Autorisations de rôle liées au service pour les actions d'alarme CloudWatch EC2 Autorisations de rôle liées au service pour les signaux d'application CloudWatch Autorisations de rôle liées au service pour les actions d' CloudWatch alarmes Systems Manager OpsCenter Autorisations de rôle liées au service pour les CloudWatch alarmes (actions de Systems Manager Incident Manager)Autorisations de rôle liées à un service pour CloudWatch plusieurs comptes et entre régions Autorisations de rôle liées à un service pour la base de CloudWatch données Performance Insights Création d'un rôle lié à un service pour CloudWatch Modification d'un rôle lié à un service pour CloudWatch Supprimer un rôle lié à un service pour CloudWatch Mises à jour de rôle

Utilisation des rôles liés aux services pour CloudWatch

Amazon CloudWatch utilise AWS Identity and Access Management (IAM) des rôles liés à un service. Un rôle lié à un service est un type unique de IAM rôle directement lié à. CloudWatch Les rôles liés au service sont prédéfinis par CloudWatch et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.

Un rôle lié au service CloudWatch permet de configurer des CloudWatch alarmes qui peuvent mettre fin à, arrêter ou redémarrer une EC2 instance Amazon sans que vous ayez à ajouter manuellement les autorisations nécessaires. Un autre rôle lié à un service permet à un compte de surveillance d'accéder aux CloudWatch données d'autres comptes que vous spécifiez, afin de créer des tableaux de bord inter-comptes interrégionaux.

CloudWatch définit les autorisations de ces rôles liés aux services et, sauf indication contraire, seul CloudWatch peut assumer le rôle. Les autorisations définies incluent la politique de confiance et la politique d'autorisations, et cette politique d'autorisations ne peut être attachée à aucune autre IAM entité.

Vous pouvez supprimer les rôles uniquement après la suppression préalable de leurs ressources connexes. Cette restriction protège vos CloudWatch ressources car vous ne pouvez pas supprimer par inadvertance les autorisations d'accès aux ressources.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section AWS Services compatibles avec IAM et recherchez les services dont la valeur est Oui dans la colonne Rôle lié au service. Choisissez un Oui ayant un lien permettant de consulter les détails du rôle pour ce service.

Autorisations de rôle liées au service pour les actions d'alarme CloudWatch EC2

CloudWatch utilise le rôle lié au service nommé AWSServiceRoleForCloudWatchEvents— CloudWatch utilise ce rôle lié au service pour effectuer des actions d'alarme Amazon. EC2

Le rôle AWSServiceRoleForCloudWatchEvents lié au service fait confiance au service CloudWatch Events pour assumer ce rôle. CloudWatch Les événements invoquent les actions de fin, d'arrêt ou de redémarrage de l'instance lorsque l'alarme l'appelle.

La politique d'autorisation des rôles AWSServiceRoleForCloudWatchEvents liés au service permet à CloudWatch Events d'effectuer les actions suivantes sur les instances Amazon EC2 :

ec2:StopInstances
ec2:TerminateInstances
ec2:RecoverInstances
ec2:DescribeInstanceRecoveryAttribute
ec2:DescribeInstances
ec2:DescribeInstanceStatus

La politique d'autorisation des rôles AWSServiceRoleForCloudWatchCrossAccountliés au service permet d' CloudWatch effectuer les actions suivantes :

sts:AssumeRole

Autorisations de rôle liées au service pour les signaux d'application CloudWatch

CloudWatch Application Signals utilise le rôle lié à un service nommé AWSServiceRoleForCloudWatchApplicationSignals: CloudWatch utilise ce rôle lié à un service pour collecter les données des journaux, les CloudWatch données de suivi X-Ray, les données CloudWatch métriques et les données de balisage à partir des applications que vous avez activées pour Application Signals. CloudWatch

Le rôle AWSServiceRoleForCloudWatchApplicationSignalslié au service fait confiance à CloudWatch Application Signals pour assumer le rôle. Application Signals collecte les données des journaux, des suivis, des métriques et des balises de votre compte.

Une IAM politique AWSServiceRoleForCloudWatchApplicationSignalsest attachée, et cette politique est nommée CloudWatchApplicationSignalsServiceRolePolicy. Cette politique autorise CloudWatch Application Signals à collecter des données de surveillance et de marquage auprès d'autres AWS services pertinents. Elle inclut les autorisations qui permettent à Application Signals d’effectuer les actions suivantes :

xray:GetServiceGraph
logs:StartQuery
logs:GetQueryResults
cloudwatch:GetMetricData
cloudwatch:ListMetrics
tag:GetResources

Le contenu complet de CloudWatchApplicationSignalsServiceRolePolicyest le suivant :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "XRayPermission",
            "Effect": "Allow",
            "Action": [
                "xray:GetServiceGraph"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "CWLogsPermission",
            "Effect": "Allow",
            "Action": [
                "logs:StartQuery",
                "logs:GetQueryResults"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:/aws/appsignals/*:*",
                "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "CWListMetricsPermission",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:ListMetrics"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "CWGetMetricDataPermission",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricData"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "TagsPermission",
            "Effect": "Allow",
            "Action": [
                "tag:GetResources"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

Autorisations de rôle liées au service pour les actions d' CloudWatch alarmes Systems Manager OpsCenter

CloudWatch utilise le rôle lié au service nommé AWSServiceRoleForCloudWatchAlarms_Action SSM : CloudWatch utilise ce rôle lié au service pour exécuter les OpsCenter actions de Systems Manager lorsqu'une CloudWatch alarme se déclenche. ALARM

Le rôle AWSServiceRoleForCloudWatchAlarms_ActionSSM lié au service fait confiance au CloudWatch service pour assumer le rôle. CloudWatch les alarmes invoquent les OpsCenter actions de Systems Manager lorsqu'elles sont déclenchées par l'alarme.

La politique d'autorisation des rôles SSM liés au service AWSServiceRoleForCloudWatchAlarms_Action permet à Systems Manager d'effectuer les actions suivantes :

ssm:CreateOpsItem

Autorisations de rôle liées au service pour les CloudWatch alarmes (actions de Systems Manager Incident Manager)

CloudWatch utilise le rôle lié au service nommé AWSServiceRoleForCloudWatchAlarms_A ctionSSMIncidents : CloudWatch utilise ce rôle lié au service pour déclencher des incidents Incident Manager lorsqu'une CloudWatch alarme se déclenche. ALARM

Le rôle ctionSSMIncidents lié au service AWSServiceRoleForCloudWatchAlarms_A fait confiance au CloudWatch service pour assumer le rôle. CloudWatch les alarmes appellent l'action Systems Manager Incident Manager lorsqu'elles sont déclenchées par l'alarme.

La politique AWSServiceRoleForCloudWatchAlarmsd'autorisation des rôles ctionSSMIncidents liés au service _A permet à Systems Manager d'effectuer les actions suivantes :

ssm-incidents:StartIncident

Autorisations de rôle liées à un service pour CloudWatch plusieurs comptes et entre régions

CloudWatch utilise le rôle lié au service nommé AWSServiceRoleForCloudWatchCrossAccount: CloudWatch utilise ce rôle pour accéder aux CloudWatch données des autres AWS comptes que vous spécifiez. Le SLR seul fournit l'autorisation d'assumer le rôle pour permettre au CloudWatch service d'assumer le rôle dans le compte de partage. C'est le rôle de partage qui fournit l'accès aux données.

La politique d'autorisation des rôles AWSServiceRoleForCloudWatchCrossAccountliés au service permet d' CloudWatch effectuer les actions suivantes :

sts:AssumeRole

Le rôle AWSServiceRoleForCloudWatchCrossAccountlié au service fait confiance au CloudWatch service pour assumer le rôle.

Autorisations de rôle liées à un service pour la base de CloudWatch données Performance Insights

CloudWatch utilise le rôle lié au service nommé AWSServiceRoleForCloudWatchMetrics _. DbPerfInsights — CloudWatch utilise ce rôle pour récupérer les métriques Performance Insights afin de créer des alarmes et de créer des instantanés.

La AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy IAM politique est DbPerfInsights attachée au rôle AWSServiceRoleForCloudWatchMetrics_ lié au service. Le contenu de cette politique est le suivant :


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"pi:GetResourceMetrics"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

Le rôle DbPerfInsights lié au service AWSServiceRoleForCloudWatchMetrics_ fait confiance au CloudWatch service pour assumer le rôle.

Création d'un rôle lié à un service pour CloudWatch

Vous n'avez pas besoin de créer manuellement l'un ou l'autre de ces rôles liés à un service. La première fois que vous créez une alarme dans le AWS Management Console, le IAMCLI, ou le IAMAPI, CloudWatch create AWSServiceRoleForCloudWatchEvents et AWSServiceRoleForCloudWatchAlarms_Action SSM pour vous.

La première fois que vous activez la découverte de services et de topologies, Application Signals crée AWSServiceRoleForCloudWatchApplicationSignalspour vous.

Lorsque vous activez pour la première fois un compte en tant que compte de surveillance pour la fonctionnalité inter-comptes interrégionaux, il CloudWatch crée AWSServiceRoleForCloudWatchCrossAccountpour vous.

Lorsque vous créez pour la première fois une alarme qui utilise la fonction mathématique DB_PERF_INSIGHTS métrique, elle CloudWatch crée AWSServiceRoleForCloudWatchMetrics_ DbPerfInsights pour vous.

Pour plus d'informations, consultez la section Création d'un rôle lié à un service dans le guide de l'IAMutilisateur.

Modification d'un rôle lié à un service pour CloudWatch

CloudWatch ne vous permet pas de modifier les DbPerfInsights rôles AWSServiceRoleForCloudWatchEventsSSMAWSServiceRoleForCloudWatchCrossAccount, AWSServiceRoleForCloudWatchAlarms_Action ou AWSServiceRoleForCloudWatchMetrics_. Après avoir créé ces rôles, vous ne pouvez pas modifier leurs noms, car diverses entités peuvent y faire référence. Toutefois, vous pouvez modifier la description de ces rôles à l'aide deIAM.

Modification de la description d'un rôle lié à un service (console) IAM

Vous pouvez utiliser la IAM console pour modifier la description d'un rôle lié à un service.

Pour modifier la description d'un rôle lié à un service (console)

Dans le volet de navigation de la IAM console, sélectionnez Rôles.
Choisissez le nom du rôle à modifier.
A l'extrême droite de Description du rôle, choisissez Edit (Modifier).
Saisissez une nouvelle description dans la zone et choisissez Save (Enregistrer).

Modification de la description d'un rôle lié à un service (AWS CLI)

Vous pouvez utiliser IAM les commandes du AWS Command Line Interface pour modifier la description d'un rôle lié à un service.

Pour changer la description d'un rôle lié à un service (AWS CLI)

(Facultatif) Pour afficher la description actuelle d'un rôle, utilisez les commandes suivantes :
```
$ aws iam get-role --role-name role-name
```
Utilisez le nom du rôle, et non leARN, pour faire référence aux rôles associés aux AWS CLI commandes. Par exemple, si un rôle présente les caractéristiques suivantes ARN :arn:aws:iam::123456789012:role/myrole, vous le qualifiez demyrole.
Pour mettre à jour la description d'un rôle lié à un service, utilisez la commande suivante :
```
$ aws iam update-role-description --role-name role-name --description description
```

Modification de la description d'un rôle lié à un service () IAM API

Vous pouvez utiliser le IAM API pour modifier la description d'un rôle lié à un service.

Pour modifier la description d'un rôle lié à un service () API

(Facultatif) Pour afficher la description actuelle d'un rôle, utilisez la commande suivante :

GetRole
Pour mettre à jour la description d'un rôle, utilisez la commande suivante :

UpdateRoleDescription

Supprimer un rôle lié à un service pour CloudWatch

Si vous n'avez plus d'alarmes qui arrêtent, mettent fin ou redémarrent automatiquement EC2 les instances, nous vous recommandons de supprimer le AWSServiceRoleForCloudWatchEvents rôle.

Si vous n'avez plus d'alarmes qui exécutent des OpsCenter actions de Systems Manager, nous vous recommandons de supprimer le AWSServiceRoleForCloudWatchAlarms_ActionSSM rôle.

Si vous supprimez toutes les alarmes qui utilisent la fonction mathématique DB_PERF_INSIGHTS métrique, nous vous recommandons de supprimer le rôle DbPerfInsights lié au service AWSServiceRoleForCloudWatchMetrics_.

De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer.

Nettoyer un rôle lié à un service

Avant de pouvoir supprimer un rôle lié IAM à un service, vous devez d'abord confirmer que le rôle n'a aucune session active et supprimer toutes les ressources utilisées par le rôle.

Pour vérifier si le rôle lié à un service possède une session active dans la console IAM

Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.
Dans le panneau de navigation, choisissez Roles (Rôles). Choisissez le nom (et non la case à cocher) du AWSServiceRoleForCloudWatchEvents rôle.
Sur la page Summary (Résumé) du rôle sélectionné, choisissez Access Advisor et consultez l'activité récente du rôle lié au service.

Note
Si vous ne savez pas si le AWSServiceRoleForCloudWatchEvents rôle CloudWatch est utilisé, essayez de le supprimer. Si le service utilise le rôle, la suppression échoue et vous avez accès aux régions dans lesquelles le rôle est utilisé. Si le rôle est utilisé, vous devez attendre que la session se termine avant de pouvoir le supprimer. Vous ne pouvez pas révoquer la session d'un rôle lié à un service.

Supprimer un rôle lié à un service (console) IAM

Vous pouvez utiliser la IAM console pour supprimer un rôle lié à un service.

Pour supprimer un rôle lié à un service (console)

Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.
Dans le panneau de navigation, choisissez Roles (Rôles). Cochez la case en regard du nom du rôle que vous souhaitez supprimer, sans sélectionner le nom ou la ligne.
Pour Role actions (Actions du rôle), choisissez Delete role (Supprimer le rôle).
Dans la boîte de dialogue de confirmation, vérifiez les dernières données consultées dans le service. Elles indiquent quels rôles, parmi ceux sélectionnés, ont accédé en dernier à un service AWS . Cela vous permet de confirmer si le rôle est actif actuellement. Pour poursuivre, choisissez Oui, supprimer.
Regardez les notifications de la IAM console pour suivre la progression de la suppression des rôles liés au service. La suppression du rôle IAM lié au service étant asynchrone, la tâche de suppression peut réussir ou échouer une fois que vous avez soumis le rôle pour suppression. Si la tâche échoue, choisissez View details (Afficher les détails) ou View Resources (Afficher les ressources) à partir des notifications pour connaître le motif de l'échec de la suppression. Si la suppression échoue parce que certaines ressources du service sont actuellement utilisées par le rôle, la raison de l'échec comprend une liste de ressources.

Suppression d'un rôle lié à un service (AWS CLI)

Vous pouvez utiliser IAM les commandes du AWS Command Line Interface pour supprimer un rôle lié à un service.

Pour supprimer un rôle lié à un service (AWS CLI)

Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas satisfaites. Vous devez capturer le deletion-task-id de la réponse afin de vérifier l'état de la tâche de suppression. Tapez la commande suivante pour envoyer une demande de suppression d'un rôle lié à un service :
```
$ aws iam delete-service-linked-role --role-name service-linked-role-name
```
Tapez la commande suivante pour vérifier l'état de la tâche de suppression :
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
L’état de la tâche de suppression peut être NOT_STARTED, IN_PROGRESS, SUCCEEDED ou FAILED. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution.

Supprimer un rôle lié à un service () IAM API

Vous pouvez utiliser le IAM API pour supprimer un rôle lié à un service.

Pour supprimer un rôle lié à un service () API

Pour soumettre une demande de suppression pour un rôle lié à un service, appelez. DeleteServiceLinkedRole Dans la demande, spécifiez le nom de rôle que vous souhaitez supprimer.

Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas satisfaites. Vous devez capturer le DeletionTaskId de la réponse afin de vérifier l'état de la tâche de suppression.
Pour vérifier l'état de la suppression, appelez GetServiceLinkedRoleDeletionStatus. Dans la demande, spécifiez le DeletionTaskId.

L’état de la tâche de suppression peut être NOT_STARTED, IN_PROGRESS, SUCCEEDED ou FAILED. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution.

CloudWatch mises à jour des rôles AWS liés aux services

Consultez les détails des mises à jour des politiques AWS gérées CloudWatch depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil sur la page Historique du CloudWatch document.

Modification	Description	Date
AWSServiceRoleForCloudWatchApplicationSignals— Mise à jour des autorisations de la politique des rôles liés aux services	CloudWatch ajoutez d'autres groupes de journaux à la portée `logs:StartQuery` des `logs:GetQueryResults` autorisations accordées par ce rôle.	24 avril 2024
AWSServiceRoleForCloudWatchApplicationSignals— Nouveau rôle lié au service	CloudWatch a ajouté ce nouveau rôle lié à un service pour permettre à CloudWatch Application Signals de collecter les données des CloudWatch journaux, les données de suivi X-Ray, CloudWatch les données métriques et les données de balisage à partir des applications que vous avez activées pour CloudWatch Application Signals.	9 novembre 2023
AWSServiceRoleForCloudWatchMetrics_DbPerfInsights— Nouveau rôle lié au service	CloudWatch a ajouté ce nouveau rôle lié au service pour permettre de récupérer les métriques de Performance Insights CloudWatch à des fins d'alarme et de capture instantanée. Une IAM politique est associée à ce rôle, et cette politique autorise l'extraction CloudWatch des métriques Performance Insights en votre nom.	13 septembre 2023
AWSServiceRoleForCloudWatchAlarms_A ctionSSMIncidents — Nouveau rôle lié à un service	CloudWatch a ajouté un nouveau rôle lié au service pour permettre de CloudWatch créer des incidents dans AWS Systems Manager Incident Manager.	26 avril 2021
CloudWatch a commencé à suivre les modifications	CloudWatch a commencé à suivre les modifications apportées à ses rôles liés aux services.	26 avril 2021

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation des clés de condition pour limiter les actions d'alarme

Utilisation d'un rôle lié à un service pour CloudWatch RUM