Autorizzazioni di ruolo collegate ai servizi per le azioni relative agli allarmi CloudWatch EC2 Autorizzazioni di ruolo collegate al servizio per Application Signals CloudWatch Autorizzazioni di ruolo collegate al servizio per le azioni di CloudWatch Systems Manager degli allarmi OpsCenter Autorizzazioni di ruolo collegate ai servizi per le azioni di CloudWatch Systems Manager Incident Manager degli allarmi Autorizzazioni di ruolo collegate al servizio per più account e più regioni CloudWatch Autorizzazioni di ruolo collegate ai servizi per il database Performance Insights CloudWatch Creazione di un ruolo collegato al servizio per CloudWatch Modifica di un ruolo collegato al servizio per CloudWatch Eliminazione di un ruolo collegato al servizio per CloudWatch Aggiornamenti dei ruoli

Utilizzo di ruoli collegati ai servizi per CloudWatch

Amazon CloudWatch utilizza AWS Identity and Access Management (IAM) ruoli collegati ai servizi. Un ruolo collegato al servizio è un tipo unico di IAM ruolo a cui è collegato direttamente. CloudWatch I ruoli collegati ai servizi sono predefiniti CloudWatch e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per conto dell'utente. AWS

Un ruolo collegato al servizio CloudWatch consente di configurare CloudWatch allarmi che possono terminare, arrestare o riavviare un'EC2istanza Amazon senza richiedere l'aggiunta manuale delle autorizzazioni necessarie. Un altro ruolo collegato al servizio consente a un account di monitoraggio di accedere ai CloudWatch dati di altri account da te specificati, per creare dashboard interregionali tra account.

CloudWatch definisce le autorizzazioni di questi ruoli collegati ai servizi e, se non diversamente definito, solo può assumere il ruolo. CloudWatch Le autorizzazioni definite includono la politica di attendibilità e la politica di autorizzazione e tale politica di autorizzazione non può essere associata a nessun'altra entità. IAM

È possibile eliminare i ruoli solo dopo aver eliminato le risorse correlate. Questa restrizione protegge CloudWatch le tue risorse perché non puoi rimuovere inavvertitamente le autorizzazioni di accesso alle risorse.

Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, vedi AWS Servizi compatibili con IAM e cerca i servizi con Sì nella colonna Ruolo collegato ai servizi. Scegli Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni di ruolo collegate ai servizi per le azioni relative agli allarmi CloudWatch EC2

CloudWatch utilizza il ruolo collegato al servizio denominato AWSServiceRoleForCloudWatchEvents: CloudWatch utilizza questo ruolo collegato al servizio per eseguire azioni di allarme Amazon. EC2

Il ruolo AWSServiceRoleForCloudWatchEvents collegato al servizio si affida al servizio Events per l'assunzione del CloudWatch ruolo. CloudWatch Events richiama le azioni di terminazione, arresto o riavvio dell'istanza quando viene richiamata dall'allarme.

La politica AWSServiceRoleForCloudWatchEvents di autorizzazione dei ruoli collegati al servizio consente a CloudWatch Events di completare le seguenti azioni sulle istanze Amazon: EC2

ec2:StopInstances
ec2:TerminateInstances
ec2:RecoverInstances
ec2:DescribeInstanceRecoveryAttribute
ec2:DescribeInstances
ec2:DescribeInstanceStatus

La politica di autorizzazione dei ruoli AWSServiceRoleForCloudWatchCrossAccountcollegati al servizio consente di completare le seguenti azioni: CloudWatch

sts:AssumeRole

Autorizzazioni di ruolo collegate al servizio per Application Signals CloudWatch

CloudWatch Application Signals utilizza il ruolo collegato al servizio denominato AWSServiceRoleForCloudWatchApplicationSignals: CloudWatch utilizza questo ruolo collegato al servizio per raccogliere dati di CloudWatch log, dati di traccia a raggi X, dati di metrica e dati CloudWatch di tagging dalle applicazioni che hai abilitato per Application Signals. CloudWatch

Il ruolo collegato al AWSServiceRoleForCloudWatchApplicationSignalsservizio prevede che Application Signals assuma il ruolo. CloudWatch Application Signals raccoglie i log, le tracce, i parametri e i dati dei tag dal tuo account.

AWSServiceRoleForCloudWatchApplicationSignalsHa una IAM politica allegata e questa politica è denominata. CloudWatchApplicationSignalsServiceRolePolicy Questa politica concede l'autorizzazione ad CloudWatch Application Signals di raccogliere dati di monitoraggio e etichettatura da altri servizi pertinenti AWS . Include autorizzazioni che consentono ad Application Signals di completare le operazioni seguenti:

xray:GetServiceGraph
logs:StartQuery
logs:GetQueryResults
cloudwatch:GetMetricData
cloudwatch:ListMetrics
tag:GetResources

Il contenuto completo di è il CloudWatchApplicationSignalsServiceRolePolicyseguente:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "XRayPermission",
            "Effect": "Allow",
            "Action": [
                "xray:GetServiceGraph"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "CWLogsPermission",
            "Effect": "Allow",
            "Action": [
                "logs:StartQuery",
                "logs:GetQueryResults"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:/aws/appsignals/*:*",
                "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "CWListMetricsPermission",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:ListMetrics"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "CWGetMetricDataPermission",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricData"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "TagsPermission",
            "Effect": "Allow",
            "Action": [
                "tag:GetResources"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

Autorizzazioni di ruolo collegate al servizio per le azioni di CloudWatch Systems Manager degli allarmi OpsCenter

CloudWatch utilizza il ruolo collegato al servizio denominato AWSServiceRoleForCloudWatchAlarms_Action SSM: CloudWatch utilizza questo ruolo collegato al servizio per eseguire OpsCenter azioni di Systems Manager quando un CloudWatch allarme entra in stato. ALARM

Il ruolo AWSServiceRoleForCloudWatchAlarms_ActionSSM collegato al servizio si fida che il servizio assuma il ruolo. CloudWatch CloudWatch gli allarmi richiamano le OpsCenter azioni di Systems Manager quando vengono richiamati dall'allarme.

La politica di autorizzazione dei ruoli SSM collegati al servizio AWSServiceRoleForCloudWatchAlarms_Action consente a Systems Manager di completare le seguenti azioni:

ssm:CreateOpsItem

Autorizzazioni di ruolo collegate ai servizi per le azioni di CloudWatch Systems Manager Incident Manager degli allarmi

CloudWatch utilizza il ruolo collegato al servizio denominato AWSServiceRoleForCloudWatchAlarms_A ctionSSMIncidents: CloudWatch utilizza questo ruolo collegato al servizio per avviare gli incidenti di Incident Manager quando un allarme entra in stato. CloudWatch ALARM

Il ruolo ctionSSMIncidents collegato al servizio AWSServiceRoleForCloudWatchAlarms_A si fida che il servizio assuma il ruolo. CloudWatch CloudWatch gli allarmi richiamano l'azione di Systems Manager Incident Manager quando vengono richiamati dall'allarme.

La politica AWSServiceRoleForCloudWatchAlarmsdi autorizzazione dei ruoli ctionSSMIncidents collegati al servizio _A consente a Systems Manager di completare le seguenti azioni:

ssm-incidents:StartIncident

Autorizzazioni di ruolo collegate al servizio per più account e più regioni CloudWatch

CloudWatch utilizza il ruolo collegato al servizio denominato AWSServiceRoleForCloudWatchCrossAccount: CloudWatch utilizza questo ruolo per accedere ai CloudWatch dati di altri account specificati dall'utente. AWS Fornisce SLR solo l'autorizzazione ad assumere il ruolo per consentire al CloudWatch servizio di assumere il ruolo nell'account di condivisione. È il ruolo di condivisione che fornisce l'accesso ai dati.

La politica AWSServiceRoleForCloudWatchCrossAccountdi autorizzazione dei ruoli collegati al servizio consente di CloudWatch completare le seguenti azioni:

sts:AssumeRole

Il ruolo AWSServiceRoleForCloudWatchCrossAccountcollegato al servizio si fida che il servizio assuma il CloudWatch ruolo.

Autorizzazioni di ruolo collegate ai servizi per il database Performance Insights CloudWatch

CloudWatch utilizza il ruolo collegato al servizio denominato _. AWSServiceRoleForCloudWatchMetrics DbPerfInsights — CloudWatch utilizza questo ruolo per recuperare le metriche di Performance Insights per la creazione di allarmi e istantanee.

Il ruolo AWSServiceRoleForCloudWatchMetrics_ DbPerfInsights service-linked ha la policy allegata. AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy IAM I contenuti di questa policy sono i seguenti:


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"pi:GetResourceMetrics"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

Il ruolo AWSServiceRoleForCloudWatchMetrics_ DbPerfInsights service-linked si fida che il CloudWatch servizio assuma il ruolo.

Creazione di un ruolo collegato al servizio per CloudWatch

Non è necessario creare manualmente nessuno di questi ruoli collegati ai servizi. La prima volta che crei un allarme in AWS Management Console, il, o il IAM CLI IAMAPI, CloudWatch crea AWSServiceRoleForCloudWatchEvents e AWSServiceRoleForCloudWatchAlarms_Action SSM per te.

La prima volta che abiliti il rilevamento di servizi e topologie, Application Signals crea AWSServiceRoleForCloudWatchApplicationSignalsper te.

Quando abiliti per la prima volta un account come account di monitoraggio per la funzionalità interregionale tra più account, lo CloudWatch crea AWSServiceRoleForCloudWatchCrossAccountautomaticamente.

Quando crei per la prima volta un allarme che utilizza la funzione matematica DB_PERF_INSIGHTS metrica, CloudWatch crea AWSServiceRoleForCloudWatchMetrics _ per te. DbPerfInsights

Per ulteriori informazioni, consulta Creazione di un ruolo collegato ai servizi nella Guida per l'utente. IAM

Modifica di un ruolo collegato al servizio per CloudWatch

CloudWatch non consente di modificare i ruoli AWSServiceRoleForCloudWatchEvents, AWSServiceRoleForCloudWatchAlarms_Action SSM o AWSServiceRoleForCloudWatchMetrics _. AWSServiceRoleForCloudWatchCrossAccountDbPerfInsights Dopo aver creato questi ruoli, non è possibile modificarne i nomi perché varie entità potrebbero fare riferimento a tali ruoli. Tuttavia, è possibile modificare la descrizione di questi ruoli utilizzandoIAM.

Modifica della descrizione di un ruolo collegato al servizio (console) IAM

È possibile utilizzare la IAM console per modificare la descrizione di un ruolo collegato al servizio.

Per modificare la descrizione di un ruolo collegato ai servizi (console)

Nel riquadro di navigazione della IAM console, scegli Ruoli.
Scegliere il nome del ruolo da modificare.
Nella parte destra di Role description (Descrizione ruolo), scegliere Edit (Modifica).
Digita una nuova descrizione nella casella e scegli Save (Salva).

Modifica della descrizione di un ruolo collegato ai servizi (AWS CLI)

Puoi utilizzare IAM i comandi di AWS Command Line Interface per modificare la descrizione di un ruolo collegato al servizio.

Per modificare la descrizione di un ruolo collegato ai servizi (AWS CLI)

(Facoltativo) Per visualizzare la descrizione attuale di un ruolo, utilizza i seguenti comandi:
```
$ aws iam get-role --role-name role-name
```
Usa il nome del ruolo, non ilARN, per fare riferimento ai ruoli con i AWS CLI comandi. Ad esempio, se un ruolo presenta le seguenti caratteristicheARN:arn:aws:iam::123456789012:role/myrole, si fa riferimento al ruolo comemyrole.
Per aggiornare la descrizione di un ruolo collegato ai servizi, utilizza il seguente comando:
```
$ aws iam update-role-description --role-name role-name --description description
```

Modifica della descrizione di un ruolo collegato al servizio () IAM API

È possibile utilizzare il IAM API per modificare la descrizione di un ruolo collegato al servizio.

Per modificare la descrizione di un ruolo collegato al servizio () API

(Facoltativo) Per visualizzare la descrizione attuale di un ruolo, utilizza il seguente comando:

GetRole
Per aggiornare la descrizione di un ruolo, utilizza il seguente comando:

UpdateRoleDescription

Eliminazione di un ruolo collegato al servizio per CloudWatch

Se non hai più allarmi che interrompono, terminano o riavviano automaticamente EC2 le istanze, ti consigliamo di eliminare il ruolo. AWSServiceRoleForCloudWatchEvents

Se non hai più allarmi che eseguono OpsCenter azioni di Systems Manager, ti consigliamo di eliminare il AWSServiceRoleForCloudWatchAlarms_ActionSSM ruolo.

Se elimini tutti gli allarmi che utilizzano la funzione matematica DB_PERF_INSIGHTS metrica, ti consigliamo di eliminare il AWSServiceRoleForCloudWatchMetrics ruolo _ service-linked. DbPerfInsights

In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare.

Pulizia di un ruolo collegato ai servizi

Prima di poter eliminare un ruolo collegato IAM al servizio, devi prima confermare che il ruolo non abbia sessioni attive e rimuovere tutte le risorse utilizzate dal ruolo.

Per verificare se il ruolo collegato al servizio ha una sessione attiva nella console IAM

Apri la IAM console all'indirizzo. https://console.aws.amazon.com/iam/
Nel riquadro di navigazione, seleziona Ruoli. Scegli il nome (non la casella di controllo) del AWSServiceRoleForCloudWatchEvents ruolo.
Nella pagina Summary (Riepilogo) per il ruolo selezionato, seleziona Access Advisor (Consulente accessi) ed esamina l'attività recente per il ruolo collegato ai servizi.

Nota
Se non sei sicuro che CloudWatch stia utilizzando il AWSServiceRoleForCloudWatchEvents ruolo, prova a eliminarlo. Se il servizio sta utilizzando il ruolo, l'eliminazione non andrà a buon fine e potrai visualizzare le regioni in cui il ruolo viene utilizzato. Se il ruolo è in uso, prima di poterlo eliminare dovrai attendere il termine della sessione. Non puoi revocare la sessione per un ruolo collegato al servizio.

Eliminazione di un ruolo collegato al servizio (console) IAM

È possibile utilizzare la IAM console per eliminare un ruolo collegato al servizio.

Per eliminare un ruolo collegato ai servizi (console)

Apri la IAM console all'indirizzo. https://console.aws.amazon.com/iam/
Nel riquadro di navigazione, seleziona Ruoli. Selezionare la casella di controllo accanto al nome del ruolo che desideri eliminare, non il nome o la riga stessa.
In Role actions (Operazioni per ruolo), seleziona Delete role (Elimina ruolo).
Nella finestra di dialogo di conferma controlla i dati relativi all'ultimo accesso ai servizi, che indicano quando ognuno dei ruoli selezionati ha effettuato l'accesso a un servizio AWS . In questo modo potrai verificare se il ruolo è attualmente attivo. Per procedere, seleziona Yes, Delete (Sì, elimina).
Guarda le notifiche della IAM console per monitorare l'avanzamento dell'eliminazione del ruolo collegato al servizio. Poiché l'eliminazione del ruolo IAM collegato al servizio è asincrona, l'operazione di eliminazione può avere esito positivo o negativo dopo aver inviato il ruolo per l'eliminazione. Se il task non viene eseguito correttamente, seleziona View details (Visualizza dettagli) o View Resources (Visualizza risorse) dalle notifiche per capire perché l'eliminazione non è stata effettuata. Se l'eliminazione non viene eseguita perché vi sono risorse nel servizio che sono usate dal ruolo, il motivo dell'errore include un elenco di risorse.

Eliminazione del ruolo collegato ai servizi (AWS CLI)

È possibile utilizzare IAM i comandi di per eliminare un ruolo collegato AWS Command Line Interface al servizio.

Per eliminare un ruolo collegato ai servizi (AWS CLI)

Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di deletion-task-iddalla risposta per controllare lo stato del task di eliminazione. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, digita il seguente comando:
```
$ aws iam delete-service-linked-role --role-name service-linked-role-name
```
Digita il seguente comando per verificare lo stato del task di eliminazione:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Lo stato di un task di eliminazione può essere NOT_STARTED, IN_PROGRESS, SUCCEEDEDo FAILED. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema.

Eliminazione di un ruolo collegato al servizio () IAM API

È possibile utilizzare il IAM API per eliminare un ruolo collegato al servizio.

Per eliminare un ruolo collegato al servizio () API

Per inviare una richiesta di eliminazione per un ruolo collegato al servizio, chiama. DeleteServiceLinkedRole Nella richiesta specificare il nome del ruolo che si desidera eliminare.

Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di DeletionTaskIddalla risposta per controllare lo stato del task di eliminazione.
Per verificare lo stato dell'eliminazione, chiama. GetServiceLinkedRoleDeletionStatus Nella richiesta, specificare il DeletionTaskId.

Lo stato di un task di eliminazione può essere NOT_STARTED, IN_PROGRESS, SUCCEEDEDo FAILED. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema.

CloudWatch aggiornamenti ai ruoli AWS collegati al servizio

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite CloudWatch da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al RSS feed nella pagina della cronologia dei CloudWatch documenti.

Modifica	Descrizione	Data
AWSServiceRoleForCloudWatchApplicationSignals— Aggiornamento delle autorizzazioni della politica relativa ai ruoli collegati ai servizi	CloudWatch aggiungere altri gruppi di log all'ambito e alle `logs:GetQueryResults` autorizzazioni `logs:StartQuery` concesse da questo ruolo.	24 aprile 2024
AWSServiceRoleForCloudWatchApplicationSignals— Nuovo ruolo collegato ai servizi	CloudWatch ha aggiunto questo nuovo ruolo collegato al servizio per consentire ad CloudWatch Application Signals di raccogliere dati di CloudWatch log, dati di traccia a raggi X, dati di CloudWatch metrica e dati di etichettatura dalle applicazioni abilitate per Application Signals. CloudWatch	9 novembre 2023
AWSServiceRoleForCloudWatchMetrics_DbPerfInsights— Nuovo ruolo collegato ai servizi	CloudWatch ha aggiunto questo nuovo ruolo collegato al servizio per consentire di recuperare le metriche CloudWatch di Performance Insights per allarmi e snapshot. A questo ruolo è associata una IAM policy che concede l'autorizzazione CloudWatch a recuperare le metriche di Performance Insights per tuo conto.	13 settembre 2023
AWSServiceRoleForCloudWatchAlarms_A — Nuovo ruolo collegato al servizio ctionSSMIncidents	CloudWatch ha aggiunto un nuovo ruolo collegato al servizio per consentire la creazione di incidenti in CloudWatch Incident Manager. AWS Systems Manager	26 Aprile 2021
CloudWatch ha iniziato a tenere traccia delle modifiche	CloudWatch ha iniziato a tenere traccia delle modifiche per i ruoli collegati ai servizi.	26 Aprile 2021

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo dei tasti di condizione per limitare le operazioni di allarme

Utilizzo di un ruolo collegato al servizio per CloudWatch RUM