本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用網路監視器的服務 CloudWatch 連結角色
Amazon CloudWatch 網路監控器會針對代表您呼叫其他 AWS 服務所需的許可,使用下列服務連結角色:
AWSServiceRoleForNetworkMonitor
CloudWatch 網路監控會使用名為的服務連結角色AWSServiceRoleForNetworkMonitor
來更新和管理 CloudWatch 網路監視器。
AWSServiceRoleForNetworkMonitor
服務連結角色信任下列服務來擔任此角色:
-
networkmonitor.amazonaws.com
會CloudWatchNetworkMonitorServiceRolePolicy
附加至服務連結的角色,並授予服務存取權,以存取VPC您帳戶中的EC2資源,以及管理已建立的網路監視器。
許可分組
政策會分組為以下許可集:
-
cloudwatch
-這可讓服務主體將網路監視指標發佈至 CloudWatch 資源。 -
ec2
-這可讓服務主體描述VPCs您帳戶中的子網路,以建立或更新監視器和偵測。這也允許服務主體建立、修改和刪除安全群組、網路介面及其相關權限,以設定監視器或探查,以便將監控流量傳送至端點。
如需有關政策的詳細資訊,請參閱「AWS CloudWatch 網路監視器的受管理原則」。
以下顯示 CloudWatchNetworkMonitorServiceRolePolicy
:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PublishCw", "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/NetworkMonitor" } } }, { "Sid": "DescribeAny", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "DeleteModifyEc2Resources", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterfacePermission", "ec2:RevokeSecurityGroupEgress", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DeleteNetworkInterface", "ec2:DeleteSecurityGroup" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/ManagedByCloudWatchNetworkMonitor": "true" } } } ] }
建立服務連結角色
AWSServiceRoleForNetworkMonitor
您無須手動建立 AWSServiceRoleForNetworkMonitor
角色。
-
CloudWatch 網路監視器會
AWSServiceRoleForNetworkMonitor
在您建立第一個網路監視器時建立角色。此角色將套用至您建立的任何後續監視器。
若要代表您建立服務連結角色,您必須具有必要的許可。如需詳細資訊,請參閱IAM使用指南中的服務連結角色權限。
編輯服務連結角色
您可以使用編輯AWSServiceRoleForNetworkMonitor
描述IAM。如需詳細資訊,請參閱IAM使用指南中的編輯服務連結角色。
刪除服務連結角色
如果您不再需要使用 CloudWatch 網路監視器,建議您刪除AWSServiceRoleForNetworkMonitor
角色。
只有在刪除網路監視器之後,才能刪除這些服務連結角色。如需有關刪除網路監視器的詳細資訊,請參閱刪除網路監視器。
您可以使用IAM主控台IAMCLI、或刪除服務連結角色。IAM API如需詳細資訊,請參閱IAM使用指南中的刪除服務連結角色。
刪除AWSServiceRoleForNetworkMonitor
CloudWatch 網絡監視器後,當你創建一個新的監視器將再次創建角色。
CloudWatch 網路監視器服務連結角色的支援區域
CloudWatch 網路監視器支援服務連結的 AWS 區域 所有服務可用的角色。如需詳細資訊,請參閱 AWS 一般參考 中的 AWS 端點。