Utilisation d'un rôle lié à un service pour Network Monitor CloudWatch - Amazon CloudWatch
AWSServiceRoleForNetworkMonitorCréation du rôle lié à un serviceModifier le rôle lié à un serviceSupprimer le rôle lié à un serviceRégions prises en charge

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'un rôle lié à un service pour Network Monitor CloudWatch

Amazon CloudWatch Network Monitor utilise le rôle lié au service suivant pour les autorisations dont il a besoin pour appeler d'autres AWS services en votre nom :

AWSServiceRoleForNetworkMonitor

CloudWatch La surveillance du réseau utilise le rôle lié au service nommé AWSServiceRoleForNetworkMonitor pour mettre à jour et gérer les moniteurs CloudWatch réseau.

Le rôle lié à un service AWSServiceRoleForNetworkMonitor approuve le fait que le service suivant endosse le rôle :

  • networkmonitor.amazonaws.com

Le CloudWatchNetworkMonitorServiceRolePolicy est attaché au rôle lié au service et autorise le service à accéder aux VPC EC2 ressources de votre compte, ainsi qu'à gérer les moniteurs réseau créés.

Groupes d’autorisations

La politique est regroupée dans les ensembles d’autorisations suivants :

  • cloudwatch- Cela permet au directeur du service de publier les métriques de surveillance du réseau sur les CloudWatch ressources.

  • ec2- Cela permet au responsable du service de décrire les sous-réseaux de votre compte VPCs et de créer ou de mettre à jour des moniteurs et des sondes. Cela permet également au principal du service de créer, de modifier et de supprimer des groupes de sécurité, des interfaces réseau et leurs autorisations associées afin de configurer le moniteur ou la sonde afin d’envoyer le trafic de surveillance à vos points de terminaison.

Pour de plus amples informations sur la politique, veuillez consulter la rubrique AWS politiques gérées pour CloudWatch Network Monitor.

L’exemple suivant montre la politique CloudWatchNetworkMonitorServiceRolePolicy :

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "PublishCw",
			"Effect": "Allow",
			"Action": "cloudwatch:PutMetricData",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": "AWS/NetworkMonitor"
				}
			}
		},
		{
			"Sid": "DescribeAny",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeNetworkInterfaceAttribute",
				"ec2:DescribeVpcs",
				"ec2:DescribeNetworkInterfacePermissions",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Resource": "*"
		},
		{
			"Sid": "DeleteModifyEc2Resources",
			"Effect": "Allow",
			"Action": [
				"ec2:AuthorizeSecurityGroupEgress",
				"ec2:CreateNetworkInterfacePermission",
				"ec2:DeleteNetworkInterfacePermission",
				"ec2:RevokeSecurityGroupEgress",
				"ec2:ModifyNetworkInterfaceAttribute",
				"ec2:DeleteNetworkInterface",
				"ec2:DeleteSecurityGroup"
			],
			"Resource": [
				"arn:aws:ec2:*:*:network-interface/*",
				"arn:aws:ec2:*:*:security-group/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/ManagedByCloudWatchNetworkMonitor": "true"
				}
			}
		}
	]
}

Création du rôle lié à un service

AWSServiceRoleForNetworkMonitor

Vous n’avez pas besoin de créer manuellement le rôle lié à un service AWSServiceRoleForNetworkMonitor.

  • CloudWatch Network Monitor crée le AWSServiceRoleForNetworkMonitor rôle lorsque vous créez votre premier moniteur réseau. Ce rôle s’appliquera à tous les moniteurs que vous créerez ultérieurement.

Pour qu’un rôle lié à un service puisse être créé en votre nom, vous devez avoir les autorisations requises. Pour plus d'informations, consultez la section Autorisations relatives aux rôles liés à un service dans le guide de l'IAMutilisateur.

Modifier le rôle lié à un service

Vous pouvez modifier les AWSServiceRoleForNetworkMonitor descriptions à l'aide deIAM. Pour plus d'informations, consultez la section Modification d'un rôle lié à un service dans le guide de l'IAMutilisateur.

Supprimer le rôle lié à un service

Si vous n'avez plus besoin d'utiliser le Moniteur CloudWatch réseau, nous vous recommandons de supprimer le AWSServiceRoleForNetworkMonitor rôle.

Vous ne pouvez supprimer ces rôles liés au service qu’après avoir supprimé votre moniteur réseau. Pour plus d’informations sur la suppression de votre moniteur réseau, veuillez consulter la rubrique Supprimer un moniteur réseau.

Vous pouvez utiliser la IAM console IAMCLI, le ou le IAM API pour supprimer des rôles liés à un service. Pour plus d'informations, consultez la section Suppression d'un rôle lié à un service dans le guide de l'IAMutilisateur.

Après avoir supprimé, AWSServiceRoleForNetworkMonitor CloudWatch Network Monitor créera à nouveau le rôle lorsque vous créerez un nouveau moniteur.

Régions prises en charge pour le CloudWatch rôle lié au service Network Monitor

CloudWatch Network Monitor prend en charge le rôle lié au service partout Régions AWS où le service est disponible. Pour plus d’informations, veuillez consulter la rubrique Points de terminaison AWS dans le Références générales AWS.