Uso de un rol vinculado a servicio para Network Monitor
Amazon CloudWatch Network Monitor utiliza los siguientes roles vinculados a servicios para los permisos que necesita para llamar a otros servicios AWS en su nombre:
AWSServiceRoleForNetworkMonitor
CloudWatch Network Monitoring utiliza el rol vinculado al servicio denominado AWSServiceRoleForNetworkMonitor
para actualizar y administrar los monitores de red de CloudWatch.
El rol vinculado a servicio de AWSServiceRoleForNetworkMonitor
confía en el siguiente servicio para asumir el rol:
-
networkmonitor.amazonaws.com
La CloudWatchNetworkMonitorServiceRolePolicy
se adjunta a la función vinculada al servicio y otorga acceso al servicio para acceder a los recursos de VPC y EC2 de la cuenta, así como para administrar los monitores de red que se crearon.
Agrupaciones de permisos
La política se agrupa en los siguientes conjuntos de permisos:
-
cloudwatch
: esto permite a la entidad principal del servicio publicar las métricas de supervisión de la red en los recursos de CloudWatch. -
ec2
: esto permite a la entidad principal del servicio describir las VPC y las subredes de la cuenta para crear o actualizar monitores y sondas. Esto también permite a la entidad principal del servicio crear, modificar y eliminar grupos de seguridad, interfaces de red y sus permisos asociados para configurar el monitor o la sonda a fin de enviar el tráfico de supervisión a sus puntos de conexión.
Para obtener más información acerca de la política, consulte Políticas administradas de AWS para Network Monitor.
A continuación se muestra la CloudWatchNetworkMonitorServiceRolePolicy
:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PublishCw", "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/NetworkMonitor" } } }, { "Sid": "DescribeAny", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "DeleteModifyEc2Resources", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterfacePermission", "ec2:RevokeSecurityGroupEgress", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DeleteNetworkInterface", "ec2:DeleteSecurityGroup" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/ManagedByCloudWatchNetworkMonitor": "true" } } } ] }
Creación del rol vinculado a servicios
AWSServiceRoleForNetworkMonitor
No necesita crear manualmente un rol AWSServiceRoleForNetworkMonitor
.
-
Network Monitor crea el rol
AWSServiceRoleForNetworkMonitor
al establecer el primer monitor de red. Esta función se aplicará a todos los monitores posteriores que cree.
Para crear un rol vinculado al servicio en su nombre, debe contar con los permisos necesarios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Editar el rol vinculado a servicios
Puede modificar la descripción de AWSServiceRoleForNetworkMonitor
mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminar el rol vinculado a un servicio
Si ya no tiene que utilizar Network Monitor, le recomendamos que elimine el rol AWSServiceRoleForNetworkMonitor
.
Solo puede eliminar estos roles vinculados a servicios después de eliminar la red de supervisión. Para obtener información sobre cómo eliminar el monitor de red, consulte Eliminar un monitor de red.
Puede utilizar la consola, la CLI o la API de IAM para eliminar los roles vinculados a servicios. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
Después de eliminar AWSServiceRoleForNetworkMonitor
, Network Monitor creará de nuevo el rol si crea un nuevo monitor.
Regiones admitidas para roles vinculados al servicio de Network Monitor
Network Monitor admite el uso de roles vinculados al servicio en Regiones de AWS donde el servicio está disponible. Para obtener más información, consulte los puntos de conexión de AWS en la Referencia general de AWS.