CloudWatch Network Monitor のサービスリンクロールの使用 - Amazon CloudWatch
AWSServiceRoleForNetworkMonitorサービスにリンクされたロールの作成サービスにリンクされたロールを編集するサービスにリンクされたロールを削除するサポートされるリージョン

CloudWatch Network Monitor のサービスリンクロールの使用

Amazon CloudWatch Network Monitor は、ユーザーに代わって AWS の他のサービスを呼び出すために必要なアクセス許可のために、次のサービスリンクロールを使用します。

AWSServiceRoleForNetworkMonitor

CloudWatch ネットワークモニタリングは、AWSServiceRoleForNetworkMonitor という名前のサービスリンクロールを使用して CloudWatch ネットワークモニタの更新と管理を行います。

AWSServiceRoleForNetworkMonitor サービスにリンクされたロールはその引き受け時に、以下のサービスを信頼します。

  • networkmonitor.amazonaws.com

CloudWatchNetworkMonitorServiceRolePolicy はこのサービスリンクロールにアタッチされ、アカウント内の VPC や EC2 リソースにアクセスしたり、作成されたネットワークモニタを管理したりするためのアクセス権をサービスに付与します。

アクセス許可のグループ化

ポリシーは、以下のアクセス許可セットにグループ化されます。

  • cloudwatch - ネットワークモニタリングメトリクスを CloudWatch リソースに公開することをサービスプリンシパルに許可します。

  • ec2 - モニタとプローブを作成または更新するために、アカウント内に VPC とサブネットを記述することをサービスプリンシパルに許可します。また、エンドポイントにモニタリングトラフィックを送信するモニタまたはプローブを設定するために、セキュリティグループ、ネットワークインターフェイス、およびそれらに関連する権限を作成、変更、削除することもサービスプリンシパルに許可します。

ポリシーの詳細については、「CloudWatch Network Monitor の AWS マネージドポリシー」を参照してください。

以下に CloudWatchNetworkMonitorServiceRolePolicy を示します。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "PublishCw",
			"Effect": "Allow",
			"Action": "cloudwatch:PutMetricData",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": "AWS/NetworkMonitor"
				}
			}
		},
		{
			"Sid": "DescribeAny",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeNetworkInterfaceAttribute",
				"ec2:DescribeVpcs",
				"ec2:DescribeNetworkInterfacePermissions",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Resource": "*"
		},
		{
			"Sid": "DeleteModifyEc2Resources",
			"Effect": "Allow",
			"Action": [
				"ec2:AuthorizeSecurityGroupEgress",
				"ec2:CreateNetworkInterfacePermission",
				"ec2:DeleteNetworkInterfacePermission",
				"ec2:RevokeSecurityGroupEgress",
				"ec2:ModifyNetworkInterfaceAttribute",
				"ec2:DeleteNetworkInterface",
				"ec2:DeleteSecurityGroup"
			],
			"Resource": [
				"arn:aws:ec2:*:*:network-interface/*",
				"arn:aws:ec2:*:*:security-group/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/ManagedByCloudWatchNetworkMonitor": "true"
				}
			}
		}
	]
}

サービスにリンクされたロールの作成

AWSServiceRoleForNetworkMonitor

AWSServiceRoleForNetworkMonitor ロールを手動で作成する必要はありません。

  • AWSServiceRoleForNetworkMonitor ロールは、最初のネットワークモニタを作成するときに、CloudWatch Network Monitor によって作成されます。このロールは、それ以降に作成するすべてのモニタに適用されます。

お客様に代わってサービスリンクロールを作成するには、必要なアクセス許可がお客様に付与されていなければなりません。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールのアクセス許可」を参照してください。

サービスにリンクされたロールを編集する

IAM を使用して AWSServiceRoleForNetworkMonitor の説明を編集することができます。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの編集」を参照してください。

サービスにリンクされたロールを削除する

CloudWatch Network Monitor を使用する必要がなくなった場合は、AWSServiceRoleForNetworkMonitor ロールを削除することをお勧めします。

これらのサービスリンクロールは、ネットワークモニタを削除した場合にのみ削除できます。ネットワークモニタの削除の詳細については、「Delete a network monitor」を参照してください。

サービスにリンクされたロールは、IAM コンソール、IAM CLI、または IAM API を使用して削除することができます。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの削除」を参照してください。

AWSServiceRoleForNetworkMonitor の削除後、新しいモニタを作成すると、CloudWatch Network Monitor によって再度このロールが作成されます。

CloudWatch Network Monitor のサービスリンクロールでサポートされるリージョン

CloudWatch Network Monitor は、そのサービスを利用できるすべての AWS リージョンで、サービスリンクロールをサポートします。詳細については、「AWS 全般のリファレンス」の「AWS エンドポイント」を参照してください。