Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden Sie eine dienstbezogene Rolle für Network Monitor
Amazon CloudWatch Network Monitor verwendet die folgende dienstbezogene Rolle für die Berechtigungen, die erforderlich sind, um andere AWS Dienste in Ihrem Namen aufzurufen:
AWSServiceRoleForNetworkMonitor
CloudWatch Network Monitoring verwendet die angegebene dienstbezogene Rolle, um AWSServiceRoleForNetworkMonitor
CloudWatch Netzwerkmonitore zu aktualisieren und zu verwalten.
Die serviceverknüpfte Rolle AWSServiceRoleForNetworkMonitor
vertraut darauf, dass der folgende Service die Rolle annimmt:
-
networkmonitor.amazonaws.com
Die CloudWatchNetworkMonitorServiceRolePolicy
ist der dienstverknüpften Rolle zugeordnet und gewährt dem Dienst Zugriff auf VPC die EC2 Ressourcen in Ihrem Konto sowie die Verwaltung der erstellten Netzwerkmonitore.
Berechtigungsgruppen
Die Richtlinie wird in die folgenden Berechtigungsgruppen eingeteilt:
-
cloudwatch
- Auf diese Weise kann der Dienstprinzipal Netzwerküberwachungsmetriken für CloudWatch Ressourcen veröffentlichen. -
ec2
- Auf diese Weise kann der Service Principal die Subnetze in Ihrem Konto beschreiben VPCs und so Monitore und Tests erstellen oder aktualisieren. Dies erlaubt es dem Service-Prinzipal auch, Sicherheitsgruppen, Netzwerkschnittstellen und die zugehörigen Berechtigungen zu erstellen, zu ändern und zu löschen, um den Monitor oder die Sonde so zu konfigurieren, dass Überwachungs-Datenverkehr an Ihre Endpunkte gesendet wird.
Weitere Informationen über die Richtlinie finden Sie unter AWS verwaltete Richtlinien für Network Monitor.
Im Folgenden wird die CloudWatchNetworkMonitorServiceRolePolicy
dargestellt:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PublishCw", "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/NetworkMonitor" } } }, { "Sid": "DescribeAny", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "DeleteModifyEc2Resources", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterfacePermission", "ec2:RevokeSecurityGroupEgress", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DeleteNetworkInterface", "ec2:DeleteSecurityGroup" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/ManagedByCloudWatchNetworkMonitor": "true" } } } ] }
Erstellen der serviceverknüpften Rolle
AWSServiceRoleForNetworkMonitor
Sie müssen die AWSServiceRoleForNetworkMonitor
-Rolle nicht manuell erstellen.
-
Network Monitor erstellt die
AWSServiceRoleForNetworkMonitor
Rolle, wenn Sie Ihren ersten Netzwerkmonitor erstellen. Diese Rolle gilt für alle nachfolgenden Monitore, die Sie erstellen.
Sie müssen über die erforderlichen Berechtigungen verfügen, um eine serviceverknüpfte Rolle in Ihrem Namen zu erstellen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Berechtigungen für dienstbezogene Rollen.
Bearbeiten der serviceverknüpften Rolle
Sie können die AWSServiceRoleForNetworkMonitor
Beschreibungen mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAMBenutzerhandbuch.
Löschen der serviceverknüpften Rolle
Wenn Sie Network Monitor nicht mehr verwenden müssen, empfehlen wir Ihnen, die AWSServiceRoleForNetworkMonitor
Rolle zu löschen.
Sie können diese serviceverknüpfte Rollen erst löschen, nachdem Sie den Netzwerk-Monitor gelöscht haben. Informationen zum Löschen des Netzwerk-Monitors finden Sie unter Einen Netzwerk-Monitor löschen.
Sie können die IAM Konsole, die oder die verwenden IAMCLI, IAM API um dienstverknüpfte Rollen zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstverknüpften Rolle.
Nach dem Löschen erstellt AWSServiceRoleForNetworkMonitor
Network Monitor die Rolle erneut, wenn Sie einen neuen Monitor erstellen.
Unterstützte Regionen für die dienstbezogene Netzwerkmonitor-Rolle
Network Monitor unterstützt die dienstbezogene Rolle überall dort, AWS-Regionen wo der Dienst verfügbar ist. Weitere Informationen finden Sie unter AWS -Endpunkte in der Allgemeine AWS-Referenz.