Utilisation des rôles liés à un service pour CloudWatch Logs - Amazon CloudWatch Logs

Utilisation des rôles liés à un service pour CloudWatch Logs

Amazon CloudWatch Logs utilise des rôles AWS Identity and Access Management (IAM) liés aux services. Un rôle lié à un service est un type unique de rôle IAM lié directement à CloudWatch Logs. Les rôles liés à des services sont prédéfinis par CloudWatch Logs et ils incluent toutes les autorisations requises par le service pour appeler d'autres services AWS en votre nom.

Un rôle lié à un service rend la configuration de CloudWatch Logs plus efficace, car vous n'êtes pas obligé d'ajouter manuellement les autorisations nécessaires. CloudWatch Logs définit les autorisations de ses rôles liés à un service ; sauf définition contraire, seul CloudWatch Logs peut endosser ces rôles. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisations. Cette politique d'autorisations ne peut pas être attachée à une autre entité IAM.

Pour obtenir des informations sur les autres services qui prennent en charge les rôles liés à un service, consultez Services AWS qui fonctionnent avec IAM. Recherchez les services qui comportent un Oui dans la colonne Rôle lié à un service. Choisissez un Oui ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.

Autorisations des rôles liés à un service pour CloudWatch Logs

CloudWatch Logs utilise le rôle lié à un service appelé AWSServiceRoleForLogDelivery. CloudWatch Logs utilise ce rôle lié à un service pour écrire directement les journaux dans Kinesis Data Firehose. Pour plus d'informations, consultez Activation de la journalisation à partir de certains services AWS.

Le rôle lié à un service AWSServiceRoleForLogDelivery approuve les services suivants pour endosser le rôle :

  • CloudWatch Logs

La politique d'autorisations liée au rôle permet à CloudWatch Logs d'exécuter les actions suivantes sur les ressources spécifiées :

  • Action : firehose:PutRecord et firehose:PutRecordBatch sur tous les flux Kinesis Data Firehose qui ont une identification avec une clé LogDeliveryEnabled avec une valeur de True. Cette identification est automatiquement attachée à un flux Kinesis Data Firehose lorsque vous créez un abonnement pour livrer les journaux à Kinesis Data Firehose.

Vous devez configurer les autorisations pour permettre à une entité IAM de créer, modifier ou supprimer un rôle lié à un service. Cette entité peut être un utilisateur, un groupe ou un rôle. Pour plus d'informations, consultez Autorisations de rôles liés à un service dans le Guide de l'utilisateur IAM

Création d'un rôle lié à un service pour CloudWatch Logs

Vous n'êtes pas obligé de créer manuellement un rôle lié à un service. Lorsque vous configurez des journaux à envoyer directement à un flux Kinesis Data Firehose dans la AWS Management Console, l'AWS CLI ou l'API AWS, CloudWatch Logs crée le rôle lié à un service pour vous.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous configurez à nouveau des journaux à envoyer directement à un flux Kinesis Data Firehose, CloudWatch Logs crée à nouveau le rôle lié à un service pour vous.

Modification d'un rôle lié à un service pour CloudWatch Logs

CloudWatch Logs ne vous permet pas de modifier AWSServiceRoleForLogDelivery ou tout autre rôle lié à un service, après sa création. Vous ne pouvez pas modifier le nom du rôle car diverses entités pourraient y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l'aide d'IAM. Pour plus d'informations, consultez Modification d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Suppression d'un rôle lié à un service pour CloudWatch Logs

Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.

Note

Si le service CloudWatch Logs utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.

Pour supprimer les ressources CloudWatch Logs utilisées par le rôle lié au service AWSServiceRoleForLogDelivery

  • Arrêtez d'envoyer les journaux directement dans les flux Kinesis Data Firehose.

Pour supprimer manuellement le rôle lié à un service à l'aide d'IAM

Utilisez la console IAM, la AWS CLI ou l'API AWS pour supprimer le rôle lié au service AWSServiceRoleForLogDelivery. Pour plus d'informations, consultez Suppression d'un rôle lié à un service

Régions prises en charge pour les rôles liés à un service CloudWatch Logs

CloudWatch Logs prend en charge l'utilisation des rôles liés à un service dans toutes les régions AWS où le service est disponible. Pour plus d'informations, consultez Régions et points de terminaison CloudWatch Logs.