Usar um perfil vinculado ao serviço para o CloudWatch Network Monitor - Amazon CloudWatch
AWSServiceRoleForNetworkMonitorCriar a função vinculada ao serviçoEditar a função vinculada ao serviçoExcluir a função vinculada ao serviçoRegiões compatíveis

Usar um perfil vinculado ao serviço para o CloudWatch Network Monitor

o Amazon CloudWatch Network Monitor usa os seguintes perfis vinculados ao serviço para as permissões necessárias para chamar outros serviços da AWS em seu nome:

AWSServiceRoleForNetworkMonitor

O CloudWatch Network Monitoring usa o perfil vinculado ao serviço denominado AWSServiceRoleForNetworkMonitor para atualizar e gerenciar os monitores de rede do CloudWatch.

A função vinculada ao serviço AWSServiceRoleForNetworkMonitor confia no seguinte serviço para assumir a função:

  • networkmonitor.amazonaws.com

O CloudWatchNetworkMonitorServiceRolePolicy é anexado à função vinculada ao serviço e concede acesso ao serviço para acessar recursos de VPC e EC2 na sua conta, além de gerenciar os monitores de rede que foram criados.

Agrupamentos de permissões

A política é agrupada nos seguintes conjuntos de permissões:

  • cloudwatch: permite que a entidade principal do serviço publique métricas de monitoramento de rede em recursos do CloudWatch.

  • ec2: permite que a entidade principal do serviço descreva VPCs e sub-redes na sua conta para criar ou atualizar monitores e sondas. Também permite que a entidade principal do serviço crie, modifique e exclua grupos de segurança, interfaces de rede e suas permissões associadas para configurar o monitor ou a sonda para enviar tráfego de monitoramento aos endpoints.

Para obter mais informações sobre a política, consulte Políticas gerenciadas pela AWS para o CloudWatch Network Monitor.

A seguir, é mostrado o CloudWatchNetworkMonitorServiceRolePolicy:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "PublishCw",
			"Effect": "Allow",
			"Action": "cloudwatch:PutMetricData",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": "AWS/NetworkMonitor"
				}
			}
		},
		{
			"Sid": "DescribeAny",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeNetworkInterfaceAttribute",
				"ec2:DescribeVpcs",
				"ec2:DescribeNetworkInterfacePermissions",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Resource": "*"
		},
		{
			"Sid": "DeleteModifyEc2Resources",
			"Effect": "Allow",
			"Action": [
				"ec2:AuthorizeSecurityGroupEgress",
				"ec2:CreateNetworkInterfacePermission",
				"ec2:DeleteNetworkInterfacePermission",
				"ec2:RevokeSecurityGroupEgress",
				"ec2:ModifyNetworkInterfaceAttribute",
				"ec2:DeleteNetworkInterface",
				"ec2:DeleteSecurityGroup"
			],
			"Resource": [
				"arn:aws:ec2:*:*:network-interface/*",
				"arn:aws:ec2:*:*:security-group/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/ManagedByCloudWatchNetworkMonitor": "true"
				}
			}
		}
	]
}

Criar a função vinculada ao serviço

AWSServiceRoleForNetworkMonitor

Você não precisa criar manualmente o perfil AWSServiceRoleForNetworkMonitor.

  • O CloudWatch Network Monitor cria o perfil AWSServiceRoleForNetworkMonitor quando você cria seu primeiro monitor de rede. Esse perfil se aplicará a todos os monitores subsequentes que você criar.

Para criar um perfil vinculado ao serviço em seu nome, você deve ter as permissões necessárias. Para obter mais informações, consulte Permissões de função vinculada ao serviço no Guia do usuário do IAM.

Editar a função vinculada ao serviço

É possível editar a descrição de AWSServiceRoleForNetworkMonitor usando o IAM. Para obter mais informações, consulte Editar uma função vinculada ao serviço no Guia do usuário do IAM.

Excluir a função vinculada ao serviço

Se você não precisar mais usar o CloudWatch Network Monitor, recomendamos excluir o perfil AWSServiceRoleForNetworkMonitor.

Só é possível excluir esses perfis vinculados ao serviço depois de excluir o monitor de rede. Para obter informações sobre como excluir o monitor de rede, consulte Delete a network monitor.

Você pode usar o console, a CLI ou a API do IAM para excluir funções vinculadas ao serviço. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Depois de excluir AWSServiceRoleForNetworkMonitor , o CloudWatch Network Monitor criará novamente o perfil quando você criar um novo monitor.

Regiões compatíveis com o perfil vinculado ao serviço do CloudWatch Network Monitor

O CloudWatch Network Monitor é compatível com o perfil vinculado ao serviço em todas as Regiões da AWS em que o serviço está disponível. Para obter mais informações, consulte AWS endpoints na Referência geral da AWS.