Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di ruoli collegati ai servizi per CloudWatch
Amazon CloudWatch utilizza ruoli [collegati ai servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. CloudWatch I ruoli collegati ai servizi sono definiti automaticamente da CloudWatch e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri servizi AWS per tuo conto.
Un ruolo collegato al servizio CloudWatch consente di configurare CloudWatch allarmi che possono terminare, arrestare o riavviare un'istanza Amazon EC2 senza richiedere l'aggiunta manuale delle autorizzazioni necessarie. Un altro ruolo collegato ai servizi consente a un account di monitoraggio di accedere ai dati CloudWatch da altri account specificati, per creare pannelli di controllo su più account tra più regioni.
CloudWatch definisce le autorizzazioni di questi ruoli collegati ai servizi e, se non diversamente definito, solo può assumere il ruolo. CloudWatch Le autorizzazioni definite includono la policy di trust e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un’altra entità IAM.
È possibile eliminare i ruoli solo dopo aver eliminato le risorse correlate. Questa restrizione protegge le CloudWatch risorse perché non è possibile rimuovere inavvertitamente le autorizzazioni di accesso alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni di ruolo legate al servizio per le azioni EC2 degli allarmi CloudWatch
CloudWatch utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForCloudWatchEvents**: CloudWatch utilizza questo ruolo collegato al servizio per eseguire azioni di allarme di Amazon EC2.
Il ruolo AWSService RoleForCloudWatchEvents collegato al servizio si fida del servizio Events per l'assunzione del ruolo. CloudWatch CloudWatch Events richiama le azioni di terminazione, arresto o riavvio dell'istanza quando viene richiamata dall'allarme.
La politica AWSServiceRoleForCloudWatchEvents di autorizzazione dei ruoli collegati al servizio consente a CloudWatch Events di completare le seguenti azioni sulle istanze Amazon EC2:
+ `ec2:StopInstances`
+ `ec2:TerminateInstances`
+ `ec2:RecoverInstances`
+ `ec2:DescribeInstanceRecoveryAttribute`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
La politica di autorizzazione dei ruoli **AWSServiceRoleForCloudWatchCrossAccount**collegati al servizio consente di completare le seguenti azioni: CloudWatch
+ `sts:AssumeRole`
## Autorizzazioni di ruolo collegate al servizio per la configurazione della telemetria CloudWatch
CloudWatch observability admin crea e utilizza un ruolo collegato al servizio denominato **AWSServiceRoleForObservabilityAdmin**: CloudWatch utilizza questo ruolo collegato al servizio per supportare l'individuazione di configurazioni di risorse e telemetria per Organizations. AWS Il ruolo viene creato in tutti gli account membri dell’organizzazione.
Il ruolo collegato al **AWSServiceRoleForObservabilityAdmin**servizio si affida a Observability Admin per l'assunzione del ruolo. Observability Admin gestisce AWS Config Service Linked Configuration Recorders e Service Linked Configuration Aggregator nei tuoi account Organizations.
Il ruolo **AWSServiceRoleForObservabilityAdmin**collegato al servizio ha una politica, chiamata AWSObservabilityAdminServiceRolePolicy, allegata e questa politica concede il permesso a CloudWatch Observability Admin di completare le seguenti azioni:
+ `organizations:ListAccounts`
+ `organizations:ListAccountsForParent`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:DescribeOrganization`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListDelegatedAdministrators`
+ `config:PutServiceLinkedConfigurationRecorder`
+ `config:DeleteServiceLinkedConfigurationRecorder`
+ `config:PutConfigurationAggregator`
+ `config:DeleteConfigurationAggregator`
+ `config:SelectAggregateResourceConfig`
+ `iam:CreateServiceLinkedRole`
+ `iam:PassRole`
Il contenuto completo della AWSObservability AdminServiceRolePolicy politica è il seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"config:PutServiceLinkedConfigurationRecorder",
"config:DeleteServiceLinkedConfigurationRecorder"
],
"Resource": [
"arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForObservabilityAdmin/*"
]
},
{
"Effect": "Allow",
"Action": [
"config:PutConfigurationAggregator",
"config:DeleteConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": [
"arn:aws:config:*:*:config-aggregator/aws-service-config-aggregator/observabilityadmin.amazonaws.com/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"observabilityadmin.amazonaws.com",
"config.amazonaws.com"
]
}
}
}
]
}
```
------
## Autorizzazioni di ruolo collegate ai servizi per l'abilitazione della telemetria CloudWatch
`AWSObservabilityAdminTelemetryEnablementServiceRolePolicy` concede le autorizzazioni necessarie per abilitare e gestire le configurazioni di telemetria per le risorse AWS in base alle regole di telemetria.
Questa policy concede le autorizzazioni per:
+ Operazioni di telemetria di base, inclusa la descrizione di VPC, log di flusso, gruppi di log. Include anche le autorizzazioni per abilitare la configurazione di registrazione per la registrazione dei cluster EKS, la configurazione di registrazione dei put WAF, l'abilitazione dei log NLB, la registrazione delle query di Route53 Resolver, il monitoraggio dettagliato di Amazon EC2, Security Hub, Bedrock Agentcore Gateway, Bedrock Agentcore Memory, Distribution, MSK Cluster, Enrichment e Bedrock Agentcore Workload Identity. CloudFront OpenTelemetry
+ Operazioni di etichettatura delle risorse con il tag `CloudWatchTelemetryRuleManaged` per il monitoraggio delle risorse gestite
+ Configurazione della consegna dei log per servizi come AWS Bedrock e VPC Flow Logs
+ Gestione del registratore di configurazione per il tracciamento dell'abilitazione della telemetria
La policy impone limiti di sicurezza attraverso condizioni che:
+ Limitano le operazioni alle risorse all'interno dello stesso account utilizzando `aws:ResourceAccount`
+ Richiedono il tag `CloudWatchTelemetryRuleManaged` per le modifiche alle risorse
+ Limitano l'accesso al registratore di configurazione a quelli associati all'abilitazione della telemetria
Il contenuto completo della AWSObservability AdminTelemetryEnablementServiceRolePolicy politica è disponibile qui:. [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSObservabilityAdminTelemetryEnablementServiceRolePolicy.html)
## Autorizzazioni di ruolo collegate al servizio per Application Signals CloudWatch
CloudWatch Application Signals utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForCloudWatchApplicationSignals**: CloudWatch utilizza questo ruolo collegato al servizio per raccogliere dati di CloudWatch log, dati di traccia a raggi X, dati di metrica e dati CloudWatch di tagging dalle applicazioni che hai abilitato per Application Signals. CloudWatch
Il ruolo collegato al **AWSServiceRoleForCloudWatchApplicationSignals**servizio prevede che Application Signals assuma il ruolo. CloudWatch Application Signals raccoglie i log, le tracce, i parametri e i dati dei tag dal tuo account.
**AWSServiceRoleForCloudWatchApplicationSignals**Ha una politica IAM allegata e questa politica è denominata. **CloudWatchApplicationSignalsServiceRolePolicy** Questa politica concede l'autorizzazione ad CloudWatch Application Signals di raccogliere dati di monitoraggio e etichettatura da altri servizi pertinenti AWS . Include autorizzazioni che consentono ad Application Signals di completare le operazioni seguenti:
+ `xray`: recupera le tracce X-Ray.
+ `logs`— Recupera le informazioni correnti CloudWatch dei registri.
+ `cloudwatch`— Recupera le informazioni metriche correnti CloudWatch .
+ `tags`: recupera i tag correnti.
+ `application-signals`— Recupera informazioni sulle finestre di esclusione temporale SLOs e relative finestre di esclusione temporale.
+ `autoscaling`: recupera i tag delle applicazioni dal gruppo di dimensionamento automatico Amazon EC2.
+ `resource-explorer-2`— Recupera AWS le informazioni sulle risorse correnti da AWS Resource Explorer.
+ `cloudtrail`— Abilita la creazione di canali collegati ai servizi per il recupero degli eventi. CloudTrail
Il contenuto completo di è il seguente: **CloudWatchApplicationSignalsServiceRolePolicy**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "XRayPermission",
"Effect": "Allow",
"Action": [
"xray:GetServiceGraph"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWLogsPermission",
"Effect": "Allow",
"Action": [
"logs:StartQuery",
"logs:GetQueryResults"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/appsignals/*:*",
"arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWListMetricsPermission",
"Effect": "Allow",
"Action": [
"cloudwatch:ListMetrics"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWGetMetricDataPermission",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "TagsPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "ApplicationSignalsPermission",
"Effect": "Allow",
"Action": [
"application-signals:ListServiceLevelObjectiveExclusionWindows",
"application-signals:GetServiceLevelObjective"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EC2AutoScalingPermission",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Autorizzazioni di ruolo collegate al servizio per le azioni di CloudWatch Systems Manager degli allarmi OpsCenter
CloudWatch utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForCloudWatchAlarms\_ActionSSM**: CloudWatch utilizza questo ruolo collegato al servizio per OpsCenter eseguire azioni di Systems Manager quando un CloudWatch allarme entra nello stato ALARM.
Il ruolo AWSServiceRoleForCloudWatchAlarms\_ActionSSM collegato al servizio si fida che il servizio assuma il ruolo. CloudWatch CloudWatch gli allarmi richiamano le OpsCenter azioni di Systems Manager quando vengono richiamati dall'allarme.
La politica **AWSServiceRoleForCloudWatchAlarms\_ActionSSM**di autorizzazione dei ruoli collegati al servizio consente a Systems Manager di completare le seguenti azioni:
+ `ssm:CreateOpsItem`
## Autorizzazioni di ruolo collegate ai servizi per le azioni di CloudWatch Systems Manager Incident Manager degli allarmi
CloudWatch utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForCloudWatchAlarms\_ActionSSMIncidents**: CloudWatch utilizza questo ruolo collegato al servizio per avviare gli incidenti di Incident Manager quando un allarme entra nello stato ALARM. CloudWatch
Il ruolo **AWSServiceRoleForCloudWatchAlarms\_ActionSSMIncidents**collegato al servizio si fida che il servizio assuma il ruolo. CloudWatch CloudWatch gli allarmi richiamano l'azione di Systems Manager Incident Manager quando vengono richiamati dall'allarme.
La politica **AWSServiceRoleForCloudWatchAlarms\_ActionSSMIncidents**di autorizzazione dei ruoli collegati al servizio consente a Systems Manager di completare le seguenti azioni:
+ `ssm-incidents:StartIncident`
## Autorizzazioni di ruolo collegate al servizio per più account e più regioni CloudWatch
CloudWatch utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForCloudWatchCrossAccount**: CloudWatch utilizza questo ruolo per accedere ai CloudWatch dati di altri account specificati dall'utente. AWS La SLR fornisce solo l'autorizzazione ad assumere il ruolo per consentire al CloudWatch servizio di assumere il ruolo nell'account di condivisione. È il ruolo di condivisione che fornisce l'accesso ai dati.
La politica **AWSServiceRoleForCloudWatchCrossAccount**di autorizzazione dei ruoli collegati al servizio consente di CloudWatch completare le seguenti azioni:
+ `sts:AssumeRole`
Il ruolo **AWSServiceRoleForCloudWatchCrossAccount**collegato al servizio si fida che il servizio assuma il CloudWatch ruolo.
## Autorizzazioni di ruolo collegate ai servizi per il database Performance Insights CloudWatch
CloudWatch utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForCloudWatchMetrics\_DbPerfInsights**: CloudWatch utilizza questo ruolo per recuperare le metriche di Performance Insights per la creazione di allarmi e istantanee.
Al **AWSServiceRoleForCloudWatchMetrics\_DbPerfInsights**ruolo collegato al servizio è associata la policy IAM. `AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy` I contenuti di questa policy sono i seguenti:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pi:GetResourceMetrics"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Il ruolo **AWSServiceRoleForCloudWatchMetrics\_DbPerfInsights**collegato al servizio si fida che il CloudWatch servizio assuma il ruolo.
## Autorizzazioni relative ai ruoli collegati al servizio per la centralizzazione dei registri CloudWatch
**AWSObservabilityAdminLogsCentralizationServiceRolePolicy**Si collega all'entità IAM appropriata nell'account di gestione centrale, ad esempio il ruolo di CloudWatch servizio, per concedere le autorizzazioni necessarie per l'impostazione e la gestione della raccolta centralizzata dei log. CloudWatch utilizza questo ruolo per accedere ai dati di telemetria di altri AWS account specificati per creare gruppi di log, flussi di CloudWatch log ed eventi di registro nell'account di monitoraggio della tua organizzazione. La SLR fornisce solo l'autorizzazione ad assumere il ruolo per consentire al CloudWatch servizio di assumere il ruolo nell'account di monitoraggio. Questa politica viene allegata automaticamente se si configura la raccolta centralizzata dei log utilizzando. Console di gestione AWS Se utilizzi l'API AWS CLI or per configurare la centralizzazione dei log, devi collegare manualmente questa policy al ruolo IAM che verrà utilizzato per le attività di amministrazione dell'osservabilità.
La politica **AWSObservabilityAdminLogsCentralizationServiceRolePolicy**di autorizzazione dei ruoli collegati al servizio consente di CloudWatch completare le seguenti azioni:
+ `sts:AssumeRole`
+ `logs:CreateLogGroup`
+ `logs:CreateLogStream`
+ `logs:PutLogEvents`
+ `kms:Encrypt`
+ `kms:Decrypt`
+ `kms:GenerateDataKey`
Ai fini dell'assunzione del ruolo **AWSObservabilityAdminLogsCentralizationServiceRolePolicy**, il ruolo collegato ai servizi `logs-centralization.observabilityadmin.amazonaws.com`considera attendibile il servizio.
## Creazione di un ruolo collegato al servizio per CloudWatch
Non è necessario creare manualmente nessuno di questi ruoli collegati ai servizi. La prima volta che crei un allarme in Console di gestione AWS, l'IAM CLI o l'API IAM CloudWatch crea AWSService RoleForCloudWatchEvents e **AWSServiceRoleForCloudWatchAlarms\_ActionSSM**per te.
La prima volta che abiliti il rilevamento di servizi e topologie, Application Signals crea **AWSServiceRoleForCloudWatchApplicationSignals**per te.
Quando abiliti per la prima volta un account come account di monitoraggio per la funzionalità interregionale tra account, CloudWatch crea **AWSServiceRoleForCloudWatchCrossAccount**per te.
Quando crei per la prima volta un allarme che utilizza la funzione matematica `DB_PERF_INSIGHTS` metrica, CloudWatch lo crea per te. **AWSServiceRoleForCloudWatchMetrics\_DbPerfInsights**
Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l'utente IAM*.
## Modifica di un ruolo collegato al servizio per CloudWatch
CloudWatch non consente di modificare i ruoli **AWSServiceRoleForCloudWatchEvents**, **AWSServiceRoleForCloudWatchAlarms\_ActionSSM**AWSServiceRoleForCloudWatchCrossAccount****, o **AWSServiceRoleForCloudWatchMetrics\_DbPerfInsights**. Dopo aver creato questi ruoli, non è possibile modificarne i nomi perché varie entità potrebbero fare riferimento a tali ruoli. Puoi tuttavia modificare la descrizione dei ruoli utilizzando IAM.
### Modifica della descrizione di un ruolo collegato ai servizi (console IAM)
È possibile utilizzare la console IAM per modificare la descrizione di un ruolo collegato ai servizi.
**Per modificare la descrizione di un ruolo collegato ai servizi (console)**
1. Nel pannello di navigazione della console IAM seleziona **Roles (Ruoli)**.
1. Scegliere il nome del ruolo da modificare.
1. Nella parte destra di **Role description** (Descrizione ruolo), scegliere **Edit** (Modifica).
1. Digita una nuova descrizione nella casella e scegli **Save (Salva)**.
### Modifica della descrizione di un ruolo collegato ai servizi (AWS CLI)
È possibile utilizzare i comandi IAM di AWS Command Line Interface per modificare la descrizione di un ruolo collegato al servizio.
**Per modificare la descrizione di un ruolo collegato ai servizi (AWS CLI)**
1. (Facoltativo) Per visualizzare la descrizione attuale di un ruolo, utilizza i seguenti comandi:
```
$ aws iam [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) --role-name {{role-name}}
```
Per fare riferimento ai ruoli con i comandi AWS CLI , utilizza il nome del ruolo, non l'ARN. Ad esempio, per fare riferimento a un ruolo il cui ARN è `arn:aws:iam::123456789012:role/myrole`, puoi usare **myrole**.
1. Per aggiornare la descrizione di un ruolo collegato ai servizi, utilizza il seguente comando:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html) --role-name {{role-name}} --description {{description}}
```
### Modifica della descrizione di un ruolo collegato ai servizi (API IAM)
È possibile utilizzare l'API IAM per modificare la descrizione di un ruolo collegato ai servizi.
**Per modificare la descrizione di un ruolo collegato ai servizi (API)**
1. (Facoltativo) Per visualizzare la descrizione attuale di un ruolo, utilizza il seguente comando:
[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
1. Per aggiornare la descrizione di un ruolo, utilizza il seguente comando:
[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
## Eliminazione di un ruolo collegato al servizio per CloudWatch
Se non hai più allarmi che interrompono, terminano o riavviano automaticamente le istanze EC2, ti consigliamo di eliminare il ruolo. AWSService RoleForCloudWatchEvents
Se non hai più allarmi che eseguono OpsCenter azioni di Systems Manager, ti consigliamo di eliminare il AWSServiceRoleForCloudWatchAlarms\_ActionSSM ruolo.
Se elimini tutti gli allarmi che utilizzano la funzione matematica `DB_PERF_INSIGHTS` metrica, ti consigliamo di eliminare il ruolo collegato al servizio. **AWSServiceRoleForCloudWatchMetrics\_DbPerfInsights**
In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare.
### Pulizia di un ruolo collegato ai servizi
Prima di utilizzare IAM per eliminare un ruolo collegato ai servizi, devi innanzitutto verificare che il ruolo non abbia sessioni attive ed eliminare tutte le risorse utilizzate dal ruolo.
**Per verificare se il ruolo collegato ai servizi dispone di una sessione attiva nella console IAM**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Ruoli**. Scegli il nome (non la casella di controllo) del ruolo. AWSService RoleForCloudWatchEvents
1. Nella pagina **Summary** (Riepilogo) per il ruolo selezionato, seleziona **Access Advisor** (Consulente accessi) ed esamina l'attività recente per il ruolo collegato ai servizi.
**Nota**
Se non sei sicuro che CloudWatch stia utilizzando il AWSService RoleForCloudWatchEvents ruolo, prova a eliminarlo. Se il servizio sta utilizzando il ruolo, l’eliminazione non andrà a buon fine e potrai visualizzare le regioni in cui il ruolo viene utilizzato. Se il ruolo è in uso, prima di poterlo eliminare dovrai attendere il termine della sessione. Non puoi revocare la sessione per un ruolo collegato al servizio.
### Eliminazione di un ruolo collegato ai servizi (console IAM)
È possibile utilizzare la console IAM per eliminare un ruolo collegato ai servizi.
**Per eliminare un ruolo collegato ai servizi (console)**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Ruoli**. Selezionare la casella di controllo accanto al nome del ruolo che desideri eliminare, non il nome o la riga stessa.
1. In **Role actions** (Operazioni per ruolo), seleziona **Delete role** (Elimina ruolo).
1. Nella finestra di dialogo di conferma controlla i dati relativi all'ultimo accesso ai servizi, che indicano quando ognuno dei ruoli selezionati ha effettuato l'accesso a un servizio AWS . In questo modo potrai verificare se il ruolo è attualmente attivo. Per procedere, seleziona **Yes, Delete** (Sì, elimina).
1. Controlla le notifiche della console IAM per monitorare lo stato dell'eliminazione del ruolo collegato ai servizi. Poiché l'eliminazione del ruolo collegato ai servizi IAM è asincrona, una volta richiesta l'eliminazione del ruolo, il task di eliminazione può essere eseguito correttamente o meno. Se il task non viene eseguito correttamente, seleziona **View details** (Visualizza dettagli) o **View Resources** (Visualizza risorse) dalle notifiche per capire perché l'eliminazione non è stata effettuata. Se l'eliminazione non viene eseguita perché vi sono risorse nel servizio che sono usate dal ruolo, il motivo dell'errore include un elenco di risorse.
### Eliminazione del ruolo collegato ai servizi (AWS CLI)
Puoi utilizzare i comandi IAM di AWS Command Line Interface per eliminare un ruolo collegato al servizio.
**Per eliminare un ruolo collegato ai servizi (AWS CLI)**
1. Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di `deletion-task-id`dalla risposta per controllare lo stato del task di eliminazione. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, digita il seguente comando:
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name {{service-linked-role-name}}
```
1. Digita il seguente comando per verificare lo stato del task di eliminazione:
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id {{deletion-task-id}}
```
Lo stato di un task di eliminazione può essere `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`o `FAILED`. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema.
### Eliminazione di un ruolo collegato ai servizi (API IAM)
È possibile utilizzare l'API di IAM; per eliminare un ruolo collegato ai servizi.
**Per eliminare un ruolo collegato ai servizi (API)**
1. Per inviare una richiesta di eliminazione per un ruolo collegato al servizio, chiama. [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) Nella richiesta specificare il nome del ruolo che si desidera eliminare.
Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di `DeletionTaskId`dalla risposta per controllare lo stato del task di eliminazione.
1. Chiamare [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) per controllare lo stato dell'eliminazione. Nella richiesta, specificare il `DeletionTaskId`.
Lo stato di un task di eliminazione può essere `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`o `FAILED`. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema.
## CloudWatch aggiornamenti ai ruoli collegati ai servizi AWS
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite CloudWatch da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei CloudWatch documenti.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)— Aggiornamento alla politica relativa ai ruoli collegati al servizio. | Informazioni aggiornate sulla concessione delle [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)autorizzazioni necessarie per abilitare e gestire CloudWatch le configurazioni di telemetria per le risorse aggiuntive basate sulle regole di telemetria. AWS | 30 aprile 2026 |
| [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)— Aggiornamento della politica relativa ai ruoli collegati ai servizi. | Informazioni aggiornate sulla concessione delle [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)autorizzazioni necessarie per abilitare e gestire CloudWatch le configurazioni di telemetria per le risorse aggiuntive basate sulle regole di telemetria. AWS | 31 marzo 2026 |
| [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)— Aggiornamento della politica relativa ai ruoli collegati ai servizi. | Informazioni aggiornate sulla concessione delle [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)autorizzazioni necessarie per abilitare e gestire CloudWatch le configurazioni di telemetria per le risorse aggiuntive basate sulle regole di telemetria. AWS | 10 marzo 2026 |
| [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)— Aggiornamento della politica relativa ai ruoli collegati ai servizi. | Informazioni aggiornate sulla concessione delle [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)autorizzazioni necessarie per abilitare e gestire CloudWatch le configurazioni di telemetria per le risorse aggiuntive basate sulle regole di telemetria. AWS | 2 dicembre 2025 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals)— Aggiornamento delle autorizzazioni della politica relativa ai ruoli collegati ai servizi | Aggiornato [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals)per includere `resource-explorer-2:Search` e abilitare nuove funzionalità `cloudtrail:CreateServiceLinkedChannel` di Application Signals. | 12 novembre 2025 |
| [AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization)— Nuova politica relativa ai ruoli legati ai servizi. | Sono state aggiunte informazioni sulla concessione delle [AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization)autorizzazioni necessarie per abilitare e gestire CloudWatch le configurazioni di telemetria per le risorse in base alle regole di telemetria. AWS | 5 settembre 2025 |
| [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)— Nuova politica relativa ai ruoli legati ai servizi. | Sono state aggiunte informazioni sulla concessione delle [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)autorizzazioni necessarie per abilitare e gestire CloudWatch le configurazioni di telemetria per le risorse in base alle regole di telemetria. AWS | 17 luglio 2025 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals)— Aggiornamento delle autorizzazioni della politica relativa ai ruoli collegati ai servizi | È stato aggiornato [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals)per escludere che le finestre temporali influiscano sul tasso di raggiungimento degli SLO, sul budget di errore e sulle metriche della frequenza di combustione. CloudWatch può recuperare le finestre di esclusione per conto dell'utente. | 13 marzo 2025 |
| [AWSServiceRoleForObservabilityAdmin](#service-linked-role-telemetry-config)— Nuovo ruolo collegato al servizio | CloudWatch ha aggiunto questo nuovo ruolo collegato ai servizi e la corrispondente policy gestita AWSObservabilityAdminServiceRolePolicy, per supportare l'individuazione delle configurazioni di risorse e telemetria per Organizations. AWS | 26 novembre 2024 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals)— Aggiornamento delle autorizzazioni della politica relativa ai ruoli collegati ai servizi | CloudWatch aggiungere altri gruppi di log all'ambito e alle `logs:GetQueryResults` autorizzazioni `logs:StartQuery` concesse da questo ruolo. | 24 aprile 2024 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals)— Nuovo ruolo collegato al servizio | CloudWatch ha aggiunto questo nuovo ruolo collegato al servizio per consentire ad CloudWatch Application Signals di raccogliere dati di CloudWatch log, dati di traccia a raggi X, dati di CloudWatch metrica e dati di etichettatura dalle applicazioni abilitate per Application Signals. CloudWatch | 9 novembre 2023 |
| [ AWSServiceRoleForCloudWatchMetrics\_DbPerfInsights](#service-linked-role-permissions-dbperfinsights)— Nuovo ruolo collegato ai servizi | CloudWatch ha aggiunto questo nuovo ruolo collegato al servizio per consentire di recuperare le metriche CloudWatch di Performance Insights per allarmi e snapshot. A questo ruolo è associata una policy IAM che concede l'autorizzazione CloudWatch a recuperare le metriche di Performance Insights per tuo conto. | 13 settembre 2023 |
| [AWSServiceRoleForCloudWatchAlarms\_ActionSSMIncidents](#service-linked-role-permissions-incident-manager)— Nuovo ruolo collegato ai servizi | CloudWatch ha aggiunto un nuovo ruolo collegato al servizio per consentire CloudWatch la creazione di incidenti in Incident Manager. AWS Systems Manager | 26 Aprile 2021 |
| CloudWatch ha iniziato a tenere traccia delle modifiche | CloudWatch ha iniziato a tenere traccia delle modifiche per i ruoli collegati ai servizi. | 26 Aprile 2021 |