CloudWatch Network Monitor에 서비스 연결 역할 사용 - Amazon CloudWatch
AWSServiceRoleForNetworkMonitor서비스 연결 역할 생성서비스 연결 역할 편집서비스 연결 역할 삭제지원되는 리전

CloudWatch Network Monitor에 서비스 연결 역할 사용

Amazon CloudWatch Network Monitor는 다른 AWS 서비스를 직접적으로 자동 호출하는 데 필요한 권한에 다음 서비스 연결 역할을 사용합니다.

AWSServiceRoleForNetworkMonitor

CloudWatch Network Monitoring은 AWSServiceRoleForNetworkMonitor라는 서비스 연결 역할을 사용하여 CloudWatch 네트워크 모니터를 업데이트하고 관리합니다.

AWSServiceRoleForNetworkMonitor 서비스 연결 역할은 그 역할을 위임하기 위해 다음 서비스를 신뢰합니다.

  • networkmonitor.amazonaws.com

CloudWatchNetworkMonitorServiceRolePolicy는 서비스 연결 역할에 연결되어 서비스가 계정의 VPC 및 EC2 리소스에 액세스하고 생성된 네트워크 모니터를 관리할 수 있는 액세스 권한을 부여합니다.

권한 그룹화

정책은 다음 권한 집합으로 그룹화됩니다.

  • cloudwatch - 서비스 보안 주체가 CloudWatch 리소스에 네트워크 모니터링 지표를 게시할 수 있도록 합니다.

  • ec2 - 서비스 보안 주체가 사용자 계정의 VPC와 서브넷을 설명하여 모니터와 프로브를 만들거나 업데이트할 수 있도록 합니다. 또한 서비스 보안 주체가 보안 그룹, 네트워크 인터페이스 및 관련 권한을 생성, 수정 및 삭제하여 모니터링 트래픽을 엔드포인트로 전송하도록 모니터 또는 프로브를 구성할 수 있습니다.

정책에 대한 자세한 내용은 CloudWatch Network Monitor에 대한 AWS 관리형 정책 섹션을 참조하세요.

다음은 CloudWatchNetworkMonitorServiceRolePolicy를 보여줍니다.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "PublishCw",
			"Effect": "Allow",
			"Action": "cloudwatch:PutMetricData",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": "AWS/NetworkMonitor"
				}
			}
		},
		{
			"Sid": "DescribeAny",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeNetworkInterfaceAttribute",
				"ec2:DescribeVpcs",
				"ec2:DescribeNetworkInterfacePermissions",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Resource": "*"
		},
		{
			"Sid": "DeleteModifyEc2Resources",
			"Effect": "Allow",
			"Action": [
				"ec2:AuthorizeSecurityGroupEgress",
				"ec2:CreateNetworkInterfacePermission",
				"ec2:DeleteNetworkInterfacePermission",
				"ec2:RevokeSecurityGroupEgress",
				"ec2:ModifyNetworkInterfaceAttribute",
				"ec2:DeleteNetworkInterface",
				"ec2:DeleteSecurityGroup"
			],
			"Resource": [
				"arn:aws:ec2:*:*:network-interface/*",
				"arn:aws:ec2:*:*:security-group/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/ManagedByCloudWatchNetworkMonitor": "true"
				}
			}
		}
	]
}

서비스 연결 역할 생성

AWSServiceRoleForNetworkMonitor

AWSServiceRoleForNetworkMonitor 역할을 수동으로 생성할 필요가 없습니다.

  • CloudWatch 네트워크 모니터는 첫 번째 네트워크 모니터를 생성할 때 AWSServiceRoleForNetworkMonitor 역할을 생성합니다. 이 역할은 이후에 생성하는 모든 모니터에 적용됩니다.

서비스 연결 역할을 자동으로 생성하려면 사용자에게 필수 권한이 있어야 합니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 권한을 참조하세요.

서비스 연결 역할 편집

IAM을 사용하여 AWSServiceRoleForNetworkMonitor 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 편집을 참조하세요.

서비스 연결 역할 삭제

이제 CloudWatch Network Monitor를 사용할 필요가 없는 경우 AWSServiceRoleForNetworkMonitor 역할을 삭제하는 것이 좋습니다.

네트워크 모니터를 삭제한 후에만 이 서비스 연결 역할을 삭제할 수 있습니다. 네트워크 모니터 삭제에 대한 자세한 내용은 네트워크 모니터 삭제를 참조하세요.

IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 서비스 연결 역할을 삭제할 수 있습니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 삭제를 참조하세요.

AWSServiceRoleForNetworkMonitor CloudWatch Network Monitor를 삭제하면 새 모니터를 생성할 때 역할이 다시 생성됩니다.

CloudWatch Network Monitor 서비스 연결 역할을 지원하는 리전

CloudWatch Network Monitor에서는 서비스를 사용할 수 있는 모든 AWS 리전 리전에서 서비스 연결 역할을 지원합니다. 자세한 내용은 AWS 일반 참조AWS 엔드포인트를 참조하세요.