Usando funções vinculadas a serviços para registros CloudWatch - CloudWatch Registros da Amazon
Permissões de função vinculadas ao serviço para Logs CloudWatch Criação de uma função vinculada ao serviço para Logs CloudWatch Editando uma função vinculada ao serviço para Logs CloudWatch Excluindo uma função vinculada ao serviço para Logs CloudWatch

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando funções vinculadas a serviços para registros CloudWatch

O Amazon CloudWatch Logs usa AWS Identity and Access Management funções vinculadas a serviços (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente aos CloudWatch Logs. Os papéis vinculados ao serviço são predefinidos pelo CloudWatch Logs e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço torna a configuração de CloudWatch registros mais eficiente porque você não precisa adicionar manualmente as permissões necessárias. CloudWatch O Logs define as permissões de seus papéis vinculados ao serviço e, a menos que seja definido de outra forma, somente o CloudWatch Logs pode assumir esses papéis. As permissões definidas incluem a política de confiança e a política de permissões. Essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros produtos que oferecem suporte a funções vinculadas a serviços, consulte Serviços da AWS que funcionam com o IAM. Procure os serviços que têm Sim na coluna Função vinculada ao serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.

Permissões de função vinculadas ao serviço para Logs CloudWatch

CloudWatch O Logs usa a função vinculada ao serviço chamada AWSServiceRoleForLogDelivery. CloudWatch O Logs usa essa função vinculada ao serviço para gravar registros diretamente no Firehose. Para obter mais informações, consulte Habilitar o registro a partir de AWS serviços.

A AWSServiceRoleForLogDeliverya função vinculada ao serviço confia nos seguintes serviços para assumir a função:

  • logs.amazonaws.com

A política de permissões de função permite que o CloudWatch Logs conclua as seguintes ações nos recursos especificados:

  • Ação: firehose:PutRecord e firehose:PutRecordBatch em todos os fluxos do Firehose que tenham uma tag com uma chave LogDeliveryEnabled com um valor de True. Essa tag é anexada automaticamente a um fluxo do Firehose quando você cria uma assinatura para entregar os logs ao Firehose.

Você deve configurar permissões para que uma entidade do IAM crie, edite ou exclua uma função vinculada ao serviço. Essa entidade pode ser um usuário, um grupo ou uma função. Para mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

Criação de uma função vinculada ao serviço para Logs CloudWatch

Não é necessário criar manualmente uma função vinculada ao serviço. Quando você configura registros para serem enviados diretamente para um stream do Firehose na, na ou na AWS API AWS Management Console AWS CLI, o CloudWatch Logs cria a função vinculada ao serviço para você.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você configura novamente os registros para serem enviados diretamente para um stream do Firehose, o CloudWatch Logs cria novamente a função vinculada ao serviço para você.

Editando uma função vinculada ao serviço para Logs CloudWatch

CloudWatch Os registros não permitem que você edite AWSServiceRoleForLogDelivery, ou qualquer outra função vinculada ao serviço, depois de criá-la. Não é possível alterar o nome da função, pois várias entidades podem fazer referência a ela. No entanto, será possível editar a descrição da função usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluindo uma função vinculada ao serviço para Logs CloudWatch

Se você não precisar mais usar um atributo ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.

nota

Se o serviço CloudWatch Logs estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir CloudWatch os recursos do Logs usados pelo AWSServiceRoleForLogDeliveryFunção vinculada ao serviço do

  • Interrompa o envio de logs diretamente para os fluxos do Firehose.

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Use o console do IAM AWS CLI, o ou a AWS API para excluir o AWSServiceRoleForLogDeliveryfunção vinculada ao serviço. Para obter mais informações, consulte Excluir uma função vinculada ao serviço.

Regiões suportadas para funções vinculadas ao serviço CloudWatch Logs

CloudWatch O Logs oferece suporte ao uso de funções vinculadas ao serviço em todas as AWS regiões em que o serviço está disponível. Para obter mais informações, consulte CloudWatch Regiões e endpoints de registros.