AWSServiceRoleForNetworkMonitor Creación del rol vinculado a servicios Editar el rol vinculado a servicios Eliminar el rol vinculado a un servicio Regiones admitidas

Uso de un rol vinculado a servicio para CloudWatch Network Monitor

Amazon CloudWatch Network Monitor utiliza los siguientes roles vinculados a servicios para los permisos que necesita para llamar a otros servicios AWS en su nombre:

AWSServiceRoleForNetworkMonitor

`AWSServiceRoleForNetworkMonitor`

CloudWatch Network Monitoring utiliza el rol vinculado al servicio denominado AWSServiceRoleForNetworkMonitor para actualizar y administrar los monitores de red de CloudWatch.

El rol vinculado a servicio de AWSServiceRoleForNetworkMonitor confía en el siguiente servicio para asumir el rol:

networkmonitor.amazonaws.com

La CloudWatchNetworkMonitorServiceRolePolicy se adjunta a la función vinculada al servicio y otorga acceso al servicio para acceder a los recursos de VPC y EC2 de la cuenta, así como para administrar los monitores de red que se crearon.

Agrupaciones de permisos

La política se agrupa en los siguientes conjuntos de permisos:

cloudwatch: esto permite a la entidad principal del servicio publicar las métricas de supervisión de la red en los recursos de CloudWatch.
ec2: esto permite a la entidad principal del servicio describir las VPC y las subredes de la cuenta para crear o actualizar monitores y sondas. Esto también permite a la entidad principal del servicio crear, modificar y eliminar grupos de seguridad, interfaces de red y sus permisos asociados para configurar el monitor o la sonda a fin de enviar el tráfico de supervisión a sus puntos de conexión.

Para obtener más información acerca de la política, consulte Políticas administradas de AWS para CloudWatch Network Monitor.

A continuación se muestra la CloudWatchNetworkMonitorServiceRolePolicy:


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "PublishCw",
			"Effect": "Allow",
			"Action": "cloudwatch:PutMetricData",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": "AWS/NetworkMonitor"
				}
			}
		},
		{
			"Sid": "DescribeAny",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeNetworkInterfaceAttribute",
				"ec2:DescribeVpcs",
				"ec2:DescribeNetworkInterfacePermissions",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Resource": "*"
		},
		{
			"Sid": "DeleteModifyEc2Resources",
			"Effect": "Allow",
			"Action": [
				"ec2:AuthorizeSecurityGroupEgress",
				"ec2:CreateNetworkInterfacePermission",
				"ec2:DeleteNetworkInterfacePermission",
				"ec2:RevokeSecurityGroupEgress",
				"ec2:ModifyNetworkInterfaceAttribute",
				"ec2:DeleteNetworkInterface",
				"ec2:DeleteSecurityGroup"
			],
			"Resource": [
				"arn:aws:ec2:*:*:network-interface/*",
				"arn:aws:ec2:*:*:security-group/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/ManagedByCloudWatchNetworkMonitor": "true"
				}
			}
		}
	]
}

Creación del rol vinculado a servicios

AWSServiceRoleForNetworkMonitor

No necesita crear manualmente un rol AWSServiceRoleForNetworkMonitor.

CloudWatch Network Monitor crea el rol AWSServiceRoleForNetworkMonitor al crear el primer monitor de red. Esta función se aplicará a todos los monitores posteriores que cree.

Para crear un rol vinculado al servicio en su nombre, debe contar con los permisos necesarios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Editar el rol vinculado a servicios

Puede modificar la descripción de AWSServiceRoleForNetworkMonitor mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminar el rol vinculado a un servicio

Si ya no tiene que utilizar CloudWatch Network Monitor, le recomendamos que elimine el rol AWSServiceRoleForNetworkMonitor.

Solo puede eliminar estos roles vinculados a servicios después de eliminar la red de supervisión. Para obtener información sobre cómo eliminar el monitor de red, consulte Eliminar un monitor de red.

Puede utilizar la consola, la CLI o la API de IAM para eliminar los roles vinculados a servicios. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Después de eliminar AWSServiceRoleForNetworkMonitor , CloudWatch Network Monitor creará de nuevo el rol si crea un nuevo monitor.

Regiones admitidas para roles vinculados al servicio de CloudWatch Network Monitor

CloudWatch Network Monitor admite el uso de roles vinculados al servicio Regiones de AWSdonde el servicio está disponible. Para obtener más información, consulte los puntos de conexión de AWS en la Referencia general de AWS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Permisos de IAM

Precios