Berechtigungen von serviceverknüpften Rollen für RUM Erstellen einer serviceverknüpften Rolle für RUM Bearbeiten einer serviceverknüpften Rolle für RUM Löschen einer serviceverknüpften Rolle für RUM

Verwenden von dienstbezogenen Rollen für CloudWatch RUM

CloudWatch RUMverwendet eine dienstbezogene IAM Rolle AWS Identity and Access Management (). Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit RUM verknüpft ist. Die dienstbezogene Rolle ist von vordefiniert RUM und umfasst alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

RUMdefiniert die Berechtigungen der dienstbezogenen Rolle und RUM kann, sofern nicht anders definiert, nur die Rolle übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Sie können die Rolle nur nach dem Löschen der zugehörigen Ressourcen löschen. Dies schützt Ihre RUM-Ressourcen, da Sie nicht versehentlich die Berechtigungen für den Zugriff auf die Ressourcen entfernen können.

Informationen zu anderen Diensten, die dienstbezogene Rollen unterstützen, finden Sie unter AWS Dienste, die mit Diensten arbeiten, IAM und suchen Sie in der Spalte mit dienstbezogenen Rollen nach den Diensten, für die Ja angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Berechtigungen von serviceverknüpften Rollen für RUM

RUMverwendet die mit dem Dienst verknüpfte Rolle mit dem Namen AWSServiceRoleForCloudWatchRUM— diese Rolle ermöglicht RUM das Senden von AWS X-Ray Trace-Daten an Ihr Konto für App-Monitore, für die Sie X-Ray Tracing aktivieren.

Die AWSServiceRoleForCloudWatchRUMdienstbezogene Rolle vertraut darauf, dass der X-Ray-Dienst die Rolle übernimmt. X-Ray sendet die Nachverfolgungsdaten an Ihr Konto.

Der AWSServiceRoleForCloudWatchRUMdienstbezogenen Rolle ist eine IAM Richtlinie mit dem Namen beigefügt. AmazonCloudWatchRUMServiceRolePolicy Diese Richtlinie gewährt die Erlaubnis CloudWatch RUM, Überwachungsdaten für andere relevante AWS Dienste zu veröffentlichen. Sie umfasst Berechtigungen, mit denen RUM die folgenden Aktionen ausgeführt werden können:

xray:PutTraceSegments
cloudwatch:PutMetricData

Der vollständige Inhalt von AmazonCloudWatchRUMServiceRolePolicylautet wie folgt.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"xray:PutTraceSegments"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": "cloudwatch:PutMetricData",
			"Resource": "*",
			"Condition": {
				"StringLike": {
					"cloudwatch:namespace": [
						"RUM/CustomMetrics/*",
						"AWS/RUM"
					]
				}
			}
		}
	]
}

Erstellen einer serviceverknüpften Rolle für RUM

Sie müssen die serviceverknüpfte Rolle für CloudWatch RUM nicht manuell erstellen. Wenn Sie zum ersten Mal einen App-Monitor mit aktiviertem X-Ray Tracing erstellen oder einen App-Monitor so aktualisieren, dass er X-Ray Tracing verwendet, RUM erstellt AWSServiceRoleForCloudWatchRUMfür Sie.

Weitere Informationen finden Sie unter Erstellen einer serviceverknüpften Rolle im IAM Benutzerhandbuch.

Bearbeiten einer serviceverknüpften Rolle für RUM

CloudWatch RUMerlaubt es Ihnen nicht, die AWSServiceRoleForCloudWatchRUMRolle zu bearbeiten. Nachdem Sie diese Rollen erstellt haben, können Sie ihre Namen nicht ändern, da verschiedene Entitäten möglicherweise auf diese Rollen verweisen. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten.

Bearbeitung einer mit einem Dienst verknüpften Rollenbeschreibung (IAMKonsole)

Sie können die IAM-Konsole für das Bearbeiten der Beschreibung einer serviceverknüpften Rolle verwenden.

So bearbeiten Sie die Beschreibung einer serviceverknüpften Rolle (Konsole)

Wählen Sie im Navigationsbereich der IAM-Konsole Roles (Rollen) aus.
Wählen Sie den Namen der zu ändernden Rolle.
Wählen Sie neben Role description ganz rechts Edit.
Geben Sie die neue Beschreibung im Dialogfeld ein und klicken Sie auf Save (Speichern).

Bearbeiten der Beschreibung einer serviceverknüpften Rolle (AWS CLI)

Sie können IAM Befehle von verwenden AWS Command Line Interface , um die Beschreibung einer dienstbezogenen Rolle zu bearbeiten.

So ändern Sie die Beschreibung einer serviceverknüpften Rolle (AWS CLI)

(Optional) Um die aktuelle Beschreibung einer Rolle anzuzeigen, verwenden Sie die folgenden Befehle:
```
$ aws iam get-role --role-name role-name
```
Verwenden Sie den Rollennamen, nicht denARN, um mit den AWS CLI Befehlen auf Rollen zu verweisen. Wenn eine Rolle beispielsweise Folgendes hatARN:arn:aws:iam::123456789012:role/myrole, bezeichnen Sie die Rolle alsmyrole.
Um die Beschreibung einer serviceverknüpften Rolle zu aktualisieren, verwenden Sie den folgenden Befehl:
```
$ aws iam update-role-description --role-name role-name --description description
```

Bearbeiten einer mit einem Dienst verknüpften Rollenbeschreibung () IAM API

Sie können den verwenden IAMAPI, um die Beschreibung einer dienstbezogenen Rolle zu bearbeiten.

So ändern Sie die Beschreibung einer serviceverknüpften Rolle (API)

(Optional) Um die aktuelle Beschreibung einer Rolle anzuzeigen, verwenden Sie den folgenden Befehl:

GetRole
Um die Beschreibung einer Rolle zu aktualisieren, verwenden Sie den folgenden Befehl:

UpdateRoleDescription

Löschen einer serviceverknüpften Rolle für RUM

Wenn Sie keine App-Monitore mit aktiviertem X-Ray mehr haben, empfehlen wir Ihnen, die AWSServiceRoleForCloudWatchRUMRolle zu löschen.

Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie löschen können.

Bereinigen einer serviceverknüpften Rolle

Bevor Sie mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie sich zunächst vergewissern, dass die Rolle über keine aktiven Sitzungen verfügt, und alle Ressourcen entfernen, die von der Rolle verwendet werden.

So überprüfen Sie in der IAM-Konsole, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt

Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich Rollen. Wählen Sie den Namen (nicht das Kontrollkästchen) der AWSServiceRoleForCloudWatchRUM-Rolle aus.
Wählen Sie auf der Seite Summary der ausgewählten Rolle Access Advisor und überprüfen Sie die letzten Aktivitäten auf die serviceverknüpfte Rolle.

Anmerkung
Wenn Sie sich nicht sicher sind, ob RUM die Rolle AWSServiceRoleForCloudWatchRUM verwendet, können Sie versuchen, die Rolle zu löschen. Wenn der Service die Rolle verwendet, schlägt die Löschung fehl und Sie können die -Regionen anzeigen, in denen die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet wird, bevor Sie die Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.

Löschen einer mit einem Dienst verknüpften Rolle (IAMKonsole)

Sie können die IAM-Konsole für das Löschen einer serviceverknüpften Rolle verwenden.

So löschen Sie eine serviceverknüpfte Rolle (Konsole)

Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich Rollen. Aktivieren Sie dann das Kontrollkästchen neben dem Namen der Rolle, die Sie löschen möchten, nicht den Namen oder die Zeile selbst.
Klicken Sie bei Role actions auf Delete role.
Überprüfen Sie im Bestätigungsdialogfeld die letzten Service-Zugriffsdaten, die zeigen, wann jede der ausgewählten Rollen zuletzt auf den AWS -Service zugegriffen hat. Auf diese Weise können Sie leichter bestätigen, ob die Rolle derzeit aktiv ist. Wählen Sie Yes, Delete, um fortzufahren.
Sehen Sie sich die Benachrichtigungen an der IAM-Konsole an, um den Fortschritt der Löschung der serviceverknüpften Rolle zu überwachen. Da die Löschung der serviceverknüpften IAM-Rolle asynchron erfolgt, kann die Löschung nach dem Übermitteln der Rolle für die Löschung erfolgreich sein oder fehlschlagen. Wenn der Vorgang fehlschlägt, wählen Sie in den Benachrichtigungen View details oder View Resources aus, um zu erfahren, warum die Löschung fehlgeschlagen ist. Wenn das Löschen fehlschlägt, weil der Service Ressourcen enthält, die von der Rolle verwendet werden, enthält die Angabe des Fehlergrundes eine Liste der Ressourcen.

Löschen einer serviceverknüpften Rolle (AWS CLI)

Sie können IAM Befehle von verwenden, AWS Command Line Interface um eine dienstverknüpfte Rolle zu löschen.

So löschen Sie eine serviceverknüpfte Rolle (AWS CLI)

Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die deletion-task-id aus der Antwort, um den Status der Löschaufgabe zu überprüfen. Geben Sie den folgenden Befehl ein, um eine Löschanforderung für eine serviceverknüpfte Rolle zu übermitteln:
```
$ aws iam delete-service-linked-role --role-name service-linked-role-name
```
Geben Sie den folgenden Befehl ein, um den Status der Löschaufgabe zu überprüfen:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Der Status der Löschaufgabe kann NOT_STARTED, IN_PROGRESS, SUCCEEDED oder FAILED lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können.

Löschen einer dienstverknüpften Rolle () IAM API

Sie können die verwenden IAMAPI, um eine dienstverknüpfte Rolle zu löschen.

So löschen Sie eine serviceverknüpfte Rolle (API)

Rufen Sie an, um eine Löschanfrage für eine dienstverknüpfte Rolle einzureichen. DeleteServiceLinkedRole Geben Sie in der Anforderung den Namen der Rolle an, die Sie löschen möchten.

Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die DeletionTaskId aus der Antwort, um den Status der Löschaufgabe zu überprüfen.
Um den Status der Löschung zu überprüfen, rufen Sie GetServiceLinkedRoleDeletionStatus auf. Geben Sie in der Anforderung die DeletionTaskId an.

Der Status der Löschaufgabe kann NOT_STARTED, IN_PROGRESS, SUCCEEDED oder FAILED lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwenden von serviceverknüpften Rollen

Verwendung von servicegebundenen Rollen für Application Insights