Verwenden von serviceverknüpften Rollen für CloudWatch - Amazon CloudWatch
Mit dem Dienst verknüpfte Rollenberechtigungen für Alarmaktionen CloudWatch EC2 Dienstbezogene Rollenberechtigungen für CloudWatch die TelemetriekonfigurationDienstbezogene Rollenberechtigungen für CloudWatch Application SignalsDienstbezogene Rollenberechtigungen für CloudWatch Alarme Systems Manager Manager-Aktionen OpsCenter Dienstbezogene Rollenberechtigungen für CloudWatch Alarme Systems Manager Incident Manager-AktionenDienstbezogene Rollenberechtigungen für CloudWatch kontoübergreifende, regionsübergreifende FunktionenDienstbezogene Rollenberechtigungen für CloudWatch Datenbank Performance InsightsErstellen einer serviceverknüpften Rolle für CloudWatchBearbeiten einer serviceverknüpften Rolle für CloudWatch Löschen einer serviceverknüpften Rolle für CloudWatchAktualisierungen von Rollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für CloudWatch

Amazon CloudWatch verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, mit der direkt verknüpft ist. CloudWatch Serviceverknüpfte Rollen werden von CloudWatch vordefiniert und schließen alle Berechtigungen ein, die der Service zum Aufrufen anderer AWS -Services in Ihrem Namen erfordert.

Eine servicebezogene Rolle CloudWatch ermöglicht das Einrichten von CloudWatch Alarmen, mit denen eine EC2 Amazon-Instance beendet, gestoppt oder neu gestartet werden kann, ohne dass Sie die erforderlichen Berechtigungen manuell hinzufügen müssen. Eine andere serviceverknüpfte Rolle ermöglicht es einem Überwachungskonto, auf CloudWatch-Daten von anderen von Ihnen angegebenen Konten zuzugreifen, um konten- und regionenübergreifende Dashboards zu erstellen.

CloudWatch definiert die Berechtigungen dieser serviceverknüpften Rollen. Sofern nicht anders definiert, CloudWatch kann nur diese Rolle übernommen werden. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Sie können die Rollen nur nach dem Löschen der zugehörigen Ressourcen löschen. Diese Einschränkung schützt Ihre CloudWatch Ressourcen, da Sie die Berechtigungen für den Zugriff auf die Ressourcen nicht versehentlich entfernen können.

Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter AWS -Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Mit dem Dienst verknüpfte Rollenberechtigungen für Alarmaktionen CloudWatch EC2

CloudWatch verwendet die benannte serviceverknüpfte Rolle AWSServiceRoleForCloudWatchEvents— CloudWatch verwendet diese serviceverknüpfte Rolle, um EC2 Amazon-Alarmaktionen durchzuführen.

Die AWSService RoleForCloudWatchEvents servicebezogene Rolle vertraut darauf, dass der CloudWatch Events-Service die Rolle übernimmt. CloudWatch Events ruft die Aktionen zum Beenden, Stoppen oder Neustarten der Instance auf, wenn sie durch den Alarm ausgelöst werden.

Die Richtlinie für AWSService RoleForCloudWatchEvents servicebezogene Rollenberechtigungen ermöglicht es CloudWatch Events, die folgenden Aktionen auf EC2 Amazon-Instances durchzuführen:

  • ec2:StopInstances

  • ec2:TerminateInstances

  • ec2:RecoverInstances

  • ec2:DescribeInstanceRecoveryAttribute

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

Die Richtlinie für AWSServiceRoleForCloudWatchCrossAccountdienstbezogene Rollenberechtigungen ermöglicht CloudWatch die Durchführung der folgenden Aktionen:

  • sts:AssumeRole

Dienstbezogene Rollenberechtigungen für CloudWatch die Telemetriekonfiguration

CloudWatch observability admin erstellt und verwendet eine dienstverknüpfte Rolle mit dem Namen AWSServiceRoleForObservabilityAdmin— CloudWatch verwendet diese dienstverknüpfte Rolle, um die Erkennung von Ressourcen- und Telemetriekonfigurationen für Organizations zu unterstützen. AWS Die Rolle wird in allen Mitgliedskonten der Organisation erstellt.

Die AWSServiceRoleForObservabilityAdmindienstbezogene Rolle vertraut darauf, dass Observability Admin die Rolle übernimmt. Observability Admin verwaltet AWS Config Service Linked Configuration Recorders und Service Linked Configuration Aggregator in Ihren Unternehmenskonten.

Der AWSServiceRoleForObservabilityAdminserviceverknüpften Rolle ist eine Richtlinie zugeordnet, die aufgerufen AWSObservability AdminServiceRolePolicy und angehängt wird. Diese Richtlinie erteilt CloudWatch Observability Admin die Erlaubnis, die folgenden Aktionen durchzuführen:

  • organizations:ListAccounts

  • organizations:ListAccountsForParent

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:EnableAWSServiceAccess

  • organizations:ListDelegatedAdministrators

  • config:PutServiceLinkedConfigurationRecorder

  • config:DeleteServiceLinkedConfigurationRecorder

  • config:PutConfigurationAggregator

  • config:DeleteConfigurationAggregator

  • config:SelectAggregateResourceConfig

  • iam:CreateServiceLinkedRole

  • iam:PassRole

Der vollständige Inhalt der AWSObservability AdminServiceRolePolicy Richtlinie lautet wie folgt:


  {
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListAccounts",
				"organizations:ListAccountsForParent",
				"organizations:ListChildren",
				"organizations:ListParents",
				"organizations:DescribeOrganization",
				"organizations:DescribeOrganizationalUnit"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"config:PutServiceLinkedConfigurationRecorder",
				"config:DeleteServiceLinkedConfigurationRecorder"
			],
			"Resource": [
				"arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForObservabilityAdmin/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"config:PutConfigurationAggregator",
				"config:DeleteConfigurationAggregator",
				"config:SelectAggregateResourceConfig"
			],
			"Resource": [
				"arn:aws:config:*:*:config-aggregator/aws-service-config-aggregator/observabilityadmin.amazonaws.com/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:CreateServiceLinkedRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
			],
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
			],
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"organizations:EnableAWSServiceAccess"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"observabilityadmin.amazonaws.com",
						"config.amazonaws.com"
					]
				}
			}
		}
	]
}

Dienstbezogene Rollenberechtigungen für CloudWatch Application Signals

CloudWatch Application Signals verwendet die dienstverknüpfte Rolle mit dem Namen AWSServiceRoleForCloudWatchApplicationSignals— CloudWatch verwendet diese dienstverknüpfte Rolle, um CloudWatch Logdaten, X-Ray-Trace-Daten, CloudWatch Metrikdaten und Tagging-Daten von Anwendungen zu sammeln, die Sie für CloudWatch Application Signals aktiviert haben.

Die AWSServiceRoleForCloudWatchApplicationSignalsserviceverknüpfte Rolle vertraut darauf, dass CloudWatch Application Signals die Rolle übernimmt. Application Signals erfasst die Protokoll-, Trace-, Metrik- und Tag-Daten aus Ihrem Konto.

Der AWSServiceRoleForCloudWatchApplicationSignalsist eine IAM-Richtlinie angehängt, und diese Richtlinie trägt den Namen. CloudWatchApplicationSignalsServiceRolePolicy Diese Richtlinie erteilt CloudWatch Application Signals die Erlaubnis, Überwachungs- und Kennzeichnungsdaten von anderen relevanten AWS Diensten zu sammeln. Sie enthält Berechtigungen, die Application Signals die folgenden Aktionen ermöglichen:

  • xray:GetServiceGraph

  • logs:StartQuery

  • logs:GetQueryResults

  • cloudwatch:GetMetricData

  • cloudwatch:ListMetrics

  • tag:GetResources

Der vollständige Inhalt von CloudWatchApplicationSignalsServiceRolePolicylautet wie folgt:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "XRayPermission",
            "Effect": "Allow",
            "Action": [
                "xray:GetServiceGraph"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "CWLogsPermission",
            "Effect": "Allow",
            "Action": [
                "logs:StartQuery",
                "logs:GetQueryResults"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:/aws/appsignals/*:*",
                "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "CWListMetricsPermission",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:ListMetrics"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "CWGetMetricDataPermission",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricData"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "TagsPermission",
            "Effect": "Allow",
            "Action": [
                "tag:GetResources"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

Dienstbezogene Rollenberechtigungen für CloudWatch Alarme Systems Manager Manager-Aktionen OpsCenter

CloudWatch verwendet die angegebene dienstverknüpfte Rolle AWSServiceRoleForCloudWatchAlarms_ActionSSM— CloudWatch verwendet diese dienstverknüpfte Rolle, um Systems Manager OpsCenter Manager-Aktionen auszuführen, wenn ein CloudWatch Alarm in den ALARM-Status wechselt.

Die AWSServiceRoleForCloudWatchAlarms_ActionSSM dienstverknüpfte Rolle vertraut darauf, dass der CloudWatch Dienst die Rolle übernimmt. CloudWatch Alarme rufen die Systems Manager OpsCenter Manager-Aktionen auf, wenn sie vom Alarm ausgelöst werden.

Die Richtlinie für AWSServiceRoleForCloudWatchAlarms_ActionSSMdienstbezogene Rollenberechtigungen ermöglicht es Systems Manager, die folgenden Aktionen durchzuführen:

  • ssm:CreateOpsItem

Dienstbezogene Rollenberechtigungen für CloudWatch Alarme Systems Manager Incident Manager-Aktionen

CloudWatch verwendet die mit dem Dienst verknüpfte Rolle mit dem Namen AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents— CloudWatch verwendet diese dienstbezogene Rolle, um Incident Manager-Vorfälle auszulösen, wenn ein CloudWatch Alarm in den ALARM-Status wechselt.

Die AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidentsserviceverknüpfte Rolle vertraut darauf, dass der CloudWatch Dienst die Rolle übernimmt. CloudWatch Alarme rufen die Aktion Systems Manager Incident Manager auf, wenn sie vom Alarm ausgelöst werden.

Die Richtlinie für AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidentsdienstbezogene Rollenberechtigungen ermöglicht es Systems Manager, die folgenden Aktionen durchzuführen:

  • ssm-incidents:StartIncident

Dienstbezogene Rollenberechtigungen für CloudWatch kontoübergreifende, regionsübergreifende Funktionen

CloudWatch verwendet die angegebene dienstbezogene Rolle AWSServiceRoleForCloudWatchCrossAccount— CloudWatch verwendet diese Rolle, um auf CloudWatch Daten in anderen von Ihnen angegebenen AWS Konten zuzugreifen. Der SLR gewährt lediglich die Berechtigung „Rolle übernehmen“, damit der CloudWatch Dienst die Rolle im Sharing-Konto übernehmen kann. Es ist die Freigaberolle, die den Zugriff auf Daten ermöglicht.

Die mit dem AWSServiceRoleForCloudWatchCrossAccountDienst verknüpfte Richtlinie für Rollenberechtigungen ermöglicht CloudWatch die Durchführung der folgenden Aktionen:

  • sts:AssumeRole

Die AWSServiceRoleForCloudWatchCrossAccountdienstverknüpfte Rolle vertraut darauf, dass der CloudWatch Dienst die Rolle übernimmt.

Dienstbezogene Rollenberechtigungen für CloudWatch Datenbank Performance Insights

CloudWatch verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForCloudWatchMetrics_DbPerfInsights. — CloudWatch verwendet diese Rolle, um Performance Insights Insights-Metriken für die Erstellung von Alarmen und Snapshots abzurufen.

Der AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsserviceverknüpften Rolle ist die IAM-Richtlinie AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy angehängt. Der Inhalt dieser Richtlinie lautet wie folgt:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"pi:GetResourceMetrics"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

Die AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsdienstbezogene Rolle vertraut darauf, dass der CloudWatch Dienst die Rolle übernimmt.

Erstellen einer serviceverknüpften Rolle für CloudWatch

Sie müssen keine dieser serviceverknüpften Rollen manuell erstellen. Wenn Sie zum ersten Mal einen Alarm in der erstellen AWS Management Console, CloudWatch erstellt die IAM-CLI oder die IAM-API AWSService RoleForCloudWatchEvents und AWSServiceRoleForCloudWatchAlarms_ActionSSMfür Sie.

Wenn Sie die Service- und Topologieerkennung zum ersten Mal aktivieren, erstellt AWSServiceRoleForCloudWatchApplicationSignalsApplication Signals diese für Sie.

Wenn Sie ein Konto zum ersten Mal als Überwachungskonto für kontenübergreifende regionsübergreifende Funktionen aktivieren, CloudWatch erstellt AWSServiceRoleForCloudWatchCrossAccountes für Sie.

Wenn Sie zum ersten Mal einen Alarm erstellen, der die DB_PERF_INSIGHTS metrische mathematische Funktion verwendet, CloudWatch wird er AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsfür Sie erstellt.

Weitere Informationen finden Sie unter Erstellen einer serviceverknüpfte Rolle im IAM-Leitfaden.

Bearbeiten einer serviceverknüpften Rolle für CloudWatch

CloudWatch erlaubt es Ihnen nicht AWSServiceRoleForCloudWatchEvents, die AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsRollen, AWSServiceRoleForCloudWatchAlarms_ActionSSMAWSServiceRoleForCloudWatchCrossAccount, oder zu bearbeiten. Nachdem Sie diese Rollen erstellt haben, können Sie ihre Namen nicht ändern, da verschiedene Entitäten möglicherweise auf diese Rollen verweisen. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten.

Bearbeiten der Beschreibung einer serviceverknüpften Rolle (IAM-Konsole)

Sie können die IAM-Konsole für das Bearbeiten der Beschreibung einer serviceverknüpften Rolle verwenden.

So bearbeiten Sie die Beschreibung einer serviceverknüpften Rolle (Konsole)

  1. Wählen Sie im Navigationsbereich der IAM Console Roles (Rollen) aus.

  2. Wählen Sie den Namen der zu ändernden Rolle.

  3. Wählen Sie neben Role description ganz rechts Edit.

  4. Geben Sie die neue Beschreibung im Dialogfeld ein und klicken Sie auf Save (Speichern).

Bearbeiten der Beschreibung einer serviceverknüpften Rolle (AWS CLI)

Sie können die IAM-Befehle von verwenden AWS Command Line Interface , um die Beschreibung einer serviceverknüpften Rolle zu bearbeiten.

So ändern Sie die Beschreibung einer serviceverknüpften Rolle (AWS CLI)

  1. (Optional) Um die aktuelle Beschreibung einer Rolle anzuzeigen, verwenden Sie die folgenden Befehle:

    $ aws iam get-role --role-name role-name

    Verwenden Sie den Rollennamen, nicht den ARN, um sich auf Rollen mit den AWS CLI -Befehlen zu beziehen. Wenn eine Rolle zum Beispiel folgenden ARN hat: arn:aws:iam::123456789012:role/myrole, verweisen Sie auf die Rolle als myrole.

  2. Um die Beschreibung einer serviceverknüpften Rolle zu aktualisieren, verwenden Sie den folgenden Befehl:

    $ aws iam update-role-description --role-name role-name --description description

Bearbeiten der Beschreibung einer serviceverknüpften Rolle (IAM-API)

Sie können die IAM-API für das Bearbeiten der Beschreibung einer serviceverknüpften Rolle verwenden.

So ändern Sie die Beschreibung einer serviceverknüpften Rolle (API)

  1. (Optional) Um die aktuelle Beschreibung einer Rolle anzuzeigen, verwenden Sie den folgenden Befehl:

    GetRole

  2. Um die Beschreibung einer Rolle zu aktualisieren, verwenden Sie den folgenden Befehl:

    UpdateRoleDescription

Löschen einer serviceverknüpften Rolle für CloudWatch

Wenn Sie keine Alarme mehr haben, die EC2 Instances automatisch beenden, beenden oder neu starten, empfehlen wir Ihnen, die Rolle zu löschen. AWSService RoleForCloudWatchEvents

Wenn Sie keine Alarme mehr haben, die Systems Manager OpsCenter Manager-Aktionen ausführen, empfehlen wir Ihnen, die AWSServiceRoleForCloudWatchAlarms_ActionSSM Rolle zu löschen.

Wenn Sie alle Alarme löschen, die die DB_PERF_INSIGHTS metrische mathematische Funktion verwenden, empfehlen wir Ihnen, die mit dem AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsDienst verknüpfte Rolle zu löschen.

Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie löschen können.

Bereinigen einer serviceverknüpften Rolle

Bevor Sie mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie sich zunächst vergewissern, dass die Rolle über keine aktiven Sitzungen verfügt, und alle Ressourcen entfernen, die von der Rolle verwendet werden.

So überprüfen Sie in der IAM-Konsole, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Rollen. Wählen Sie den Namen (nicht das Kontrollkästchen) der AWSService RoleForCloudWatchEvents Rolle.

  3. Wählen Sie auf der Seite Summary der ausgewählten Rolle Access Advisor und überprüfen Sie die letzten Aktivitäten auf die serviceverknüpfte Rolle.

    Anmerkung

    Wenn Sie sich nicht sicher sind, ob die AWSService RoleForCloudWatchEvents Rolle verwendet CloudWatch wird, versuchen Sie, die Rolle zu löschen. Wenn der Service die Rolle verwendet, schlägt die Löschung fehl und Sie können die -Regionen anzeigen, in denen die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet wird, bevor Sie die Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.

Löschen einer serviceverknüpften Rolle (IAM-Konsole)

Sie können die IAM-Konsole für das Löschen einer serviceverknüpften Rolle verwenden.

So löschen Sie eine serviceverknüpfte Rolle (Konsole)

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Rollen. Aktivieren Sie dann das Kontrollkästchen neben dem Namen der Rolle, die Sie löschen möchten, nicht den Namen oder die Zeile selbst.

  3. Klicken Sie bei Role actions auf Delete role.

  4. Überprüfen Sie im Bestätigungsdialogfeld die letzten Service-Zugriffsdaten, die zeigen, wann jede der ausgewählten Rollen zuletzt auf den AWS -Service zugegriffen hat. Auf diese Weise können Sie leichter bestätigen, ob die Rolle derzeit aktiv ist. Wählen Sie Yes, Delete, um fortzufahren.

  5. Sehen Sie sich die Benachrichtigungen in der IAM-Konsole an, um den Fortschritt der Löschung der serviceverknüpften Rolle zu überwachen. Da die Löschung der serviceverknüpften IAM-Rolle asynchron erfolgt, kann die Löschung nach dem Übermitteln der Rolle für die Löschung erfolgreich sein oder fehlschlagen. Wenn der Vorgang fehlschlägt, wählen Sie in den Benachrichtigungen View details oder View Resources aus, um zu erfahren, warum die Löschung fehlgeschlagen ist. Wenn das Löschen fehlschlägt, weil der Service Ressourcen enthält, die von der Rolle verwendet werden, enthält die Angabe des Fehlergrundes eine Liste der Ressourcen.

Löschen einer serviceverknüpften Rolle (AWS CLI)

Sie können IAM-Befehle von verwenden, AWS Command Line Interface um eine dienstverknüpfte Rolle zu löschen.

So löschen Sie eine serviceverknüpfte Rolle (AWS CLI)

  1. Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die deletion-task-id aus der Antwort, um den Status der Löschaufgabe zu überprüfen. Geben Sie den folgenden Befehl ein, um eine Löschanforderung für eine serviceverknüpfte Rolle zu übermitteln:

    $ aws iam delete-service-linked-role --role-name service-linked-role-name

  2. Geben Sie den folgenden Befehl ein, um den Status der Löschaufgabe zu überprüfen:

    $ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    Der Status der Löschaufgabe kann NOT_STARTED, IN_PROGRESS, SUCCEEDED oder FAILED lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können.

Löschen einer serviceverknüpften Rolle (IAM-API)

Sie können die IAM-API zum Löschen einer serviceverknüpften Rolle verwenden.

So löschen Sie eine serviceverknüpfte Rolle (API)

  1. Rufen Sie an, um eine Löschanfrage für eine dienstverknüpfte Rolle einzureichen. DeleteServiceLinkedRole Geben Sie in der Anforderung den Namen der Rolle an, die Sie löschen möchten.

    Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die DeletionTaskId aus der Antwort, um den Status der Löschaufgabe zu überprüfen.

  2. Um den Status der Löschung zu überprüfen, rufen Sie GetServiceLinkedRoleDeletionStatus auf. Geben Sie in der Anforderung die DeletionTaskId an.

    Der Status der Löschaufgabe kann NOT_STARTED, IN_PROGRESS, SUCCEEDED oder FAILED lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können.

CloudWatch Aktualisierungen für AWS dienstbezogene Rollen

Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien, die CloudWatch seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite CloudWatch Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.

Änderung Beschreibung Datum
AWSServiceRoleForObservabilityAdmin— Neue dienstbezogene Rolle

CloudWatch hat diese neue dienstbezogene Rolle und die entsprechende verwaltete Richtlinie hinzugefügt AWSObservabilityAdminServiceRolePolicy, um die Erkennung von Ressourcen- und Telemetriekonfigurationen für AWS Organizations zu unterstützen.

26. November 2024

AWSServiceRoleForCloudWatchApplicationSignals— Aktualisierung der Richtlinien für die Berechtigungen der dienstbezogenen Rollen

CloudWatch fügt dem Geltungsbereich der logs:StartQuery und den durch diese Rolle gewährten logs:GetQueryResults Berechtigungen weitere Protokollgruppen hinzu.

 24. April 2024

AWSServiceRoleForCloudWatchApplicationSignals— Neue dienstbezogene Rolle

CloudWatch hat diese neue dienstbezogene Rolle hinzugefügt, damit CloudWatch Application Signals CloudWatch Logdaten, X-Ray-Trace-Daten, CloudWatch Metrikdaten und Tagging-Daten von Anwendungen sammeln kann, die Sie für CloudWatch Application Signals aktiviert haben.

 9. November 2023

AWSServiceRoleForCloudWatchMetrics_DbPerfInsights— Neue dienstbezogene Rolle

CloudWatch hat diese neue dienstbezogene Rolle hinzugefügt, um das Abrufen von Performance Insights Insights-Metriken für Alarme und Snapshots CloudWatch zu ermöglichen. Dieser Rolle ist eine IAM-Richtlinie zugeordnet, und die Richtlinie erteilt die Erlaubnis, Performance Insights Insights-Metriken in Ihrem Namen abzurufen. CloudWatch

13. September 2023

AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents— Neue dienstbezogene Rolle

CloudWatch Es wurde eine neue dienstbezogene Rolle hinzugefügt, mit der Vorfälle im AWS Systems Manager Incident Manager erstellt werden können CloudWatch .

 26. April 2021

CloudWatch hat begonnen, Änderungen zu verfolgen

CloudWatch hat mit der Nachverfolgung von Änderungen für seine dienstbezogenen Rollen begonnen.

 26. April 2021