesmente alterar o **Valor** de qualquer **Chave** atual.
1. Selecione **Adicionar nova tag**.
1. Insira um nome de **Chave** e o **Valor** associado.
1. Escolha **Adicionar nova tag** para adicionar a nova tag.
Você pode adicionar várias tags escolhendo **Adicionar nova tag**, ou pode emover qualquer tag escolhendo **Remover**.
1. Se você quiser associar as tags ao monitor, mantenha a opção **Adicionar tags às sondas criadas pelo monitor** marcada. Isso adiciona as tags às sondas do monitor, o que pode ser útil se você estiver usando autenticação ou medição baseada em tags.
1. Escolha **Salvar alterações**.
# Excluir um monitor
Antes de excluir um monitor no Network Synthetic Monitor, você deve desativar ou excluir todas as sondas associadas ao monitor, independentemente do **Estado** do monitor. Depois que um monitor for excluído, você não receberá mais cobranças pelas sondas no monitor. Esteja ciente de que não é possível restaurar um monitor excluído.
Você pode trabalhar com monitores e sondas usando o console do Amazon CloudWatch ou a AWS Command Line Interface. Para trabalhar com o Network Monitor de forma programática, consulte a [Referência de APIs do Network Synthetic Monitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) e [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) na Referência de comandos da AWS Command Line Interface.
**Como excluir um monitor usando o console**
1. Abra o console do CloudWatch em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) e, em seguida, em **Monitoramento de rede**, escolha **Monitores do Synthetic**.
1. Na seção **Monitores**, escolha o monitor que você deseja excluir.
1. Escolha **Ações** e, em seguida, escolha **Excluir**.
1. Caso tenha sondas ativas para o monitor, você será solicitado a desativá-las. Escolha **Desativar sondas**.
**nota**
Não é possível cancelar ou desfazer essa ação depois de escolher **Desativar sondas**. No entanto, as sondas desativadas não são removidas do monitor. Caso queira, você poderá reativá-las posteriormente. Para obter mais informações, consulte [Ativar ou desativar uma sonda](nw-monitor-probe-status.md).
1. Insira **confirm** no campo de confirmação e escolha **Excluir**.
Como alternativa, você pode excluir um monitor de forma programática, por exemplo, usando a AWS Command Line Interface.
**Para excluir um monitor usando a CLI**
1. Para excluir um monitor, você precisa do nome do monitor. Se você não souber o nome, execute o comando [list-monitors](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/list-monitors.html) para obter uma lista dos seus monitores. Anote o nome do monitor que você deseja excluir.
1. Verifique se esse monitor contém alguma sonda ativa. Use [get-monitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/get-monitor.html) usando o nome do monitor da etapa anterior. Isso retorna uma lista de todas as sondas associadas a esse monitor.
1. Se o monitor contiver sondas ativas, primeiro você precisará definir essas sondas como inativas ou excluí-las.
+ Para definir uma sonda como inativa, use [update-probe](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/update-probe.html) e defina o estado como `INACTIVE`.
+ Para excluir uma sonda, use [delete-probe](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/delete-probe.html).
1. Depois que as sondas forem definidas como `INACTIVE` ou excluídas, você poderá excluir o monitor executando o comando [delete-monitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/create-probe.html). As sondas inativas não são excluídas quando você exclui o monitor.
# Ativar ou desativar uma sonda
Você pode ativar ou desativar uma sonda em um monitor no Network Synthetic Monitor. Você talvez queira desativar uma sonda caso não a esteja usando no momento, mas talvez possa querer usá-la novamente no futuro. Ao desativar uma sonda em vez de excluí-la, você não precisará perder tempo configurando-a novamente. Você não será cobrado pelas sondas desativadas.
Você pode trabalhar com monitores e sondas usando o console do Amazon CloudWatch ou a AWS Command Line Interface. Para trabalhar com o Network Monitor de forma programática, consulte a [Referência de APIs do Network Synthetic Monitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) e [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) na Referência de comandos da AWS Command Line Interface.
**Para definir uma sonda como ativa ou inativa usando o console**
1. Abra o console do CloudWatch em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) e, em seguida, em **Monitoramento de rede**, escolha **Monitores do Synthetic**.
1. Escolha a guia **Detalhes do monitor**.
1. Na seção **Sondas**, escolha a sonda que você deseja ativar ou desativar.
1. Escolha **Ações** e depois **Ativar** ou **Desativar**.
**nota**
Ao reativar uma sonda, você começa a incorrer em cobranças relativas à sonda novamente.
# Adicionar uma sonda a um monitor
Você pode adicionar uma sonda a um monitor existente no Network Synthetic Monitor. Observe que, quando você adiciona sondas a um monitor, sua estrutura de faturamento é atualizada para incluir a nova sonda.
Você pode trabalhar com monitores e sondas usando o console do Amazon CloudWatch ou a AWS Command Line Interface. Para trabalhar com o Network Monitor de forma programática, consulte a [Referência de APIs do Network Synthetic Monitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) e [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) na Referência de comandos da AWS Command Line Interface.
**Como adicionar uma sonda a um monitor usando o console**
1. Abra o console do CloudWatch em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) e, em seguida, em **Monitoramento de rede**, escolha **Monitores do Synthetic**.
1. Na guia **Monitores**, siga um dos seguintes procedimentos:
+ Escolha o link **Nome** do monitor ao qual você deseja adicionar uma sonda. Escolha a guia **Detalhes do monitor** e, na seção **Sondas**, escolha **Adicionar sonda**.
+ Escolha a caixa de seleção do monitor, escolha **Ações** e, em seguida, **Adicionar sonda**.
1. Na página **Adicionar sonda**, faça o seguinte:
1. Em **Origem da rede** da **AWS**, escolha uma sub-rede para adicionar ao monitor.
**nota**
Você só pode adicionar uma sonda por vez e até quatro sondas por monitor.
1. Insira o **endereço IP** de destino da rede on-premises. Os endereços IPv4 e IPv6 são compatíveis.
1. Selecione **Advanced settings (Configurações avançadas)**.
1. Escolha o **Protocolo** da rede para o destino. Pode ser **ICMP** ou **TCP**.
1. Se o **Protocolo** for **TCP**, insira as informações a seguir. Caso contrário, pule para a próxima etapa:
+ Insira a **Porta** que a rede usa para se conectar. A porta deve ter um número de **1** a **65535**.
+ Insira o **Tamanho do pacote**. Esse é o tamanho, em bytes, de cada pacote enviado com a sonda entre a origem e o destino. O tamanho do pacote deve ser um número de **56** a **8.500**.
1. (Opcional) Na seção **Tags**, adicione pares de **Chave** e **Valor** para ajudar ainda mais a identificar esse recurso, permitindo que você pesquise ou filtre informações específicas.
1. Selecione **Adicionar nova tag**.
1. Insira um nome de **Chave** e o **Valor** associado.
1. Escolha **Adicionar nova tag** para adicionar a nova tag.
Você pode adicionar várias tags escolhendo **Adicionar nova tag** ou remover qualquer tag escolhendo **Remover**.
1. Escolha **Adicionar sonda**.
Enquanto a sonda está sendo ativada, o **Estado** mostra **Pendente**. Pode levar vários minutos para que a sonda se torne **Ativa**.
# Editar uma sonda
Você pode alterar qualquer informação de uma sonda existente, independentemente de ela estar ativa ou inativa.
Você pode trabalhar com monitores e sondas usando o console do Amazon CloudWatch ou a AWS Command Line Interface. Para trabalhar com o Network Monitor de forma programática, consulte a [Referência de APIs do Network Synthetic Monitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) e [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) na Referência de comandos da AWS Command Line Interface.
**Para editar uma sonda usando o console**
1. Abra o console do CloudWatch em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) e, em seguida, em **Monitoramento de rede**, escolha **Monitores do Synthetic**.
Em **Nome**, escolha um link de monitor para abrir o painel do monitor.
1. Escolha a guia **Detalhes do monitor**.
1. Na seção **Sondas**, escolha o link para a sonda que você deseja editar.
1. Na página de detalhes da sonda, escolha **Editar**.
1. Na página **Editar *sonda***, insira o novo **endereço IP** de destino para a sonda. Os endereços IPv4 e IPv6 são compatíveis.
1. Selecione **Advanced settings (Configurações avançadas)**.
1. Escolha um **Protocolo** de rede, **ICMP** ou **TCP**.
1. Se o **Protocolo** for **TCP**, insira as seguintes informações:
+ Insira a **Porta** que a rede usa para se conectar. A porta deve ter um número de **1** a **65535**.
+ Insira o **Tamanho do pacote**. Esse é o tamanho, em bytes, de cada pacote enviado com a sonda entre a origem e o destino. O tamanho do pacote deve ser um número de **56** a **8.500**.
1. (Opcional) Adicione, altere ou remova tags da sonda.
1. Escolha **Salvar alterações**.
# Excluir uma sonda
Você pode excluir uma sonda em vez de desativá-la se souber que não precisará dela novamente no futuro. Você não pode recuperar uma sonda excluída, então vai precisar recriá-la. Quando uma sonda é excluída, a cobrança relativa a ela é interrompida.
Você pode trabalhar com monitores e sondas usando o console do Amazon CloudWatch ou a AWS Command Line Interface. Para trabalhar com o Network Monitor de forma programática, consulte a [Referência de APIs do Network Synthetic Monitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) e [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) na Referência de comandos da AWS Command Line Interface.
**Como excluir uma sonda usando o console**
1. Abra o console do CloudWatch em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) e, em seguida, em **Monitoramento de rede**, escolha **Monitores do Synthetic**.
1. Na seção **Monitores**, em **Nome**, escolha um link de monitor para abrir o painel do monitor.
1. Escolha a guia **Detalhes do monitor**.
1. Escolha a caixa de seleção do monitor, depois **Ações** e, em seguida, escolha **Excluir**.
1. Na caixa de diálogo **Excluir sonda**, faça o seguinte:
1. Escolha **Excluir** para confirmar que você deseja excluir a sonda.
O **Estado** da sonda na seção **Sondas** mostra **Excluindo**. Depois de excluída, a sonda é removida da seção **Sondas**.
# Marcar e desmarcar recursos
Você pode trabalhar com tags de recursos no Network Synthetic Monitor para adicionar ou remover tags.
Você pode atualizar as tags atualizando monitores ou sondas no console. Ou você pode trabalhar com tags de forma programática, por exemplo, usando a AWS Command Line Interface.
**Para atualizar tags do monitor usando a CLI**
+ Para listar tags de recursos, use [list-tags-for-resources](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/list-tags-for-resources.html).
+ Para marcar um recurso, use [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/tag-resource.html).
+ Para desmarcar um recurso, use [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/untag-resource.html).
# Painéis do Network Synthetic Monitor
Você pode usar painéis no Network Synthetic Monitor para determinar se um problema de rede é causado pela AWS, usando o indicador de integridade da rede (NHI), e visualizar o tempo de ida e volta e a perda de pacotes. Você pode visualizar essas informações e métricas dos monitores, bem como das sondas individuais.
O Network Synthetic Monitor cria várias métricas que você pode visualizar no CloudWatch Metrics. Você pode especificar alarmes para as métricas que o Network Synthetic Monitor retorna. Para obter mais informações, consulte [Alarmes de sonda](cw-nwm-create-alarm.md).
**Topics**
+ [Painéis do monitor](nw-monitor-db.md)
+ [Painéis de sondas](nw-probe-db.md)
+ [Especificar o período das métricas](nw-monitor-time-frame.md)
# Painéis do monitor
Você pode usar o painel de monitor no Network Synthetic Monitor para visualizar o indicador de integridade da rede (NHI) bem como o tempo de ida e volta e a perda de pacotes no monitor. Ou seja, um painel de monitor mostra essas informações para todas as sondas criadas para o monitor.
O Network Synthetic Monitor também tem painéis de sondas para exibir as informações no nível da sonda. Para obter mais informações, consulte [Painéis de sondas](nw-probe-db.md).
**Como acessar um painel de um monitor**
1. Abra o console do CloudWatch em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) e, em seguida, em **Monitoramento de rede**, escolha **Monitores do Synthetic**.
1. Na seção **Monitores**, escolha o link do **Nome** para abrir o painel do monitor.
## Página Visão geral
A página **Visão geral** exibe as seguintes informações para um monitor:
+ **Integridade da rede**: a integridade da rede exibe o valor do indicador de integridade da rede (NHI), que se refere somente à integridade da rede da AWS. O status do NHI é exibido como **Íntegro** ou **Degradado**. Um status **Íntegro** indica que o Network Synthetic Monitor não observou qualquer problema com a rede da AWS. Um status **Degradado** indica que o Network Synthetic Monitor observou um problema com a rede da AWS. A barra de status nesta seção mostra o status do indicador de integridade da rede durante um tempo padrão de uma hora. Passe o cursor sobre qualquer ponto da barra de status para ver detalhes adicionais.
+ **Resumo do tráfego da sonda**: exibe o estado atual do tráfego entre as sub-redes de origem da AWS específicas das sondas no monitor e os endereços IP de destino da sonda. Esse resumo exibe o seguinte:
+ **Sondas em alarme**: este número indica quantas sondas neste monitor estão em estado degradado. Um alarme é acionado quando uma métrica que você configurou como alarme é acionada. Para obter informações sobre como criar alarmes de métricas no Network Synthetic Monitor, consulte [Alarmes de sonda](cw-nwm-create-alarm.md).
+ **Perda de pacotes**: o número de pacotes que foram perdidos entre a sub-rede de origem e o endereço IP de destino. Isso é representado como uma porcentagem do total de pacotes enviados.
+ **Tempo de ida e volta**: o tempo necessário, exibido em milissegundos, para que um pacote da sub-rede de origem atinja o endereço IP de destino e volte novamente. O tempo de ida e volta é o RTT médio observado durante o período de agregação.
Os dados são representados em um gráfico interativo para que você possa explorá-los e saber mais detalhes.
Por padrão, os dados são exibidos para um período de duas horas, calculado a partir da data e hora atuais. No entanto, você pode alterar o intervalo para atender às suas necessidades. Para obter mais informações, consulte [Especificar o período das métricas](nw-monitor-time-frame.md).
### Métricas de rastreamento
O painel **Visão geral** do Network Synthetic Monitor exibe uma representação gráfica de um monitor e das sondas. Os seguintes gráficos são exibidos:
+ **Indicador de integridade da rede**: representa os valores do NHI durante um período especificado. O NHI indica se um problema de rede está relacionado a problemas com a rede da AWS. O NHI é exibido como **Íntegro** (nenhum problema com a rede da AWS) ou **Degradado** (há um problema com a rede da AWS).
No exemplo a seguir, você pode ver que das 15h UTC às 15h05 UTC, houve um problema de rede devido a um problema de rede da AWS (**Degradado**). Depois das 15h05, o problema de rede com a rede da AWS terminou, então o valor retornou para **Íntegro**. Você pode passar o cursor sobre qualquer seção do gráfico para visualizar detalhes adicionais.
![\[Indicador de integridade da rede da AWS mostrando um estado íntegro e degradado.\]](http://docs.aws.amazon.com/pt_br/AmazonCloudWatch/latest/monitoring/images/nwm_network_health.png)
**nota**
O NHI indica que um problema é devido à rede da AWS. Ele não descreve a integridade geral da rede da AWS nem a integridade das sondas do Network Synthetic Monitor.
+ **Perda de pacotes**: este gráfico exibe uma linha que mostra o porcentual da perda de pacotes para cada sonda no monitor. A legenda na parte inferior da página exibe cada uma das sondas no monitor, codificada por cores para garantir a exclusividade. Você pode passar o cursor sobre uma sonda nesse gráfico para ver a sub-rede de origem, o endereço IP de destino e o porcentual da perda de pacotes.
No exemplo a seguir, um alarme de perda de pacotes foi criado para uma sonda de uma sub-rede para o endereço IP 127.0.0.1. O alarme foi acionado quando o limite de perda de pacotes foi excedido para a sonda. Se passar o cursor sobre o gráfico, você verá a origem e o destino da sonda e que houve uma perda de pacotes de 30,97% dessa sonda em 21 de novembro às 02:41:30.
![\[Perda de pacotes mostrando um exemplo de sonda com 30,97% de perda de pacotes.\]](http://docs.aws.amazon.com/pt_br/AmazonCloudWatch/latest/monitoring/images/nwm_packet_loss.png)
+ **Tempo de ida e volta**: este gráfico exibe uma linha que mostra o tempo de ida e volta para cada sonda. A legenda na parte inferior da página exibe cada uma das sondas no monitor, codificada por cores para garantir a exclusividade. Você pode passar o cursor sobre uma sonda nesse gráfico para ver a sub-rede de origem, o endereço IP de destino e o tempo de ida e volta.
O exemplo a seguir mostra que, na terça-feira, 21 de novembro, às 21:45:30, o tempo de ida e volta de uma sonda de uma sub-rede para o endereço IP 127.0.0.1 foi de 0,075 segundo.
![\[Exemplo mostrando o tempo de ida e volta para uma sonda.\]](http://docs.aws.amazon.com/pt_br/AmazonCloudWatch/latest/monitoring/images/nwm_rtt.png)
## Detalhes do monitor
A página **Detalhes do monitor** exibe os detalhes sobre o monitor, incluindo a lista das sondas do monitor. Você pode atualizar ou adicionar tags, ou adicionar uma sonda. A página inclui as seguintes seções:
+ **Detalhes do monitor**: esta página fornece detalhes sobre o monitor. Não é possível editar as informações nesta seção. No entanto, você pode ver os detalhes do perfil vinculado ao serviço do Network Synthetic Monitor: escolha o link do **Nome do perfil** para ver detalhes.
+ **Sondas**: esta seção exibe uma lista de todas as sondas associadas ao monitor. Escolha um link de **VPC** ou **ID de sub-rede** para abrir os detalhes da VPC ou da sub-rede no console da Amazon VPC. Você pode modificar uma sonda para ativá-la ou desativá-la. Para obter mais informações, consulte [Trabalhar com monitores e sondas no Network Synthetic Monitor](nw-monitor-working-with.md).
A seção **Sondas** exibe informações sobre cada sonda configurada para o monitor, incluindo o **ID** da sonda, o **ID da VPC**, o **ID da sub-rede**, o **Endereço IP**, o **Protocolo** e se a sonda está **Ativa** ou **Inativa**.
Se você criou um alarme para uma sonda, o **Status** atual do alarme será exibido. O status **OK** indica que não há eventos de métricas que tenham acionado qualquer alarme. Um status **Em alarme** indica que uma métrica que você criou no CloudWatch acionou um alarme. Se nenhum status for exibido para uma sonda, então não há um alarme do CloudWatch para ela. Para obter informações sobre os tipos de alarmes de sonda do Network Synthetic Monitor que você pode criar, consulte [Alarmes de sonda](cw-nwm-create-alarm.md).
+ **Tags**: visualize as tags atuais de um monitor. É possível adicionar ou remover tags escolhendo **Gerenciar tags**. Isso abre a página **Editar sonda**. Para obter mais informações sobre a edição de tags, consulte [Editar um monitor](nw-monitor-edit.md).
# Painéis de sondas
Você pode usar um painel de **Sonda** no Network Synthetic Monitor para visualizar o indicador de integridade da rede (NHI) de uma sonda bem como informações sobre o tempo de ida e volta e a perda de pacotes para sondas específicas. Há dois painéis de sondas: uma página de **Visão geral** e uma de **Detalhes da sonda**.
Você pode criar alarmes do CloudWatch para definir limites de métricas para perda de pacotes e tempo de ida e volta. Quando o limite de uma métrica é atingido, um alarme do CloudWatch avisa você. Para obter informações sobre como criar alarmes de sonda, consulte [Alarmes de sonda](cw-nwm-create-alarm.md).
**Como acessar o painel de uma sonda**
1. Abra o console do CloudWatch em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) e, em seguida, em **Monitoramento de rede**, escolha **Monitores do Synthetic**.
1. Na seção **Monitores**, escolha o link do **Nome** para abrir o painel de um monitor específico.
1. Para visualizar o painel de uma sonda específica, escolha o link do **ID** da sonda.
## Página Visão geral
A página **Visão geral** exibe as seguintes informações da sonda:
+ **Integridade da rede**: a integridade da rede exibe o valor do indicador de integridade da rede (NHI), que se refere somente à integridade da rede da AWS. O status do NHI é apresentado como **Íntegro** ou **Degradado**. Um status **Íntegro** indica que o Network Synthetic Monitor não observou qualquer problema com a rede da AWS da sonda. Um status **Degradado** indica que o Network Synthetic Monitor observou um problema com a rede da AWS. A barra de status nesta seção mostra o status do indicador de integridade da rede durante um tempo padrão de uma hora. Passe o cursor sobre qualquer ponto da barra de status para ver detalhes adicionais.
+ **Perda de pacotes**: o número de pacotes que foram perdidos entre a sub-rede de origem e o endereço IP de destino para essa sonda.
+ **Tempo de ida e volta**: o tempo necessário, em milissegundos, para que um pacote da sub-rede de origem atinja o endereço IP de destino e volte novamente. O tempo de ida e volta (RTT) é o RTT médio observado durante o período de agregação.
## Detalhes da sonda
A página **Detalhes da sonda** exibe informações sobre uma sonda, incluindo a origem e o destino. Você também pode editar a sonda, por exemplo, para ativá-la ou desativá-la. Para obter mais informações, consulte [Trabalhar com monitores e sondas no Network Synthetic Monitor](nw-monitor-working-with.md).
+ **Detalhes da sonda**: esta seção fornece informações gerais sobre a sonda, que não podem ser editadas.
+ **Origem e destino da sonda**: esta seção exibe detalhes sobre a sonda. Escolha um link de **VPC** ou **ID de sub-rede** para abrir os detalhes da VPC ou da sub-rede no console da Amazon VPC. Você pode modificar uma sonda, por exemplo, para ativá-la ou desativá-la.
+ **Tags**: visualize as tags atuais de um monitor. É possível adicionar ou remover tags escolhendo **Gerenciar tags**. Isso abre a página **Editar sonda**. Para obter mais informações sobre a edição de tags, consulte [Editar uma sonda](nw-monitor-probe-edit.md).
# Especificar o período das métricas
As métricas e os eventos nos painéis do Network Synthetic Monitor usam um período padrão de duas horas, calculado com base na hora atual, mas você pode definir um período de métricas personalizado a ser usado. É possível alterar o padrão para usar uma das seguintes predefinições para o período de métricas:
+ **1h**: uma hora
+ **2h**: duas horas
+ **1d**: um dia
+ **1w**: uma semana
Também é possível definir um período personalizado. Escolha **Personalizado**, escolha uma hora **Absoluta** ou **Relativa** e, em seguida, defina o período para uma hora de sua escolha. O tempo relativo aceita apenas 15 dias retroativos com base na data atual, de acordo com as diretrizes do CloudWatch.
Além disso, você pode escolher a hora exibida nos gráficos com base no fuso horário UTC ou no fuso horário local.
Para obter mais informações, consulte [Alteração do intervalo de tempo ou do formato de fuso horário de um painel do CloudWatch](change_dashboard_time_format.md).
# Alarmes de sonda
É possível criar alarmes do Amazon CloudWatch com base nas métricas do Network Synthetic Monitor, da mesma forma que é possível criar para outras métricas do Amazon CloudWatch. Qualquer alarme que você criar aparecerá na coluna **Status** da sonda na seção de **Detalhes do monitor** do painel do Network Synthetic Monitor quando o alarme for acionado. O status será **OK** ou **Em alarme**. Se nenhum status for exibido para uma sonda, nenhum alarme foi criado para essa sonda.
Por exemplo, é possível criar um alarme com base na métrica `PacketLoss` do Network Synthetic Monitor e configurá-lo para enviar uma notificação quando a métrica for maior do que o valor escolhido. Configure alarmes para métricas do Network Synthetic Monitor seguindo as mesmas diretrizes de outras métricas do CloudWatch.
As métricas a seguir estão disponíveis em `AWS/NetworkMonitor` quando um alarme do Network Synthetic Monitor é criado.
+ **HealthIndicator**
+ **PacketLoss**
+ **RTT (tempo de ida e volta)**
Para conhecer as etapas para criar um alarme do Network Synthetic Monitor no CloudWatch, consulte [Criar um alarme do CloudWatch com base em um limite estático](ConsoleAlarms.md).
# Segurança e proteção de dados no Network Synthetic Monitor
A segurança da nuvem na AWS é a nossa maior prioridade. Como cliente da AWS, você se beneficiará de data centers e arquiteturas de rede criados para atender aos requisitos das empresas com as maiores exigências de segurança.
A segurança é uma responsabilidade compartilhada entre a AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem:** a AWS é responsável pela proteção da infraestrutura que executa os serviços da AWS na Nuvem AWS. A AWS também fornece serviços que podem ser usados com segurança. Auditores terceirizados testam e verificam regularmente a eficácia da nossa segurança como parte dos [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade que se aplicam ao Network Synthetic Monitor, consulte [Serviços da AWS no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem**: sua responsabilidade é determinada pelo serviço da AWS que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Essa documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada quando usar o Network Synthetic Monitor. Os tópicos a seguir mostram como configurar o Network Synthetic Monitor para atender aos seus objetivos de segurança e conformidade. Você também vai saber como usar outros serviços da AWS que ajudam a monitorar e proteger os recursos do Network Synthetic Monitor.
**Topics**
+ [Proteção de dados no Network Synthetic Monitor](data-protection-nw.md)
+ [Segurança de infraestrutura no Network Synthetic Monitor](infrastructure-security-nw.md)
# Proteção de dados no Network Synthetic Monitor
O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) da AWS se aplica à proteção de dados no Amazon Network Synthetic Monitor. Conforme descrito nesse modelo, a AWS é responsável por proteger a infraestrutura global que executa toda a Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS*.
Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure as contas de usuário individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com os recursos da AWS. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure os logs de API e atividade do usuário com AWS CloudTrail. Para saber mais sobre como usar as trilhas do CloudTrail para capturar atividades da AWS, consulte [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia do usuário do AWS CloudTrail*.
+ Use as soluções de criptografia AWS, juntamente com todos os controles de segurança padrão em Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar a AWS por meio de uma interface de linha de comandos ou de uma API, use um endpoint do FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso vale para quando você trabalha com o Network Synthetic Monitor ou outros Serviços da AWS que usam o console, a API, a AWS CLI ou SDKs da AWS. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
# Segurança de infraestrutura no Network Synthetic Monitor
Como um serviço gerenciado, o Network Synthetic Monitor é protegido pelos procedimentos de segurança da rede global da AWS descritos no whitepaper [Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Você usa as chamadas de API publicadas da AWS para acessar o Network Synthetic Monitor por meio da rede. Os clientes devem oferecer suporte a Transport Layer Security (TLS) 1.0 ou posterior. Recomendamos TLS 1.2 ou posterior. Os clientes também devem ter suporte a conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.
# Gerenciamento de identidade e acesso do Network Synthetic Monitor
O AWS Identity and Access Management (IAM) é um serviço da AWS que ajuda administradores a controlar o acesso aos recursos da AWS de forma segura. Os administradores do IAM controlam quem pode ser autenticado (fazer login) e autorizado (ter permissões) para usar os recursos do Network Synthetic Monitor. O IAM é um serviço da AWS que pode ser usado sem custo adicional. Você pode usar recursos do IAM para permitir que outros usuários, serviços e aplicações usem seus recursos da AWS totalmente ou de maneira limitada, sem compartilhar suas credenciais de segurança.
Por padrão, os usuários do IAM não têm permissão para criar, visualizar ou modificar os recursos da AWS. Para permitir que um usuário do IAM acesse recursos, como uma rede global, e execute tarefas, veja o que é necessário fazer:
+ Criar uma política do IAM que conceda permissão ao usuário para usar os recursos específicos e ações de API de que ele precisa
+ Anexar a política ao usuário do IAM ou ao grupo ao qual o usuário pertence
Quando você anexa uma política a um usuário ou a um grupo de usuários, isso concede ou nega ao usuário permissões para realizar as tarefas especificadas nos recursos especificados.
## Chaves de condição
O elemento `Condition` (ou bloco Condition) permite que você especifique condições nas quais uma instrução está em vigor. O elemento Condition é opcional. É possível criar expressões condicionais que usam operadores de condição, como "igual a" ou "menor que", para fazer a condição da política corresponder aos valores na solicitação. Para obter mais informações, consulte [Elementos de política JSON do IAM: operadores de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) no *Guia do usuário do AWS Identity and Access Management*.
Se você especificar vários elementos de `Condition` em uma declaração ou várias chaves em um único elemento de `Condition`, a AWS os avaliará usando uma operação lógica `AND`. Se você especificar vários valores para uma única chave de condição, a AWS avaliará a condição usando uma operação lógica `OR`. Todas as condições devem ser atendidas antes que as permissões da instrução sejam concedidas.
Você também pode usar variáveis de espaço reservado ao especificar condições. Por exemplo, é possível conceder a um usuário do IAM permissão para acessar um recurso somente se ele estiver marcado com seu nome de usuário do IAM.
Você pode anexar tags a recursos do Network Synthetic Monitor ou passar tags em uma solicitação ao Cloud WAN. Para controlar o acesso baseado em tags, forneça informações sobre as tags no elemento de condição de uma política usando as chaves de condição `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Consulte [Elementos de política JSON do IAM: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do AWS Identity and Access Management* para obter mais informações.
Para ver todas as chaves de condição globais da AWS, consulte [Chaves de contexto de condição globais da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do AWS Identity and Access Management*.
## Marcar os principais recursos da rede
Uma tag é um rótulo de metadados que você ou a AWS atribui a um recurso da AWS. Cada tag consiste em uma chave e um valor. Para tags atribuídas por você, é possível definir a chave e o valor. Por exemplo, você pode definir a chave como `purpose` e o valor como `test` para um recurso. As tags ajudam você a fazer o seguinte:
+ Identificar e organizar seus recursos da AWS. Muitos serviços da AWS oferecem suporte à marcação para que você possa atribuir a mesma tag a recursos de diferentes serviços para indicar que os recursos estão relacionados.
+ Controle o acesso aos recursos da AWS. Para obter mais informações, consulte [Controlar o acesso a recursos da AWS usando tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) no *Guia do usuário do AWS Identify and Access Management*.
# Como o Network Synthetic Monitor funciona com o IAM
Antes de usar o IAM para gerenciar o acesso ao Network Synthetic Monitor, saiba quais recursos do IAM estão disponíveis para uso com o Network Synthetic Monitor.
**Recursos do IAM que podem ser usados com o Network Synthetic Monitor**
| Recurso do IAM | Compatibilidade com o Network Synthetic Monitor |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies-nw) | Sim |
| [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies-nw) | Não |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions-nw) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources-nw) | Sim |
| [Chaves de condição de políticas](#security_iam_service-with-iam-id-based-policies-conditionkeys-nw) | Sim |
| [ACLs](#security_iam_service-with-iam-acls-nw) | Não |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags-nw) | Parcial |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds-nw) | Sim |
| [Permissões de entidade principal](#security_iam_service-with-iam-principal-permissions-nw) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service-nw) | Não |
| [Perfis vinculados ao serviço](#security_iam_service-with-iam-roles-service-linked-nw) | Sim |
Para obter uma visualização de alto nível de como o Network Synthetic Monitor e outros serviços da AWS funcionam com a maioria dos recursos do IAM, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Políticas baseadas em identidade para o Network Synthetic Monitor
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos de políticas baseadas em identidade do Network Synthetic Monitor
Para visualizar exemplos de políticas baseadas em identidade do Network Synthetic Monitor, consulte [Exemplos de políticas baseadas em identidade do Amazon CloudWatch](security_iam_id-based-policy-examples.md).
## Políticas baseadas em recursos no Network Synthetic Monitor
**Compatibilidade com políticas baseadas em recursos:** não
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. As entidades principais podem incluir contas, usuários, perfis, usuários federados ou Serviços da AWS.
Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Ações de políticas do Network Synthetic Monitor
**Compatível com ações de políticas:** sim
Os administradores podem usar as políticas JSON da AWS para especificar quem tem acesso a quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista das ações do Network Synthetic Monitor, consulte [Actions defined by Amazon CloudWatch Network Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions) na *Referência de autorização do serviço*.
As ações de políticas no Network Synthetic Monitor usam o seguinte prefixo antes da ação:
```
networkmonitor
```
Para especificar várias ações em uma única declaração, separe-as com vírgulas.
```
"Action": [
"networkmonitor:action1",
"networkmonitor:action2"
]
```
Para visualizar exemplos de políticas baseadas em identidade do Network Synthetic Monitor, consulte [Exemplos de políticas baseadas em identidade do Amazon CloudWatch](security_iam_id-based-policy-examples.md).
## Recursos de políticas do Network Synthetic Monitor
**Compatível com recursos de políticas:** sim
Os administradores podem usar as políticas JSON da AWS para especificar quem tem acesso a quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Para ver uma lista dos tipos de recursos do Network Synthetic Monitor e seus ARNs, consulte [Resources defined by Amazon CloudWatch Network Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-resources-for-iam-policies) na *Referência de autorização do serviço*. Para saber com quais ações é possível especificar o ARN de cada recurso, consulte [Actions defined by Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions).
## Chaves de condição de políticas do Network Synthetic Monitor
**Compatível com chaves de condição de política específicas de serviço:** sim
Os administradores podem usar as políticas JSON da AWS para especificar quem tem acesso a quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição globais da AWS, consulte [Chaves de contexto de condição globais da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para ver uma lista de chaves de condição do Network Synthetic Monitor, consulte [Condition keys for Amazon CloudWatch Network Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-policy-keys) na *Referência de autorização do serviço*. Para saber com quais ações e recursos é possível usar uma chave de condição, consulte [Actions defined by Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions).
## ACLs no Network Synthetic Monitor
**Compatível com ACLs:** não
As listas de controle de acesso (ACLs) controlam quais entidades principais (membros, usuários ou perfis da conta) têm permissões para acessar um recurso. As ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
## ABAC com o Network Synthetic Monitor
**Compatível com ABAC (tags em políticas):** parcial
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades do IAM e recursos da AWS e, em seguida, projetar políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
## Usar credenciais temporárias com o Network Synthetic Monitor
**Compatível com credenciais temporárias:** sim
As credenciais temporárias dão acesso de curto prazo aos recursos da AWS e são criadas automaticamente quando você usa a federação ou alterna os perfis. A AWS recomenda a você gerar credenciais temporárias dinamicamente, em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Permissões de entidade principal entre serviços do Network Synthetic Monitor
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões da entidade principal chamando um AWS service (Serviço da AWS), bem como o AWS service (Serviço da AWS) solicitante, para fazer solicitações a serviços subsequentes. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Perfis de serviço do Network Synthetic Monitor
**Compatível com perfis de serviço:** não
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
**Atenção**
Alterar as permissões de um perfil de serviço pode interromper a funcionalidade do Network Synthetic Monitor. Edite perfis de serviço somente quando o Network Synthetic Monitor fornecer orientações para fazê-lo.
## Usar um perfil vinculado ao serviço do Network Synthetic Monitor
**Compatibilidade com perfis vinculados a serviços:** sim
Um perfil vinculado a serviço é um tipo de perfil de serviço vinculado a um AWS service (Serviço da AWS). O serviço pode presumir o perfil de executar uma ação em seu nome. Perfis vinculados ao serviço aparecem em sua Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviços, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam-nw.html). Encontre um serviço na tabela que inclua um `Yes` na coluna **Perfil vinculado ao serviço**. Escolha o link **Sim** para visualizar a documentação do perfil vinculado a serviço desse serviço.
# Exemplos de políticas baseadas em identidade do Network Synthetic Monitor
Por padrão, usuários e perfis não têm permissão para criar ou modificar recursos do Network Synthetic Monitor. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recurso definidos pelo Network Synthetic Monitor, incluindo o formato dos ARNs para cada um dos tipos de recurso, consulte [Actions, resources, and condition keys for Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html) na *Referência de autorização do serviço*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices-nw)
+ [Usar o console do Network Synthetic Monitor](#security_iam_id-based-policy-examples-console-nw)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions-nw)
+ [Solução de problemas de identidade e acesso do Network Synthetic Monitor](security_iam_troubleshoot-nw.md)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Network Synthetic Monitor na conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas gerenciadas pela AWS e avance para as permissões de privilégio mínimo**: para começar a conceder permissões a seus usuários e workloads, use as *políticas gerenciadas pela AWS*, que concedem permissões para muitos casos de uso comuns. Elas estão disponíveis em seus Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da AWS que são específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Também pode usar condições para conceder acesso a ações de serviço, se elas forem usadas por meio de um AWS service (Serviço da AWS) específico, como o CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA)**: se houver um cenário que exija usuários do IAM ou um usuário raiz em sua Conta da AWS, ative a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usar o console do Network Synthetic Monitor
Para acessar o console do Network Synthetic Monitor, você deve ter um conjunto mínimo de permissões. Essas permissões devem possibilitar que você liste e visualize detalhes sobre os recursos do Network Synthetic Monitor na Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Não é necessário conceder permissões mínimas do console para usuários que fazem chamadas somente à AWS CLI ou à API do AWS. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
Para garantir que os usuários e perfis ainda possam usar o console do Network Synthetic Monitor, anexe também a política `ConsoleAccess` ou `ReadOnly` gerenciada pela AWS do Network Synthetic Monitor às entidades. Para obter informações, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console-nw) no *Guia do usuário do IAM*.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou de forma programática usando a AWS CLI ou a API da AWS.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Solução de problemas de identidade e acesso do Network Synthetic Monitor
Use as informações a seguir para ajudar a diagnosticar e corrigir problemas comuns que você possa encontrar ao trabalhar com o Network Synthetic Monitor e o IAM.
**Topics**
+ [Não tenho autorização para executar uma ação no Network Synthetic Monitor](#security_iam_troubleshoot-no-permissions-nw)
+ [Não estou autorizado a executar iam:PassRole](#security_iam_troubleshoot-passrole-nw)
+ [Quero permitir que pessoas fora da minha Conta da AWS acessem meus recursos do Network Synthetic Monitor](#security_iam_troubleshoot-cross-account-access-nw)
## Não tenho autorização para executar uma ação no Network Synthetic Monitor
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, suas políticas deverão ser atualizadas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um atributo `my-example-widget` fictício, mas não tem as permissões `networkmonitor:GetWidget` fictícias.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: networkmonitor:GetWidget on resource: my-example-widget
```
Nesse caso, a política do usuário `mateojackson` deve ser atualizada para permitir o acesso ao recurso `my-example-widget` usando a ação `networkmonitor:GetWidget`.
Se você precisar de ajuda, entre em contato com seu administrador AWS. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Não estou autorizado a executar iam:PassRole
Se você receber uma mensagem de erro informando que você não tem autorização para realizar a ação `iam:PassRole`, as políticas deverão ser atualizadas para permitir que você passe um perfil para o Network Synthetic Monitor.
Alguns Serviços da AWS permitem que você passe um perfil existente para o serviço, em vez de criar um perfil de serviço ou perfil vinculado ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando uma usuária do IAM, `marymajor`, tenta usar o console para executar uma ação no Network Synthetic Monitor. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se você precisar de ajuda, entre em contato com seu administrador AWS. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha Conta da AWS acessem meus recursos do Network Synthetic Monitor
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem compatibilidade com políticas baseadas em recursos ou listas de controle de acesso (ACLs), é possível usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Network Synthetic Monitor é compatível com esses recursos, consulte [Como o Amazon CloudWatch funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como conceder acesso a seus recursos em todas as Contas da AWS pertencentes a você, consulte [Fornecimento de acesso a um usuário do IAM em outra Conta da AWS pertencente a você](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia de usuário do IAM*.
+ Para saber como conceder acesso a seus recursos para Contas da AWS de terceiros, consulte [Fornecimento de acesso a Contas da AWS pertencentes a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Políticas gerenciadas pela AWS do Network Synthetic Monitor
Para adicionar permissões a usuários, grupos e perfis, é mais fácil usar políticas gerenciadas pela AWS do que gravar políticas por conta própria. É necessário tempo e experiência para [criar políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, é possível usar nossas políticas gerenciadas pela AWS. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua conta da AWS. Para obter mais informações sobre políticas gerenciadas pela AWS, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
Os serviços da AWS mantêm e atualizam políticas gerenciadas pela AWS. Não é possível alterar as permissões em políticas gerenciadas pela AWS. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem permissões de uma política gerenciada pela AWS, portanto, as atualizações de políticas não suspendem suas permissões existentes.
Além disso, a AWS oferece apoio a políticas gerenciadas para perfis de trabalho que abrangem vários serviços. Por exemplo, a política gerenciada `ReadOnlyAccess` da AWS concede acesso somente leitura a todos os serviços e recursos da AWS. Quando um serviço inicia um novo atributo, a AWS adiciona permissões somente leitura para novas operações e atributos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte [Políticas gerenciadas pela AWS para perfis de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
## Política gerenciada pela AWS: CloudWatchNetworkMonitorServiceRolePolicy
O `CloudWatchNetworkMonitorServiceRolePolicy` é anexado a um perfil vinculado ao serviço que permite que o serviço execute ações em seu nome e acesse os recursos associados ao CloudWatch Network Synthetic Monitor. Não é possível anexar essa política às suas identidades do IAM. Para obter mais informações, consulte [Usar um perfil vinculado ao serviço do Network Synthetic Monitor](monitoring-using-service-linked-roles-nw.md).
## Atualizações do Network Synthetic Monitor nas políticas gerenciadas pela AWS
Para ver detalhes sobre atualizações das políticas gerenciadas pela AWS para o Network Synthetic Monitor desde que este serviço começou a rastrear essas alterações, consulte [Atualizações do CloudWatch para políticas gerenciadas pela AWS](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates). Para obter alertas automáticos sobre alterações em políticas gerenciadas, inscreva-se no feed RSS na página [Histórico de documentos](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html) do CloudWatch.
# Permissões do IAM para o Network Synthetic Monitor
Para usar o Network Synthetic Monitor, os usuários devem ter as permissões corretas.
Para obter mais informações sobre segurança no Amazon CloudWatch, consulte [Gerenciamento de Identidade e Acesso para o Amazon CloudWatch](auth-and-access-control-cw.md).
## Permissões requeridas para visualizar um monitor
Para visualizar um monitor do Network Synthetic Monitor no Console de gerenciamento da AWS, você deve ter feito login como um usuário ou perfil que tenha as seguintes permissões:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"networkmonitor:Get*",
"networkmonitor:List*"
],
"Resource": "*"
}
]
}
```
------
## Permissões requeridas para criar um monitor
Para criar um monitor no Network Synthetic Monitor, os usuários devem ter permissão para criar um perfil vinculado ao serviço associado ao Network Synthetic Monitor. Para saber mais sobre o perfil vinculado ao serviço, consulte [Usar um perfil vinculado ao serviço do Network Synthetic Monitor](monitoring-using-service-linked-roles-nw.md).
Para criar um monitor para o Network Synthetic Monitor no Console de gerenciamento da AWS, você deve ter feito login como um usuário ou perfil que tenha as permissões incluídas na política a seguir.
**nota**
Se você criar uma política de permissões baseada em identidade mais restritiva, os usuários com essa política não poderão criar um monitor.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"networkmonitor:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/networkmonitor.amazonaws.com/AWSServiceRoleForNetworkMonitor",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "networkmonitor.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:GetRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/networkmonitor.amazonaws.com/AWSServiceRoleForNetworkMonitor"
},
{
"Action": [
"ec2:CreateSecurityGroup",
"ec2:CreateNetworkInterface",
"ec2:CreateTags"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
# Usar um perfil vinculado ao serviço do Network Synthetic Monitor
O Network Synthetic Monitor usa os seguintes perfis vinculados ao serviço para ter as permissões necessárias para chamar outros serviços da AWS em seu nome:
+ [`AWSServiceRoleForNetworkMonitor`](#security-iam-awsmanpol-AWSServiceRoleForNetworkMonitor)
## `AWSServiceRoleForNetworkMonitor`
O Network Synthetic Monitor usa o perfil vinculado ao serviço denominado `AWSServiceRoleForNetworkMonitor` para atualizar e gerenciar os monitores.
A função vinculada ao serviço `AWSServiceRoleForNetworkMonitor` confia no seguinte serviço para assumir a função:
+ `networkmonitor.amazonaws.com`
O `CloudWatchNetworkMonitorServiceRolePolicy` é anexado ao perfil vinculado ao serviço e concede acesso ao serviço para acessar recursos da VPC e do EC2 na conta, além de gerenciar os monitores de rede que você cria.
### Agrupamentos de permissões
A política é agrupada nos seguintes conjuntos de permissões:
+ `cloudwatch`: permite que a entidade principal do serviço publique métricas de monitoramento de rede em recursos do CloudWatch.
+ `ec2`: permite que a entidade principal do serviço descreva VPCs e sub-redes na sua conta para criar ou atualizar monitores e sondas. Também permite que a entidade principal do serviço crie, modifique e exclua grupos de segurança, interfaces de rede e suas permissões associadas para configurar o monitor ou a sonda para enviar tráfego de monitoramento aos endpoints.
Para visualizar as permissões dessa política, consulte [CloudWatchNetworkMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkMonitorServiceRolePolicy.html) na *Referência de política gerenciada pela AWS*.
## Criar a função vinculada ao serviço
`AWSServiceRoleForNetworkMonitor`
Você não precisa criar manualmente a função `AWSServiceRoleForNetworkMonitor`.
+ O Network Synthetic Monitor cria o perfil `AWSServiceRoleForNetworkMonitor` quando você cria o primeiro monitor de rede. Esse perfil então se aplicará a todos os monitores adicionais que você criar.
Para criar um perfil vinculado ao serviço em seu nome, você deve ter as permissões necessárias. Para obter mais informações, consulte [Permissões de função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Editar a função vinculada ao serviço
É possível editar a descrição de `AWSServiceRoleForNetworkMonitor ` usando o IAM. Para obter mais informações, consulte [Editar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluir a função vinculada ao serviço
Caso não precise mais usar o Network Synthetic Monitor, recomendamos excluir o perfil `AWSServiceRoleForNetworkMonitor`.
Você só pode excluir esses perfis vinculados ao serviço depois de excluir os monitores. Para obter mais informações, consulte [Excluir um monitor](https://docs.aws.amazon.com/ ).
É possível usar o console, a CLI ou a API do IAM para excluir funções vinculadas ao serviço. Para obter mais informações, consulte [Excluir uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
Após a exclusão de `AWSServiceRoleForNetworkMonitor `, o Network Synthetic Monitor criará novamente o perfil quando você criar um monitor.
## Regiões compatíveis com o perfil vinculado ao serviço do Network Synthetic Monitor
O Network Synthetic Monitor é compatível com o perfil vinculado ao serviço em todas as Regiões da AWS em que o serviço está disponível. Para obter mais informações, consulte [AWS endpoints](https://docs.aws.amazon.com//general/latest/gr/rande.html) na *Referência geral da AWS*.
## Excluir a função vinculada ao serviço
Caso não precise mais usar o Network Synthetic Monitor, recomendamos excluir o perfil `AWSServiceRoleForNetworkMonitor`.
Você só pode excluir esses perfis vinculados ao serviço depois de excluir os monitores. Para obter mais informações, consulte [Excluir um monitor](https://docs.aws.amazon.com/ ).
É possível usar o console, a CLI ou a API do IAM para excluir funções vinculadas ao serviço. Para obter mais informações, consulte [Excluir uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
Após a exclusão de `AWSServiceRoleForNetworkMonitor `, o Network Synthetic Monitor criará novamente o perfil quando você criar um monitor.