Uso de roles vinculados a servicios para CloudWatch
Amazon CloudWatch utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a CloudWatch. Los roles vinculados a servicios están predefinidos por CloudWatch e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
El rol vinculado a un servicio en CloudWatch le permite configurar alarmas de CloudWatch que puedan terminar, detener o reiniciar instancias de Amazon EC2 sin que tenga que agregar manualmente los permisos necesarios. Otro rol vinculado a servicios permite que una cuenta de monitoreo tenga acceso a los datos de CloudWatch de otras cuentas que haya especificado, con el fin de crear paneles para cuentas y regiones cruzadas.
CloudWatch define los permisos de estos roles vinculados a servicios y, a menos que esté definido de otra manera, solo CloudWatch puede asumir el rol. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Las funciones se pueden eliminar únicamente después de eliminar primero sus recursos relacionados. Esta restricción protege los recursos de CloudWatch, ya que evita que se puedan quitar accidentalmente permisos de acceso a ellos.
Para obtener información sobre otros servicios que son compatibles con los roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service-Linked Role (Rol vinculado a servicios). Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.
Permisos de roles vinculados a servicios para acciones de alarmas de EC2 de CloudWatch
CloudWatch usa el rol vinculado al servicio denominado AWSServiceRoleForCloudWatchEvents: CloudWatch utiliza este rol vinculado al servicio para realizar acciones de alarma de Amazon EC2.
El rol vinculado al servicio AWSServiceRoleForCloudWatchEvents confía en el servicio de CloudWatch Events para asumir el rol: CloudWatch Events invoca las acciones de terminar, detener o reiniciar acciones de instancia cuando la alarma las llama.
La política de permisos del rol vinculado al servicio AWSServiceRoleForCloudWatchEvents permite que CloudWatch Events realice las siguientes acciones en instancias de Amazon EC2:
-
ec2:StopInstances -
ec2:TerminateInstances -
ec2:RecoverInstances -
ec2:DescribeInstanceRecoveryAttribute -
ec2:DescribeInstances -
ec2:DescribeInstanceStatus
La política de permisos del rol vinculado al servicio AWSServiceRoleForCloudWatchCrossAccount permite que CloudWatch realice las siguientes acciones:
-
sts:AssumeRole
Permisos de roles vinculados a un servicio para CloudWatch Application Signals
CloudWatch Application Signals utiliza el rol vinculado a un servicio denominado AWSServiceRoleForCloudWatchApplicationSignals: CloudWatch utiliza este rol vinculado a un servicio para recopilar datos de los Registros de CloudWatch, datos de seguimiento de X-Ray, datos de las métricas de CloudWatch y datos de etiquetado de las aplicaciones que haya habilitado para CloudWatch Application Signals.
El rol vinculado al servicio AWSServiceRoleForCloudWatchApplicationSignals confía en que CloudWatch Application Signals asuma el rol. Application Signals recopila los datos de registros, seguimientos, métricas y etiquetas de su cuenta.
AWSServiceRoleForCloudWatchApplicationSignals tiene una política de IAM asociada denominada CloudWatchApplicationSignalsServiceRolePolicy. Esta política otorga permiso a CloudWatch Application Signals para recopilar datos de monitoreo y etiquetado de otros servicios de AWS relevantes. Incluye permisos para que Application Signals complete las siguientes acciones:
-
xray:GetServiceGraph -
logs:StartQuery -
logs:GetQueryResults -
cloudwatch:GetMetricData -
cloudwatch:ListMetrics -
tag:GetResources
El contenido completo de la política CloudWatchApplicationSignalsServiceRolePolicy es el siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "XRayPermission", "Effect": "Allow", "Action": [ "xray:GetServiceGraph" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "CWLogsPermission", "Effect": "Allow", "Action": [ "logs:StartQuery", "logs:GetQueryResults" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/appsignals/eks:*", "arn:aws:logs:*:*:log-group:/aws/appsignals/generic:*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "CWMetricsPermission", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "TagsPermission", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
Permisos de roles vinculados a servicios para las acciones de alarmas de CloudWatch Systems Manager OpsCenter
CloudWatch usa el rol vinculado al servicio denominado AWSServiceRoleForCloudWatchAlarms_ActionSSM: CloudWatch utiliza este rol vinculado a servicios para realizar acciones de OpsCenter de Systems Manager cuando una alarma de CloudWatch entra en el estado ALARM (ALARMA).
El rol vinculado al servicio AWSServiceRoleForCloudWatchAlarms_ActionSSM confía en el servicio de CloudWatch para asumir el rol. Las alarmas de CloudWatch invocan las acciones de OpsCenter de Systems Manager cuando la alarma las llama.
La política de permisos del rol vinculado al servicio AWSServiceRoleForCloudWatchAlarms_ActionSSM permite que Systems Manager realice las siguientes acciones:
-
ssm:CreateOpsItem
Permisos de roles vinculados a servicios para acciones de alarmas de CloudWatch Systems Manager Incident Manager
CloudWatch utiliza el rol vinculado al servicio denominado AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents: CloudWatch utiliza este rol vinculado a servicios para comenzar incidentes de Incident Manager cuando una alarma de CloudWatch entra en el estado ALARM (ALARMA).
El rol vinculado al servicio AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents confía en que los servicios de CloudWatch asuman el rol. Las alarmas de CloudWatch invocan la acción de Incident Manager de Systems Manager cuando la alarma la llama.
La política de permisos del rol vinculado al servicio AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents permite que Systems Manager realice las siguientes acciones:
-
ssm-incidents:StartIncident
Permisos de roles vinculados a servicios para las cuentas y Regiones cruzadas de CloudWatch
CloudWatch utiliza el rol vinculado al servicio denominado AWSServiceRoleForCloudWatchCrossAccount: CloudWatch utiliza este rol para tener acceso a los datos de CloudWatch de otras cuentas de AWS que especifique. El SLR solo proporciona el permiso de asumir el rol para permitir que el servicio de CloudWatch asuma el rol en la cuenta de uso compartido. Es el rol de uso compartido que proporciona acceso a los datos.
La política de permisos del rol vinculado al servicio AWSServiceRoleForCloudWatchCrossAccount permite que CloudWatch realice las siguientes acciones:
-
sts:AssumeRole
El rol vinculado al servicio AWSServiceRoleForCloudWatchCrossAccount confía en que el servicio CloudWatch asuma el rol.
Permisos de roles vinculados a un servicio para la base de datos CloudWatch Performance Insights
CloudWatch utiliza el rol vinculado a un servicio denominado AWSServiceRoleForCloudWatchMetrics_DbPerfInsights. CloudWatch usa esta función para recuperar las métricas de Performance Insights para crear alarmas e instantáneas.
El rol vinculado al servicio AWSServiceRoleForCloudWatchMetrics_DbPerfInsights tiene adjunta la política de IAM de AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy. El contenido de esta política se detalla a continuación:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "pi:GetResourceMetrics" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
El rol vinculado al servicio AWSServiceRoleForCloudWatchMetrics_DbPerfInsights confía en que el servicio CloudWatch asuma el rol.
Creación de un rol vinculado al servicio para CloudWatch
No es necesario que se cree manualmente ninguno de estos roles vinculados a servicios. La primera vez que crea una alarma en la AWS Management Console, la CLI de IAM o en la API de IAM, CloudWatch crea AWSServiceRoleForCloudWatchEvents y AWSServiceRoleForCloudWatchAlarms_ActionSSM.
La primera vez que habilita el detector de servicios y topología, Application Signals crea AWSServiceRoleForCloudWatchApplicationSignals por usted.
Cuando habilita por primera vez una cuenta como cuenta de monitoreo para la funcionalidad entre cuentas y regiones, CloudWatch crea AWSServiceRoleForCloudWatchCrossAccount.
La primera vez que crea una alarma que utiliza la función matemática DB_PERF_INSIGHTS métrica, CloudWatch crea AWSServiceRoleForCloudWatchMetrics_DBPerfInsights por usted.
Para obtener más información, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM.
Modificación de un rol vinculado a un servicio para CloudWatch
CloudWatch no permite que se editen los roles AWSServiceRoleForCloudWatchEvents, AWSServiceRoleForCloudWatchAlarms_ActionSSM, AWSServiceRoleForCloudWatchCrossAccount oAWSServiceRoleForCloudWatchMetrics_DbPerfInsights. Después de crear estos roles, no puede cambiar sus nombres, porque diversas entidades pueden hacer referencia a ellos. Sin embargo, puede editar la descripción de estos roles mediante IAM.
Edición de la descripción de un rol vinculado a un servicio (consola de IAM)
Puede utilizar la consola de IAM para editar la descripción de un rol vinculado a un servicio.
Para editar la descripción de un rol vinculado a un servicio (consola)
-
En el panel de navegación de la consola de IAM, elija Roles.
-
Seleccione el nombre del rol que desea modificar.
-
En el extremo derecho de Role description, seleccione Edit.
-
Escriba una nueva descripción en el cuadro y elija Save (Guardar).
Edición de la descripción de un rol vinculado a servicio (AWS CLI)
Puede utilizar comandos de IAM desde la AWS Command Line Interface para editar la descripción de un rol vinculado a un servicio.
Para cambiar la descripción de un rol vinculado a un servicio (AWS CLI)
-
(Opcional) Para ver la descripción actual de un rol, ejecute uno de los siguientes comandos:
$aws iam get-role --role-namerole-nameUtilice el nombre del rol, no el ARN, para hacer referencia a los roles con los comandos de AWS CLI. Por ejemplo, si un rol tiene el ARN
arn:aws:iam::123456789012:role/myrole, debe referirse a él comomyrole. -
Para actualizar la descripción de un rol vinculado a un servicio, ejecute el siguiente comando:
$aws iam update-role-description --role-namerole-name--descriptiondescription
Edición de la descripción de un rol vinculado a un servicio (API de IAM)
Puede utilizar la API de IAM para editar la descripción de un rol vinculado a un servicio.
Para cambiar la descripción de un rol vinculado a un servicio (API)
-
(Opcional) Para ver la descripción actual de una función, ejecute el siguiente comando:
-
Para actualizar la descripción de una función, use el siguiente comando:
Eliminación de un rol vinculado a un servicio para CloudWatch
Si ya no tiene alarmas que detengan, terminen o reinicien instancias EC2, le recomendamos que elimine el rol AWSServiceRoleForCloudWatchEvents.
Si ya no cuenta con alarmas que realicen acciones OpsCenter de Systems Manager, se recomienda que elimine el rol AWSServiceRoleForCloudWatchAlarms_ActionSSM.
Si elimina todas las alarmas que utilizan la función matemática de DB_PERF_INSIGHTS métricas, le recomendamos que elimine el rol vinculado a un servicio AWSServiceRoleForCloudWatchMetrics_DBPerfInsights.
De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado al servicio antes de eliminarlo.
Limpiar un rol vinculado a servicios
Antes de poder utilizar IAM para eliminar un rol vinculado a un servicio, primero debe confirmar que dicho rol no tiene sesiones activas y eliminar los recursos que utiliza.
Para comprobar si el rol vinculado a un servicio tiene una sesión activa en la consola de IAM
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
Seleccione Roles en el panel de navegación. Elija el nombre (no la casilla de verificación) del rol AWSServiceRoleForCloudWatchEvents.
-
En la página Summary del rol seleccionado, elija Access Advisor y revise la actividad reciente del rol vinculado al servicio.
nota
Si no está seguro acerca de si CloudWatch utiliza el rol AWSServiceRoleForCloudWatchEvents, intente eliminar el rol para verificarlo. Si el servicio está utilizando el rol, este no podrá eliminarse y podrá ver las regiones en las que se está utilizando. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo. No se puede revocar la sesión de un rol vinculado a servicios.
Eliminación de un rol vinculado a un servicio (consola de IAM)
Puede utilizar la consola de IAM para eliminar un rol vinculado a un servicio.
Para eliminar un rol vinculado a un servicio (consola)
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
Seleccione Roles en el panel de navegación. Seleccione la casilla junto al nombre del rol que desea eliminar, no el nombre ni la fila.
-
En Role actions, elija Delete role.
-
En el cuadro de diálogo de confirmación, revise los datos del último acceso al servicio, que muestra cuándo cada uno de los roles seleccionados tuvo acceso a un servicio de AWS por última vez. Esto lo ayuda a confirmar si el rol está actualmente activo. Para continuar, elija Yes, Delete.
-
Consulte las notificaciones de la consola de IAM para monitorear el progreso de la eliminación del rol vinculado al servicio. Debido a que el proceso de eliminación del rol vinculado al servicio de IAM es asíncrono, la tarea de eliminación puede realizarse correcta o incorrectamente después de que envía la solicitud de eliminación. Si la tarea no se realiza correctamente, elija View details o View Resources desde las notificaciones para obtener información acerca de por qué no se pudo eliminar el rol. Si la eliminación no pudo producirse porque hay recursos en el servicio que está utilizando el rol, entonces el motivo del error incluye una lista de recursos.
Eliminar un rol vinculado a un servicio (AWS CLI)
Puede utilizar los comandos de IAM desde la AWS Command Line Interface para eliminar un rol vinculado a un servicio.
Para eliminar un rol vinculado a un servicio (AWS CLI)
-
Como los roles vinculados a servicios no se puede eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor
deletion-task-idde la respuesta para comprobar el estado de la tarea de eliminación. Escriba el siguiente comando para enviar una solicitud de eliminación de un rol vinculado a un servicio:$aws iam delete-service-linked-role --role-nameservice-linked-role-name -
Escriba el siguiente comando para comprobar el estado de la tarea de eliminación:
$aws iam get-service-linked-role-deletion-status --deletion-task-iddeletion-task-idEl estado de la tarea de eliminación puede ser
NOT_STARTED,IN_PROGRESS,SUCCEEDEDoFAILED. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema.
Eliminación de un rol vinculado a un servicio (API de IAM)
Puede utilizar la API de IAM para eliminar un rol vinculado a un servicio.
Para eliminar un rol vinculado a un servicio (API)
-
Para enviar una solicitud de eliminación de un rol vinculado a un servicio, realice una llamada a DeleteServiceLinkedRole. En la solicitud, especifique el nombre de rol que desea eliminar.
Como los roles vinculados a servicios no se puede eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor
DeletionTaskIdde la respuesta para comprobar el estado de la tarea de eliminación. -
Para comprobar el estado de la tarea de eliminación, realice una llamada a GetServiceLinkedRoleDeletionStatus. En la solicitud, especifique el valor de
DeletionTaskId.El estado de la tarea de eliminación puede ser
NOT_STARTED,IN_PROGRESS,SUCCEEDEDoFAILED. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema.
Actualizaciones de CloudWatch para roles vinculados a servicios de AWS
Es posible consultar los detalles sobre las actualizaciones de las políticas administradas de AWS para CloudWatch debido a que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de CloudWatch.
| Cambio | Descripción | Fecha |
|---|---|---|
|
AWSServiceRoleForCloudWatchApplicationSignals: nuevo rol vinculado a un servicio |
CloudWatch añadió este nuevo rol vinculado a servicios para permitir a CloudWatch Application Signals recopilar datos de Registros de CloudWatch, datos del seguimiento de X-Ray, datos de métricas de CloudWatch y datos del etiquetado de las aplicaciones que haya habilitado para CloudWatch Application Signals. |
9 de noviembre de 2023 |
|
AWSServiceRoleForCloudWatchMetrics_DBPerfInsights: nuevo rol vinculado a un servicio |
CloudWatch agregó este nuevo rol vinculado a servicios para permitir que CloudWatch obtenga métricas de Performance Insights para alarmas e instantáneas. Se adjunta una política de IAM a este rol, y la política concede permiso a CloudWatch para obtener métricas de Performance Insights en su nombre. |
13 de septiembre de 2023 |
|
AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents: nuevo rol vinculado a un servicio |
CloudWatch agregó un nuevo rol vinculado a un servicio para permitir que CloudWatch cree incidentes en Incident Manager de AWS Systems Manager. |
26 de abril de 2021 |
|
CloudWatch comenzó a realizar seguimientos de los cambios |
CloudWatch comenzó a realizar seguimientos de los cambios para los roles vinculados al servicio. |
26 de abril de 2021 |
