Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di ruoli collegati ai servizi per CloudWatch
Amazon CloudWatch utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. CloudWatch I ruoli collegati ai servizi sono predefiniti CloudWatch e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio CloudWatch consente di configurare CloudWatch allarmi che possono terminare, arrestare o riavviare un'istanza Amazon EC2 senza richiedere l'aggiunta manuale delle autorizzazioni necessarie. Un altro ruolo collegato al servizio consente a un account di monitoraggio di accedere ai CloudWatch dati di altri account da te specificati, per creare dashboard interregionali tra account.
CloudWatch definisce le autorizzazioni di questi ruoli collegati ai servizi e, se non diversamente definito, solo può assumere il ruolo. CloudWatch Le autorizzazioni definite includono la policy di trust e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
È possibile eliminare i ruoli solo dopo aver eliminato le risorse correlate. Questa restrizione protegge le CloudWatch risorse perché non è possibile rimuovere inavvertitamente le autorizzazioni di accesso alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione Servizi AWS che funzionano con IAM e cerca i servizi che riportano Sì nella colonna Ruolo associato ai servizi. Scegli Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
Autorizzazioni di ruolo legate al servizio per le azioni EC2 degli allarmi CloudWatch
CloudWatch utilizza il ruolo collegato al servizio denominato AWSServiceRoleForCloudWatchEvents: CloudWatch utilizza questo ruolo collegato al servizio per eseguire azioni di allarme di Amazon EC2.
Il ruolo AWSServiceRoleForCloudWatchEvents collegato al servizio si fida del servizio Events per l'assunzione del ruolo. CloudWatch CloudWatch Events richiama le azioni di terminazione, arresto o riavvio dell'istanza quando viene richiamata dall'allarme.
La politica AWSServiceRoleForCloudWatchEvents di autorizzazione dei ruoli collegati al servizio consente a CloudWatch Events di completare le seguenti azioni sulle istanze Amazon EC2:
-
ec2:StopInstances -
ec2:TerminateInstances -
ec2:RecoverInstances -
ec2:DescribeInstanceRecoveryAttribute -
ec2:DescribeInstances -
ec2:DescribeInstanceStatus
La politica di autorizzazione dei ruoli AWSServiceRoleForCloudWatchCrossAccountcollegati al servizio consente di completare le seguenti azioni: CloudWatch
-
sts:AssumeRole
Autorizzazioni di ruolo collegate al servizio per Application Signals CloudWatch
CloudWatch Application Signals utilizza il ruolo collegato al servizio denominato AWSServiceRoleForCloudWatchApplicationSignals: CloudWatch utilizza questo ruolo collegato al servizio per raccogliere dati di CloudWatch log, dati di traccia a raggi X, dati di metrica e dati CloudWatch di tagging dalle applicazioni che hai abilitato per Application Signals. CloudWatch
Il ruolo collegato al AWSServiceRoleForCloudWatchApplicationSignalsservizio prevede che Application Signals assuma il ruolo. CloudWatch Application Signals raccoglie i log, le tracce, i parametri e i dati dei tag dal tuo account.
AWSServiceRoleForCloudWatchApplicationSignalsHa una politica IAM allegata e questa politica è denominata. CloudWatchApplicationSignalsServiceRolePolicy Questa politica concede l'autorizzazione ad CloudWatch Application Signals di raccogliere dati di monitoraggio e etichettatura da altri servizi pertinenti AWS . Include autorizzazioni che consentono ad Application Signals di completare le operazioni seguenti:
-
xray:GetServiceGraph -
logs:StartQuery -
logs:GetQueryResults -
cloudwatch:GetMetricData -
cloudwatch:ListMetrics -
tag:GetResources
Il contenuto completo di è il CloudWatchApplicationSignalsServiceRolePolicyseguente:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "XRayPermission", "Effect": "Allow", "Action": [ "xray:GetServiceGraph" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "CWLogsPermission", "Effect": "Allow", "Action": [ "logs:StartQuery", "logs:GetQueryResults" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/appsignals/*:*", "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "CWListMetricsPermission", "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "CWGetMetricDataPermission", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData" ], "Resource": [ "*" ] }, { "Sid": "TagsPermission", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
Autorizzazioni di ruolo collegate al servizio per le azioni di CloudWatch Systems Manager degli allarmi OpsCenter
CloudWatch utilizza il ruolo collegato al servizio denominato AWSServiceRoleForCloudWatchAlarms_ActionSSM: CloudWatch utilizza questo ruolo collegato al servizio per OpsCenter eseguire azioni di Systems Manager quando un CloudWatch allarme entra nello stato ALARM.
Il ruolo AWSServiceRoleForCloudWatchAlarms_ActionSSM collegato al servizio si fida che il servizio assuma il ruolo. CloudWatch CloudWatch gli allarmi richiamano le OpsCenter azioni di Systems Manager quando vengono richiamati dall'allarme.
La politica AWSServiceRoleForCloudWatchAlarms_ActionSSMdi autorizzazione dei ruoli collegati al servizio consente a Systems Manager di completare le seguenti azioni:
-
ssm:CreateOpsItem
Autorizzazioni di ruolo collegate ai servizi per le azioni di CloudWatch Systems Manager Incident Manager degli allarmi
CloudWatch utilizza il ruolo collegato al servizio denominato AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents: CloudWatch utilizza questo ruolo collegato al servizio per avviare gli incidenti di Incident Manager quando un allarme entra nello stato ALARM. CloudWatch
Il ruolo AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidentscollegato al servizio si fida che il servizio assuma il ruolo. CloudWatch CloudWatch gli allarmi richiamano l'azione Systems Manager Incident Manager quando vengono richiamati dall'allarme.
La politica AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidentsdi autorizzazione dei ruoli collegati al servizio consente a Systems Manager di completare le seguenti azioni:
-
ssm-incidents:StartIncident
Autorizzazioni di ruolo collegate al servizio per più account e più regioni CloudWatch
CloudWatch utilizza il ruolo collegato al servizio denominato AWSServiceRoleForCloudWatchCrossAccount: CloudWatch utilizza questo ruolo per accedere ai CloudWatch dati di altri account specificati dall'utente. AWS La SLR fornisce solo l'autorizzazione ad assumere il ruolo per consentire al CloudWatch servizio di assumere il ruolo nell'account di condivisione. È il ruolo di condivisione che fornisce l'accesso ai dati.
La politica AWSServiceRoleForCloudWatchCrossAccountdi autorizzazione dei ruoli collegati al servizio consente di CloudWatch completare le seguenti azioni:
-
sts:AssumeRole
Il ruolo AWSServiceRoleForCloudWatchCrossAccountcollegato al servizio si fida che il servizio assuma il CloudWatch ruolo.
Autorizzazioni di ruolo collegate ai servizi per il database Performance Insights CloudWatch
CloudWatch utilizza il ruolo collegato al servizio denominato. AWSServiceRoleForCloudWatchMetrics_DbPerfInsights — CloudWatch utilizza questo ruolo per recuperare le metriche di Performance Insights per la creazione di allarmi e istantanee.
Al ruolo collegato al AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsservizio è associata la policy IAM. AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy I contenuti di questa policy sono i seguenti:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "pi:GetResourceMetrics" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
Il ruolo AWSServiceRoleForCloudWatchMetrics_DbPerfInsightscollegato al servizio si fida che il CloudWatch servizio assuma il ruolo.
Creazione di un ruolo collegato al servizio per CloudWatch
Non è necessario creare manualmente nessuno di questi ruoli collegati ai servizi. La prima volta che crei un allarme in AWS Management Console, l'IAM CLI o l'API IAM CloudWatch crea AWSServiceRoleForCloudWatchEvents e AWSServiceRoleForCloudWatchAlarms_ActionSSMper te.
La prima volta che abiliti il rilevamento di servizi e topologie, Application Signals crea AWSServiceRoleForCloudWatchApplicationSignalsper te.
Quando abiliti per la prima volta un account come account di monitoraggio per la funzionalità interregionale tra più account, lo CloudWatch crea AWSServiceRoleForCloudWatchCrossAccountautomaticamente.
Quando crei per la prima volta un allarme che utilizza la funzione matematica DB_PERF_INSIGHTS metrica, CloudWatch lo crea per te. AWSServiceRoleForCloudWatchMetrics_DbPerfInsights
Per ulteriori informazioni, consulta Creazione di un ruolo collegato ai servizi nella Guida per l'utente IAM.
Modifica di un ruolo collegato al servizio per CloudWatch
CloudWatch non consente di modificare i ruoli AWSServiceRoleForCloudWatchEvents, AWSServiceRoleForCloudWatchAlarms_ActionSSMAWSServiceRoleForCloudWatchCrossAccount, o AWSServiceRoleForCloudWatchMetrics_DbPerfInsights. Dopo aver creato questi ruoli, non è possibile modificarne i nomi perché varie entità potrebbero fare riferimento a tali ruoli. Puoi tuttavia modificare la descrizione dei ruoli utilizzando IAM.
Modifica della descrizione di un ruolo collegato ai servizi (console IAM)
È possibile utilizzare la console IAM per modificare la descrizione di un ruolo collegato ai servizi.
Per modificare la descrizione di un ruolo collegato ai servizi (console)
-
Nel pannello di navigazione della console IAM seleziona Roles (Ruoli).
-
Scegliere il nome del ruolo da modificare.
-
Nella parte destra di Role description (Descrizione ruolo), scegliere Edit (Modifica).
-
Digita una nuova descrizione nella casella e scegli Save (Salva).
Modifica della descrizione di un ruolo collegato ai servizi (AWS CLI)
È possibile utilizzare i comandi IAM di AWS Command Line Interface per modificare la descrizione di un ruolo collegato al servizio.
Per modificare la descrizione di un ruolo collegato ai servizi (AWS CLI)
-
(Facoltativo) Per visualizzare la descrizione attuale di un ruolo, utilizza i seguenti comandi:
$aws iam get-role --role-namerole-namePer fare riferimento ai ruoli con i comandi AWS CLI , utilizza il nome del ruolo, non l'ARN. Ad esempio, per fare riferimento a un ruolo il cui ARN è
arn:aws:iam::123456789012:role/myrole, puoi usaremyrole. -
Per aggiornare la descrizione di un ruolo collegato ai servizi, utilizza il seguente comando:
$aws iam update-role-description --role-namerole-name--descriptiondescription
Modifica della descrizione di un ruolo collegato ai servizi (API IAM)
È possibile utilizzare l'API IAM per modificare la descrizione di un ruolo collegato ai servizi.
Per modificare la descrizione di un ruolo collegato ai servizi (API)
-
(Facoltativo) Per visualizzare la descrizione attuale di un ruolo, utilizza il seguente comando:
-
Per aggiornare la descrizione di un ruolo, utilizza il seguente comando:
Eliminazione di un ruolo collegato al servizio per CloudWatch
Se non hai più allarmi che interrompono, terminano o riavviano automaticamente le istanze EC2, ti consigliamo di eliminare il ruolo. AWSServiceRoleForCloudWatchEvents
Se non hai più allarmi che eseguono OpsCenter azioni di Systems Manager, ti consigliamo di eliminare il AWSServiceRoleForCloudWatchAlarms_ActionSSM ruolo.
Se elimini tutti gli allarmi che utilizzano la funzione matematica DB_PERF_INSIGHTS metrica, ti consigliamo di eliminare il ruolo collegato al servizio. AWSServiceRoleForCloudWatchMetrics_DbPerfInsights
In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare.
Pulizia di un ruolo collegato ai servizi
Prima di utilizzare IAM per eliminare un ruolo collegato ai servizi, devi innanzitutto verificare che il ruolo non abbia sessioni attive ed eliminare tutte le risorse utilizzate dal ruolo.
Per verificare se il ruolo collegato ai servizi dispone di una sessione attiva nella console IAM
Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel riquadro di navigazione, seleziona Ruoli. Scegli il nome (non la casella di controllo) del ruolo. AWSServiceRoleForCloudWatchEvents
-
Nella pagina Summary (Riepilogo) per il ruolo selezionato, seleziona Access Advisor (Consulente accessi) ed esamina l'attività recente per il ruolo collegato ai servizi.
Nota
Se non sei sicuro che CloudWatch stia utilizzando il AWSServiceRoleForCloudWatchEvents ruolo, prova a eliminarlo. Se il servizio sta utilizzando il ruolo, l'eliminazione non andrà a buon fine e potrai visualizzare le regioni in cui il ruolo viene utilizzato. Se il ruolo è in uso, prima di poterlo eliminare dovrai attendere il termine della sessione. Non puoi revocare la sessione per un ruolo collegato al servizio.
Eliminazione di un ruolo collegato ai servizi (console IAM)
È possibile utilizzare la console IAM per eliminare un ruolo collegato ai servizi.
Per eliminare un ruolo collegato ai servizi (console)
Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel riquadro di navigazione, seleziona Ruoli. Selezionare la casella di controllo accanto al nome del ruolo che desideri eliminare, non il nome o la riga stessa.
-
In Role actions (Operazioni per ruolo), seleziona Delete role (Elimina ruolo).
-
Nella finestra di dialogo di conferma controlla i dati relativi all'ultimo accesso ai servizi, che indicano quando ognuno dei ruoli selezionati ha effettuato l'accesso a un servizio AWS . In questo modo potrai verificare se il ruolo è attualmente attivo. Per procedere, seleziona Yes, Delete (Sì, elimina).
-
Controlla le notifiche della console IAM per monitorare lo stato dell'eliminazione del ruolo collegato ai servizi. Poiché l'eliminazione del ruolo collegato ai servizi IAM è asincrona, una volta richiesta l'eliminazione del ruolo, il task di eliminazione può essere eseguito correttamente o meno. Se il task non viene eseguito correttamente, seleziona View details (Visualizza dettagli) o View Resources (Visualizza risorse) dalle notifiche per capire perché l'eliminazione non è stata effettuata. Se l'eliminazione non viene eseguita perché vi sono risorse nel servizio che sono usate dal ruolo, il motivo dell'errore include un elenco di risorse.
Eliminazione del ruolo collegato ai servizi (AWS CLI)
Puoi utilizzare i comandi IAM di AWS Command Line Interface per eliminare un ruolo collegato al servizio.
Per eliminare un ruolo collegato ai servizi (AWS CLI)
-
Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di
deletion-task-iddalla risposta per controllare lo stato del task di eliminazione. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, digita il seguente comando:$aws iam delete-service-linked-role --role-nameservice-linked-role-name -
Digita il seguente comando per verificare lo stato del task di eliminazione:
$aws iam get-service-linked-role-deletion-status --deletion-task-iddeletion-task-idLo stato di un task di eliminazione può essere
NOT_STARTED,IN_PROGRESS,SUCCEEDEDoFAILED. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema.
Eliminazione di un ruolo collegato ai servizi (API IAM)
È possibile utilizzare l'API di IAM; per eliminare un ruolo collegato ai servizi.
Per eliminare un ruolo collegato ai servizi (API)
-
Per inviare una richiesta di eliminazione per un ruolo collegato al servizio, chiama. DeleteServiceLinkedRole Nella richiesta specificare il nome del ruolo che si desidera eliminare.
Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di
DeletionTaskIddalla risposta per controllare lo stato del task di eliminazione. -
Per verificare lo stato dell'eliminazione, chiama. GetServiceLinkedRoleDeletionStatus Nella richiesta, specificare il
DeletionTaskId.Lo stato di un task di eliminazione può essere
NOT_STARTED,IN_PROGRESS,SUCCEEDEDoFAILED. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema.
CloudWatch aggiornamenti ai ruoli AWS collegati al servizio
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite CloudWatch da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei CloudWatch documenti.
| Modifica | Descrizione | Data |
|---|---|---|
|
AWSServiceRoleForCloudWatchApplicationSignals— Aggiornamento delle autorizzazioni della politica relativa ai ruoli collegati ai servizi |
CloudWatch aggiungere altri gruppi di log all'ambito e alle |
24 aprile 2024 |
|
AWSServiceRoleForCloudWatchApplicationSignals— Nuovo ruolo collegato ai servizi |
CloudWatch ha aggiunto questo nuovo ruolo collegato al servizio per consentire ad CloudWatch Application Signals di raccogliere dati di CloudWatch log, dati di traccia a raggi X, dati di CloudWatch metrica e dati di etichettatura dalle applicazioni abilitate per Application Signals. CloudWatch |
9 novembre 2023 |
|
AWSServiceRoleForCloudWatchMetrics_DbPerfInsights— Nuovo ruolo collegato ai servizi |
CloudWatch ha aggiunto questo nuovo ruolo collegato al servizio per consentire di recuperare le metriche CloudWatch di Performance Insights per allarmi e snapshot. A questo ruolo è associata una policy IAM che concede l'autorizzazione CloudWatch a recuperare le metriche di Performance Insights per tuo conto. |
13 settembre 2023 |
|
AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents— Nuovo ruolo collegato ai servizi |
CloudWatch ha aggiunto un nuovo ruolo collegato al servizio per consentire CloudWatch la creazione di incidenti in Incident Manager. AWS Systems Manager |
26 Aprile 2021 |
|
CloudWatch ha iniziato a tenere traccia delle modifiche |
CloudWatch ha iniziato a tenere traccia delle modifiche per i ruoli collegati ai servizi. |
26 Aprile 2021 |
