Verwenden von serviceverknüpften Rollen für CloudWatch - Amazon CloudWatch
Berechtigungen von serviceverknüpften Rollen für EC2-CloudWatch AlarmaktionenBerechtigungen von serviceverknüpften Rollen für CloudWatch Application SignalsServiceverknüpfte Rollenberechtigungen für CloudWatch Alarme Systems Manager- OpsCenter AktionenBerechtigungen von serviceverknüpften Rollen für CloudWatch Alarme Systems Manager Incident Manager-AktionenBerechtigungen von serviceverknüpften Rollen für konto- und CloudWatch regionenübergreifendeBerechtigungen von serviceverknüpften Rollen für CloudWatch Database Performance InsightsErstellen einer serviceverknüpften Rolle für CloudWatchBearbeiten einer serviceverknüpften Rolle für CloudWatch Löschen einer serviceverknüpften Rolle für CloudWatchAktualisierungen von Rollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für CloudWatch

Amazon CloudWatch verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen . Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit verknüpft ist CloudWatch. Serviceverknüpfte Rollen werden von vordefiniert CloudWatch und schließen alle Berechtigungen ein, die der Service zum Aufrufen anderer - AWS Services in Ihrem Namen erfordert.

Eine serviceverknüpfte Rolle in CloudWatch richtet CloudWatch Alarme ein, die eine Amazon EC2Instance beenden, anhalten oder neu starten können, ohne dass Sie die erforderlichen Berechtigungen manuell hinzufügen müssen. Eine andere serviceverknüpfte Rolle ermöglicht es einem Überwachungskonto, auf CloudWatch-Daten von anderen von Ihnen angegebenen Konten zuzugreifen, um konten- und regionenübergreifende Dashboards zu erstellen.

CloudWatch definiert die Berechtigungen dieser serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, CloudWatch kann nur die Rolle übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Sie können die Rollen nur nach dem Löschen der zugehörigen Ressourcen löschen. Dies schützt Ihre CloudWatch Ressourcen, da Sie nicht versehentlich Berechtigungen für den Zugriff auf die Ressourcen entfernen können.

Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter AWS -Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Berechtigungen von serviceverknüpften Rollen für EC2-CloudWatch Alarmaktionen

CloudWatch verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForCloudWatchEvents – CloudWatch verwendet diese serviceverknüpfte Rolle, um Amazon EC2-Alarmaktionen durchzuführen.

Die AWSServiceRoleForCloudWatchEvents serviceverknüpfte Rolle vertraut dem CloudWatch Events-Service, die Rolle zu übernehmen. CloudWatch Events ruft die Aktionen zum Beenden, Stoppen oder Neustarten von Instances auf, wenn der Alarm ausgelöst wird.

Die Berechtigungsrichtlinie AWSServiceRoleForCloudWatchEvents für serviceverknüpfte Rollen ermöglicht es CloudWatch Events, die folgenden Aktionen auf Amazon EC2 durchzuführen:

  • ec2:StopInstances

  • ec2:TerminateInstances

  • ec2:RecoverInstances

  • ec2:DescribeInstanceRecoveryAttribute

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

Die Berechtigungsrichtlinie AWSServiceRoleForCloudWatchCrossAccount für serviceverknüpfte Rollen ermöglicht CloudWatch die Durchführung der folgenden Aktionen:

  • sts:AssumeRole

Berechtigungen von serviceverknüpften Rollen für CloudWatch Application Signals

CloudWatch Application Signals verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForCloudWatchApplicationSignals – CloudWatch verwendet diese serviceverknüpfte Rolle, um CloudWatch Protokolldaten, X-Ray-Ablaufverfolgungsdaten, CloudWatch Metrikdaten und Markierungsdaten von Anwendungen zu sammeln, die Sie für CloudWatch Application Signals aktiviert haben.

Die AWSServiceRoleForCloudWatchApplicationSignals serviceverknüpfte Rolle vertraut CloudWatch Application Signals, die Rolle zu übernehmen. Application Signals erfasst die Protokoll-, Trace-, Metrik- und Tag-Daten aus Ihrem Konto.

Dem AWSServiceRoleForCloudWatchApplicationSignals ist eine IAM-Richtlinie angefügt, und diese Richtlinie heißt CloudWatchApplicationSignalsServiceRolePolicy. Diese Richtlinie gewährt CloudWatch Application Signals die Berechtigung, Überwachungs- und Tagging-Daten von anderen relevanten AWS Services zu erfassen. Sie enthält Berechtigungen, die Application Signals die folgenden Aktionen ermöglichen:

  • xray:GetServiceGraph

  • logs:StartQuery

  • logs:GetQueryResults

  • cloudwatch:GetMetricData

  • cloudwatch:ListMetrics

  • tag:GetResources

Der vollständige Inhalt von CloudWatchApplicationSignalsServiceRolePolicy lautet wie folgt:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "XRayPermission",
            "Effect": "Allow",
            "Action": [
                "xray:GetServiceGraph"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "CWLogsPermission",
            "Effect": "Allow",
            "Action": [
                "logs:StartQuery",
                "logs:GetQueryResults"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:/aws/appsignals/eks:*",
                "arn:aws:logs:*:*:log-group:/aws/appsignals/generic:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "CWMetricsPermission",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "TagsPermission",
            "Effect": "Allow",
            "Action": [
                "tag:GetResources"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

Serviceverknüpfte Rollenberechtigungen für CloudWatch Alarme Systems Manager- OpsCenter Aktionen

CloudWatch verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForCloudWatchAlarms_ActionSSM – CloudWatch verwendet diese serviceverknüpfte Rolle, um Systems Manager- OpsCenter Aktionen auszuführen, wenn ein CloudWatch Alarm in den ALARM-Status wechselt.

Die AWSServiceRoleForCloudWatchAlarms_ActionSSM serviceverknüpfte Rolle vertraut darauf, dass der CloudWatch Service die Rolle annimmt. CloudWatch Alarme rufen die Systems Manager- OpsCenter Aktionen auf, wenn sie vom Alarm aufgerufen werden.

Die Berechtigungsrichtlinie AWSServiceRoleForCloudWatchAlarms_ActionSSM für serviceverknüpfte Rollen ermöglicht Systems Manager die Durchführung der folgenden Aktionen:

  • ssm:CreateOpsItem

Berechtigungen von serviceverknüpften Rollen für CloudWatch Alarme Systems Manager Incident Manager-Aktionen

CloudWatch verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents – CloudWatch verwendet diese serviceverknüpfte Rolle, um Incident Manager-Vorfälle zu starten, wenn ein CloudWatch Alarm in den ALARM-Status wechselt.

Die AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents serviceverknüpfte Rolle vertraut dem CloudWatch Service, die Rolle zu übernehmen. CloudWatch Alarme rufen die Systems Manager Incident Manager-Aktion auf, wenn sie vom Alarm aufgerufen wird.

Die Berechtigungsrichtlinie AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents für serviceverknüpfte Rollen ermöglicht Systems Manager die Durchführung der folgenden Aktionen:

  • ssm-incidents:StartIncident

Berechtigungen von serviceverknüpften Rollen für konto- und CloudWatch regionenübergreifende

CloudWatch verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForCloudWatchCrossAccount – CloudWatch verwendet diese Rolle, um auf CloudWatch Daten in anderen von Ihnen angegebenen AWS Konten zuzugreifen. Die SLR stellt nur die Berechtigung zum Übernehmen der Rolle bereit, damit der CloudWatch Service die Rolle im Freigabekonto übernehmen kann. Es ist die Freigaberolle, die den Zugriff auf Daten ermöglicht.

Die Berechtigungsrichtlinie AWSServiceRoleForCloudWatchCrossAccount für serviceverknüpfte Rollen ermöglicht CloudWatch die Durchführung der folgenden Aktionen:

  • sts:AssumeRole

Die AWSServiceRoleForCloudWatchCrossAccount serviceverknüpfte Rolle vertraut dem CloudWatch Service, die Rolle zu übernehmen.

Berechtigungen von serviceverknüpften Rollen für CloudWatch Database Performance Insights

CloudWatch verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForCloudWatchMetrics_DbPerfInsights. – CloudWatch verwendet diese Rolle, um Performance-Insights-Metriken zum Erstellen von Alarmen und Snapshots abzurufen.

Der AWSServiceRoleForCloudWatchMetrics_DbPerfInsights serviceverknüpften Rolle ist die AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy IAM-Richtlinie angefügt. Der Inhalt dieser Richtlinie lautet wie folgt:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"pi:GetResourceMetrics"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

Die AWSServiceRoleForCloudWatchMetrics_DbPerfInsights serviceverknüpfte Rolle vertraut dem CloudWatch Service, die Rolle zu übernehmen.

Erstellen einer serviceverknüpften Rolle für CloudWatch

Sie müssen keine dieser serviceverknüpften Rollen manuell erstellen. Wenn Sie zum ersten Mal einen Alarm in der AWS Management Console, der IAM-CLI oder der IAM-API erstellen, CloudWatch erstellt AWSServiceRoleForCloudWatchEvents und AWSServiceRoleForCloudWatchAlarms_ActionSSM für Sie.

Wenn Sie die Service- und Topologieerkennung zum ersten Mal aktivieren, erstellt Application Signals AWSServiceRoleForCloudWatchApplicationSignals für Sie.

Wenn Sie ein Konto zum ersten Mal als Überwachungskonto für die konto- und regionenübergreifende Funktionalität aktivieren, CloudWatch erstellt AWSServiceRoleForCloudWatchCrossAccount für Sie.

Wenn Sie zum ersten Mal einen Alarm erstellen, der die DB_PERF_INSIGHTS metrische mathematische Funktion verwendet, CloudWatch erstellt AWSServiceRoleForCloudWatchMetrics_DbPerfInsights für Sie.

Weitere Informationen finden Sie unter Erstellen einer serviceverknüpfte Rolle im IAM-Leitfaden.

Bearbeiten einer serviceverknüpften Rolle für CloudWatch

CloudWatch erlaubt es Ihnen nicht, die AWSServiceRoleForCloudWatchMetrics_DbPerfInsights Rollen AWSServiceRoleForCloudWatchEvents, AWSServiceRoleForCloudWatchAlarms_ActionSSMAWSServiceRoleForCloudWatchCrossAccount, oder zu bearbeiten. Nachdem Sie diese Rollen erstellt haben, können Sie ihre Namen nicht ändern, da verschiedene Entitäten möglicherweise auf diese Rollen verweisen. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten.

Bearbeiten der Beschreibung einer serviceverknüpften Rolle (IAM-Konsole)

Sie können die IAM-Konsole für das Bearbeiten der Beschreibung einer serviceverknüpften Rolle verwenden.

So bearbeiten Sie die Beschreibung einer serviceverknüpften Rolle (Konsole)

  1. Wählen Sie im Navigationsbereich der IAM Console Roles (Rollen) aus.

  2. Wählen Sie den Namen der zu ändernden Rolle.

  3. Wählen Sie neben Role description ganz rechts Edit.

  4. Geben Sie die neue Beschreibung im Dialogfeld ein und klicken Sie auf Save (Speichern).

Bearbeiten der Beschreibung einer serviceverknüpften Rolle (AWS CLI)

Sie können IAM-Befehle aus der verwenden AWS Command Line Interface , um die Beschreibung einer serviceverknüpften Rolle zu bearbeiten.

So ändern Sie die Beschreibung einer serviceverknüpften Rolle (AWS CLI)

  1. (Optional) Um die aktuelle Beschreibung einer Rolle anzuzeigen, verwenden Sie die folgenden Befehle:

    $ aws iam get-role --role-name role-name

    Verwenden Sie den Rollennamen, nicht den ARN, um mit den AWS CLI Befehlen auf Rollen zu verweisen. Wenn eine Rolle zum Beispiel folgenden ARN hat: arn:aws:iam::123456789012:role/myrole, verweisen Sie auf die Rolle als myrole.

  2. Um die Beschreibung einer serviceverknüpften Rolle zu aktualisieren, verwenden Sie den folgenden Befehl:

    $ aws iam update-role-description --role-name role-name --description description

Bearbeiten der Beschreibung einer serviceverknüpften Rolle (IAM-API)

Sie können die IAM-API für das Bearbeiten der Beschreibung einer serviceverknüpften Rolle verwenden.

So ändern Sie die Beschreibung einer serviceverknüpften Rolle (API)

  1. (Optional) Um die aktuelle Beschreibung einer Rolle anzuzeigen, verwenden Sie den folgenden Befehl:

    GetRole

  2. Um die Beschreibung einer Rolle zu aktualisieren, verwenden Sie den folgenden Befehl:

    UpdateRoleDescription

Löschen einer serviceverknüpften Rolle für CloudWatch

Wenn Sie keine Alarme mehr haben, die EC2-Instances automatisch anhalten, beenden oder neu starten, empfehlen wir Ihnen, die AWSServiceRoleForCloudWatchEvents Rolle zu löschen.

Wenn Sie keine Alarme mehr haben, die Systems Manager- OpsCenter Aktionen ausführen, empfehlen wir Ihnen, die AWSServiceRoleForCloudWatchAlarms_ActionSSM Rolle zu löschen.

Wenn Sie alle Alarme löschen, die die DB_PERF_INSIGHTS metrische mathematische Funktion verwenden, empfehlen wir, die AWSServiceRoleForCloudWatchMetrics_DbPerfInsights serviceverknüpfte Rolle zu löschen.

Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie löschen können.

Bereinigen einer serviceverknüpften Rolle

Bevor Sie mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie sich zunächst vergewissern, dass die Rolle über keine aktiven Sitzungen verfügt, und alle Ressourcen entfernen, die von der Rolle verwendet werden.

So überprüfen Sie in der IAM-Konsole, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Rollen aus. Wählen Sie den Namen (nicht das Kontrollkästchen) der AWSServiceRoleForCloudWatchEvents Rolle aus.

  3. Wählen Sie auf der Seite Summary der ausgewählten Rolle Access Advisor und überprüfen Sie die letzten Aktivitäten auf die serviceverknüpfte Rolle.

    Anmerkung

    Wenn Sie sich nicht sicher sind, ob die AWSServiceRoleForCloudWatchEvents Rolle CloudWatch verwendet, versuchen Sie, die Rolle zu löschen. Wenn der Service die Rolle verwendet, schlägt die Löschung fehl und Sie können die -Regionen anzeigen, in denen die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet wird, bevor Sie die Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.

Löschen einer serviceverknüpften Rolle (IAM-Konsole)

Sie können die IAM-Konsole für das Löschen einer serviceverknüpften Rolle verwenden.

So löschen Sie eine serviceverknüpfte Rolle (Konsole)

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Rollen aus. Aktivieren Sie dann das Kontrollkästchen neben dem Namen der Rolle, die Sie löschen möchten, nicht den Namen oder die Zeile selbst.

  3. Klicken Sie bei Role actions auf Delete role.

  4. Überprüfen Sie im Bestätigungsdialogfeld die Daten des letzten Servicezugriffs, die anzeigen, wann jede der ausgewählten Rollen zuletzt auf einen - AWS Service zugegriffen hat. Auf diese Weise können Sie leichter bestätigen, ob die Rolle derzeit aktiv ist. Wählen Sie Yes, Delete, um fortzufahren.

  5. Sehen Sie sich die Benachrichtigungen in der IAM-Konsole an, um den Fortschritt der Löschung der serviceverknüpften Rolle zu überwachen. Da die Löschung der serviceverknüpften IAM-Rolle asynchron erfolgt, kann die Löschung nach dem Übermitteln der Rolle für die Löschung erfolgreich sein oder fehlschlagen. Wenn der Vorgang fehlschlägt, wählen Sie in den Benachrichtigungen View details oder View Resources aus, um zu erfahren, warum die Löschung fehlgeschlagen ist. Wenn das Löschen fehlschlägt, weil der Service Ressourcen enthält, die von der Rolle verwendet werden, enthält die Angabe des Fehlergrundes eine Liste der Ressourcen.

Löschen einer serviceverknüpften Rolle (AWS CLI)

Sie können IAM-Befehle aus der verwenden AWS Command Line Interface , um eine serviceverknüpfte Rolle zu löschen.

So löschen Sie eine serviceverknüpfte Rolle (AWS CLI)

  1. Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die deletion-task-id aus der Antwort, um den Status der Löschaufgabe zu überprüfen. Geben Sie den folgenden Befehl ein, um eine Löschanforderung für eine serviceverknüpfte Rolle zu übermitteln:

    $ aws iam delete-service-linked-role --role-name service-linked-role-name

  2. Geben Sie den folgenden Befehl ein, um den Status der Löschaufgabe zu überprüfen:

    $ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    Der Status der Löschaufgabe kann NOT_STARTED, IN_PROGRESS, SUCCEEDED oder FAILED lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können.

Löschen einer serviceverknüpften Rolle (IAM-API)

Sie können die IAM-API zum Löschen einer serviceverknüpften Rolle verwenden.

So löschen Sie eine serviceverknüpfte Rolle (API)

  1. Um eine Löschanforderung für eine serviceverknüpfte Rolle zu senden, rufen Sie aufDeleteServiceLinkedRole. Geben Sie in der Anforderung den Namen der Rolle an, die Sie löschen möchten.

    Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die DeletionTaskId aus der Antwort, um den Status der Löschaufgabe zu überprüfen.

  2. Um den Status der Löschung zu überprüfen, rufen Sie GetServiceLinkedRoleDeletionStatus auf. Geben Sie in der Anforderung die DeletionTaskId an.

    Der Status der Löschaufgabe kann NOT_STARTED, IN_PROGRESS, SUCCEEDED oder FAILED lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können.

CloudWatch -Updates für AWS serviceverknüpfte Rollen

Zeigen Sie Details zu Aktualisierungen für - AWS verwaltete Richtlinien für an, CloudWatch seit dieser Service mit der Verfolgung dieser Änderungen begonnen hat. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der Seite CloudWatch Dokumentverlauf.

Änderung Beschreibung Datum

AWSServiceRoleForCloudWatchApplicationSignals – Neue serviceverknüpfte Rolle

CloudWatch hat diese neue serviceverknüpfte Rolle hinzugefügt, damit CloudWatch Application Signals CloudWatch Protokolldaten, X-Ray-Ablaufverfolgungsdaten, CloudWatch Metrikdaten und Markierungsdaten von Anwendungen erfassen kann, die Sie für CloudWatch Application Signals aktiviert haben.

 9. November 2023

AWSServiceRoleForCloudWatchMetrics_DbPerfInsights – Neue serviceverknüpfte Rolle

CloudWatch hat diese neue serviceverknüpfte Rolle hinzugefügt, damit Performance-Insights CloudWatch -Metriken für Alarme und Snapshots abrufen kann. Dieser Rolle ist eine IAM-Richtlinie zugeordnet, und die Richtlinie erteilt die Berechtigung zum CloudWatch Abrufen von Performance-Insights-Metriken in Ihrem Namen.

 13. September 2023

AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents – Neue serviceverknüpfte Rolle

CloudWatch hat eine neue serviceverknüpfte Rolle hinzugefügt, damit Vorfälle in AWS Systems Manager Incident Manager CloudWatch erstellen kann.

 26. April 2021

CloudWatch hat mit der Verfolgung von Änderungen begonnen

CloudWatch hat mit der Verfolgung von Änderungen für seine serviceverknüpften Rollen begonnen.

 26. April 2021