本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用網絡合成監視器
網絡合成監視器可讓您了解將 AWS 託管的應用程式連線至內部部署目的地的網路效能,並可在幾分鐘內識別任何網路效能降低的原因。Network Synthetic Monitor 完全由 管理 AWS,且不需要受監控資源上的個別代理程式。網絡合成監視器可用於視覺化呈現混合網路連線的封包遺失率和延遲,並設定警示和閾值。然後,根據此資訊,您可以採取行動來改善最終使用者的體驗。
網絡合成監視器適用於想要即時深入了解網路效能的網路營運商和應用程式開發人員。
## 網絡合成監視器主要功能
+ 網絡合成監視器可透過持續的即時封包遺失率和延遲指標來測試不斷變化的混合網路環境。
+ 當您使用 連線時 AWS Direct Connect,Network Synthetic Monitor 可協助您使用 Network Synthetic Monitor 寫入 Amazon CloudWatch 帳戶的網路運作狀態指標 (NHI),快速診斷 AWS 網路內的網路降級。NHI 指標是二進位值,基於 AWS內是否出現網路降級的概率評分。
+ 網絡合成監視器提供完全受管的代理程式監控方法,因此您無需在 VPC 或內部部署中安裝代理程式。開始使用時,只需要指定 VPC 子網路和內部部署 IP 位址即可。您可以使用 在 VPC 和 Network Synthetic Monitor 資源之間建立私有連線 AWS PrivateLink。如需詳細資訊,請參閱[使用 CloudWatch、CloudWatch Synthetics 和 CloudWatch 網路監控搭配介面 VPC 端點](cloudwatch-and-interface-VPC.md)。
+ 網絡合成監視器會將指標發布至 CloudWatch Metrics。可以建立儀表板來檢視指標,並針對特定於應用程式的指標建立可操作的閾值和警示。
如需詳細資訊,請參閱[網絡合成監視器的運作方式](nw-monitor-how-it-works.md)。
## 網絡合成監視器術語和元件
+ **探查** — 探查是從 AWS託管資源傳送至內部部署目的地 IP 地址的流量。對於監視器中設定的每個探針,網絡合成監視器指標會寫入 CloudWatch 帳戶中。
+ **監視器**:監視器針對您已為其建立網絡合成監視器*探針*的流量,顯示網路效能和其他運作狀態資訊。可以在建立監視器的過程中新增探針,然後使用監視器檢視網路效能指標資訊。當您為應用程式建立監視器時,您可以新增 AWS 託管資源做為網路來源。然後,Network Synthetic Monitor 會建立 AWS 託管資源和目的地 IP 地址之間所有可能探查的清單。您可以選擇要為其監控流量的目的地。
+ **AWS 網路來源** — AWS 網路來源是監控探查的原始 AWS 來源,它是其中一個 VPCs中的子網路。
+ **目的地**:目的地是 AWS 網路來源內部部署網路中的目標。目的地是內部部署 IP 位址、網路通訊協定、連接埠和網路封包大小的組合。同時支援 IPv4 和 IPv6 位址。
## 網絡合成監視器要求和限制
以下摘要說明網絡合成監視器的要求和限制。如需了解特定配額 (或限制),請參閱[網絡合成監視器](cloudwatch_limits.md#nw-monitor-quotas)。
+ 監視器子網路必須由與監視器相同的帳戶擁有。
+ 如果發生網路問題,Network Synthetic Monitor 不會提供自動 AWS 網路容錯移轉。
+ 您建立的每個探查都會收取費用。如需定價詳情,請參閱 [網絡合成監視器的定價](pricing-nw.md)。
# 網絡合成監視器的運作方式
Network Synthetic Monitor 完全由 管理 AWS,且不需要受監控資源上的個別代理程式。反之,您可以提供 VPC 子網路和內部部署 IP 位址,以指定*探針*。
當您在 Network Synthetic Monitor AWS中建立託管資源的監視器時, 會在背景中 AWS 建立和管理執行往返時間和封包遺失測量所需的基礎設施。由於 AWS 管理必要的組態,因此您可以快速擴展監控,而無需在 AWS 基礎設施中安裝或解除安裝代理程式。
建立探針時,系統會建立自訂的彈性網路介面 (ENI) 並將其連結到探針執行個體和客戶子網路。如果網絡合成監視器取代探針執行個體,例如,如果運作狀態不佳,網絡合成監視器分離 ENI 並將其重新連結到探針替換件。這表示 ENI IP 位址不會在建立之後變更,除非您刪除探針並為相同的來源和目的地建立新的探針。
Network Synthetic Monitor 著重於監控來自您 AWS託管資源之流程所採取的路由,而不是廣泛監控來自您的所有流程 AWS 區域。如果您的工作負載分散在多個可用區域 (AZ),則網絡合成監視器可以監控來自每個私有子網路的路由。
網絡合成監視器會根據您在建立監視器時設定的彙總間隔,將往返時間和封包遺失率指標發布到您的 Amazon CloudWatch 帳戶。也可以使用 CloudWatch 為每個監視器設定單獨的延遲和封包遺失率閾值。例如,如果封包遺失率平均值高於靜態 0.1% 閾值,可以建立封包遺失率敏感工作負載警示來通知您。也可以使用 CloudWatch 異常偵測,針對所需範圍以外的封包遺失率或延遲指標發出警示。
## 可用性和效能測量
Network Synthetic Monitor 會將定期主動探查從您的 AWS 資源傳送至內部部署目的地。建立監視器時,需指定下列值:
+ **彙總時間間隔:**CloudWatch 收到度量結果的時間 (以秒為單位)。這將是每 30 秒或 60 秒一次。您為監視器選擇的彙總間隔會套用至該監視器中的所有探查。
+ **探查來源 (AWS 資源):**探查來源是 VPC 和相關聯的子網路,或只是 VPC 子網路,位於您網路運作的區域中。
+ **探針目的地 (客戶資源):**探針的目的地是內部部署 IP 位址、網路通訊協定、連接埠和網路封包大小的組合。
+ **探針通訊協定:**受支援的通訊協定之一,ICMP 或 TCP。如需詳細資訊,請參閱[支援的通訊協定](#nw-monitor-protocol)。
+ **連接埠 (針對 TCP):**您的網路用來連線的連接埠。
+ **封包大小 (適用於 TCP):**在單一探查中, AWS 託管資源與目的地之間傳輸的每個封包的大小,以位元組為單位。可以為監視器中的每個探針指定不同的封包大小。
監視器會發布下列指標:
+ **往返時間:**此指標以微秒為單位,用於衡量效能表現。會記錄探針傳輸到目的地 IP 位址以及接收相關回應所需的時間。往返時間是彙總間隔期間觀測到的平均時間。
+ **封包遺失率:**此指標衡量傳送的總封包百分比,並記錄未收到關聯回應的傳輸次數。無回應表示封包在網路路徑中遺失。
## 支援的通訊協定
網絡合成監視器支援兩種探針通訊協定:ICMP 和 TCP。
以 ICMP 為基礎的探查會將 ICMP 回應請求從 AWS 託管資源傳送到目的地地址,並預期 ICMP 回應回應。網絡合成監視器使用 ICMP 回響請求和回覆訊息中的資訊來計算往返時間和封包遺失率指標。
以 TCP 為基礎的探查會將 TCP SYN 封包從 AWS 託管資源帶到目的地地址和連接埠,並預期 TCP SYN\$1ACK 封包會得到回應。網絡合成監視器使用 TCP SYN 和 TCP SYN\$1ACK 訊息中的資訊來計算往返時間和封包遺失率指標。網絡合成監視器會定期切換來源 TCP 連接埠以增加網路涵蓋範圍,進而提高偵測封包遺失的機率。
## 的網路運作狀態指示器 AWS
Network Synthetic Monitor 會發佈網路運作狀態指標 (NHI) 指標,針對包含透過 連線目的地的路徑,提供 AWS 網路問題的相關資訊 Direct Connect。
NHI 二進位值是根據從部署監視器的 AWS 託管資源到 Direct Connect 位置之 AWS受控網路路徑的運作狀態的統計指標。Network Synthetic Monitor 使用異常偵測來計算網路路徑的可用性下降或較低的效能。
對於使用 Cloud WAN 中介路由的 Direct Connect 附件而言,NHI 並不準確。當您的混合網路包含 Cloud WAN 時,請勿使用 NHI 值來表示效能問題。
**注意**
每次建立新監視器、新增探查或重新啟用探查時,監視器的 NHI 都會延遲數小時,同時 會 AWS 收集資料以執行異常偵測。
為了提供 NHI 運作狀態指標,網絡合成監視器會在 AWS 範例資料集之間套用統計關聯,並套用於模擬網路路徑之流量的封包遺失率和往返延遲指標。NHI 可以是 1 或 0。值 1 表示 Network Synthetic Monitor 在 AWS 受控網路路徑中觀察到網路降級。值為 0 表示網絡合成監視器沒有在 AWS 網路沿路觀測到網路效能降低的情況。藉助 NHI 值,您可以更快速地了解網路問題發生的原因。例如,您可以在 NHI 指標上設定提醒,以便在 AWS 網路路徑上收到網路持續問題的通知。
## 支援 IPv4 和 IPv6 地址
網絡合成監視器可透過 IPv4 或 IPv6 網路提供可用性和效能指標,並可從雙堆疊 VPC 中監控 IPv4 或 IPv6 位址。網絡合成監視器不允許在同一個監視器中設定 IPv4 和 IPv6 目的地,但是您可以針對僅限 IPv4 和僅限 IPv6 目的地建立單獨的監視器。
# AWS 區域 支援網路合成監視器
本節列出支援 Network Synthetic Monitor AWS 區域 的 。若要了解網絡合成監視器目前支援之區域的詳細資訊 (包括選擇支援的區域),請參閱《Amazon Web Services 一般參考》**中的[網絡合成監視器端點和配額](https://docs.aws.amazon.com/general/latest/gr/cwnm_region.html)。
| 區域名稱 | 區域 |
| --- | --- |
| Africa (Cape Town) | af-south-1 |
| 亞太地區 (香港) | ap-east-1 |
| 亞太地區 (海德拉巴) | ap-south-2 |
| 亞太地區 (雅加達) | ap-southeast-3 |
| 亞太地區 (馬來西亞) | ap-southeast-5 |
| 亞太地區 (墨爾本) | ap-southeast-4 |
| 亞太區域 (孟買) | ap-south-1 |
| 亞太地區 (大阪) | ap-northeast-3 |
| 亞太區域 (首爾) | ap-northeast-2 |
| 亞太區域 (新加坡) | ap-southeast-1 |
| 亞太區域 (雪梨) | ap-southeast-2 |
| 亞太區域 (泰國) | ap-southeast-7 |
| 亞太區域 (東京) | ap-northeast-1 |
| 加拿大 (中部) | ca-central-1 |
| 加拿大西部 (卡加利) | ca-west-1 |
| 歐洲 (法蘭克福) | eu-central-1 |
| 歐洲 (愛爾蘭) | eu-west-1 |
| 歐洲 (倫敦) | eu-west-2 |
| 歐洲 (米蘭) | eu-south-1 |
| Europe (Paris) | eu-west-3 |
| 歐洲 (西班牙) | eu-south-2 |
| Europe (Stockholm) | eu-north-1 |
| 歐洲 (蘇黎世) | eu-central-2 |
| 以色列 (特拉維夫) | il-central-1 |
| 墨西哥 (中部) | mx-central-1 |
| Middle East (Bahrain) | me-south-1 |
| 中東 (阿拉伯聯合大公國) | me-central-1 |
| 南美洲 (聖保羅) | sa-east-1 |
| 美國東部 (維吉尼亞北部) | us-east-1 |
| 美國東部 (俄亥俄) | us-east-2 |
| 美國西部 (加州北部) | us-west-1 |
| 美國西部 (奧勒岡) | us-west-2 |
# 網絡合成監視器的定價
使用網絡合成監視器時,無需支付前期費用,亦無需簽訂長期合約。網絡合成監視器的定價包含下列兩個要素:
+ 每個受監控 AWS 資源的每小時費用
+ CloudWatch 指標費用
當您在網路合成監視器中建立監視器時,您可以將要監控 AWS 的資源 (來源) 與其建立關聯。對於網路合成監視器,這些資源是 Amazon Virtual Private Cloud (VPC) 中的子網路。針對每個資源,您最多可建立四個探針,每個探針皆用於監測來自 VPC 子網路,並流向您設定之四個目的地 IP 位址的流量。為了協助控制帳單,可以減少受監控資源的數量,以調整子網路涵蓋範圍和內部部署 IP 位址目的地涵蓋範圍。
如需定價的詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com//cloudwatch/pricing/)頁面。
# 網絡合成監視器 API 操作
下表列出可與 Amazon CloudWatch 搭配使用的網絡合成監視器 API 操作。如需相關文件的連結,請參閱此資料表。
| Action | API 參考 | 其他資訊 |
| --- | --- | --- |
| 在來源子網路和目的地 IP 位址之間建立監視器。 | 請參閱 [CreateMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_CreateMonitor.html) | 請參閱 [建立監視器](getting-started-nw.md) |
| 在監視器中建立探針。 | 請參閱 [CreateProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_CreateProbe.html) | 請參閱 [啟用或停用探針](nw-monitor-probe-status.md) |
| 移除監視器。 | 請參閱 [DeleteMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_DeleteMonitor.html) | 請參閱 [刪除監視器](nw-monitor-delete.md) |
| 刪除特定探針。 | 請參閱 [DeleteProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_DeleteProbe.html) | 請參閱 [刪除探查](nw-monitor-probe-delete.md) |
| 取得監視器的相關資訊。 | 請參閱 [GetMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_GetMonitor.html) | 請參閱 [在網絡合成監視器使用監視器和探針](nw-monitor-working-with.md) |
| 取得特定探針的相關資訊。 | 請參閱 [GetProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_GetProbe.html) | 請參閱 [在網絡合成監視器使用監視器和探針](nw-monitor-working-with.md) |
| 取得所有監視器的清單。 | 請參閱 [ListMonitors](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_ListMonitors.html) | 請參閱 [在網絡合成監視器使用監視器和探針](nw-monitor-working-with.md) |
| 列出指派給資源的標籤。 | 請參閱 [ListTagsForResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_ListTagsForResource.html) | 請參閱 [標記或取消標記資源](nw-monitor-tags-cli.md) |
| 將鍵值對或標籤新增至監視器或探針。 | 請參閱 [TagResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_TagResource.html) | 請參閱 [標記或取消標記資源](nw-monitor-tags-cli.md) |
| 從監視器或探針中移除鍵值對或標籤。 | 請參閱 [UntagResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UntagResource.html) | 請參閱 [標記或取消標記資源](nw-monitor-tags-cli.md) |
| 更新監視器的彙總期間。 | 請參閱 [UpdateMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UpdateMonitor) | 請參閱 [編輯監視器](nw-monitor-edit.md) |
| 在監視器中更新探針。 | 請參閱 [UpdateProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UpdateProbe) | 請參閱 [編輯探查](nw-monitor-probe-edit.md) |
# 在網絡合成監視器使用監視器和探針
若要開始使用,請在網絡合成監視器中建立含探針的監視器,以度量指定彙總期間內的網路效能。然後,您可以更新監視器以進行必要的變更,例如變更彙總期間、停用或啟用探針,或者新增或移除標籤。
以下各節將逐步說明如何透過 Amazon CloudWatch 主控台,針對您的監視器和探針完成這些任務。您也可以透過 AWS Command Line Interface變更監視器。
**Topics**
+ [建立監視器](getting-started-nw.md)
+ [編輯監視器](nw-monitor-edit.md)
+ [刪除監視器](nw-monitor-delete.md)
+ [啟用或停用探針](nw-monitor-probe-status.md)
+ [將探針新增至監視器](nw-monitor-add-probe.md)
+ [編輯探查](nw-monitor-probe-edit.md)
+ [刪除探查](nw-monitor-probe-delete.md)
+ [標記或取消標記資源](nw-monitor-tags-cli.md)
# 建立監視器
以下各節說明如何在網絡合成監視器中建立監視器,包括必要的探針。建立監視器時,您可以選擇來源子網路,然後為每個子網路新增最多四個目的地,以指定探針。每個來源目的地對都是一個探針。
您可以在建立監視器之後對其進行變更,例如新增、移除或停用探針。如需詳細資訊,請參閱[在網絡合成監視器使用監視器和探針](nw-monitor-working-with.md)。
您可以透過 Amazon CloudWatch 主控台或 AWS Command Line Interface使用監視器和探針。若要以程式設計方式使用網路合成監視器,請參閱《 AWS Command Line Interface 命令參考》中的[網路合成監視器 API ](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)參考和[網路監視器](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
下列程序提供如何使用 Amazon CloudWatch 主控台建立監視器的逐步說明。
+ [定義監視器詳細資訊](#NWDefineDetails)
+ [選擇來源和目的地](#NWSourceDestination)
+ [確認探查](#NWConfirmProbes)
+ [檢閱和建立監視器](#NWReviewCreate)
**重要**
這些步驟旨在一次全部完成。不能將進行中的工作儲存起來以便稍後繼續。
## 定義監視器詳細資訊
建立監視器的第一步是為監視器命名並定義彙總期間,從而定義基本詳細資訊。還可以選擇性地新增標籤。
**定義監視器詳細資訊**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台,然後在**網路監控**下方選擇 **Synthetic Monitor**。
1. 選擇 **Create monitor** (建立監視器)。
1. 在**監視器名稱**中,輸入監視器的名稱。
1. 在**彙總時段**中,選擇您要將指標傳送到 CloudWatch 的頻率:**30 秒**或 **60 秒**。
**注意**
彙總期間越短,越可以更快速地偵測到網路問題。不過,您選擇的彙總期間可能會影響您的帳單費用。如需定價的詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com//cloudwatch/pricing/)頁面。
1. (選用) 對於**標籤**,新增**索引鍵**和**值**對以協助識別此資源,以便您可以搜尋或篩選特定資訊。
1. 選擇 **Add new tag (新增標籤)**。
1. 輸入**索引鍵**名稱和關聯的**值**。
1. 選擇**新增新標籤**以新增新標籤。
您可以選擇**新增新標籤**來新增多個標籤,也可以選擇**移除**來移除標籤。
1. 如果想要將標籤與監視器的探針建立關聯,請選中**將標籤新增至監視器建立的探針**。這會將標籤新增至監視器探針,如果使用標籤型驗證或計量,這可能會很有用。
1. 選擇**下一步**。在下一頁,您需要指定來源和目的地,以建立監視器的探針。
## 選擇來源和目的地
對於網路合成監視器中的每個監視器,您可以指定一或多個探查,這是 AWS 來源和目的地的組合。
+ 探針的來源是位於您網路運作區域內的 VPC 及關聯子網路,或僅為 VPC 子網路。
+ 目的地是內部部署 IP 位址、網路通訊協定、連接埠和網路封包大小的組合。
**重要**
這些步驟旨在一次全部完成。不能將進行中的工作儲存起來以便稍後繼續。
**選擇來源和目的地**
1. 必要條件:[定義監視器詳細資訊](#define-details-nw)。
1. 在 **AWS** **網路來源**下,選擇要包含在監視器中的一個或多個子網路。若要選擇 VPC 內的所有子網路,請選擇 VPC。或者,選擇 VPC 內的特定子網路。您選擇的子網路是監視器來源。
1. 對於**目的地 1**,輸入內部部署網路的目的地 IP 位址。同時支援 IPv4 和 IPv6 位址。
1. 選擇 **Advanced settings (進階設定)**。
1. 對於**通訊協定**,選擇內部部署目的地的網路通訊協定。通訊協定可以是 **ICMP** 或 **TCP**。
1. 如果您選擇 **TCP**,請輸入下列資訊:
1. 輸入您的網路用來連線的**連接埠**。連接埠必須是介於 **1** 到 **65535** 之間的數字。
1. 輸入**封包大小**。這是在來源與目的地之間的探針中所傳送之每個封包的大小 (位元組)。封包大小必須是從 **56** 到 **8500** 之間的數字。
1. 選擇**新增目的地**,將另一個內部部署目的地新增至此監視器。為您要新增的每個目的地重複這些步驟。
1. 來源和目的地新增完成後,選擇**下一步**以確認監視器的探針。
## 確認探查
在**確認探針**頁面上,檢閱將為監視器建立的所有探針,以確保它們是正確的來源和目的地組合。
**確認探針**頁面顯示您在上一個步驟中提供的探針規格的所有可能來源和目的地組合。例如,如果您有六個來源子網路和四個目的地 IP 位址,則有 24 個可能的探針組合,因此將建立 24 個探針。
**重要**
這些步驟將在一個工作階段中完成。不能將進行中的工作儲存起來以便稍後繼續。
**確認探查**頁面不會指示探查是否有效。建議您仔細檢閱此頁面,然後刪除任何無效的探針。如果您不移除探針,可能會向您收取無效探針的費用。
**確認監視器探查**
1. 必要條件:[選擇來源和目的地](#source-destination-nw)。
1. 在**確認探針**頁面中,檢閱來源和目的地探針組合清單。
1. 選擇要從監視器中移除的任意探針,然後選擇**移除**。
**注意**
系統會提示您確認刪除探針。如果您刪除探針並想要將其還原,則必須再次設定。您可以依循[將探針新增至監視器](nw-monitor-add-probe.md)中的步驟,將探針新增至現有監視器。
1. 選擇**下一步**,然後檢閱監視器詳細資訊。
## 檢閱和建立監視器
最後一個步驟是檢閱監視器和監視器探針的詳細資訊,然後建立監視器。此時您可以變更監視器的任何資訊。
當您完成檢閱和更新任何不正確的資訊後,請建立監視器。
建立監視器後,網絡合成監視器會開始追蹤指標,並開始向您收取監視器探針的費用。
**重要**
此步驟將在一個工作階段中完成。不能將進行中的工作儲存起來以便稍後繼續。
若您選擇編輯某個區段,必須從您執行編輯的步驟開始,逐步完成建立監視器的流程。舊版監視器建立頁面會保留您已輸入的資訊。
**檢閱和建立監視器**
1. 在**檢閱並建立探查**頁面中,針對您要進行變更的任何區段選擇**編輯**。
1. 在該區段中進行變更,然後選擇**下一步**。
1. 完成編輯後,選擇**建立監視器**。
網絡合成監視器頁面會在**監視器**區段中顯示目前的監視器建立狀態。當網絡合成監視器仍在建立監視器時,**狀態**為**待定**。當**狀態**變更為**作用中**時,您就可以在監視器儀表板中檢視 CloudWatch 指標。
如需有關使用監控儀表板的詳細資訊,請參閱 [Network Synthetic Monitor 儀表板](nw-monitor-dashboards.md)。
**注意**
最近新增的監視器可能需要數分鐘的時間才能開始收集網路指標。
# 編輯監視器
可以編輯網絡合成監視器的資訊,包括變更名稱、設定新的彙總期間,或者新增或移除標籤。變更監視器的資訊並不會變更任何關聯的探查。
您可以透過 Amazon CloudWatch 主控台或 AWS Command Line Interface使用監視器和探針。若要以程式設計方式使用網路合成監視器,請參閱《 AWS Command Line Interface 命令參考》中的[網路合成監視器 API ](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)參考和[網路監視器](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
**使用主控台編輯監視器**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台,然後在**網路監控**下方選擇 **Synthetic Monitor**。
1. 在**監視器**區段中,選擇您要編輯的監視器。
1. 在監控儀表板頁面中,選擇**編輯**。
1. 在**監視器名稱**中,請輸入監視器的新名稱。
1. 在**彙總時段**中,選擇您要將指標傳送到 CloudWatch 的頻率。有效時段為:
+ **30 秒**
+ **60 秒**
**注意**
彙總期間越短,越可以更快速地偵測到網路問題。不過,您選擇的彙總期間可能會影響您的帳單費用。如需定價的詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com//cloudwatch/pricing/)頁面。
1. (選用) 在**標籤**區段中,新增**索引鍵**和**值**對,以進一步協助識別此資源,讓您可搜尋或篩選特定資訊。也可以僅變更當前任何**索引鍵**的**值**。
1. 選擇 **Add new tag (新增標籤)**。
1. 輸入**索引鍵**名稱和關聯的**值**。
1. 選擇**新增新標籤**以新增新標籤。
您可以選擇**新增新標籤**來新增多個標籤,也可以選擇**移除**來移除標籤。
1. 如果想要將標籤與監視器產生關聯,請選中**將標籤新增至監視器建立的探查**。這會將標籤新增至監視器探查,如果使用標籤式驗證或計量,這可能會很有幫助。
1. 選擇**儲存變更**。
# 刪除監視器
無論監視器**狀態**為何,您都必須停用或刪除與監視器關聯的所有探針,才能在網絡合成監視器中刪除監視器。刪除監視器後,無須再支付監視器探針的費用。請注意,不能復原已刪除的監視器。
您可以透過 Amazon CloudWatch 主控台或 AWS Command Line Interface使用監視器和探針。若要以程式設計方式使用網路合成監視器,請參閱《 AWS Command Line Interface 命令參考》中的[網路合成監視器 API ](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)參考和[網路監視器](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
**使用主控台刪除監視器**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台,然後在**網路監控**下方選擇 **Synthetic Monitor**。
1. 在**監視器**區段中,選擇您要刪除的監視器。
1. 選擇**動作**,然後選擇**刪除**。
1. 如果您的監視器有任何作用中的探針,系統會提示您停用它們。選擇**停用探查**。
**注意**
選擇**停用探查**後,無法取消或復原此動作。不過,不會從監視器中移除已停用的探查。如果需要,稍後可以重新啟用它們。如需詳細資訊,請參閱[啟用或停用探針](nw-monitor-probe-status.md)。
1. 在確認欄位中輸入 **confirm**,然後選擇**刪除**。
或者,您可以透過程式設計方式刪除監視器,例如使用 AWS Command Line Interface。
**使用 CLI 刪除監視器**
1. 若要刪除監視器,您需要監視器名稱。如果不知道名稱,請執行 [list-monitors](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/list-monitors.html) 命令以取得監視器清單。記下您要刪除之監視器的名稱。
1. 驗證監視器中是否包含任何作用中的探針。使用上一個步驟中的監視器名稱來使用 [edit-monitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/get-monitor.html)。這會傳回與該監視器相關聯的任何探查清單。
1. 如果監視器包含探針,必須先將這些探針設定為非作用中或刪除。
+ 若要將探查設定為非作用中,請使用 [update-probe](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/update-probe.html),並將狀態設定為 `INACTIVE`。
+ 若要刪除探查,請使用 [delete-probe](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/delete-probe.html)。
1. 將探針設定為 `INACTIVE` 或刪除後,可以執行 [delete-monitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/create-probe.html) 命令以刪除監視器。當您刪除監視器時,不會刪除非作用中的探針。
# 啟用或停用探針
您可以在網絡合成監視器的監視器中啟用或停用探針。如果您目前沒有使用探針,可能會想要停用它,但未來可能會想要再次使用它。透過停用探針而且將其刪除,您將不需要花時間重新設定它。已停用的探查不會計費。
您可以透過 Amazon CloudWatch 主控台或 AWS Command Line Interface使用監視器和探針。若要以程式設計方式使用網路合成監視器,請參閱《 AWS Command Line Interface 命令參考》中的[網路合成監視器 API ](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)參考和[網路監視器](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
**透過主控台將探針設定為作用中或非作用中**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台,然後在**網路監控**下方選擇 **Synthetic Monitor**。
1. 選擇**監視器詳細資料**索引標籤。
1. 在**探查**區段中,選擇您要啟用或停用的探查。
1. 選擇**動作**,然後選擇**啟用**或**停用**。
**注意**
當探針重新啟用時,會再次開始產生計費費用。
# 將探針新增至監視器
您可以將探針新增至網絡合成監視器中的現有監視器。請注意,當您將探針新增至監視器時,計費結構將隨之更新以納入新探針。
您可以透過 Amazon CloudWatch 主控台或 AWS Command Line Interface使用監視器和探針。若要以程式設計方式使用網路合成監視器,請參閱《 AWS Command Line Interface 命令參考》中的[網路合成監視器 API ](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)參考和[網路監視器](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
**使用主控台將探查新增至監視器**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台,然後在**網路監控**下方選擇 **Synthetic Monitor**。
1. 在**監視器**區段中,執行下列其中一個動作:
+ 選擇您要為其新增探查的監視器的**名稱**連結。選擇**監視器詳細資料**索引標籤,然後在**探查**區段中選擇**新增探查**。
+ 選擇監視器核取方塊,選擇**動作**,然後選擇**新增探查**。
1. 在**新增探查**頁面中,執行下列操作:
1. 在 **AWS** **網路來源**下,選擇要為其新增監視器的子網路。
**注意**
一次只能新增一個探查,每個監視器最多四個探查。
1. 輸入內部部署網路的目的地 **IP 地址**。支援 IPv4 和 IPv6 地址。
1. 選擇 **Advanced settings (進階設定)**。
1. 選擇目的地的網路**通訊協定**。它可以是 **ICMP** 或 **TCP**。
1. 如果**通訊協定**為 **TCP**,請輸入下列資訊。否則,請跳至下一步:
+ 輸入您的網路用來連線的**連接埠**。連接埠必須是介於 **1** 到 **65535** 之間的數字。
+ 輸入**封包大小**。這是在來源與目的地之間的探查中所傳送之每個封包的大小 (位元組)。封包大小必須是從 **56** 到 **8500** 之間的數字。
1. (選用) 在**標籤**區段中,新增**索引鍵**和**值**對,以進一步協助識別此資源,讓您可搜尋或篩選特定資訊。
1. 選擇 **Add new tag (新增標籤)**。
1. 輸入**索引鍵**名稱和關聯的**值**。
1. 選擇**新增新標籤**以新增新標籤。
您可以選擇**新增新標籤**來新增多個標籤,也可以選擇**移除**來移除任何標籤。
1. 選擇**新增探查**。
啟動探查時,**狀態**會顯示**擱置中**。探查可能需要幾分鐘的時間才能變為**作用中**。
# 編輯探查
您可以變更現有探針的任何資訊,無論該探針處於作用中還是非作用中狀態。
您可以透過 Amazon CloudWatch 主控台或 AWS Command Line Interface使用監視器和探針。若要以程式設計方式使用網路合成監視器,請參閱《 AWS Command Line Interface 命令參考》中的[網路合成監視器 API ](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)參考和[網路監視器](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
**使用主控台編輯探針**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台,然後在**網路監控**下方選擇 **Synthetic Monitor**。
在**名稱**下,選擇監視器連結以開啟監視器儀表板。
1. 選擇**監視器詳細資料**索引標籤。
1. 在**探針**區段中,選擇您要編輯之探針的連結。
1. 在探針詳細資訊頁面上,選擇**編輯**。
1. 在**編輯*探針***頁面中,輸入探針的新目的地 **IP 位址**。同時支援 IPv4 和 IPv6 位址。
1. 選擇 **Advanced settings (進階設定)**。
1. 選擇網路**通訊協定**:**ICMP** 或 **TCP**。
1. 如果**通訊協定**為 **TCP**,請輸入下列資訊:
+ 輸入您的網路用來連線的**連接埠**。連接埠必須是介於 **1** 到 **65535** 之間的數字。
+ 輸入**封包大小**。這是在來源與目的地之間的探查中所傳送之每個封包的大小 (位元組)。封包大小必須是從 **56** 到 **8500** 之間的數字。
1. (選用) 新增、變更或移除探針的標籤。
1. 選擇**儲存變更**。
# 刪除探查
如果您知道未來不再需要探針,可以將其刪除而非停用。您無法復原已刪除的探針,而需要重新建立。探針刪除時,其計費也會停止。
您可以透過 Amazon CloudWatch 主控台或 AWS Command Line Interface使用監視器和探針。若要以程式設計方式使用網路合成監視器,請參閱 AWS Command Line Interface 命令[參考中的網路合成監視器 API ](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html)參考和[網路監視器](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/)。
**使用主控台刪除探查**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台,然後在**網路監控**下方選擇 **Synthetic Monitor**。
1. 在**監視器**區段的**名稱**下,選擇一個監視器連結以開啟監視器儀表板。
1. 選擇**監視器詳細資料**索引標籤。
1. 選擇監視器核取方塊,選擇**動作**,然後選擇**刪除**。
1. 在**刪除探針**對話方塊中,執行下列動作:
1. 選擇**刪除**以確認您要刪除探查。
**探查**區段中的探查**狀態**會顯示**正在刪除**。刪除之後,就會從**探查**區段中移除該探查。
# 標記或取消標記資源
您可以在網絡合成監視器中使用資源標籤,以新增或移除標籤。
您可以在主控台中更新監視器或探針,以更新標籤。或者,您可以透過程式設計方式使用標籤,例如使用 AWS Command Line Interface。
**使用 CLI 更新監視器標籤**
+ 使用 [list-tags-for-resources](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/list-tags-for-resources.html) 列出資源標籤。
+ 若要標記資源,請使用 [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/tag-resource.html)。
+ 若要取消標記資源,請使用 [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/untag-resource.html)。
# Network Synthetic Monitor 儀表板
您可以使用 Network Synthetic Monitor 中的儀表板 AWS,透過使用網路運作狀態指標 (NHI) 和檢視探查往返時間和封包遺失,來判斷網路問題是否由 造成。可以檢視監視器以及個別探針的此資訊和指標。
網絡合成監視器會建立數個指標,您可以在 CloudWatch Metrics 中檢視這些指標。您可以針對網絡合成監視器傳回的指標指定警示。如需詳細資訊,請參閱[探查警示](cw-nwm-create-alarm.md)。
**Topics**
+ [監視器儀表板](nw-monitor-db.md)
+ [探針儀表板](nw-probe-db.md)
+ [指定指標時間範圍](nw-monitor-time-frame.md)
# 監視器儀表板
您可以使用網絡合成監視器中的監視器儀表板,檢視網路運作狀態指標 (NHI),以及監視器層級的探針往返時間和封包遺失率。也就是說,監視器儀表板會顯示為監視器建立之所有探針的這個資訊。
網絡合成監視器也有適用於探針的儀表板,用於在探針層級檢視資訊。如需詳細資訊,請參閱[探針儀表板](nw-probe-db.md)。
**若要存取監控儀表板**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台,然後在**網路監控**下方選擇 **Synthetic Monitor**。
1. 在**監視器**區段中,選擇**名稱**連結以開啟監視器儀表板。
## 概觀頁面
**概觀**頁面會顯示監視器的以下資訊:
+ **網路運作狀態** — 網路運作狀態會顯示網路運作狀態指標 (NHI) 值,這僅與 AWS 網路的運作狀態相關。NHI 狀態將顯示為**運作正常良好**或**已降級**。運作狀態**良好**表示網路合成監視器未發現 AWS 網路發生問題。**降級**狀態表示網路合成監視器觀察到 AWS 網路發生問題。此區段中的狀態列顯示一小時預設時間內,網路運作狀態指標的狀態。將滑鼠移至狀態列的任一點上可檢視其他詳細資料。
+ **探查流量摘要** — 顯示監視器中為探查指定的來源 AWS 子網路與探查目的地 IP 地址之間的目前流量狀態。此摘要顯示下列內容:
+ **警示中的探針**:這個數字表示此監視器中有多少探針處於降級狀態。觸發設定為警示的指標時,就會觸發警示。如需在網絡合成監視器中為指標建立警示的資訊,請參閱[探查警示](cw-nwm-create-alarm.md)。
+ **封包遺失** – 從來源子網路到目的地 IP 地址遺失的封包數目。此值表示為傳送的封包總數的百分比。
+ **往返時間**:來源子網路中的封包到達目的地 IP 位址然後再回來所需的時間 (毫秒)。往返時間是彙總期間觀測到的平均 RTT。
資料以互動式圖表呈現,因此您可以透過探索來了解詳細資訊。
根據預設,資料可顯示兩小時,從目前日期和時間開始計算。但是,您可以根據自身需求變更範圍。如需詳細資訊,請參閱[指定指標時間範圍](nw-monitor-time-frame.md)。
### 追蹤指標
網絡合成監視器中的**概觀**儀表板以圖表方式顯示監視器和探針的相關資訊。會顯示下列圖表:
+ **網路運作狀態指標**:代表指定時段內的 NHI 值。NHI 指出網路問題是否由 AWS 網路問題造成。NHI 會顯示為**運作狀態良好** ( AWS 網路沒有問題) **或降級** ( AWS 網路發生問題)。
在下列範例中,您可以看到從 15:00 UTC 到 15:05 UTC,因網路問題 (**降級**) 而發生 AWS 網路問題。15:05 之後,網路的網路問題會 AWS 結束,因此值會傳回 **Healthy**。將滑鼠移至圖表的任何部分可檢視其他詳細資訊。
![\[AWS 網路運作狀態指示器會顯示運作狀態良好和降級狀態。\]](http://docs.aws.amazon.com/zh_tw/AmazonCloudWatch/latest/monitoring/images/nwm_network_health.png)
**注意**
NHI 表示問題是由 AWS 網路造成。它不會描述 AWS 網路的整體運作狀態,也不會描述網路合成監視器探查的運作狀態。
+ **封包遺失率**:此圖表顯示一條線,呈現監視器中每個探針測得的封包遺失率百分比。頁面底部的圖例會顯示監視器中的每個探查,並用顏色編碼以確保唯一性。將滑鼠移至圖表中的探針上會顯示來源子網路、目的地 IP 位址以及封包遺失率百分比。
在下列範例中,系統針對從子網路到 IP 位址 127.0.0.1 的探針,建立封包遺失率警示。當超過探查的封包遺失閾值時,就會觸發警示。將滑鼠移至圖表上可顯示探針來源和目的地,並顯示此探針在 11 月 21 日 02:41:30 的封包遺失率為 30.97%。
![\[封包遺失顯示範例探查具有 30.97% 的封包遺失率。\]](http://docs.aws.amazon.com/zh_tw/AmazonCloudWatch/latest/monitoring/images/nwm_packet_loss.png)
+ **往返時間**:此圖表顯示一條線,呈現每個探針的往返時間。頁面底部的圖例會顯示監視器中的每個探查,並用顏色編碼以確保唯一性。您可以將滑鼠移至此圖表中的探針上,檢視來源子網路、目的地 IP 位址以及往返時間。
下列範例顯示,在 11 月 21 日星期二 21:45:30,探針從子網路到 IP 位址 127.0.0.1 的往返時間為 0.075 秒。
![\[顯示探查往返時間的範例。\]](http://docs.aws.amazon.com/zh_tw/AmazonCloudWatch/latest/monitoring/images/nwm_rtt.png)
## 監視器詳細資訊
**監視器詳細資訊**頁面顯示監視器的詳細資訊,包括監視器探針清單。您可以更新或新增標籤,或新增探針。頁面包含下列區段:
+ **監視器詳細資訊** – 此頁面提供監視器的詳細資訊。您無法編輯此區段中的資訊。不過,您可以檢視網絡合成監視器服務連結角色的詳細資訊:選擇**角色名稱**連結即可檢視詳細資訊。
+ **探查** – 此部分顯示與監視器相關聯之所有探查的清單。選擇 **VPC** 或**子網路 ID** 連結,在 Amazon VPC 主控台中開啟 VPC 或子網路詳細資訊。您可以修改探針以將其啟用或停用。如需詳細資訊,請參閱[在網絡合成監視器使用監視器和探針](nw-monitor-working-with.md)。
**探針**區段顯示為該監視器設定之每個探針的相關資訊,包括探針 **ID**、**VPC ID**、**子網路 ID**、**IP 位址**、**通訊協定**,以及探針處於**作用中**還是**非作用中**狀態。
如果您已為探針建立警示,系統會顯示警示的目前**狀態**。狀態為**正常**表示沒有指標事件觸發任何警示。狀態為**警示中**表示您在 CloudWatch 中建立的指標觸發警示。如果探針沒有顯示狀態,表示該探針沒有對應的 CloudWatch 警示。如需有關您可以建立之網絡合成監視器探針警示類型的資訊,請參閱[探查警示](cw-nwm-create-alarm.md)。
+ **標籤** – 檢視監視器的目前標籤。透過選擇**管理標籤**來新增或移除標籤。這會開啟**編輯探查**頁面。如需有關編輯標籤的詳細資訊,請參閱 [編輯監視器](nw-monitor-edit.md)。
# 探針儀表板
您可以使用網絡合成監視器中的**探針**儀表板,檢視探針的網路運作狀態指標 (NHI),以及特定探針的往返時間和封包遺失率相關資訊。有兩個探針儀表板:**概觀**頁面和**探針詳細資訊**頁面。
可以建立 CloudWatch 警示來設定封包遺失和往返時間指標閾值。達到指標的閾值時,CloudWatch 警示會通知您。如需有關建立探查警示的詳細資訊,請參閱 [探查警示](cw-nwm-create-alarm.md)。
**存取探查儀表板**
1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台,然後在**網路監控**下方選擇 **Synthetic Monitor**。
1. 在**監視器**區段中,選擇**名稱**連結以開啟特定監視器的儀表板。
1. 若要檢視特定探針的儀表板,選擇探針的 **ID** 連結。
## 概觀頁面
**概觀**頁面顯示探針的以下資訊:
+ **網路運作狀態** — 網路運作狀態會顯示網路運作狀態指標 (NHI) 值,這僅適用於 AWS 網路的運作狀態。NHI 狀態有兩個值:**運作正常良好**或**已降級**。運作狀態**良好**表示網路合成監視器未發現探查 AWS 的網路發生問題。**降級**狀態表示網路合成監視器觀察到 AWS 網路發生問題。此區段中的狀態列顯示一小時預設時間內,網路運作狀態指標的狀態。將滑鼠移至狀態列的任一點上可檢視其他詳細資料。
+ **封包遺失** – 從來源子網路到此探查的目的地 IP 地址遺失的封包數目。
+ **往返時間**:來源子網路中的封包到達目的地 IP 位址然後再回來所需的時間 (毫秒)。往返時間 (RTT) 是彙總期間觀測到的平均 RTT。
## 探查詳細資訊
**探針詳細資訊**頁面顯示探針的相關資訊,包括來源和目的地。您也可以編輯探針,例如啟用或停用探針。如需詳細資訊,請參閱[在網絡合成監視器使用監視器和探針](nw-monitor-working-with.md)。
+ **探針詳細資訊**:此區段提供有關探針的一般資訊,無法編輯。
+ **探查來源和目的地** – 此區段顯示有關探查的詳細資訊。選擇 **VPC** 或**子網路 ID** 連結,在 Amazon VPC 主控台中開啟 VPC 或子網路詳細資訊。您可以修改探針,例如啟用或停用探針。
+ **標籤** – 檢視監視器的目前標籤。透過選擇**管理標籤**來新增或移除標籤。這會開啟**編輯探查**頁面。如需有關編輯標籤的詳細資訊,請參閱 [編輯探查](nw-monitor-probe-edit.md)。
# 指定指標時間範圍
網絡合成監視器中儀表板上的指標和事件使用從目前時間計算的兩小時預設時間,您也可以設定要使用的自訂指標預設時間範圍。您可以將指標時間範圍的預設值變更為以下其中一個預設選項:
+ **1h** – 一小時
+ **2h** – 兩小時
+ **1d** – 一天
+ **1w** – 一週
也可以設定自訂時間範圍。選擇**自訂**,選擇**絕對**或**相對**時間,然後將時間範圍設定為您自己選擇的時間。根據 CloudWatch 規範,相對時間僅支援從今天的日期往回推 15 天的範圍。
此外,還可以根據 UTC 時區或當地時區選擇圖表中顯示的時間。
如需詳細資訊,請參閱[變更 CloudWatch 儀表板的時間範圍或時區格式](change_dashboard_time_format.md)。
# 探查警示
您可以根據網絡合成監視器指標建立 Amazon CloudWatch 警示,如同根據其他 Amazon CloudWatch 指標建立警示那樣。觸發警示時,您建立的任何警示都會出現在網絡合成監視器儀表板**監視器詳細資訊**區段的探針**狀態**欄位中。狀態將為**正常**或**警示中**。如果探針沒有顯示狀態,系統不會為該探針建立警示。
例如,可以根據網絡合成監視器指標 `PacketLoss` 建立警示,並將其設定為在指標低於您選擇的值時傳送通知。可以遵循與其他 CloudWatch 指標相同的準則,為網絡合成監視器指標設定警示。
針對網絡合成監視器建立 CloudWatch 警示時,可在 `AWS/NetworkMonitor` 下方找到下列指標。
+ **HealthIndicator**
+ **PacketLoss**
+ **RTT (往返時間)**
如需在 CloudWatch 中建立網絡合成監視器警示的步驟,請參閱[建立以靜態閾值為基礎的 CloudWatch 警示](ConsoleAlarms.md)。
# 網絡合成監視器中的資料安全和資料保護
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構是為了滿足最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。[共同責任模式](https://aws.amazon.com/compliance/shared-responsibility-model/)將其描述為雲端*的*安全性,和雲端*中*的安全性:
+ **雲端的安全性** – AWS 負責保護在 中執行 AWS 服務的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。在[AWS 合規計劃](https://aws.amazon.com/compliance/programs/)中,第三方稽核人員會定期測試和驗證我們安全的有效性。若要了解適用於 Network Synthetic Monitor 的合規計劃,請參閱[AWS 合規計劃的 服務範圍](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。
本文件有助於您了解如何在使用網絡合成監視器時套用共同責任模型。下列主題將顯示如何設定網絡合成監視器以達到您的安全及合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護 Network Synthetic Monitor 資源。
**Topics**
+ [網絡合成監視器中的資料保護](data-protection-nw.md)
+ [網絡合成監視器中的基礎結構安全](infrastructure-security-nw.md)
# 網絡合成監視器中的資料保護
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 Network Synthetic Monitor 中的資料保護。如此模型所述, AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱*AWS 安全性部落格*上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用 CloudTrail 追蹤擷取 AWS 活動的資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如**名稱**欄位。這包括當您使用網路合成監視器或使用主控台、API AWS CLI或 AWS SDKs的其他 AWS 服務 時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
# 網絡合成監視器中的基礎結構安全
作為受管服務,Network Synthetic Monitor 受到 [Amazon Web Services:安全程序概觀](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)白皮書中所述的 AWS 全球網路安全程序的保護。
您可以使用 AWS 發佈的 API 呼叫,透過網路存取 Network Synthetic Monitor。用戶端必須支援 Transport Layer Security (TLS) 1.0 或更新版本。建議使用 TLS 1.2 或更新版本。用戶端也必須支援具備完美轉送私密 (PFS) 的密碼套件,例如臨時 Diffie-Hellman (DHE) 或橢圓曲線臨時 Diffie-Hellman (ECDHE)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。
此外,請求必須使用存取金鑰 ID 和與 IAM 主體相關聯的私密存取金鑰來簽署。或者,您可以透過 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) 來產生暫時安全憑證來簽署請求。
# 適用於網絡合成監視器的身分識別和存取管理
AWS Identity and Access Management (IAM) 是一種 AWS 服務,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可以控制完成身分驗證 (已登入) 和獲得授權 (具有許可) 的對象,以使用網絡合成監視器資源。IAM 是一項服務 AWS ,您可以免費使用。您可以使用 IAM 的功能,來允許其他使用者、服務和應用程式完整地或有所限制地使用您的 AWS 資源,而不共享您的安全登入資料。
根據預設,IAM 使用者不具有建立、檢視或修改 AWS 資源的許可。若要允許 IAM 使用者存取資源 (例如全球網路) 和執行任務,您必須:
+ 建立 IAM 政策以准許使用者使用他們所需的特定資源和 API 動作
+ 將政策附接至 IAM 使用者或連線到使用者所屬的群組
將政策附加至使用者或使用者群組時,政策會允許或拒絕使用者對特定資源執行特定任務的許可。
## 條件索引鍵
`Condition` 元素 (或 Condition 區塊) 可讓您指定使陳述式生效的條件。Condition 元素是可選用的。您可以建置使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件表達式 (例如等於或小於),來比對原則中的條件和請求中的值。如需詳細資訊,請參閱《AWS Identity and Access Management 使用者指南》**中的 [IAM JSON 政策元素:條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)。
若您在陳述式中指定多個 `Condition` 元素,或是在單一 `Condition` 元素中指定多個索引鍵, AWS 會使用邏輯 `AND` 操作評估他們。如果您為單一條件索引鍵指定多個值, 會使用邏輯`OR`操作 AWS 評估條件。必須符合所有條件,才會授與陳述式的許可。
您也可以在指定條件時使用預留位置變數。例如,您可以只在使用者使用其 IAM 使用者名稱標記時,將存取資源的許可授予該 IAM 使用者。
可以將標籤連結至網絡合成監視器資源,或是在請求中將標籤傳遞給 Cloud WAN。若要根據標籤控制存取,請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件金鑰,在政策的條件元素中,提供標籤資訊。如需詳細資訊,請參閱《AWS Identity and Access Management 使用者指南》**中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
若要查看所有 AWS 全域條件索引鍵,請參閱《 *AWS Identity and Access Management 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
## 標記核心網路資源
標籤是您或 AWS 指派給 AWS 資源的中繼資料標籤。每個標籤皆包含索引鍵與值。對於您指派的標籤,您可以定義索引鍵與值。例如,對於某個資源,您可能將索引鍵定義為 `purpose`,以及將值定義為 `test`。標籤可協助您執行以下操作:
+ 識別和組織您的 AWS 資源。許多 AWS 服務支援標記,因此您可以將相同的標籤指派給來自不同 服務的資源,以指出資源相關。
+ 控制對 AWS 資源的存取。如需詳細資訊,請參閱《識別和[存取管理使用者指南》中的使用標籤控制對 AWS 資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)的存取。 *AWS *
# 網絡合成監視器如何與 IAM 搭配使用
在您使用 IAM 管理網絡合成監視器的存取權之前,請了解有哪些 IAM 功能可以與網絡合成監視器搭配使用。
**可以與網絡合成監視器搭配使用的 IAM 功能**
| IAM 功能 | 網絡合成監視器支援 |
| --- | --- |
| [身分型政策](#security_iam_service-with-iam-id-based-policies-nw) | 是 |
| [資源型政策](#security_iam_service-with-iam-resource-based-policies-nw) | 否 |
| [政策動作](#security_iam_service-with-iam-id-based-policies-actions-nw) | 是 |
| [政策資源](#security_iam_service-with-iam-id-based-policies-resources-nw) | 是 |
| [政策條件索引鍵](#security_iam_service-with-iam-id-based-policies-conditionkeys-nw) | 是 |
| [ACL](#security_iam_service-with-iam-acls-nw) | 否 |
| [ABAC(政策中的標籤)](#security_iam_service-with-iam-tags-nw) | 部分 |
| [臨時憑證](#security_iam_service-with-iam-roles-tempcreds-nw) | 是 |
| [主體許可](#security_iam_service-with-iam-principal-permissions-nw) | 是 |
| [服務角色](#security_iam_service-with-iam-roles-service-nw) | 否 |
| [服務連結角色](#security_iam_service-with-iam-roles-service-linked-nw) | 是 |
若要全面了解 Network Synthetic Monitor 和其他 AWS 服務如何與大多數 IAM 功能搭配使用,請參閱《IAM *使用者指南*》中的[AWS 與 IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 網絡合成監視器的身分型政策
**支援身分型政策:**是
身分型政策是可以附加到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。如要了解您在 JSON 政策中使用的所有元素,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 網絡合成監視器的身分型政策範例
若要檢視網絡合成監視器身分型政策的範例,請參閱[Amazon CloudWatch 的身分型政策範例](security_iam_id-based-policy-examples.md)。
## 網絡合成監視器內的資源型政策
**支援資源型政策:**否
資源型政策是附加到資源的 JSON 政策文件。資源型政策的最常見範例是 IAM *角色信任政策*和 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。對於附加政策的資源,政策會定義指定的主體可以對該資源執行的動作以及在何種條件下執行的動作。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委託人可以包含帳戶、使用者、角色、聯合身分使用者或 AWS 服務。
如需啟用跨帳戶存取權,您可以在其他帳戶內指定所有帳戶或 IAM 實體作為資源型政策的主體。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 網絡合成監視器的政策動作
**支援政策動作:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
若要檢視網絡合成監視器動作清單,請參閱《服務授權參考》**中的[網絡合成監視器定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions)。
網絡合成監視器中的政策動作會在動作前使用以下字首:
```
networkmonitor
```
若要在單一陳述式中指定多個動作,請用逗號分隔。
```
"Action": [
"networkmonitor:action1",
"networkmonitor:action2"
]
```
若要檢視網絡合成監視器身分型政策的範例,請參閱[Amazon CloudWatch 的身分型政策範例](security_iam_id-based-policy-examples.md)。
## 網絡合成監視器的政策資源
**支援政策資源:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
若要檢視網絡合成監視器資源類型及其 ARN 的清單,請參閱《服務授權參考》**中的[網絡合成監視器定義的資源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-resources-for-iam-policies)。若要了解您可以使用哪些動作指定每個資源的 ARN,請參閱[網絡合成監視器定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions)。
## 網絡合成監視器的政策條件索引鍵
**支援服務特定政策條件金鑰:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
若要檢視網絡合成監視器條件索引鍵清單,請參閱《服務授權參考》**中的[網絡合成監視器的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-policy-keys)。若要了解您可以透過哪些動作和資源使用條件索引鍵,請參閱[網絡合成監視器定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions)。
## 網絡合成監視器中的 ACL
**支援 ACL:**否
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
## ABAC 與網絡合成監視器
**支援 ABAC (政策中的標籤):**部分
屬性型存取控制 (ABAC) 是一種授權策略,根據稱為標籤的屬性定義許可權。您可以將標籤連接至 IAM 實體 AWS 和資源,然後設計 ABAC 政策,以便在委託人的標籤符合資源上的標籤時允許操作。
如需根據標籤控制存取,請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵,在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中,提供標籤資訊。
如果服務支援每個資源類型的全部三個條件金鑰,則對該服務而言,值為 **Yes**。如果服務僅支援某些資源類型的全部三個條件金鑰,則值為 **Partial**。
如需 ABAC 的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 ABAC 授權定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如要查看含有設定 ABAC 步驟的教學課程,請參閱《*IAM 使用者指南*》中的[使用屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 搭配使用臨時憑證與網絡合成監視器
**支援臨時憑證:**是
臨時登入資料提供 AWS 資源的短期存取權,當您使用聯合或切換角色時,會自動建立。 AWS 建議您動態產生臨時登入資料,而不是使用長期存取金鑰。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的臨時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)與[可與 IAM 搭配運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 網絡合成監視器的跨服務主體許可
**支援轉寄存取工作階段 (FAS):**是
轉送存取工作階段 (FAS) 使用呼叫 的委託人許可 AWS 服務,並結合 AWS 服務 請求向下游服務提出請求。如需提出 FAS 請求時的政策詳細資訊,請參閱[轉發存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## 網絡合成監視器的服務角色
**支援服務角色:**否
服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
**警告**
變更服務角色的許可有可能會中斷網絡合成監視器功能。只有在網絡合成監視器提供指引時,才能編輯服務角色。
## 使用 Network Synthetic Monitor 的服務連結角色
**支援服務連結角色:**是
服務連結角色是連結至 的一種服務角色 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會出現在您的 中 AWS 帳戶 ,並由服務擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
如需建立或管理服務連結角色的詳細資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam-nw.html)。在資料表中尋找服務,其中包含**服務連結角色**欄中的 `Yes`。選擇**是**連結,以檢視該服務的服務連結角色文件。
# 網絡合成監視器的身分型政策範例
依預設,使用者和角色沒有建立或修改網絡合成監視器資源的許可。若要授予使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。
如需了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《*IAM 使用者指南*》中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
如需網絡合成監視器所定義之動作和資源類型的詳細資訊,包括每種資源類型的 ARN 格式,請參閱《服務授權參考》**中的[網絡合成監視器的動作、資源及條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html)。
**Topics**
+ [政策最佳實務](#security_iam_service-with-iam-policy-best-practices-nw)
+ [使用網絡合成監視器主控台](#security_iam_id-based-policy-examples-console-nw)
+ [允許使用者檢視他們自己的許可](#security_iam_id-based-policy-examples-view-own-permissions-nw)
+ [對網絡合成監視器身分與存取進行疑難排解](security_iam_troubleshoot-nw.md)
## 政策最佳實務
身分型政策會判斷某人是否可以在您的帳戶中建立、存取或刪除網絡合成監視器資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
+ **開始使用 AWS 受管政策並邁向最低權限許可** – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需更多資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定 例如 使用服務動作 AWS 服務,您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶,請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
如需 IAM 中最佳實務的相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用網絡合成監視器主控台
若要存取網絡合成監視器主控台,必須擁有最低限度的許可集合。這些許可必須允許您列出和檢視 AWS 帳戶中有關網絡合成監視器資源的詳細資訊。如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (使用者或角色) 而言,主控台就無法如預期運作。
對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許最低主控台許可。反之,只需允許存取符合他們嘗試執行之 API 操作的動作就可以了。
為了確保使用者和角色仍然可以使用網路合成監視器主控台,請將網路合成監視器`ConsoleAccess`或`ReadOnly` AWS 受管政策連接到實體。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[新增許可到使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console-nw)。
## 允許使用者檢視他們自己的許可
此範例會示範如何建立政策,允許 IAM 使用者檢視附加到他們使用者身分的內嵌及受管政策。此政策包含在主控台或使用 或 AWS CLI AWS API 以程式設計方式完成此動作的許可。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# 對網絡合成監視器身分與存取進行疑難排解
請使用以下資訊來協助您診斷和修正使用網絡合成監視器和 IAM 時可能遇到的常見問題。
**Topics**
+ [我未獲授權,無法在網絡合成監視器中執行動作](#security_iam_troubleshoot-no-permissions-nw)
+ [我未獲得執行 iam:PassRole 的授權](#security_iam_troubleshoot-passrole-nw)
+ [我想要允許 以外的人員 AWS 帳戶 存取我的 Network Synthetic Monitor 資源](#security_iam_troubleshoot-cross-account-access-nw)
## 我未獲授權,無法在網絡合成監視器中執行動作
如果您收到錯誤,告知您未獲授權執行動作,您的政策必須更新,允許您執行動作。
下列範例錯誤會在`mateojackson` IAM 使用者嘗試使用主控台檢視一個虛構 `my-example-widget` 資源的詳細資訊,但卻無虛構 `networkmonitor:GetWidget` 許可時發生。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: networkmonitor:GetWidget on resource: my-example-widget
```
在此情況下,必須更新 `mateojackson` 使用者的政策,允許使用 `networkmonitor:GetWidget` 動作存取 `my-example-widget` 資源。
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。
## 我未獲得執行 iam:PassRole 的授權
如果您收到錯誤,告知您無權執行 `iam:PassRole` 動作,則必須更新您的政策,以便將角色傳遞至網絡合成監視器。
有些 AWS 服務 可讓您將現有角色傳遞給該服務,而不是建立新的服務角色或服務連結角色。如需執行此作業,您必須擁有將角色傳遞至該服務的許可。
當名為 `marymajor` 的 IAM 使用者嘗試使用主控台在網絡合成監視器中執行動作時,會發生下列範例錯誤。但是,動作請求服務具備服務角色授予的許可。Mary 沒有將角色傳遞給服務的許可。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在這種情況下,Mary 的政策必須更新,允許她執行 `iam:PassRole` 動作。
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。
## 我想要允許 以外的人員 AWS 帳戶 存取我的 Network Synthetic Monitor 資源
您可以建立一個角色,讓其他帳戶中的使用者或您組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。針對支援基於資源的政策或存取控制清單 (ACL) 的服務,您可以使用那些政策來授予人員存取您的資源的許可。
如需進一步了解,請參閱以下內容:
+ 若要了解網絡合成監視器是否支援這些功能,請參閱[Amazon CloudWatch 如何與 IAM 搭配運作](security_iam_service-with-iam.md)。
+ 若要了解如何 AWS 帳戶 在您擁有的 資源間提供存取權,請參閱《[IAM 使用者指南》中的在您擁有 AWS 帳戶 的另一個 IAM 使用者中提供存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。 **
+ 若要了解如何將資源的存取權提供給第三方 AWS 帳戶,請參閱《*IAM 使用者指南*》中的[將存取權提供給第三方 AWS 帳戶 擁有](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。
+ 如需了解如何透過聯合身分提供存取權,請參閱《*IAM 使用者指南*》中的[將存取權提供給在外部進行身分驗證的使用者 (聯合身分)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 如需了解使用角色和資源型政策進行跨帳戶存取之間的差異,請參閱《*IAM 使用者指南*》中的 [IAM 中的跨帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# AWS Network Synthetic Monitor 的 受管政策
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的帳戶中使用 AWS 。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如, `ReadOnlyAccess` AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 受管政策:CloudWatchNetworkMonitorServiceRolePolicy
`CloudWatchNetworkMonitorServiceRolePolicy` 會連結到服務連結角色,而該角色可讓服務代表您執行動作,並存取與 CloudWatch 網絡合成監視器關聯的資源。無法將此政策附接到 IAM 身分。如需詳細資訊,請參閱[使用 Network Synthetic Monitor 的服務連結角色](monitoring-using-service-linked-roles-nw.md)。
## AWS 受管政策的網路合成監視器更新
若要檢視自此服務開始追蹤這些變更以來,Network Synthetic Monitor 受 AWS 管政策更新的詳細資訊,請參閱 [CloudWatch AWS 受管政策的更新](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)。如需 CloudWatch 受管政策變更的自動提醒,請訂閱 CloudWatch [文件歷史紀錄](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html)頁面上的 RSS 摘要。
# 網絡合成監視器的 IAM 許可
若要使用網絡合成監視器,使用者必須擁有正確的許可。
如需 Amazon CloudWatch 中安全性的詳細資訊,請參閱[適用於 Amazon CloudWatch 的 Identity and Access Management](auth-and-access-control-cw.md)。
## 檢視監視器所需的許可
若要在 中檢視 Network Synthetic Monitor 的監視器 AWS 管理主控台,您必須以具有下列許可的使用者或角色身分登入:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"networkmonitor:Get*",
"networkmonitor:List*"
],
"Resource": "*"
}
]
}
```
------
## 建立監視器所需的許可
若要在網絡合成監視器中建立監視器,使用者必須擁有許可,才可建立與網絡合成監視器相關聯的服務連結角色。若要進一步了解服務連結角色,請參閱 [使用 Network Synthetic Monitor 的服務連結角色](monitoring-using-service-linked-roles-nw.md)。
若要在 中建立 Network Synthetic Monitor 的監視器 AWS 管理主控台,您必須以具有下列政策中包含許可的使用者或角色身分登入。
**注意**
若您建立更嚴格的身分型許可政策,則採取該政策的使用者將無法建立監視器。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"networkmonitor:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/networkmonitor.amazonaws.com/AWSServiceRoleForNetworkMonitor",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "networkmonitor.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:GetRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/networkmonitor.amazonaws.com/AWSServiceRoleForNetworkMonitor"
},
{
"Action": [
"ec2:CreateSecurityGroup",
"ec2:CreateNetworkInterface",
"ec2:CreateTags"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
# 使用 Network Synthetic Monitor 的服務連結角色
Network Synthetic Monitor 使用下列服務連結角色,以取得代表您呼叫其他 AWS 服務所需的許可:
+ [`AWSServiceRoleForNetworkMonitor`](#security-iam-awsmanpol-AWSServiceRoleForNetworkMonitor)
## `AWSServiceRoleForNetworkMonitor`
網絡合成監視器使用名為 `AWSServiceRoleForNetworkMonitor` 的服務連結角色,來更新和管理監視器。
`AWSServiceRoleForNetworkMonitor` 服務連結角色信任下列服務來擔任此角色:
+ `networkmonitor.amazonaws.com`
`CloudWatchNetworkMonitorServiceRolePolicy` 連結至服務連結角色,並授與服務存取權,以存取您帳戶中的 VPC 和 EC2 資源,以及管理所建立的監視器。
### 許可群組
政策會分組為以下許可集:
+ `cloudwatch` - 允許服務主體將網路監控指標發布至 CloudWatch 資源。
+ `ec2` - 允許服務主體描述您帳戶中的 VPC 和子網路,以建立或更新監視器和探針。這也允許服務主體建立、修改和刪除安全群組、網路介面及其相關權限,以設定監視器或探查,以便將監控流量傳送至端點。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》中的 [CloudWatchNetworkMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkMonitorServiceRolePolicy.html)。**
## 建立服務連結角色
`AWSServiceRoleForNetworkMonitor`
您無須手動建立 `AWSServiceRoleForNetworkMonitor` 角色。
+ 網絡合成監視器會在您使用功能建立第一個監視器時建立 `AWSServiceRoleForNetworkMonitor` 角色。然後,此角色會套用至您建立的所有其他監視器。
若要代表您建立服務連結角色,您必須具有必要的許可。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 編輯服務連結角色
可使用 IAM 來編輯 `AWSServiceRoleForNetworkMonitor ` 描述。如需更多資訊,請參閱 *IAM 使用者指南*中的[編輯服務連線角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除服務連結角色
如果您不再需要使用網絡合成監視器,建議您刪除 `AWSServiceRoleForNetworkMonitor` 角色。
只有在刪除監視器之後,才能刪除這些服務連結角色。如需詳細資訊,請參閱[刪除監視器](https://docs.aws.amazon.com/ )。
您可以使用 IAM 主控台、IAM CLI 或 IAM API 刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
刪除 `AWSServiceRoleForNetworkMonitor ` 之後,當您建立新的監視器時,網絡合成監視器會再次建立該角色。
## 網絡合成監視器服務連結角色的支援區域
Network Synthetic Monitor 在提供服務的所有 AWS 區域 中支援服務連結角色。如需詳細資訊,請參閱 *AWS 一般參考* 中的 [AWS 端點](https://docs.aws.amazon.com//general/latest/gr/rande.html)。
## 刪除服務連結角色
如果您不再需要使用網絡合成監視器,建議您刪除 `AWSServiceRoleForNetworkMonitor` 角色。
只有在刪除監視器之後,才能刪除這些服務連結角色。如需詳細資訊,請參閱[刪除監視器](https://docs.aws.amazon.com/ )。
您可以使用 IAM 主控台、IAM CLI 或 IAM API 刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
刪除 `AWSServiceRoleForNetworkMonitor ` 之後,當您建立新的監視器時,網絡合成監視器會再次建立該角色。