使用網路監視器的服務 CloudWatch 連結角色 - Amazon CloudWatch
AWSServiceRoleForNetworkMonitor建立服務連結角色編輯服務連結角色刪除服務連結角色支援地區

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用網路監視器的服務 CloudWatch 連結角色

Amazon CloudWatch 網路監控器會針對代表您呼叫其他 AWS 服務所需的許可,使用下列服務連結角色:

AWSServiceRoleForNetworkMonitor

CloudWatch 網路監控會使用名為的服務連結角色AWSServiceRoleForNetworkMonitor來更新和管理 CloudWatch 網路監視器。

AWSServiceRoleForNetworkMonitor 服務連結角色信任下列服務來擔任此角色:

  • networkmonitor.amazonaws.com

CloudWatchNetworkMonitorServiceRolePolicy附加至服務連結的角色,並授予服務存取權,以存取VPC您帳戶中的EC2資源,以及管理已建立的網路監視器。

許可分組

政策會分組為以下許可集:

  • cloudwatch-這可讓服務主體將網路監視指標發佈至 CloudWatch 資源。

  • ec2-這可讓服務主體描述VPCs您帳戶中的子網路,以建立或更新監視器和偵測。這也允許服務主體建立、修改和刪除安全群組、網路介面及其相關權限,以設定監視器或探查,以便將監控流量傳送至端點。

如需有關政策的詳細資訊,請參閱「AWS CloudWatch 網路監視器的受管理原則」。

以下顯示 CloudWatchNetworkMonitorServiceRolePolicy

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "PublishCw",
			"Effect": "Allow",
			"Action": "cloudwatch:PutMetricData",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": "AWS/NetworkMonitor"
				}
			}
		},
		{
			"Sid": "DescribeAny",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeNetworkInterfaceAttribute",
				"ec2:DescribeVpcs",
				"ec2:DescribeNetworkInterfacePermissions",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Resource": "*"
		},
		{
			"Sid": "DeleteModifyEc2Resources",
			"Effect": "Allow",
			"Action": [
				"ec2:AuthorizeSecurityGroupEgress",
				"ec2:CreateNetworkInterfacePermission",
				"ec2:DeleteNetworkInterfacePermission",
				"ec2:RevokeSecurityGroupEgress",
				"ec2:ModifyNetworkInterfaceAttribute",
				"ec2:DeleteNetworkInterface",
				"ec2:DeleteSecurityGroup"
			],
			"Resource": [
				"arn:aws:ec2:*:*:network-interface/*",
				"arn:aws:ec2:*:*:security-group/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/ManagedByCloudWatchNetworkMonitor": "true"
				}
			}
		}
	]
}

建立服務連結角色

AWSServiceRoleForNetworkMonitor

您無須手動建立 AWSServiceRoleForNetworkMonitor 角色。

  • CloudWatch 網路監視器會AWSServiceRoleForNetworkMonitor在您建立第一個網路監視器時建立角色。此角色將套用至您建立的任何後續監視器。

若要代表您建立服務連結角色,您必須具有必要的許可。如需詳細資訊,請參閱IAM使用指南中的服務連結角色權限

編輯服務連結角色

您可以使用編輯AWSServiceRoleForNetworkMonitor 描述IAM。如需詳細資訊,請參閱IAM使用指南中的編輯服務連結角色

刪除服務連結角色

如果您不再需要使用 CloudWatch 網路監視器,建議您刪除AWSServiceRoleForNetworkMonitor角色。

只有在刪除網路監視器之後,才能刪除這些服務連結角色。如需有關刪除網路監視器的詳細資訊,請參閱刪除網路監視器

您可以使用IAM主控台IAMCLI、或刪除服務連結角色。IAM API如需詳細資訊,請參閱IAM使用指南中的刪除服務連結角色

刪除AWSServiceRoleForNetworkMonitor CloudWatch 網絡監視器後,當你創建一個新的監視器將再次創建角色。

CloudWatch 網路監視器服務連結角色的支援區域

CloudWatch 網路監視器支援服務連結的 AWS 區域 所有服務可用的角色。如需詳細資訊,請參閱 AWS 一般參考 中的 AWS 端點