Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de rôles liés à un service pour RUM CloudWatch
CloudWatch RUM utilise un rôle AWS Identity and Access Management lié à un service (IAM). Un rôle lié à un service est un type unique de rôle IAM lié directement à RUM. Le rôle lié au service est prédéfini par RUM et inclut toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
RUM définit les autorisations du rôle lié à un service et, sauf définition contraire, seul RUM peut endosser ce rôle. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous ne pouvez supprimer le rôle qu'après avoir d'abord supprimé ses ressources liées. Cette restriction protège vos ressources RUM, car vous ne pouvez pas involontairement supprimer d'autorisations pour accéder aux ressources.
Pour plus d’informations sur les autres services prenant en charge les rôles liés à un service, consultez les AWS services opérationnels avec IAM et recherchez les services présentant la mention Yes (Oui) dans la colonne Service-linked roles (Rôles liés à un service). Sélectionnez un Oui ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
Autorisations de rôles liés à des services pour RUM
RUM utilise le rôle lié à un service nommé AWSServiceRoleForCloudWatchRUM: ce rôle permet à RUM d'envoyer des données de AWS X-Ray suivi à votre compte, pour les moniteurs d'applications pour lesquels vous activez le suivi X-Ray.
Le rôle AWSServiceRoleForCloudWatchRUMlié au service fait confiance au service X-Ray pour assumer le rôle. X-Ray envoie les données de suivi à votre compte.
Le rôle AWSServiceRoleForCloudWatchRUMlié au service est associé à une politique IAM nommée RUM. AmazonCloudWatch ServiceRolePolicy Cette politique autorise CloudWatch RUM à publier des données de surveillance auprès d'autres AWS services concernés. Il inclut les autorisations qui permettent à RUM d'effectuer les actions suivantes :
-
xray:PutTraceSegments -
cloudwatch:PutMetricData
Le contenu complet de AmazonCloudWatchRUM ServiceRolePolicy est le suivant.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:PutTraceSegments" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringLike": { "cloudwatch:namespace": [ "RUM/CustomMetrics/*", "AWS/RUM" ] } } } ] }
Création d'un rôle lié à un service pour
Il n'est pas nécessaire de créer manuellement le rôle lié à un service pour CloudWatch RUM. La première fois que vous créez un moniteur d'application avec le suivi X-Ray activé, ou que vous mettez à jour un moniteur d'application pour utiliser le suivi X-Ray, RUM le crée AWSServiceRoleForCloudWatchRUMpour vous.
Pour plus d'informations, consultez Création d'un rôle lié à un servie dans le Guide de l'utilisateur IAM.
Modification d'un rôle lié à un service pour RUM
CloudWatch RUM ne vous permet pas de modifier le AWSServiceRoleForCloudWatchRUMrôle. Après avoir créé ces rôles, vous ne pouvez pas modifier leurs noms, car diverses entités peuvent y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l'aide d'IAM.
Modification de la description d'un rôle lié à un service (console IAM)
Vous pouvez utiliser la console IAM, pour modifier la description d'un rôle lié à un service.
Pour modifier la description d'un rôle lié à un service (console)
-
Dans le panneau de navigation de la console IAM, sélectionnez Roles (Rôles).
-
Choisissez le nom du rôle à modifier.
-
A l'extrême droite de Description du rôle, choisissez Edit (Modifier).
-
Saisissez une nouvelle description dans la zone et choisissez Save (Enregistrer).
Modification de la description d'un rôle lié à un service (AWS CLI)
Vous pouvez utiliser les commandes IAM depuis le AWS Command Line Interface pour modifier la description d'un rôle lié à un service.
Pour changer la description d'un rôle lié à un service (AWS CLI)
-
(Facultatif) Pour afficher la description actuelle d'un rôle, utilisez les commandes suivantes :
$aws iam get-role --role-namerole-nameUtilisez le nom du rôle, pas l'ARN, pour faire référence aux rôles avec les commandes AWS CLI . Par exemple, si un rôle a l'ARN :
arn:aws:iam::123456789012:role/myrole, vous faites référence au rôle en tant quemyrole. -
Pour mettre à jour la description d'un rôle lié à un service, utilisez la commande suivante :
$aws iam update-role-description --role-namerole-name--descriptiondescription
Modification de la description d'un rôle lié à un service (API IAM)
Vous pouvez utiliser l'API IAM pour modifier la description d'un rôle lié à un service.
Pour changer la description d'un rôle lié à un service (API)
-
(Facultatif) Pour afficher la description actuelle d'un rôle, utilisez la commande suivante :
-
Pour mettre à jour la description d'un rôle, utilisez la commande suivante :
Suppression d'un rôle lié à un service pour RUM
Si vous n'avez plus de moniteur d'applications sur lequel X-Ray est activé, nous vous recommandons de supprimer le AWSServiceRoleForCloudWatchRUMrôle.
De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer.
Nettoyage d'un rôle lié à un service
Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez d'abord vérifier qu'aucune session n'est active pour le rôle et supprimer toutes les ressources utilisées par le rôle.
Pour vérifier si une session est active pour le rôle lié à un service dans la console IAM
Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, sélectionnez Rôles. Choisissez le nom (et non la case à cocher) du AWSServiceRoleForCloudWatchRUMrôle.
-
Sur la page Summary (Résumé) du rôle sélectionné, choisissez Access Advisor et consultez l'activité récente du rôle lié au service.
Note
Si vous ne savez pas si RUM utilise le AWSServiceRoleForCloudWatchRUMrôle, essayez de le supprimer. Si le service utilise le rôle, la suppression échoue et vous avez accès aux régions dans lesquelles le rôle est utilisé. Si le rôle est utilisé, vous devez attendre que la session se termine avant de pouvoir le supprimer. Vous ne pouvez pas révoquer la session d'un rôle lié à un service.
Suppression d'un rôle lié à un service (console IAM)
Vous pouvez utiliser la console IAM pour supprimer un rôle lié à un service.
Pour supprimer un rôle lié à un service (console)
Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, sélectionnez Rôles. Cochez la case en regard du nom du rôle que vous souhaitez supprimer, sans sélectionner le nom ou la ligne.
-
Pour Role actions (Actions du rôle), choisissez Delete role (Supprimer le rôle).
-
Dans la boîte de dialogue de confirmation, vérifiez les dernières données consultées dans le service. Elles indiquent quels rôles, parmi ceux sélectionnés, ont accédé en dernier à un service AWS . Cela vous permet de confirmer si le rôle est actif actuellement. Pour poursuivre, choisissez Oui, supprimer.
-
Consultez les notifications de la console IAM pour surveiller la progression de la suppression du rôle lié à un service. Dans la mesure où la suppression du rôle lié à un service IAM est asynchrone, la suppression peut réussir ou échouer après que vous soumettez le rôle afin qu'il soit supprimé. Si la tâche échoue, choisissez View details (Afficher les détails) ou View Resources (Afficher les ressources) à partir des notifications pour connaître le motif de l'échec de la suppression. Si la suppression échoue parce que certaines ressources du service sont actuellement utilisées par le rôle, la raison de l'échec comprend une liste de ressources.
Suppression d'un rôle lié à un service (AWS CLI)
Vous pouvez utiliser les commandes IAM depuis le AWS Command Line Interface pour supprimer un rôle lié à un service.
Pour supprimer un rôle lié à un service (AWS CLI)
-
Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas satisfaites. Vous devez capturer le
deletion-task-idde la réponse afin de vérifier l'état de la tâche de suppression. Tapez la commande suivante pour envoyer une demande de suppression d'un rôle lié à un service :$aws iam delete-service-linked-role --role-nameservice-linked-role-name -
Tapez la commande suivante pour vérifier l'état de la tâche de suppression :
$aws iam get-service-linked-role-deletion-status --deletion-task-iddeletion-task-idL’état de la tâche de suppression peut être
NOT_STARTED,IN_PROGRESS,SUCCEEDEDouFAILED. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution.
Suppression d'un rôle lié à un service (API IAM)
Vous pouvez utiliser l'API IAM pour supprimer un rôle lié à un service.
Pour supprimer un rôle lié à un service (API)
-
Pour soumettre une demande de suppression pour un rôle lié à un service, appelez. DeleteServiceLinkedRole Dans la demande, spécifiez le nom de rôle que vous souhaitez supprimer.
Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas satisfaites. Vous devez capturer le
DeletionTaskIdde la réponse afin de vérifier l'état de la tâche de suppression. -
Pour vérifier l'état de la suppression, appelez GetServiceLinkedRoleDeletionStatus. Dans la demande, spécifiez le
DeletionTaskId.L’état de la tâche de suppression peut être
NOT_STARTED,IN_PROGRESS,SUCCEEDEDouFAILED. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution.
