Verwenden Sie eine dienstbezogene Rolle für Network Monitor - Amazon CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie eine dienstbezogene Rolle für Network Monitor

Amazon CloudWatch Network Monitor verwendet die folgende dienstbezogene Rolle für die Berechtigungen, die erforderlich sind, um andere AWS Dienste in Ihrem Namen aufzurufen:

AWSServiceRoleForNetworkMonitor

CloudWatch Network Monitoring verwendet die angegebene dienstbezogene Rolle, um AWSServiceRoleForNetworkMonitor CloudWatch Netzwerkmonitore zu aktualisieren und zu verwalten.

Die serviceverknüpfte Rolle AWSServiceRoleForNetworkMonitor vertraut darauf, dass der folgende Service die Rolle annimmt:

  • networkmonitor.amazonaws.com

Die CloudWatchNetworkMonitorServiceRolePolicy ist der dienstverknüpften Rolle zugeordnet und gewährt dem Dienst Zugriff auf VPC die EC2 Ressourcen in Ihrem Konto sowie die Verwaltung der erstellten Netzwerkmonitore.

Berechtigungsgruppen

Die Richtlinie wird in die folgenden Berechtigungsgruppen eingeteilt:

  • cloudwatch- Auf diese Weise kann der Dienstprinzipal Netzwerküberwachungsmetriken für CloudWatch Ressourcen veröffentlichen.

  • ec2- Auf diese Weise kann der Service Principal die Subnetze in Ihrem Konto beschreiben VPCs und so Monitore und Tests erstellen oder aktualisieren. Dies erlaubt es dem Service-Prinzipal auch, Sicherheitsgruppen, Netzwerkschnittstellen und die zugehörigen Berechtigungen zu erstellen, zu ändern und zu löschen, um den Monitor oder die Sonde so zu konfigurieren, dass Überwachungs-Datenverkehr an Ihre Endpunkte gesendet wird.

Weitere Informationen über die Richtlinie finden Sie unter AWS verwaltete Richtlinien für Network Monitor.

Im Folgenden wird die CloudWatchNetworkMonitorServiceRolePolicy dargestellt:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "PublishCw", "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/NetworkMonitor" } } }, { "Sid": "DescribeAny", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "DeleteModifyEc2Resources", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterfacePermission", "ec2:RevokeSecurityGroupEgress", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DeleteNetworkInterface", "ec2:DeleteSecurityGroup" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/ManagedByCloudWatchNetworkMonitor": "true" } } } ] }

Erstellen der serviceverknüpften Rolle

AWSServiceRoleForNetworkMonitor

Sie müssen die AWSServiceRoleForNetworkMonitor-Rolle nicht manuell erstellen.

  • Network Monitor erstellt die AWSServiceRoleForNetworkMonitor Rolle, wenn Sie Ihren ersten Netzwerkmonitor erstellen. Diese Rolle gilt für alle nachfolgenden Monitore, die Sie erstellen.

Sie müssen über die erforderlichen Berechtigungen verfügen, um eine serviceverknüpfte Rolle in Ihrem Namen zu erstellen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Berechtigungen für dienstbezogene Rollen.

Bearbeiten der serviceverknüpften Rolle

Sie können die AWSServiceRoleForNetworkMonitor Beschreibungen mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAMBenutzerhandbuch.

Löschen der serviceverknüpften Rolle

Wenn Sie Network Monitor nicht mehr verwenden müssen, empfehlen wir Ihnen, die AWSServiceRoleForNetworkMonitor Rolle zu löschen.

Sie können diese serviceverknüpfte Rollen erst löschen, nachdem Sie den Netzwerk-Monitor gelöscht haben. Informationen zum Löschen des Netzwerk-Monitors finden Sie unter Einen Netzwerk-Monitor löschen.

Sie können die IAM Konsole, die oder die verwenden IAMCLI, IAM API um dienstverknüpfte Rollen zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstverknüpften Rolle.

Nach dem Löschen erstellt AWSServiceRoleForNetworkMonitor Network Monitor die Rolle erneut, wenn Sie einen neuen Monitor erstellen.

Unterstützte Regionen für die dienstbezogene Netzwerkmonitor-Rolle

Network Monitor unterstützt die dienstbezogene Rolle überall dort, AWS-Regionen wo der Dienst verfügbar ist. Weitere Informationen finden Sie unter AWS -Endpunkte in der Allgemeine AWS-Referenz.