Verwenden einer dienstbezogenen Rolle für CloudWatch Network Monitor - Amazon CloudWatch
AWSServiceRoleForNetworkMonitorErstellen der serviceverknüpften RolleBearbeiten der serviceverknüpften RolleLöschen der serviceverknüpften RolleUnterstützte Regionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden einer dienstbezogenen Rolle für CloudWatch Network Monitor

Amazon CloudWatch Network Monitor verwendet die folgende serviceverknüpfte Rolle für die Berechtigungen, die zum Aufrufen anderer Benutzer erforderlich sind AWS Dienstleistungen in Ihrem Namen:

AWSServiceRoleForNetworkMonitor

CloudWatch Network Monitoring verwendet die mit dem Dienst verknüpfte Rolle namensAWSServiceRoleForNetworkMonitor, um CloudWatch Netzwerkmonitore zu aktualisieren und zu verwalten.

Die serviceverknüpfte Rolle AWSServiceRoleForNetworkMonitor vertraut darauf, dass der folgende Service die Rolle annimmt:

  • networkmonitor.amazonaws.com

Die CloudWatchNetworkMonitorServiceRolePolicy ist der dienstverknüpften Rolle zugeordnet und gewährt dem Dienst Zugriff auf VPC die EC2 Ressourcen in Ihrem Konto sowie die Verwaltung der erstellten Netzwerkmonitore.

Berechtigungsgruppen

Die Richtlinie wird in die folgenden Berechtigungsgruppen eingeteilt:

  • cloudwatch- Auf diese Weise kann der Dienstprinzipal Netzwerküberwachungsmetriken für CloudWatch Ressourcen veröffentlichen.

  • ec2- Auf diese Weise kann der Service Principal die Subnetze in Ihrem Konto beschreiben VPCs und so Monitore und Tests erstellen oder aktualisieren. Dies erlaubt es dem Service-Prinzipal auch, Sicherheitsgruppen, Netzwerkschnittstellen und die zugehörigen Berechtigungen zu erstellen, zu ändern und zu löschen, um den Monitor oder die Sonde so zu konfigurieren, dass Überwachungs-Datenverkehr an Ihre Endpunkte gesendet wird.

Weitere Informationen über die Richtlinie finden Sie unter AWS verwaltete Richtlinien für Network Monitor CloudWatch .

Im Folgenden wird die CloudWatchNetworkMonitorServiceRolePolicy dargestellt:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "PublishCw",
			"Effect": "Allow",
			"Action": "cloudwatch:PutMetricData",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": "AWS/NetworkMonitor"
				}
			}
		},
		{
			"Sid": "DescribeAny",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeNetworkInterfaceAttribute",
				"ec2:DescribeVpcs",
				"ec2:DescribeNetworkInterfacePermissions",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Resource": "*"
		},
		{
			"Sid": "DeleteModifyEc2Resources",
			"Effect": "Allow",
			"Action": [
				"ec2:AuthorizeSecurityGroupEgress",
				"ec2:CreateNetworkInterfacePermission",
				"ec2:DeleteNetworkInterfacePermission",
				"ec2:RevokeSecurityGroupEgress",
				"ec2:ModifyNetworkInterfaceAttribute",
				"ec2:DeleteNetworkInterface",
				"ec2:DeleteSecurityGroup"
			],
			"Resource": [
				"arn:aws:ec2:*:*:network-interface/*",
				"arn:aws:ec2:*:*:security-group/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/ManagedByCloudWatchNetworkMonitor": "true"
				}
			}
		}
	]
}

Erstellen der serviceverknüpften Rolle

AWSServiceRoleForNetworkMonitor

Sie müssen die AWSServiceRoleForNetworkMonitor-Rolle nicht manuell erstellen.

  • CloudWatch Network Monitor erstellt die AWSServiceRoleForNetworkMonitor Rolle, wenn Sie Ihren ersten Netzwerkmonitor erstellen. Diese Rolle gilt für alle nachfolgenden Monitore, die Sie erstellen.

Sie müssen über die erforderlichen Berechtigungen verfügen, um eine serviceverknüpfte Rolle in Ihrem Namen zu erstellen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Berechtigungen für dienstverknüpfte Rollen.

Bearbeiten der serviceverknüpften Rolle

Sie können die AWSServiceRoleForNetworkMonitor Beschreibungen mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAMBenutzerhandbuch.

Löschen der serviceverknüpften Rolle

Wenn Sie CloudWatch Network Monitor nicht mehr verwenden müssen, empfehlen wir Ihnen, die AWSServiceRoleForNetworkMonitor Rolle zu löschen.

Sie können diese serviceverknüpfte Rollen erst löschen, nachdem Sie den Netzwerk-Monitor gelöscht haben. Informationen zum Löschen des Netzwerk-Monitors finden Sie unter Einen Netzwerk-Monitor löschen.

Sie können die IAM Konsole, die oder die verwenden IAMCLI, IAM API um dienstverknüpfte Rollen zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.

Nach dem Löschen erstellt AWSServiceRoleForNetworkMonitor CloudWatch Network Monitor die Rolle erneut, wenn Sie einen neuen Monitor erstellen.

Unterstützte Regionen für die dienstbezogene CloudWatch Netzwerkmonitor-Rolle

CloudWatch Network Monitor unterstützt die dienstgebundene Rolle in allen AWS-Regionen wo der Dienst verfügbar ist. Weitere Informationen finden Sie unter AWS Endpunkte in der Allgemeine AWS-Referenz.