# 使用网络综合监测仪
您可通过网络综合监测仪了解将 AWS 托管应用程序连接到本地目标的网络的性能,并可在几分钟内确定网络性能下降的根源。网络综合监测仪由 AWS 完全托管,不需要在受监测的资源上单独安装代理。利用网络综合监测仪可视化混合网络连接的数据包丢失和延迟,设置警报和阈值。然后,您可以根据这些信息采取行动,改善最终用户的体验。
网络综合监测仪适用于想要实时了解网络性能的网络运营商和应用程序开发人员。
## 网络综合监测仪主要功能
+ 借助网络综合监测仪,利用持续的实时丢包率和延迟指标对不断变化的混合网络环境进行基准测试。
+ 您使用 AWS Direct Connect 进行连接时,网络综合监测仪可以通过其写入 Amazon CloudWatch 账户中的 AWS 网络运行状况指标(NHI),快速帮助您诊断网络性能下降的情况。NHI 指标是一个二进制值,基于 AWS 中是否存在网络性能下降的概率分数。
+ 网络综合监测仪提供完全托管的代理方法进行监测,因此您无需在 VPC 上或本地安装代理。要开始使用,只需指定 VPC 子网和本地 IP 地址。您可以通过使用 AWS PrivateLink 在 VPC 和网络综合监测仪代理之间建立私有连接。有关更多信息,请参阅 [将 CloudWatch、CloudWatch Synthetics 和 CloudWatch 网络监控与接口 VPC 端点结合使用](cloudwatch-and-interface-VPC.md)。
+ 网络综合监测仪向 CloudWatch Metrics 发布指标。您可以创建控制面板来查看您的指标,还可针对特定于应用程序的指标创建可操作阈值和警报。
有关更多信息,请参阅 [网络综合监测仪的工作原理](nw-monitor-how-it-works.md)。
## 网络综合监测仪术语和组件
+ **探测器**:探测器是指从 AWS 托管资源发送到本地目标 IP 地址的流量。对于监测仪内配置的各个探测器,探测器测量的网络综合监测仪指标会写入您的 CloudWatch 账户。
+ **监测仪**:监测仪显示您创建的网络综合监测仪*探测器*监测的流量网络性能和其他运行状况信息。您可以在创建监测仪的过程中添加探测器,然后使用监测仪查看网络性能指标信息。为应用程序创建监测仪时,您可以将 AWS 托管资源添加为网络源。然后,网络综合监测仪会创建 AWS 托管资源和目标 IP 地址之间所有可能的探测器的列表。您可以选择要监测其流量的目标。
+ **AWS 网络源**:AWS 网络源是监测仪探针的原始 AWS 来源,该来源将成为其中一个 VPC 中的子网。
+ **目标**:目标是 AWS 网络源在本地网络中的目标。目标是您的本地 IP 地址、网络协议、端口和网络数据包大小的组合。同时支持 IPv4 和 IPv6 地址。
## 网络综合监测仪要求和限制
以下总结了网络综合监测仪的要求和限制。有关具体限额(或限制),请参阅[网络综合监测仪](cloudwatch_limits.md#nw-monitor-quotas)。
+ 监控子网必须由与监控相同的账户拥有。
+ 出现 AWS 网络问题时,网络综合监测仪不提供自动网络失效转移。
+ 创建每个探测器都需要付费。有关定价详细信息,请参阅[网络综合监测仪的定价](pricing-nw.md)。
# 网络综合监测仪的工作原理
网络综合监测仪由 AWS 完全托管,不需要在受监测的资源上单独安装代理。相反,您可以通过提供 VPC 子网和本地 IP 地址来指定*探测器*。
在网络综合监测仪中为 AWS 托管资源创建监测仪时,AWS 会在后台创建和管理基础设施,用来执行往返时间和丢包测量。由于 AWS 托管所需的配置,因此您无需在 AWS 基础设施中安装或卸载代理,即可快速扩展监控规模。
创建探测器时,系统会创建自定义弹性网络接口(ENI),然后附加到探测器实例和客户子网。例如,如果网络综合监测仪取代了探测器实例,网络综合监测仪会分离 ENI 并将其重新附加到替代探测器。这意味着 ENI IP 地址在创建后不会更改,除非您删除探测器并为相同的源和目标创建新的探测器。
网络综合监测仪重点监测来自 AWS 托管资源的流量所采用的路由,而不是广泛监测来自 AWS 区域 的所有流量。如果您的工作负载分布在多个可用区中,则网络综合监测仪可以监测来自您各个私有子网的路由。
网络综合监测仪根据您在创建监测仪时设置的聚合间隔向您的 Amazon CloudWatch 账户发布往返时间和丢包率指标。您还可以使用 CloudWatch 为每个监测仪设置单独的延迟和丢包率阈值。例如,您可以为易受丢包率影响的工作负载创建警报,在平均丢包率高于 0.1% 静态阈值时通知自己。您还可以使用 CloudWatch 异常检测功能对超出所需范围的丢包率或延迟指标发出警报。
## 可用性和性能测量
网络综合监测仪定期将处于活动状态的探测器从您的 AWS 资源发送到本地目标。创建监测仪时,您可指定以下内容:
+ **聚合时间间隔:**CloudWatch 收到测量结果所需的时间(以秒为单位)。即每 30 秒或 60 秒一次。您为监测仪选择的聚合周期适用于该监测仪中的所有探测器。
+ **探测器源(AWS 资源):**探测器源是网络运行所在区域中的 VPC 和关联子网,或者只有 VPC 子网。
+ **探测器(客户资源):**探测器的目标是本地 IP 地址、网络协议、端口和网络数据包大小的组合。
+ **探测器协议:**支持 ICMP 或 TCP 协议。有关更多信息,请参阅 [支持的通信协议](#nw-monitor-protocol)。
+ **端口(对于 TCP):**您的网络用于连接的端口。
+ **数据包大小(对于 TCP):**单个探测器在 AWS 托管资源和目标之间传输的各个数据包大小(以字节为单位)。您可以为监测仪中的每个探针指定不同的数据包大小。
监测仪发布的指标如下:
+ **往返时间:**此指标以微秒为单位,是衡量性能的指标。它会记录探针传输到目标 IP 地址以及接收关联响应所花的时间。往返时间是在聚合时间间隔内观察到的平均时间。
+ **丢包率:**该指标会测量已发送数据包总数的百分比,并记录未收到关联响应的传输的数量。没有响应意味着数据包在网络路径上丢失。
## 支持的通信协议
网络综合监测仪支持两种探测器协议:ICMP 和 TCP。
基于 ICMP 的探测器将来自 AWS 托管资源的 ICMP 回显请求传送到目标地址,并期望得到 ICMP 回显回复。网络综合监测仪使用 ICMP 回显请求和回复消息的相关信息来计算往返时间和丢包率指标。
基于 TCP 的探测器将 TCP SYN 数据包从您的 AWS 托管资源传输到目标地址和端口,并预期得到 TCP SYN\$1ACK 数据包响应。网络综合监测仪使用 TCP SYN 与 TCP SYN\$1ACK 消息的相关信息来计算往返时间和丢包率指标。网络综合监测仪会定期切换源 TCP 端口,以此扩大网络覆盖范围,从而提高检测到丢包的概率。
## AWS 的网络运行状况指标
网络综合监测仪会发布网络运行状况指标(NHI),该指标可为包含通过 Direct Connect 连接的目标路径提供有关 AWS 网络问题的信息。
NHI 二进制值基于统计指标,该指标用于衡量从 AWS 托管资源(即监测仪部署位置)到 Direct Connect 位置的 AWS 受控网络路径运行状况。网络综合监测仪利用异常检测功能来计算网络路径的可用性下降或性能下降情况。
对于通过 Cloud WAN 进行中间路由的 Direct Connect 连接,NHI 的结果并不准确。当您的混合网络包含云 WAN 时,请勿将 NHI 值作为性能问题的判断依据。
**注意**
每次创建新监测仪、添加探针或重新激活探针时,该监测仪的 NHI 将延迟几小时,同时 AWS 会收集数据用于执行异常检测。
为了提供 NHI 值,网络综合监测仪将统计相关性应用于 AWS 示例数据集,以及模拟网络路径的流量的丢包率和往返延迟指标。NHI 可以是以下两个值之一:1 或 0。值为 1 表示网络综合监测仪观测到 AWS 受控网络路径中出现网络性能下降的情况。值为 0 表示网络综合监测仪未观测到路径中 AWS 网络出现任何网络性能下降的情况。使用 NHI 值可以让您更快地了解导致网络问题的原因。例如,您可以为 NHI 指标设置警报,这样在网络路径中 AWS 网络发生问题时,您就会收到通知。
## 支持 IPv4 和 IPv6 地址
网络综合监测仪可通过 IPv4 或 IPv6 网络提供可用性和性能指标,且可监测来自双堆栈 VPC 的 IPv4 或 IPv6 地址。网络综合监测仪不允许在同一监测仪中同时配置 IPv4 和 IPv6 目标;但您可以为仅限 IPv4 和仅限 IPv6 的目标单独创建监测仪。
# 网络综合监测仪支持的 AWS 区域
本节列出了支持网络综合监测仪的 AWS 区域。有关支持网络综合监测仪的区域(包括选择支持的区域)的更多信息,请参阅《Amazon Web Services General Reference》**中的 [Network Synthetic Monitor endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/cwnm_region.html)。
| 区域名称 | 区域 |
| --- | --- |
| 非洲(开普敦) | af-south-1 |
| 亚太地区(香港) | ap-east-1 |
| 亚太地区(海得拉巴) | ap-south-2 |
| 亚太地区(雅加达) | ap-southeast-3 |
| 亚太地区(马来西亚) | ap-southeast-5 |
| 亚太地区(墨尔本) | ap-southeast-4 |
| 亚太地区(孟买) | ap-south-1 |
| 亚太地区(大阪) | ap-northeast-3 |
| 亚太地区(首尔) | ap-northeast-2 |
| 亚太地区(新加坡) | ap-southeast-1 |
| 亚太地区(悉尼) | ap-southeast-2 |
| 亚太地区(泰国) | ap-southeast-7 |
| 亚太地区(东京) | ap-northeast-1 |
| 加拿大(中部) | ca-central-1 |
| 加拿大西部(卡尔加里) | ca-west-1 |
| 欧洲地区(法兰克福) | eu-central-1 |
| 欧洲地区(爱尔兰) | eu-west-1 |
| 欧洲地区(伦敦) | eu-west-2 |
| 欧洲地区(米兰) | eu-south-1 |
| 欧洲地区(巴黎) | eu-west-3 |
| 欧洲(西班牙) | eu-south-2 |
| 欧洲地区(斯德哥尔摩) | eu-north-1 |
| 欧洲(苏黎世) | eu-central-2 |
| 以色列(特拉维夫) | il-central-1 |
| 墨西哥(中部) | mx-central-1 |
| 中东(巴林) | me-south-1 |
| 中东(阿联酋) | me-central-1 |
| 南美洲(圣保罗) | sa-east-1 |
| 美国东部(弗吉尼亚州北部) | us-east-1 |
| 美国东部(俄亥俄州) | us-east-2 |
| 美国西部(北加利福尼亚) | us-west-1 |
| 美国西部(俄勒冈州) | us-west-2 |
# 网络综合监测仪的定价
使用网络综合监测仪无需预付费用或长期订阅。网络综合监测仪的定价包括以下两个组成部分:
+ 各项受监控 AWS 资源的小时费率
+ CloudWatch 指标费用
在网络综合监测仪中创建监测仪时,可以将 AWS 资源(源)与之关联以进行监测。对于网络综合监测仪,这些资源是 Amazon Virtual Private Cloud(VPC)中的子网。对于每个资源,最多可以创建四个探测器,每个探测器用于从 VPC 中的一个子网到四个客户目标 IP 地址的流量。为了帮助您控制账单成本,您可以通过减少所监控资源的数量来调整子网覆盖范围和本地 IP 地址目标覆盖范围。
有关定价的更多信息,请参阅 [Amazon CloudWatch 定价](https://aws.amazon.com//cloudwatch/pricing/)页面。
# 网络综合监测仪 API 操作
下表列出了可与 Amazon CloudWatch 配合使用的网络综合监测仪 API 操作。请参阅此表以获取相关文档链接。
| Action | API 参考 | 更多信息 |
| --- | --- | --- |
| 在源子网和目标 IP 地址之间创建监测仪。 | 请参阅 [CreateMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_CreateMonitor.html) | 请参阅 [创建监视器](getting-started-nw.md)。 |
| 在监测仪内创建探测器。 | 请参阅 [CreateProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_CreateProbe.html) | 请参阅 [激活或停用探测器](nw-monitor-probe-status.md)。 |
| 移除监测仪。 | 请参阅 [DeleteMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_DeleteMonitor.html) | 请参阅 [删除监测仪](nw-monitor-delete.md)。 |
| 删除特定探测器。 | 请参阅 [DeleteProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_DeleteProbe.html) | 请参阅 [删除探测器](nw-monitor-probe-delete.md)。 |
| 获取有关监测仪的信息。 | 请参阅 [GetMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_GetMonitor.html) | 请参阅 [使用网络综合监测仪中的监测仪和探测器](nw-monitor-working-with.md)。 |
| 获取有关特定探测器的信息。 | 请参阅 [GetProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_GetProbe.html) | 请参阅 [使用网络综合监测仪中的监测仪和探测器](nw-monitor-working-with.md)。 |
| 获取所有监测仪的列表。 | 请参阅 [ListMonitors](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_ListMonitors.html) | 请参阅 [使用网络综合监测仪中的监测仪和探测器](nw-monitor-working-with.md)。 |
| 列出分配给资源的标签。 | 请参阅 [ListTagsForResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_ListTagsForResource.html) | 请参阅 [标记和取消标记资源](nw-monitor-tags-cli.md)。 |
| 向监测仪或探测器添加键值对或标签。 | 请参阅 [TagResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_TagResource.html) | 请参阅 [标记和取消标记资源](nw-monitor-tags-cli.md)。 |
| 移除监测仪或探测器中的键值对或标签。 | 请参阅 [UntagResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UntagResource.html) | 请参阅 [标记和取消标记资源](nw-monitor-tags-cli.md)。 |
| 更新监测仪的聚合周期。 | 请参阅 [UpdateMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UpdateMonitor) | 请参阅 [编辑监测仪](nw-monitor-edit.md)。 |
| 更新监测仪中的探测器。 | 请参阅 [UpdateProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UpdateProbe) | 请参阅 [编辑探测器](nw-monitor-probe-edit.md)。 |
# 使用网络综合监测仪中的监测仪和探测器
首先,在网络综合监测仪中创建带有探测器的监测仪,以测量指定聚合周期内的网络性能。然后,您可以更新监测仪以进行所需的更改,例如,更改聚合周期、停用或激活探测器,或者添加或删除标签。
以下部分提供有关使用 Amazon CloudWatch 控制台为监测仪和探测器完成这些任务的分步指导。也可以使用 AWS Command Line Interface 对监测仪进行更改。
**Topics**
+ [创建监视器](getting-started-nw.md)
+ [编辑监测仪](nw-monitor-edit.md)
+ [删除监测仪](nw-monitor-delete.md)
+ [激活或停用探测器](nw-monitor-probe-status.md)
+ [向监测仪添加探测器](nw-monitor-add-probe.md)
+ [编辑探测器](nw-monitor-probe-edit.md)
+ [删除探测器](nw-monitor-probe-delete.md)
+ [标记和取消标记资源](nw-monitor-tags-cli.md)
# 创建监视器
以下部分介绍如何在网络综合监测仪中创建包含所需探测器的监测仪。创建监测仪时,可以通过选择源子网,然后为每个子网最多添加四个目标地,以此指定探测器。每个源-目标对即为一个探测器。
创建监测仪后,可以对其进行更改,例如,添加、移除或停用探测器。有关更多信息,请参阅 [使用网络综合监测仪中的监测仪和探测器](nw-monitor-working-with.md)。
可以使用 Amazon CloudWatch 控制台或 AWS Command Line Interface 来管理监测仪和探测器。要以编程方式使用网络综合监测仪,请参阅《[Network Synthetic Monitor API Reference](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)》和《AWS Command Line Interface Command Reference》中的 [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
以下过程提供有关使用 Amazon CloudWatch 控制台创建监测仪的分步指导。
+ [定义监测仪详细信息](#NWDefineDetails)
+ [选择源和目标](#NWSourceDestination)
+ [确认探测器](#NWConfirmProbes)
+ [查看并创建监测仪](#NWReviewCreate)
**重要**
这些步骤需一次性完成。您无法保存正在进行的工作以待后续处理。
## 定义监测仪详细信息
创建监测仪的第一步是定义基本详细信息,方法是为监测仪命名和定义聚合周期。(可选)您还可以添加标签。
**定义监测仪详细信息**
1. 点击 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台,然后在**网络监测**下选择**综合监测仪**。
1. 选择 **Create monitor(创建监控)**。
1. 对于**监测仪名称**,输入监测仪的名称。
1. 对于**聚合周期**,选择您想要向 CloudWatch 发送指标的频率:**30 秒**或 **60 秒**。
**注意**
较短的聚合周期有助于更快地检测网络问题。但是,您选择的聚合周期可能会影响账单费用。有关定价的更多信息,请参阅 [Amazon CloudWatch 定价](https://aws.amazon.com//cloudwatch/pricing/)页面。
1. (可选)对于**标签**,添加**键**和**值**对以帮助识别此资源,以使您可以搜索或筛选特定信息。
1. 选择**添加新标签**。
1. 输入**键**名称和关联**值**。
1. 要添加新标签,请选择**添加新标签**。
选择**添加新标签**即可添加多个标签,也可选择**删除**来删除标签。
1. 如果要将标签与监测仪的探针关联,则请保持选中**向监测仪创建的探针添加标签**。这样即可向监测仪探针添加标签,这对基于标签的身份验证或计量可能有帮助。
1. 选择**下一步**。在下一页上,您将指定源和目标,以便为监测仪创建探测器。
## 选择源和目标
对于网络综合监测仪中的每个监测仪,您可以指定一个或多个探测器,即 AWS 源和目标的组合。
+ 探测器源是网络运行所在区域中的 VPC 和关联子网,或者只有 VPC 子网。
+ 目标是本地 IP 地址、网络协议、端口和网络数据包大小的组合。
**重要**
这些步骤需一次性完成。您无法保存正在进行的工作以待后续处理。
**选择源和目标**
1. 先决条件:[定义监测仪详细信息](#define-details-nw)。
1. 在 **AWS** **网络源**下,选择要包含在监测仪中的一个或多个子网。要选择 VPC 中的所有子网,请选择该 VPC。或者,选择 VPC 内的特定子网。所选子网即为监测仪源。
1. 对于**目标 1**,输入本地网络的目标 IP 地址。同时支持 IPv4 和 IPv6 地址。
1. 选择**高级设置**。
1. 对于**协议**,为本地目标选择网络协议。该协议可以是 **ICMP** 或 **TCP**。
1. 如果选择 **TCP**,请输入以下信息:
1. 输入您的网络用于连接的**端口**。该端口号必须为介于 **1** 到 **65535** 之间的数字。
1. 输入**数据包大小**。此即探测器在源和目标之间发送的各个数据包的大小(以字节为单位)。数据包大小必须为介于 **56** 到 **8500** 之间的数字。
1. 选择**添加目标**,向监测仪添加另一个本地目标。针对您要添加的每个目标重复这些步骤。
1. 添加完源和目标后,选择**下一步**以确认监测仪的探测器。
## 确认探测器
在**确认探测器**页面上,查看将为监测仪创建的所有探测器,确保其源和目标设置正确。
**确认探测器**页面会显示您在上一步中指定的探测器规格的源和目标所有可能的组合。例如,如果您有六个源子网和四个目标 IP 地址,总共有 24 种可能的探测器组合,因此将创建 24 个探测器。
**重要**
这些步骤应在一个会话中完成。您无法保存正在进行的工作以待后续处理。
**确认探测器**页面不会表明探测器是否有效。我们建议您仔细查看此页面,然后删除任何无效的探测器。如果不删除,则您可能需要为无效的探测器付费。
**确认监测仪探测器**
1. 先决条件:[选择源和目标](#source-destination-nw)。
1. 在**确认探针**页面上,查看源和目标探针组合列表。
1. 选择要从监测仪中删除的所有探针,然后选择**删除**。
**注意**
系统不会提示您确认删除探针。如果您删除探针并想要将其恢复,则必须重新进行设置。您可以按照 [向监测仪添加探测器](nw-monitor-add-probe.md) 中的步骤操作,向现有监测仪添加探针。
1. 选择**下一步**,然后查看监测仪详细信息。
## 查看并创建监测仪
最后一步是查看监测仪和监测仪探测器的详细信息,然后创建监测仪。此时,您可以更改有关监测仪的任何信息。
检查完毕后,更改所有不正确的信息,然后创建监测仪。
创建监测仪后,网络综合监测仪就会开始跟踪指标,并且您将开始为监测仪中的探测器付费。
**重要**
此步骤应在一个会话中完成。您无法保存正在进行的工作以待后续处理。
如果您选择编辑某个部分,则必须从进行编辑的那一刻开始逐步完成创建监测仪的过程。之前的监测仪创建页面会保留您已经输入的信息。
**查看并创建监测仪**
1. 在**查看并创建探测器**页面上,为要进行更改的任意部分选择**编辑**。
1. 在该部分进行更改,然后选择**下一步**。
1. 完成编辑后,选择**创建监测仪**。
网络综合监测仪页面的**监测仪**部分会显示监测仪创建的当前状态。当网络综合监测仪仍在创建监测仪时,**状态**为**待处理**。当**状态**更改为**活动**时,即可通过访问监测仪控制面板查看 CloudWatch 指标。
有关使用监测仪控制面板的信息,请参阅 [网络综合监测仪控制面板](nw-monitor-dashboards.md)。
**注意**
新添加的监测仪可能需要几分钟才能开始收集网络指标。
# 编辑监测仪
您可以编辑网络综合监测仪的信息,包括更改名称、设置新的聚合周期,或者添加或移除标签。更改监测仪的信息不会更改任何与之关联的探测器。
可以使用 Amazon CloudWatch 控制台或 AWS Command Line Interface 来管理监测仪和探测器。要以编程方式使用网络综合监测仪,请参阅《[Network Synthetic Monitor API Reference](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)》和《AWS Command Line Interface Command Reference》中的 [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
**使用控制台编辑监测仪**
1. 点击 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台,然后在**网络监测**下选择**综合监测仪**。
1. 在**监测仪**部分,选择要编辑的监测仪。
1. 在监测仪控制面板页面上,选择**编辑**。
1. 在**监测仪名称**中输入监测仪的新名称。
1. 在**聚合周期**中选择要向 CloudWatch 发送指标的频率。有效期为:
+ **30 秒**
+ **60 秒**
**注意**
较短的聚合周期有助于更快地检测网络问题。但是,您选择的聚合周期可能会影响账单费用。有关定价的更多信息,请参阅 [Amazon CloudWatch 定价](https://aws.amazon.com//cloudwatch/pricing/)页面。
1. (可选)在**标签**部分添加**键**和**值**对可进一步帮助识别此项资源,您可以在此基础上搜索或筛选特定信息。您也可以只更改任何当前**键**的**值**。
1. 选择**添加新标签**。
1. 输入**键**名称和关联**值**。
1. 要添加新标签,请选择**添加新标签**。
选择**添加新标签**即可添加多个标签,也可选择**删除**来删除标签。
1. 如果要将标签与监测仪关联,请保持选中**向监测仪创建的探测器添加标签**。这样即可向监测仪探测器添加标签,如果您使用的是基于标签的身份验证或计量,这种做法很有帮助。
1. 选择**保存更改**。
# 删除监测仪
在删除网络综合监测仪中的监测仪之前,无论监测仪**状态**如何,必须停用或删除与该监测仪关联的所有探测器。删除监测仪后,您不再需要为监测仪中探测器支付费用。请注意,已删除的监测仪无法恢复。
可以使用 Amazon CloudWatch 控制台或 AWS Command Line Interface 来管理监测仪和探测器。要以编程方式使用网络综合监测仪,请参阅《[Network Synthetic Monitor API Reference](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)》和《AWS Command Line Interface Command Reference》中的 [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
**使用控制台删除监测仪**
1. 点击 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台,然后在**网络监测**下选择**综合监测仪**。
1. 在**监测仪**部分,选择要删除的监测仪。
1. 选择**操作**,然后选择**删除**。
1. 如果您有任何处于活动状态的监测仪探针,则系统将提示您停用。选择**停用探测器**。
**注意**
选择**停用探测器**后,您将无法取消或撤消此操作。但已停用的探测器不会从监测仪中删除。如果您愿意,则可以稍后将其重新激活。有关更多信息,请参阅 [激活或停用探测器](nw-monitor-probe-status.md)。
1. 在确认字段中,输入 **confirm**,然后选择**删除**。
或者,您以编程方式删除监测仪,例如,通过使用 AWS Command Line Interface。
**使用 CLI 删除监测仪**
1. 要删除监测仪,您需要知道监测仪名称。如果您不知道名称,则请运行 [list-monitors](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/list-monitors.html) 命令获取监测仪列表。记下要删除的监测仪的名称。
1. 验证该监测仪是否包含任何活动的探针。根据上一步的监测仪名称,使用 [get-monitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/get-monitor.html)。此操作将返回该监测仪的所有关联探测器的列表。
1. 如果监测仪包含活动的探针,则必须首先将这些探针设置为非活动状态或将其删除。
+ 要将探测器设置为非活动状态,请使用 [update-probe](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/update-probe.html),并将状态设置为 `INACTIVE`。
+ 要删除探测器,请使用 [delete-probe](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/delete-probe.html)。
1. 将探针设置为 `INACTIVE` 或删除后,您可以通过运行 [delete-monitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/create-probe.html) 命令来删除监测仪。当您删除监测仪时,不会删除非活动探针。
# 激活或停用探测器
您可以在网络综合监测仪中激活或停用监测仪中的探测器。如果您目前并未使用探测器,但将来可能需要再次使用,则可能需要将其停用。如果停用探针而不是删除探针,则您无需花时间重新设置。您无需支付已停用探测器的费用。
可以使用 Amazon CloudWatch 控制台或 AWS Command Line Interface 来管理监测仪和探测器。要以编程方式使用网络综合监测仪,请参阅《[Network Synthetic Monitor API Reference](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)》和《AWS Command Line Interface Command Reference》中的 [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
**使用控制台将探针设置为活动或非活动状态**
1. 点击 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台,然后在**网络监测**下选择**综合监测仪**。
1. 选择**监测仪详细信息**选项卡。
1. 在**探测器**部分,选择要激活或停用的探测器。
1. 选择**操作**,然后选择**激活**或**停用**。
**注意**
重新激活探针后,探针会再次开始产生的计费。
# 向监测仪添加探测器
可以为网络综合监测仪中的现有监测仪添加探测器。请注意,当您向监测仪添加探针时,账单结构将更新为包含新探针。
可以使用 Amazon CloudWatch 控制台或 AWS Command Line Interface 来管理监测仪和探测器。要以编程方式使用网络综合监测仪,请参阅《[Network Synthetic Monitor API Reference](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)》和《AWS Command Line Interface Command Reference》中的 [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
**使用控制台向监测仪添加探测器**
1. 点击 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台,然后在**网络监测**下选择**综合监测仪**。
1. 在**监测仪**部分,执行以下任一操作:
+ 选择要向其添加探测器的监测仪**名称**链接。选择**监测仪详细信息**选项卡,然后在**探测器**部分选择**添加探测器**。
+ 选择监测仪复选框,选择**操作**,然后选择**添加探测器**。
1. 在**添加探测器**页面上,执行以下操作:
1. 在 **AWS** **网络源**下,选择要向监测仪添加的子网。
**注意**
一次仅能添加一个探测器,每个监测仪最多可以添加四个探测器。
1. 输入本地网络的目标 **IP 地址**。同时支持 IPv4 和 IPv6 地址。
1. 选择**高级设置**。
1. 为目标选择网络**协议**。该协议可以是 **ICMP** 或 **TCP**。
1. 如果**协议**为 **TCP**,请输入以下信息。否则,请跳到下一步:
+ 输入您的网络用于连接的**端口**。该端口号必须为介于 **1** 到 **65535** 之间的数字。
+ 输入**数据包大小**。此即探测器在源和目标之间发送的各个数据包的大小(以字节为单位)。数据包大小必须为介于 **56** 到 **8500** 之间的数字。
1. (可选)在**标签**部分添加**键**和**值**对可进一步帮助识别此项资源,您可以在此基础上搜索或筛选特定信息。
1. 选择**添加新标签**。
1. 输入**键**名称和关联**值**。
1. 要添加新标签,请选择**添加新标签**。
选择**添加新标签**即可添加多个标签,也可选择**删除**来删除任何标签。
1. 选择**添加探测器**。
当探测器处于激活状态时,**状态**显示为**待定**。探测器可能需要几分钟才能变为**活动**状态。
# 编辑探测器
无论现有探针处于活动还是非活动状态,您都可以更改该探针的任何信息。
可以使用 Amazon CloudWatch 控制台或 AWS Command Line Interface 来管理监测仪和探测器。要以编程方式使用网络综合监测仪,请参阅《[Network Synthetic Monitor API Reference](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)》和《AWS Command Line Interface Command Reference》中的 [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
**使用控制台编辑探针**
1. 点击 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台,然后在**网络监测**下选择**综合监测仪**。
在**名称**下,选择监测仪链接,打开监测仪控制面板。
1. 选择**监测仪详细信息**选项卡。
1. 在**探针**部分,选择要编辑的探针的链接。
1. 在探针详情页上,选择**编辑**。
1. 在**编辑*探针***页面上,输入探针的新目标 **IP 地址**。同时支持 IPv4 和 IPv6 地址。
1. 选择**高级设置**。
1. 依次选择网络**协议**、**ICMP** 或 **TCP**。
1. 如果**协议**为 **TCP**,则请输入以下信息:
+ 输入您的网络用于连接的**端口**。该端口号必须为介于 **1** 到 **65535** 之间的数字。
+ 输入**数据包大小**。此即探测器在源和目标之间发送的各个数据包的大小(以字节为单位)。数据包大小必须为介于 **56** 到 **8500** 之间的数字。
1. (可选)添加、更改或删除探针的标签。
1. 选择**保存更改**。
# 删除探测器
如果您确认以后不再需要使用探针,则可将其删除而非停用。您无法恢复已删除的探针;相反地,您必须重新创建该探针。删除探针后,该探针将停止计费。
可以使用 Amazon CloudWatch 控制台或 AWS Command Line Interface 来管理监测仪和探测器。要以编程方式使用网络综合监测仪,请参阅《[Network Synthetic Monitor API Reference](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)》和《AWS Command Line Interface Command Reference》中的 [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
**使用控制台删除探测器**
1. 点击 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台,然后在**网络监测**下选择**综合监测仪**。
1. 在**监测仪**部分的**名称**下,选择监测仪链接以打开监测仪控制面板。
1. 选择**监测仪详细信息**选项卡。
1. 选择监测仪复选框,选择**操作**,然后选择**删除**。
1. 在**删除探测器**对话框中,执行以下操作:
1. 选择**删除**,确认您要删除探测器。
**探测器**部分的探测器**状态**显示为**正在删除**。删除后,探测器将从**探测器**部分删除。
# 标记和取消标记资源
可以在网络综合监测仪中使用资源标签来添加或移除标签。
可以通过在控制台中更新监测仪或探测器来更新标签。或者,以编程方式处理标签,例如,通过使用 AWS Command Line Interface。
**使用 CLI 更新监测仪标签**
+ 要列出资源标签,请使用 [list-tags-for-resources](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/list-tags-for-resources.html)。
+ 要标记资源,请使用 [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/tag-resource.html)。
+ 要取消标记资源,请使用 [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/untag-resource.html)。
# 网络综合监测仪控制面板
您可以使用网络综合监测仪中的控制面板查看网络运行状况指标(NHI),以确定 AWS 是否导致了网络问题,并查看探测器往返时间和丢包率。可以查看监测仪以及单个探测器的这些信息和指标。
网络综合监测仪会创建多个指标,供您在 CloudWatch Metrics 中查看。可以为网络综合监测仪返回的指标指定警报。有关更多信息,请参阅 [探测器警报](cw-nwm-create-alarm.md)。
**Topics**
+ [监测仪控制面板](nw-monitor-db.md)
+ [探测器控制面板](nw-probe-db.md)
+ [指定指标的时间范围](nw-monitor-time-frame.md)
# 监测仪控制面板
您可以使用网络综合监测仪中的监测仪控制面板查看网络运行状况指标(NHI)以及监测仪级别的探测器往返时间和丢包率。也就是说,监测仪控制面板可显示为相应监测仪创建的所有探测器的这些信息。
网络综合监测仪中还提供针对探测器的控制面板,供您查看探测器级别的相关信息。有关更多信息,请参阅 [探测器控制面板](nw-probe-db.md)。
**访问监测仪控制面板**
1. 点击 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台,然后在**网络监测**下选择**综合监测仪**。
1. 在**监测仪**部分,选择**名称**链接,打开监测仪控制面板。
## “概述”页面
**概览**页面将显示监测仪的以下信息:
+ **网络运行状况**:网络运行状况显示网络健康指标(NHI)值,该值仅与 AWS 网络的运行状况有关。NHI 状态将显示为**正常**或**性能下降**。状态为**正常**表示网络综合监测仪未发现 AWS 网络存在问题。状态为**性能下降**表示网络综合监测仪发现 AWS 网络存在问题。此部分的状态栏显示默认时间(一小时)内网络健康指标的状态。将鼠标悬停在状态栏的任意位置上方即可查看更多详细信息。
+ **探测器流量摘要**:显示监测仪中为探测器指定的源 AWS 子网与目标 IP 地址之间流量的当前状态。此摘要显示以下内容:
+ **处于警报状态的探测器**:此数字表示当前监测仪中有多少探测器处于性能下降状态。如果您设置为警报的指标被触发,就会相应触发警报。有关针对网络综合监测仪中的指标创建警报的信息,请参阅[探测器警报](cw-nwm-create-alarm.md)。
+ **丢包率**:从源子网到目标 IP 地址途中丢失的数据包数量。该值使用已发送数据包总数的百分比表示。
+ **往返时间**:源子网的数据包抵达目标 IP 地址然后再次返回所花费的时间(以毫秒为单位)。往返时间是在聚合时间间隔内观察到的平均 RTT。
数据用交互式图形表示,可供您查看详细信息。
默认情况下,显示根据当前日期和时间计算出的两小时时间范围内的数据。您也可以根据需求更改范围。有关更多信息,请参阅 [指定指标的时间范围](nw-monitor-time-frame.md)。
### 跟踪指标
网络综合监测仪中的**概览**控制面板以图形形式显示监测仪和探测器的相关数据。显示了以下图表:
+ **网络运行状况指标** – 表示在指定时间段内的 NHI 值。NHI 表示网络问题是否由 AWS 网络问题引起。NHI 值显示为**正常**(AWS 网络没有问题)和**性能下降**(AWS 网络有问题)。
以下示例显示,因为 AWS 网络问题,15:00-15:05 UTC 期间存在网络问题(值为**性能下降**)。15:05 之后,AWS 网络问题结束,因此值恢复为**正常**。将鼠标悬停在图形的任何部分上方即可查看更多详细信息。
![\[AWS 网络运行状况指标显示“健康”和“性能下降”两种状态共存的情况。\]](http://docs.aws.amazon.com/zh_cn/AmazonCloudWatch/latest/monitoring/images/nwm_network_health.png)
**注意**
NHI 的这种情况表示问题是由 AWS 网络引起的。这不表示 AWS 网络的整体运行状况,也不表示网络综合监测仪探测器的运行状况。
+ **丢包率**:此图形显示为一条线,显示监测仪中各个探测器的丢包百分比。页面底部的图例显示监测仪中的各个探测器,探测器经过颜色编码,确保唯一性。将鼠标悬停在图表中的探测器上方即可显示源子网、目标 IP 地址和丢包百分比。
在以下示例中,为从源子网到目标 IP 地址 127.0.0.1 的探测器创建了丢包警报。警报在超出探测器的丢包率阈值时触发。将鼠标悬停在图形上方即可显示探测器的源和目标,并且该探测器在 11 月 21 日 02:41:30 的丢包率为 30.97%。
![\[丢包显示丢包率为 30.97% 的示例探测器。\]](http://docs.aws.amazon.com/zh_cn/AmazonCloudWatch/latest/monitoring/images/nwm_packet_loss.png)
+ **往返时间**:此图形显示为一条线,显示各个探测器的往返时间。页面底部的图例显示监测仪中的各个探测器,探测器经过颜色编码,确保唯一性。将鼠标悬停在图表中的探测器上方即可显示源子网、目标 IP 地址和往返时间。
以下示例显示,在 11 月 21 日(星期二)的 21:45:30,从子网到 IP 地址 127.0.0.1 的探测器的往返时间为 0.075 秒。
![\[显示探测器往返时间的示例。\]](http://docs.aws.amazon.com/zh_cn/AmazonCloudWatch/latest/monitoring/images/nwm_rtt.png)
## 监测仪详细信息
**监测仪详细信息**页面显示有关监测仪(包括所包含的探测器)的详细信息。您可以更新或添加标签,或添加探测器。此页面包括以下部分:
+ **监测仪详细信息**:此页面提供有关监测仪的详细信息。您不能编辑此部分中的信息。但是,您可以选择**角色名称**链接,查看网络综合监测仪服务相关角色的详细信息。
+ **探测器**:此部分显示监测仪所有关联探测器的列表。选择 **VPC** 或**子网 ID** 链接,在 Amazon VPC 控制台中打开 VPC 或子网的详细信息。可以对探测器进行修改,以激活或停用探测器。有关更多信息,请参阅 [使用网络综合监测仪中的监测仪和探测器](nw-monitor-working-with.md)。
**探测器**部分会显示有关为该监测仪设置的每个探测器的信息,包括探测器 **ID**、**VPC ID**、**子网 ID**、**IP 地址**、**协议**,以及该探测器的状态是**活动**还是**非活动**。
如果为探测器设置了警报,则会显示该警报的当前**状态**。状态为**正常**表示没有任何指标事件触发任何警报。状态为**在警报中**表示在 CloudWatch 中创建的某指标触发了警报。如果探测器未显示任何状态,则表示未针对其设置 CloudWatch 警报。要了解您可以创建的网络综合监测仪探测器警报类型,请参阅[探测器警报](cw-nwm-create-alarm.md)。
+ **标签**:查看监测仪的当前标签。您可以通过选择**管理标签**添加或删除标签。**编辑探测器**页面随即打开。有关编辑标签的更多信息,请参阅 [编辑监测仪](nw-monitor-edit.md)。
# 探测器控制面板
您可以使用网络综合监测仪中的**探测器**控制面板来查看网络运行状况指标(NHI),以及有关特定探测器的往返时间和丢包率的信息。探测器有两个控制面板,即**概览**页面和**探测器详细信息**页面。
您可以创建 CloudWatch 警报,以设置丢包率和往返时间指标阈值。当某个指标达到阈值时,CloudWatch 警报会通知您。有关创建探测器警报的信息,请参阅 [探测器警报](cw-nwm-create-alarm.md)。
**访问探测器控制面板**
1. 点击 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台,然后在**网络监测**下选择**综合监测仪**。
1. 在**监测仪**部分,选择**名称**链接,即可打开特定监测仪的控制面板。
1. 要查看特定探测器的控制面板,请选择该探测器的 **ID** 链接。
## “概述”页面
**概览**页面显示探测器的以下信息:
+ **网络运行状况** – 网络运行状况显示网络运行状况指标(NHI)值,该值仅与 AWS 网络的运行状况有关。NHI 状态将显示为**正常**或**性能下降**。状态为**正常**表示网络综合监测仪未发现探测器存在 AWS 网络问题。状态为**性能下降**表示网络综合监测仪发现 AWS 网络存在问题。此部分的状态栏显示默认时间(一小时)内网络健康指标的状态。将鼠标悬停在状态栏的任意位置上方即可查看更多详细信息。
+ **丢包率**:探测器从源子网到目标 IP 地址途中丢失的数据包数量。
+ **往返时间**:源子网的数据包抵达目标 IP 地址然后再次返回所花费的时间(以毫秒为单位)。往返时间(RTT)是在聚合期间观察到的平均 RTT。
## 探测器详细信息
**探测器详细信息**页面显示有关探测的信息,包括源和目标。可以对探测器进行编辑,例如激活或停用探测器。有关更多信息,请参阅 [使用网络综合监测仪中的监测仪和探测器](nw-monitor-working-with.md)。
+ **探测器详细信息**:此部分提供有关探测器的一般信息,这些信息无法编辑。
+ **探测器源位置和目标位置**:此部分显示有关探测器的详细信息。选择 **VPC** 或**子网 ID** 链接,在 Amazon VPC 控制台中打开 VPC 或子网的详细信息。可以对探测器进行修改,例如激活或停用探测器。
+ **标签**:查看监测仪的当前标签。您可以通过选择**管理标签**添加或删除标签。**编辑探测器**页面随即打开。有关编辑标签的更多信息,请参阅 [编辑探测器](nw-monitor-probe-edit.md)。
# 指定指标的时间范围
网络综合监测仪控制面板上的指标和事件使用的默认时间范围为两个小时,从当前时间计起,但您可以设置要使用的指标的自定义默认时间范围。可以将指标的时间范围从默认值更改为以下任一预设值:
+ **1h**:一小时
+ **2h**:两小时
+ **1d**:一天
+ **1w**:一周
您还可以设置自定义时间范围。选择**自定义**,选择**绝对**或**相对**时间,然后将时间范围设置为自选时间。根据 CloudWatch 相关指南,相对时间仅支持从当天日期前推 15 天。
此外,您可以根据 UTC 时区或本地时区选择图表所示时间。
有关更多信息,请参阅 [更改 CloudWatch 控制面板的时间范围或时区格式](change_dashboard_time_format.md)。
# 探测器警报
您可以根据网络综合监测仪指标创建 Amazon CloudWatch 警报,也可为其他 Amazon CloudWatch 指标创建警报。您创建的任何警报在触发时,都将在网络综合监测仪控制面板的**监测仪详细信息**部分,于该探测器的**状态**列中显示。状态将为**正常**或**在警报中**。如果探测器未显示任何状态,则表示没有为该探测器创建警报。
例如,您可以根据网络综合监测仪指标 `PacketLoss` 创建警报,并将其配置为在指标高于选定值时发送通知。您可以遵循与其他 CloudWatch 指标相同的指南,为网络综合监测仪指标配置警报。
为网络综合监测仪创建 CloudWatch 警报时,可以使用 `AWS/NetworkMonitor` 下方的以下指标。
+ **HealthIndicator**
+ **PacketLoss**
+ **RTT(往返时间)**
有关在 CloudWatch 中创建网络综合监测仪警报的步骤,请参阅[根据静态阈值创建 CloudWatch 告警](ConsoleAlarms.md)。
# 网络综合监测仪中的数据安全和数据保护
AWS 的云安全性的优先级最高。为了满足对安全性最敏感的组织的需求,我们打造了具有超高安全性的数据中心和网络架构。作为 AWS 的客户,您也可以从这些数据中心和网络架构受益。
安全性是 AWS 和您的共同责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的*安全性和云*中*的安全性:
+ **云的安全性**:AWS 负责保护在 AWS 云 中运行 AWS 服务的基础结构。AWS 还向您提供可安全使用的服务。第三方审核员定期测试和验证我们的安全性的有效性,作为 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/) 的一部分。要了解适用于网络综合监测仪的合规性计划,请参阅 [AWS 按合规性计划提供的范围内服务](https://aws.amazon.com/compliance/services-in-scope/)。
+ **云中的安全性**:您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
此文档将帮助您了解如何在使用网络综合监测仪时应用责任共担模式。以下主题说明了如何配置网络综合监测仪以实现您的安全性和合规性目标。您还会了解如何使用其他 AWS 服务来帮助您监控和保护网络综合监测仪资源。
**Topics**
+ [网络综合监测仪中的数据保护](data-protection-nw.md)
+ [网络综合监测仪中的基础设施安全性](infrastructure-security-nw.md)
# 网络综合监测仪中的数据保护
AWS [责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于网络综合监测仪中的数据保护。如该模式中所述,AWS 负责保护运行所有 AWS 云 的全球基础结构。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management(IAM)设置单个用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 使用 SSL/TLS 与 AWS 资源进行通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用 AWS CloudTrail 设置 API 和用户活动日记账记录。有关使用 CloudTrail 跟踪来捕获 AWS 活动的信息,请参阅《AWS CloudTrail 用户指南》**中的[使用 CloudTrail 跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及 AWS 服务中的所有默认安全控制。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果在通过命令行界面或 API 访问 AWS 时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这适用于当您通过控制台、API、AWS CLI 或 AWS SDK 使用网络综合监测仪或其他 AWS 服务 的情况。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
# 网络综合监测仪中的基础设施安全性
作为一项托管式服务,网络综合监测仪由《[Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)》白皮书中所述的 AWS 全球网络安全程序提供保护。
您可以使用 AWS 发布的 API 调用通过网络访问网络综合监测仪。客户端必须支持传输层安全性协议(TLS)1.0 或更高版本。建议使用 TLS 1.2 或更高版本。客户端还必须支持具有完全向前保密 (PFS) 的密码套件,例如 DHE (Ephemeral Diffie-Hellman) 或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
此外,必须使用访问密钥 ID 和与 IAM 主体关联的秘密访问密钥来对请求进行签名。或者,您可以使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html)(AWS STS)生成临时安全凭证来对请求进行签名。
# 适用于网络综合监测仪的 Identity and Access Management
AWS Identity and Access Management(IAM)是一项 AWS 服务,可帮助管理员安全地控制对 AWS 资源的访问。IAM 管理员控制可以通过身份验证(登录)和授权(具有权限)使用网络综合监测仪资源的人员。IAM 是一项可以免费使用的 AWS 服务。利用 IAM 的功能,可在不共享您的安全凭证的情况下允许其他用户、服务和应用程序完全使用或受限使用您的 AWS 资源。
默认情况下,IAM 用户没有创建、查看或修改 AWS 资源的权限。要允许 IAM 用户访问资源(例如全球网络)并执行任务,您必须:
+ 创建授予用户使用所需特定资源和 API 操作的权限的 IAM 策略
+ 将策略附加到 IAM 用户或用户所属的组
在将策略附加到一个用户或一组用户时,它会授权或拒绝用户对指定资源执行指定任务。
## 条件键
在 `Condition` 元素(或条件块)中,您可以指定语句生效的条件。条件元素为可选元素。您可以构建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。有关更多信息,请参阅《AWS Identity and Access Management 用户指南》**中的 [IAM JSON 策略元素:条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)。
如果您在一个语句中指定多个 `Condition` 元素,或在单个 `Condition` 元素中指定多个键,则 AWS 使用逻辑 `AND` 运算评估它们。如果您为单个条件键指定多个值,则 AWS 使用逻辑 `OR` 运算来评估条件。在授予语句的权限之前必须满足所有的条件。
在指定条件时,您也可以使用占位符变量。例如,只有在使用 IAM 用户名标记 IAM 用户时,您才能为其授予访问资源的权限。
可以将标签附加到网络综合监测仪资源或将请求中的标签传递到 Cloud WAN。要基于标签控制访问,您需要使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的条件元素中提供标签信息。有关更多信息,请参阅《AWS Identity and Access Management 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
要查看所有 AWS 全局条件键,请参阅《AWS Identity and Access Management 用户指南》**中的 [AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
## 标记核心网络资源
标签是您或 AWS 分配给 AWS 资源的元数据标签。每个标签均包含一个键和一个值。对于您分配的标签,需要定义键和值。例如,您可以将键定义为 `purpose`,将一个资源的值定义为 `test`。标签可帮助您:
+ 标识和整理您的 AWS 资源。许多 AWS 服务支持标记,因此,您可以将同一标签分配给来不同服务的资源,以指示这些资源是相关的。
+ 控制对 AWS 资源的访问。有关更多信息,请参阅《AWS Identity and Access Management 用户指南》**中的 [使用标签控制对 AWS 资源的访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。
# 网络综合监测仪如何与 IAM 协同工作
在使用 IAM 管理对网络综合监测仪的访问之前,您应该了解哪些 IAM 功能可与网络综合监测仪结合使用。
**可以与网络综合监测仪结合使用的 IAM 功能**
| IAM 功能 | 网络综合监测仪支持 |
| --- | --- |
| [基于身份的策略](#security_iam_service-with-iam-id-based-policies-nw) | 是 |
| [基于资源的策略](#security_iam_service-with-iam-resource-based-policies-nw) | 否 |
| [策略操作](#security_iam_service-with-iam-id-based-policies-actions-nw) | 是 |
| [策略资源](#security_iam_service-with-iam-id-based-policies-resources-nw) | 是 |
| [策略条件键](#security_iam_service-with-iam-id-based-policies-conditionkeys-nw) | 是 |
| [ACL](#security_iam_service-with-iam-acls-nw) | 否 |
| [ABAC(策略中的标签)](#security_iam_service-with-iam-tags-nw) | 部分 |
| [临时凭证](#security_iam_service-with-iam-roles-tempcreds-nw) | 是 |
| [主体权限](#security_iam_service-with-iam-principal-permissions-nw) | 是 |
| [服务角色](#security_iam_service-with-iam-roles-service-nw) | 否 |
| [服务关联角色](#security_iam_service-with-iam-roles-service-linked-nw) | 是 |
要大致了解网络综合监测仪和其他 AWS 服务如何与大多数 IAM 功能结合使用,请参阅《IAM 用户指南》**中的[使用 IAM 的 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 适用于网络综合监测仪的基于身份的策略
**支持基于身份的策略:**是
基于身份的策略是可附加到身份(如 IAM 用户、用户组或角色)的 JSON 权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。要了解可在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素引用](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 适用于网络综合监测仪的基于身份的策略示例
要查看网络综合监测仪基于身份的策略示例,请参阅[适用于 Amazon CloudWatch 的基于身份的策略示例](security_iam_id-based-policy-examples.md)。
## 网络综合监测仪中的基于资源的策略
**支持基于资源的策略:**否
基于资源的策略是附加到资源的 JSON 策略文档。基于资源的策略的示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。对于在其中附加策略的资源,策略定义指定主体可以对该资源执行哪些操作以及在什么条件下执行。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。主体可以包括账户、用户、角色、联合用户或。AWS 服务
要启用跨账户访问,您可以将整个账户或其他账户中的 IAM 实体指定为基于资源的策略中的主体。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 适用于网络综合监测仪的策略操作
**支持策略操作:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么内容。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
要查看网络综合监测仪操作列表,请参阅《Service Authorization Reference》**中的 [Actions defined by Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions)。
网络综合监测仪中的策略操作在操作前使用以下前缀:
```
networkmonitor
```
要在单个语句中指定多项操作,请使用逗号将它们隔开。
```
"Action": [
"networkmonitor:action1",
"networkmonitor:action2"
]
```
要查看网络综合监测仪基于身份的策略示例,请参阅[适用于 Amazon CloudWatch 的基于身份的策略示例](security_iam_id-based-policy-examples.md)。
## 网络综合监测仪的策略资源
**支持策略资源:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么内容。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
有关网络综合监测仪资源类型及其 ARN 的列表,请参阅《Service Authorization Reference》**中的 [Resources defined by Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-resources-for-iam-policies)。要了解您可以在哪些操作中指定每个资源的 ARN,请参阅 [Actions defined by Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions)。
## 适用于网络综合监测仪的策略条件键
**支持特定于服务的策略条件键:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么内容。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅《IAM 用户指南》**中的 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
有关网络综合监测仪条件键的列表,请参阅《Service Authorization Reference》**中的 [Condition keys for Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-policy-keys)。要了解您可以对哪些操作和资源使用条件键,请参阅 [Actions defined by Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions)。
## 网络综合监测仪中的 ACL
**支持 ACL:**否
访问控制列表(ACL)控制哪些主体(账户成员、用户或角色)有权访问资源。ACL 与基于资源的策略类似,但它们不使用 JSON 策略文档格式。
## ABAC 与网络综合监测仪
**支持 ABAC(策略中的标签):**部分支持
基于属性的访问权限控制(ABAC)是一种授权策略,该策略基于称为标签的属性来定义权限。您可以将标签附加到 IAM 实体和 AWS 资源,然后设计 ABAC 策略,以支持在主体的标签与资源上的标签匹配时执行操作。
要基于标签控制访问,您需要使用 `aws:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。
如果某个服务对于每种资源类型都支持所有这三个条件键,则对于该服务,该值为**是**。如果某个服务仅对于部分资源类型支持所有这三个条件键,则该值为**部分**。
有关 ABAC 的更多信息,请参阅《IAM 用户指南》**中的[使用 ABAC 授权定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。要查看设置 ABAC 步骤的教程,请参阅《IAM 用户指南》**中的[使用基于属性的访问权限控制(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 将临时凭证用于网络综合监测仪
**支持临时凭证:**是
临时凭证提供对 AWS 资源的短期访问权限,并且是在您使用联合身份验证或切换角色时自动创建的。AWS 建议您动态生成临时凭证,而不是使用长期访问密钥。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)和[使用 IAM 的。AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)
## 网络综合监测仪的跨服务主体权限
**支持转发访问会话(FAS):**是
转发访问会话(FAS)使用调用 AWS 服务 的主体的权限,与发出请求的 AWS 服务 结合,向下游服务发出请求。有关发出 FAS 请求时的策略详情,请参阅[转发访问会话](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## 网络综合监测仪的服务角色
**支持服务角色:**否
服务角色是由一项服务担任、代表您执行操作的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM 用户指南》**中的[创建向 AWS 服务 委派权限的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
**警告**
更改服务角色的权限可能会破坏网络综合监测仪的功能。仅当网络综合监测仪提供相关指导时才编辑服务角色。
## 将服务相关角色用于网络综合监测仪
**支持服务关联角色:**是
服务关联角色是一种与 AWS 服务 关联的服务角色。服务可以代入代表您执行操作的角色。服务关联角色显示在您的 AWS 账户 中,并由该服务拥有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
有关创建或管理服务相关角色的详细信息,请参阅[能够与 IAM 搭配使用的 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam-nw.html)。在表中查找**服务相关角色**列中包含 `Yes` 的表。选择**是**链接以查看该服务的服务相关角色文档。
# 适用于网络综合监测仪的基于身份的策略示例
默认情况下,用户和角色没有创建或修改网络综合监测仪资源的权限。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》**中的[创建 IAM 策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
有关网络综合监测仪定义的操作和资源类型的详细信息,包括每种资源类型的 ARN 格式,请参阅《Service Authorization Reference》**中的 [Actions, resources, and condition keys for Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html)。
**Topics**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices-nw)
+ [使用网络综合监测仪控制台](#security_iam_id-based-policy-examples-console-nw)
+ [允许用户查看他们自己的权限](#security_iam_id-based-policy-examples-view-own-permissions-nw)
+ [网络综合监测仪身份和访问问题排查](security_iam_troubleshoot-nw.md)
## 策略最佳实践
基于身份的策略可确定某个人是否可以创建、访问或删除您账户中的网络综合监测仪资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **AWS 托管式策略及转向最低权限许可入门**:要开始向用户和工作负载授予权限,请使用 *AWS 托管式策略*来为许多常见使用场景授予权限。您可以在 AWS 账户 中找到这些策略。建议通过定义特定于您的使用场景的 AWS 客户托管式策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的 AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果通过特定 AWS 服务(例如 CloudFormation)使用服务操作,您还可以使用条件来授予对服务操作的访问权限。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证(MFA)**:如果您所处的场景要求您的 AWS 账户 中有 IAM 用户或根用户,请启用 MFA 来提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用网络综合监测仪控制台
要访问网络综合监测仪控制台,您必须拥有最低权限。这些权限必须允许您列出和查看有关您 AWS 账户 中的网络综合监测仪资源的详细信息。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(用户或角色),控制台将无法按预期正常运行。
对于只需要调用 AWS CLI 或 AWS API 的用户,无需为其提供最低控制台权限。相反,只允许访问与其尝试执行的 API 操作相匹配的操作。
为确保用户和角色仍可使用网络综合监测仪控制台,请同时将网络综合监测仪 `ConsoleAccess` 或 `ReadOnly` AWS 托管式策略附加到实体。有关更多信息,请参阅《IAM 用户指南》**中的[为用户添加权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console-nw)。
## 允许用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上完成此操作或者以编程方式使用 AWS CLI 或 AWS API 所需的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# 网络综合监测仪身份和访问问题排查
使用以下信息来帮助您诊断和修复在使用网络综合监测仪和 IAM 时可能遇到的常见问题。
**Topics**
+ [我无权在网络综合监测仪中执行操作](#security_iam_troubleshoot-no-permissions-nw)
+ [我无权执行 iam:PassRole](#security_iam_troubleshoot-passrole-nw)
+ [我希望允许我的 AWS 账户 以外的人访问我的网络综合监测仪资源](#security_iam_troubleshoot-cross-account-access-nw)
## 我无权在网络综合监测仪中执行操作
如果您收到错误提示,指明您无权执行某个操作,则必须更新策略以允许执行该操作。
当 `mateojackson` IAM 用户尝试使用控制台查看有关虚构 `my-example-widget` 资源的详细信息,但不拥有虚构 `networkmonitor:GetWidget` 权限时,会发生以下示例错误。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: networkmonitor:GetWidget on resource: my-example-widget
```
在此情况下,必须更新 `mateojackson` 用户的策略,以允许使用 `networkmonitor:GetWidget` 操作访问 `my-example-widget` 资源。
如果您需要帮助,请联系 AWS 管理员。您的管理员是提供登录凭证的人。
## 我无权执行 iam:PassRole
如果收到错误,表明您无权执行 `iam:PassRole` 操作,则必须更新策略才能将角色传递给网络综合监测仪。
有些 AWS 服务 允许将现有角色传递到该服务,而不是创建新服务角色或服务关联角色。为此,您必须具有将角色传递到服务的权限。
当名为 `marymajor` 的 IAM 用户尝试使用控制台在网络综合监测仪中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系 AWS 管理员。您的管理员是提供登录凭证的人。
## 我希望允许我的 AWS 账户 以外的人访问我的网络综合监测仪资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表(ACL)的服务,您可以使用这些策略向人员授予对您的资源的访问权。
要了解更多信息,请参阅以下内容:
+ 要了解网络综合监测仪是否支持这些功能,请参阅 [Amazon CloudWatch 如何与 IAM 协同工作](security_iam_service-with-iam.md)。
+ 要了解如何为您拥有的 AWS 账户中的资源提供访问权限,请参阅《IAM 用户指南》**中的[为您拥有的另一个 AWS 账户中的 IAM 用户提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。
+ 要了解如何为第三方 AWS 账户 提供您的资源的访问权限,请参阅《IAM 用户指南》**中的[为第三方拥有的 AWS 账户 提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。
+ 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# 网络综合监测仪的 AWS 托管式策略
要向用户、组和角色添加权限,与自己编写策略相比,使用 AWS 托管式策略更简单。创建仅为团队提供所需权限的 [IAM 客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管式策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管式策略的更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务负责维护和更新 AWS 托管式策略。您无法更改 AWS 托管式策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,AWS 还支持跨多种服务的工作职能的托管式策略。例如,`ReadOnlyAccess` AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动新特征时,AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的 AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 托管策略:CloudWatchNetworkMonitorServiceRolePolicy
`CloudWatchNetworkMonitorServiceRolePolicy` 附加到服务相关角色,该角色允许服务代表您执行操作并访问 CloudWatch 网络综合监测仪关联资源。您无法将此策略附加到 IAM 身份。有关更多信息,请参阅 [将服务相关角色用于网络综合监测仪](monitoring-using-service-linked-roles-nw.md)。
## 网络综合监测仪的 AWS 托管式策略更新
要详细了解从此服务开始跟踪这些更改以来网络综合监测仪的 AWS 托管式策略更新,请参阅 [CloudWatch 的 AWS 托管式策略更新](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)。如需获得 CloudWatch 中托管策略更改的自动提示,请订阅 [CloudWatch 历史记录](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html)页面上的 RSS 源。
# 网络综合监测仪的 IAM 权限
要使用网络综合监测仪,用户必须拥有正确的权限。
有关 Amazon CloudWatch 安全性的更多信息,请参阅 [适用于 Amazon CloudWatch 的 Identity and Access Management](auth-and-access-control-cw.md)。
## 查看监测仪所需的权限
要在 AWS 管理控制台 中查看网络综合监测仪的监测仪,您必须以具有以下权限的用户或角色身份登录:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"networkmonitor:Get*",
"networkmonitor:List*"
],
"Resource": "*"
}
]
}
```
------
## 创建监测仪所需的权限
要在网络综合监测仪中创建监测仪,用户必须有权创建与网络综合监测仪关联的服务相关角色。要了解有关服务相关角色的更多信息,请参阅 [将服务相关角色用于网络综合监测仪](monitoring-using-service-linked-roles-nw.md)。
要在 AWS 管理控制台 中创建网络综合监测仪的监测仪,您必须以具有以下策略包含的权限的用户或角色身份登录。
**注意**
如果您创建更为严格的基于身份的权限策略,则采用该政策的用户将无法创建监测仪。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"networkmonitor:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/networkmonitor.amazonaws.com/AWSServiceRoleForNetworkMonitor",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "networkmonitor.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:GetRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/networkmonitor.amazonaws.com/AWSServiceRoleForNetworkMonitor"
},
{
"Action": [
"ec2:CreateSecurityGroup",
"ec2:CreateNetworkInterface",
"ec2:CreateTags"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
# 将服务相关角色用于网络综合监测仪
网络综合监测仪通过以下服务相关角色获取代表您调用其他 AWS 服务所需的权限:
+ [`AWSServiceRoleForNetworkMonitor`](#security-iam-awsmanpol-AWSServiceRoleForNetworkMonitor)
## `AWSServiceRoleForNetworkMonitor`
网络综合监测仪使用名为 `AWSServiceRoleForNetworkMonitor` 的服务相关角色更新和管理监测仪。
`AWSServiceRoleForNetworkMonitor` 服务相关角色仅信任以下服务来担任该角色:
+ `networkmonitor.amazonaws.com`
`CloudWatchNetworkMonitorServiceRolePolicy` 附加到服务相关角色,授予服务访问您账户中的 VPC 和 EC2 资源以及管理您创建的监测仪的访问权限。
### 权限分组
策略分组为以下权限集:
+ `cloudwatch`:允许服务主体向 CloudWatch 资源发布网络监控指标。
+ `ec2`:允许服务主体描述您账户中的 VPC 和子网,以创建或更新监测仪和探测器。此权限集还允许服务主体创建、修改和删除安全组、网络接口及其关联权限,以配置监测仪或探测器,来向您的端点发送监控流量。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》** 中的 [CloudWatchNetworkMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkMonitorServiceRolePolicy.html)。
## 创建服务相关角色
`AWSServiceRoleForNetworkMonitor`
您无需手动创建 `AWSServiceRoleForNetworkMonitor` 角色。
+ 网络综合监测仪会在您首次使用该功能创建监测仪时创建 `AWSServiceRoleForNetworkMonitor` 角色。然后,此角色将应用于您创建的所有其他监测仪。
要代表您创建服务相关角色,您必须具有所需权限。有关更多信息,请参阅 *IAM 用户指南* 中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 编辑服务相关角色
您可以使用 IAM 编辑 `AWSServiceRoleForNetworkMonitor ` 描述。有关更多信息,请参阅 *IAM 用户指南* 中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除服务相关角色
如果您不再需要使用网络综合监测仪,我们建议您删除 `AWSServiceRoleForNetworkMonitor` 角色。
您只有在删除监测仪后,才能删除服务相关角色。有关更多信息,请参阅[删除监测仪](https://docs.aws.amazon.com/ )。
您可以使用 IAM 控制台、IAM CLI 或 IAM API 删除服务相关角色。有关更多信息,请参阅 *IAM 用户指南* 中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
删除 `AWSServiceRoleForNetworkMonitor ` 后,网络综合监测仪将在创建新的监测仪时再次创建角色。
## 网络综合监测仪服务相关角色支持的区域
网络综合监测仪支持在提供该服务的所有 AWS 区域 使用服务相关角色。有关更多信息,请参阅 *AWS 一般参考* 中的 [AWS 端点](https://docs.aws.amazon.com//general/latest/gr/rande.html)。
## 删除服务相关角色
如果您不再需要使用网络综合监测仪,我们建议您删除 `AWSServiceRoleForNetworkMonitor` 角色。
您只有在删除监测仪后,才能删除服务相关角色。有关更多信息,请参阅[删除监测仪](https://docs.aws.amazon.com/ )。
您可以使用 IAM 控制台、IAM CLI 或 IAM API 删除服务相关角色。有关更多信息,请参阅 *IAM 用户指南* 中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
删除 `AWSServiceRoleForNetworkMonitor ` 后,网络综合监测仪将在创建新的监测仪时再次创建角色。