# Usar funções vinculadas ao serviço para o CloudWatch
<a name="using-service-linked-roles"></a>

O Amazon CloudWatch usa [funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) do AWS Identity and Access Management (IAM). A função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao CloudWatch. As funções vinculadas ao serviço são predefinidas pelo CloudWatch e incluem todas as permissões que o serviço requer para chamar outros produtos da AWS em seu nome. 

A função vinculada ao serviço do CloudWatch facilita as configurações de alarmes do CloudWatch que podem terminar, interromper ou reinicializar uma instância do Amazon EC2 sem a necessidade de adicionar as permissões necessárias manualmente. Outra função vinculada ao serviço permite que uma conta de monitoramento acesse dados do CloudWatch de outras contas especificadas por você, para criar painéis entre contas e entre regiões.

O CloudWatch define as permissões dessas funções vinculadas ao serviço e, a menos que definido de outra forma, somente o CloudWatch poderá assumir a função. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Você pode excluir os perfis somente depois de primeiro excluir seus recursos relacionados. Essa restrição protege seus recursos do CloudWatch, pois não é possível remover acidentalmente as permissões para acessar os recursos.

Para saber mais sobre outros serviços que ofereçam suporte a perfis vinculados ao serviço, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que indiquem **Sim** na coluna **Perfil vinculado ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.

## Permissões de função vinculada ao serviço para ações do EC2 de alarmes do CloudWatch
<a name="service-linked-role-permissions"></a>

O CloudWatch usa a função vinculada ao serviço chamada **AWSServiceRoleForCloudWatchEvents**: o CloudWatch usa essa função vinculada ao serviço para executar ações de alarmes do Amazon EC2.

A função vinculada ao serviço AWSServiceRoleForCloudWatchEvents se apoia no serviço do CloudWatch Events abaixo para assumir a função. O CloudWatch Events invoca as ações de terminar, interromper ou reinicializar as instâncias quando chamado pelo alarme.

A política de permissões de função vinculada ao serviço AWSServiceRoleForCloudWatchEvents permite que o CloudWatch Events conclua estas ações nas instâncias do Amazon EC2:
+ `ec2:StopInstances`
+  `ec2:TerminateInstances`
+ `ec2:RecoverInstances`
+  `ec2:DescribeInstanceRecoveryAttribute`
+ `ec2:DescribeInstances`
+  `ec2:DescribeInstanceStatus`

A política de permissões de função vinculada ao serviço **AWSServiceRoleForCloudWatchCrossAccount** permite que o CloudWatch conclua as seguintes ações:
+ `sts:AssumeRole`

## Permissões de perfil vinculado ao serviço da configuração de telemetria do CloudWatch
<a name="service-linked-role-telemetry-config"></a>

O administrador de observabilidade do CloudWatch cria e usa um perfil vinculado ao serviço denominado **AWSServiceRoleForObservabilityAdmin**: o CloudWatch usa este perfil vinculado ao serviço para ser compatível com a descoberta de configuração de telemetria e recursos para o AWS Organizations. O perfil é criado em todas as contas de membros da organização.

O perfil **AWSServiceRoleForObservabilityAdmin** vinculado ao serviço confia no Observability Admin para assumir o perfil. O Observability Admin gerencia os AWS Config Service Linked Configuration Recorders e o Service Linked Configuration Aggregator nas contas do Organizations.

O perfil **AWSServiceRoleForObservabilityAdmin** vinculado ao serviço tem uma política anexada, denominada AWSObservabilityAdminServiceRolePolicy, que concede permissão ao CloudWatch Observability Admin para realizar as seguintes ações:
+ `organizations:ListAccounts`
+ `organizations:ListAccountsForParent`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:DescribeOrganization`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListDelegatedAdministrators`
+ `config:PutServiceLinkedConfigurationRecorder`
+ `config:DeleteServiceLinkedConfigurationRecorder`
+ `config:PutConfigurationAggregator`
+ `config:DeleteConfigurationAggregator`
+ `config:SelectAggregateResourceConfig`
+ `iam:CreateServiceLinkedRole`
+ `iam:PassRole`

O conteúdo completo da política AWSObservabilityAdminServiceRolePolicy é o seguinte:

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListAccounts",
				"organizations:ListAccountsForParent",
				"organizations:ListChildren",
				"organizations:ListParents",
				"organizations:DescribeOrganization",
				"organizations:DescribeOrganizationalUnit"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"config:PutServiceLinkedConfigurationRecorder",
				"config:DeleteServiceLinkedConfigurationRecorder"
			],
			"Resource": [
				"arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForObservabilityAdmin/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"config:PutConfigurationAggregator",
				"config:DeleteConfigurationAggregator",
				"config:SelectAggregateResourceConfig"
			],
			"Resource": [
				"arn:aws:config:*:*:config-aggregator/aws-service-config-aggregator/observabilityadmin.amazonaws.com/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:CreateServiceLinkedRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
			],
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
			],
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"organizations:EnableAWSServiceAccess"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"observabilityadmin.amazonaws.com",
						"config.amazonaws.com"
					]
				}
			}
		}
	]
}
```

------

## Permissões de perfil vinculado ao serviço para a habilitação de telemetria do CloudWatch
<a name="service-linked-role-telemetry-enablement"></a>

A política `AWSObservabilityAdminTelemetryEnablementServiceRolePolicy` concede as permissões necessárias para habilitar e gerenciar as configurações de telemetria para recursos da AWS com base em regras de telemetria.

Essa política concede permissões para:
+ Operações básicas de telemetria, incluindo a descrição de VPCs, logs de fluxo, grupos de logs. Também inclui permissões para habilitar a configuração de registro em log para registro em log de clusters do EKS, configuração de registro em log de entrada do WAF, habilitação de logs do NLB, registro em log de consultas do Route53 Resolver, monitoramento detalhado do Amazon EC2, Security Hub, Bedrock AgentCore Gateway, Bedrock AgentCore Memory e distribuição do CloudFront. 
+ Operações de marcação de recursos com a tag `CloudWatchTelemetryRuleManaged` para rastrear recursos gerenciados
+ Configuração de entrega de logs para serviços como o AWS Bedrock e logs de fluxo da VPC
+ Gerenciamento de gravadores de configuração para rastreamento de habilitação de telemetria

A política impõe limites de segurança por meio de condições que:
+ Restringem as operações aos recursos dentro da mesma conta usando `aws:ResourceAccount`
+ Exigem a tag `CloudWatchTelemetryRuleManaged` para modificações de recursos
+ Limite o acesso do gravador de configuração aos associados à habilitação da telemetria

 [O conteúdo completo da política AWSObservabilityAdminTelemetryEnablementServiceRolePolicy pode ser encontrado aqui: AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSObservabilityAdminTelemetryEnablementServiceRolePolicy.html).

## Permissões de perfis vinculados ao serviço para o CloudWatch Application Signals
<a name="service-linked-role-signals"></a>

O CloudWatch Application Signals usa o perfil vinculado ao serviço denominado **AWSServiceRoleForCloudWatchApplicationSignals**: o CloudWatch usa esse perfil vinculado ao serviço para coletar dados do CloudWatch Logs, dados de rastreamento do X-Ray, dados de métricas do CloudWatch e dados de marcação de aplicações que você habilitou para o CloudWatch Application Signals.

O perfil vinculado ao serviço **AWSServiceRoleForCloudWatchApplicationSignals** confia no CloudWatch Application Signals para assumir o perfil. O Application Signals coleta dados de logs, rastreamentos, métricas e tags usando sua conta.

O **AWSServiceRoleForCloudWatchApplicationSignals** possui uma política do IAM anexada, e essa política é denominada **CloudWatchApplicationSignalsServiceRolePolicy**. Essa política concede permissão ao CloudWatch Application Signals para coletar dados de monitoramento e de marcação de outros serviços da AWS relevantes. Ela inclui permissões para que o Application Signals conclua as seguintes ações:
+ `xray`: recuperar rastreamentos do X-Ray.
+ `logs`: recuperar as informações atuais dos logs do CloudWatch.
+ `cloudwatch`: recuperar as informações atuais das métricas do CloudWatch.
+ `tags`: recuperar as tags atuais.
+ `application-signals`: recuperar informações sobre SLOs e suas janelas de exclusão de tempo associadas.
+ `autoscaling`: recuperar tags de aplicações do grupo de Auto Scaling do Amazon EC2.
+ `resource-explorer-2`: recuperar informações atuais de recursos da AWS no AWS Resource Explorer.
+ `cloudtrail`: permitir a criação de canais vinculados aos serviços para recuperar eventos do CloudTrail.

O conteúdo completo da **CloudWatchApplicationSignalsServiceRolePolicy** é o seguinte:

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "XRayPermission",
			"Effect": "Allow",
			"Action": [
				"xray:GetServiceGraph"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "CWLogsPermission",
			"Effect": "Allow",
			"Action": [
				"logs:StartQuery",
				"logs:GetQueryResults"
			],
			"Resource": [
				"arn:aws:logs:*:*:log-group:/aws/appsignals/*:*",
				"arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "CWListMetricsPermission",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:ListMetrics"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "CWGetMetricDataPermission",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:GetMetricData"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "TagsPermission",
			"Effect": "Allow",
			"Action": [
				"tag:GetResources"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "ApplicationSignalsPermission",
			"Effect": "Allow",
			"Action": [
				"application-signals:ListServiceLevelObjectiveExclusionWindows",
			    "application-signals:GetServiceLevelObjective"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "EC2AutoScalingPermission",
			"Effect": "Allow",
			"Action": [
				"autoscaling:DescribeAutoScalingGroups"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}
```

------

## Permissões de função vinculada ao serviço para ações do Systems Manager OpsCenter de alarmes do CloudWatch
<a name="service-linked-role-permissions-opsitem"></a>

O CloudWatch usa a função vinculada ao serviço chamada **AWSServiceRoleForCloudWatchAlarms\_ActionSSM**: o CloudWatch usa essa função vinculada ao serviço para executar ações do Systems Manager OpsCenter quando o alarme do CloudWatch passa para o estado ALARM.

A função vinculada ao serviço AWSServiceRoleForCloudWatchAlarms\_ActionSSM se apoia no serviço do CloudWatch abaixo para assumir a função. Os alarmes do CloudWatch invocam as ações do Systems Manager OpsCenter quando chamado pelo alarme.

A política de permissões de função vinculada ao serviço **AWSServiceRoleForCloudWatchAlarms\_ActionSSM** permite que o Systems Manager conclua as seguintes ações:
+ `ssm:CreateOpsItem`

## Permissões de função vinculada ao serviço para ações do Systems Manager Incident Manager de alarmes do CloudWatch
<a name="service-linked-role-permissions-incident-manager"></a>

O CloudWatch usa a função vinculada ao serviço chamada **AWSServiceRoleForCloudWatchAlarms\_ActionSSMIncidents**: o CloudWatch usa essa função vinculada ao serviço para iniciar incidentes do Incident Manager quando o alarme do CloudWatch passa para o estado ALARM.

A função vinculada ao serviço **AWSServiceRoleForCloudWatchAlarms\_ActionSSMIncidents** se apoia no serviço do CloudWatch abaixo para assumir a função. Os alarmes do CloudWatch invocam a ação do Systems Manager Incident Manager quando chamado pelo alarme.

A política de permissões de função vinculada ao serviço **AWSServiceRoleForCloudWatchAlarms\_ActionSSMIncidents** permite que o Systems Manager conclua as seguintes ações:
+ `ssm-incidents:StartIncident`

## Permissões de função vinculada ao serviço para o CloudWatch entre contas e entre regiões
<a name="service-linked-role-permissions"></a>

O CloudWatch usa a função vinculada ao serviço chamada **AWSServiceRoleForCloudWatchCrossAccount**: o CloudWatch usa essa função para acessar os dados do CloudWatch em outras contas da AWS especificadas. O SLR fornece apenas a permissão da função assume para permitir que o serviço do CloudWatch assuma a função na conta de compartilhamento. É a função de compartilhamento que fornece acesso aos dados. 

A política de permissões de função vinculada ao serviço **AWSServiceRoleForCloudWatchCrossAccount** permite que o CloudWatch conclua as seguintes ações:
+ `sts:AssumeRole`

A função vinculada ao serviço **AWSServiceRoleForCloudWatchCrossAccount** se apoia no serviço do CloudWatch para assumir a função.

## Permissões de perfil vinculado ao serviço do Insights de Performance de banco de dados do CloudWatch
<a name="service-linked-role-permissions-dbperfinsights"></a>

CloudWatch usa o perfil vinculado ao serviço chamado **AWSServiceRoleForCloudWatchMetrics\_DbPerfInsights**: o CloudWatch usa esse perfil para recuperar métricas de Insights de Performance para criar alarmes e criação de snapshots. 

O perfil vinculado ao serviço ao serviço **AWSServiceRoleForCloudWatchMetrics\_DbPerfInsights** tem a política do IAM `AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy` anexada. O conteúdo dessa política está listado como a seguir:

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"pi:GetResourceMetrics"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}
```

------

O perfil vinculado ao serviço **AWSServiceRoleForCloudWatchMetrics\_DbPerfInsights** confia no serviço do CloudWatch para assumir o perfil.

## Permissões de perfil vinculado ao serviço para a centralização do CloudWatch Logs
<a name="service-linked-role-logscentralization"></a>

A política **AWSObservabilityAdminLogsCentralizationServiceRolePolicy** é anexada à entidade do IAM apropriada em sua conta gerencial central, por exemplo, o perfil de serviço do CloudWatch, para conceder as permissões necessárias para configurar e gerenciar a coleta centralizada de logs. O CloudWatch usa esse perfil para acessar os dados de telemetria de outras contas da AWS especificadas por você para criar grupos de logs, fluxos de logs e eventos de logs do CloudWatch na conta de monitoramento da sua organização. O SLR fornece apenas a permissão assume do perfil para permitir que o serviço do CloudWatch assuma o perfil na conta de monitoramento. Essa política será anexada automaticamente se você configurar a coleta centralizada de logs usando o Console de gerenciamento da AWS. Se você usar a AWS CLI ou a API para configurar a centralização dos logs, deverá anexar essa política manualmente ao perfil do IAM que será usado para tarefas de administração da observabilidade.

A política de permissões do perfil vinculado ao serviço **AWSObservabilityAdminLogsCentralizationServiceRolePolicy** permite que o CloudWatch conclua as seguintes ações:
+ `sts:AssumeRole`
+ `logs:CreateLogGroup`
+ `logs:CreateLogStream`
+ `logs:PutLogEvents`
+ `kms:Encrypt`
+ `kms:Decrypt`
+ `kms:GenerateDataKey`

O perfil vinculado ao serviço **AWSObservabilityAdminLogsCentralizationServiceRolePolicy** confia no serviço `logs-centralization.observabilityadmin.amazonaws.com` para assumir o perfil.

## Criar uma função vinculada ao serviço para o CloudWatch
<a name="create-service-linked-role-cwassm"></a>

Não é necessário criar manualmente nenhuma dessas funções vinculadas ao serviço. A primeira vez que você cria um alarme no Console de gerenciamento da AWS, na CLI do IAM ou na API do IAM, o CloudWatch cria AWSServiceRoleForCloudWatchEvents e **AWSServiceRoleForCloudWatchAlarms\_ActionSSM** para você.

Na primeira vez que você habilita a descoberta de serviços e de topologias, o Application Signals cria um **AWSServiceRoleForCloudWatchApplicationSignals** para você.

Quando você habilita uma conta para ser uma conta de monitoramento da funcionalidade entre contas e entre regiões, o CloudWatch cria **AWSServiceRoleForCloudWatchCrossAccount** para você. 

Quando você cria pela primeira vez um alarme que usa a função matemática métrica `DB_PERF_INSIGHTS`, o CloudWatch cria **AWSServiceRoleForCloudWatchMetrics\_DBPerfInsights** para você.

Para obter mais informações, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*.

## Editar uma função vinculada ao serviço para o CloudWatch
<a name="edit-service-linked-role-cw"></a>

O CloudWatch não permite editar os perfis **AWSServiceRoleForCloudWatchEvents**, **AWSServiceRoleForCloudWatchAlarms\_ActionSSM**, **AWSServiceRoleForCloudWatchCrossAccount** ou **AWSServiceRoleForCloudWatchMetrics\_DbPerfInsights**. Depois de criar essas funções, você não pode alterar seus nomes porque várias entidades podem fazer referência a elas. No entanto, você poderá editar a descrição da função usando o IAM. 

### Editar a descrição de uma função vinculada ao serviço (console do IAM)
<a name="edit-service-linked-role-iam-console-cw"></a>

Você pode usar o console do IAM para editar a descrição de uma função vinculada ao serviço.

**Para editar a descrição de uma função vinculada ao serviço (console)**

1. No painel de navegação do console do IAM, escolha **Perfis**.

1. Escolha o nome da função a ser modificada.

1. No extremo direito da **Descrição da função**, escolha **Editar**. 

1. Digite uma nova descrição na caixa e escolha **Save (Salvar)**.

### Editar a descrição de uma função vinculada ao serviço (AWS CLI)
<a name="edit-service-linked-role-iam-cli-cw"></a>

Você pode usar comandos do IAM na AWS Command Line Interface para editar a descrição de uma função vinculada ao serviço.

**Para alterar a descrição de uma função vinculada ao serviço (AWS CLI)**

1. (Opcional) Para visualizar a descrição atual de a uma função, use um dos comandos a seguir:

   ```
   $ aws iam [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) --role-name {{role-name}}
   ```

   Use o nome da função, não o ARN, para fazer referência às funções com os comandos da AWS CLI. Por exemplo, se uma função tiver o seguinte nome de recurso da Amazon (ARN): `arn:aws:iam::123456789012:role/myrole`, você fará referência à função como **myrole**.

1. Para atualizar a descrição de uma função vinculada ao serviço, use um dos seguintes comandos:

   ```
   $ aws iam [update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html) --role-name {{role-name}} --description {{description}}
   ```

### Editar a descrição de uma função vinculada ao serviço (API do IAM)
<a name="edit-service-linked-role-iam-api-cw"></a>

Você pode usar a API do IAM para editar a descrição de uma função vinculada ao serviço.

**Para alterar a descrição de uma função (API)**

1. (Opcional) Para visualizar a descrição atual de uma função, use o comando a seguir:

   [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) 

1. Para atualizar a descrição de uma função, use o comando a seguir: 

   [UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)

## Excluir uma função vinculada a serviço para o CloudWatch
<a name="delete-service-linked-role-cwe"></a>

Se você não tem mais alarmes que automaticamente interrompem, encerram ou reinicializam as instâncias do EC2, recomendamos que você exclua a função AWSServiceRoleForCloudWatchEvents.

Se você não tem mais alarmes que executam ações do Systems Manager OpsCenter, recomendamos excluir a função AWSServiceRoleForCloudWatchAlarms\_ActionSSM.

Se você excluir todos os alarmes que usam a função matemática métrica `DB_PERF_INSIGHTS`, é recomendável excluir o perfil vinculado ao serviço **AWSServiceRoleForCloudWatchMetrics\_DbPerfInsights**.

Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar sua função vinculada ao serviço antes de excluí-la.

### Limpar uma função vinculada ao serviço
<a name="service-linked-role-review-before-delete"></a>

Antes de você poder usar o IAM para excluir uma função vinculada ao serviço, você deve primeiro confirmar que a função não tem sessões ativas e remover quaisquer recursos usados pela função.

**Para verificar se a função vinculada ao serviço tem uma sessão ativa no console do IAM**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis**. Escolha o nome (não a caixa de seleção) da função AWSServiceRoleForCloudWatchEvents.

1. Na página **Resumo** da função selecionada, escolha **Consultor de acesso** e analise as atividades recentes para a função vinculada ao serviço.
**nota**  
Se você não tiver certeza se o CloudWatch está usando a função AWSServiceRoleForCloudWatchEvents, tente excluir a função. Se o serviço estiver usando a função, a exclusão falhará e você poderá visualizar as regiões da em que a função está sendo usada. Se a função está sendo usada, você deve aguardar a sessão final antes de excluir a função. Não é possível revogar a sessão de uma função vinculada a um serviço. 

### Excluir um perfil vinculado ao serviço (console do IAM)
<a name="delete-service-linked-role-iam-console-cwe"></a>

É possível usar o console do IAM para excluir uma função vinculada ao serviço.

**Para excluir uma função vinculada ao serviço (console)**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis**. Marque a caixa de seleção ao lado do nome da função que você deseja excluir, não o nome ou a linha em si. 

1. Em **Ações de função**, escolha **Excluir função**.

1. Na caixa de diálogo de confirmação, revise os dados do último acesso ao serviço, que mostram quando cada uma das funções selecionadas acessou pela última vez um serviço da AWS. Isso ajuda você a confirmar se a função está ativo no momento. Para prosseguir, selecione **Yes, Delete**.

1. Monitore as notificações do console do IAM para progresso da exclusão da função vinculada ao serviço. Como a exclusão da função vinculada ao serviço do IAM é assíncrona, depois que você enviar a função para exclusão, a tarefa de exclusão poderá ser concluída ou falhar. Se a tarefa falhar, escolha **Visualizar detalhes** ou **Visualizar recursos** nas notificações para saber por que a exclusão falhou. Se houve falha na exclusão porque há recursos no serviço que estão sendo usados pela função, o motivo da falha incluirá uma lista de recursos.

### Excluir uma função vinculada ao serviço (AWS CLI)
<a name="delete-service-linked-role-iam-cli-cwe"></a>

Você pode usar comandos do IAM na AWS Command Line Interface para excluir uma função vinculada ao serviço.

**Para excluir uma função vinculada ao serviço (AWS CLI)**

1. Como uma função vinculada ao serviço não podem ser excluída se estiver sendo usada ou tiver recursos associados, você deverá enviar uma solicitação de exclusão. Essa solicitação poderá ser negada se essas condições não forem atendidas. Você deve capturar o `deletion-task-id` da resposta para verificar o status da tarefa de exclusão. Digite o seguinte comando para enviar uma solicitação de exclusão de função vinculada ao serviço:

   ```
   $ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name {{service-linked-role-name}}
   ```

1. Digite o seguinte comando para verificar o estado da tarefa de exclusão:

   ```
   $ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id {{deletion-task-id}}
   ```

   O status da tarefa de exclusão pode ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, ou `FAILED`. Se a exclusão falhar, a chamada informará o motivo de falha para que você possa solucionar o problema.

### Excluir uma função vinculada ao serviço (API do IAM)
<a name="delete-service-linked-role-iam-api-cwe"></a>

É possível usar a API do IAM para excluir uma função vinculada ao serviço.

**Para excluir uma função vinculada ao serviço (API)**

1. Para enviar uma solicitação de exclusão de uma função vinculada ao serviço, chame [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Na solicitação, especifique o nome da função que você deseja excluir.

   Como uma função vinculada ao serviço não podem ser excluída se estiver sendo usada ou tiver recursos associados, você deverá enviar uma solicitação de exclusão. Essa solicitação poderá ser negada se essas condições não forem atendidas. Você deve capturar o `DeletionTaskId` da resposta para verificar o status da tarefa de exclusão.

1. Para verificar o status da exclusão, chame [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Na solicitação, especifique o `DeletionTaskId`.

   O status da tarefa de exclusão pode ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, ou `FAILED`. Se a exclusão falhar, a chamada informará o motivo de falha para que você possa solucionar o problema.

## Atualizações do CloudWatch para funções vinculadas ao serviço da AWS
<a name="service-linked-role-updates"></a>



Veja detalhes sobre atualizações em políticas gerenciadas pela AWS para o CloudWatch desde que esse serviço começou a monitorar essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Document history (Histórico de documentos) do CloudWatch.




| Alteração | Descrição | Data | 
| --- | --- | --- | 
|  [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement): atualização da política de perfil vinculado ao serviço.  |  Atualizadas as informações sobre a política [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement), que concede ao CloudWatch as permissões necessárias para habilitar e gerenciar as configurações de telemetria dos recursos da AWS com base em regras de telemetria.  | 31 de março de 2026 | 
|  [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement): atualização da política de perfil vinculado ao serviço.  |  Atualizadas as informações sobre a política [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement), que concede ao CloudWatch as permissões necessárias para habilitar e gerenciar as configurações de telemetria dos recursos da AWS com base em regras de telemetria.  | 10 de março de 2026 | 
|  [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement): atualização da política de perfil vinculado ao serviço.  |  Atualizadas as informações sobre a política [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement), que concede ao CloudWatch as permissões necessárias para habilitar e gerenciar as configurações de telemetria dos recursos da AWS com base em regras de telemetria.  | 2 de dezembro de 2025 | 
|  [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals): atualização nas permissões da política de perfil vinculado ao serviço  |  Atualizada a política [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals) para incluir `resource-explorer-2:Search` e `cloudtrail:CreateServiceLinkedChannel` para habilitar novos atributos do Application Signals.   | 12 de novembro de 2025 | 
|  [AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization): nova política de perfil vinculado ao serviço.  |  Foram adicionadas informações sobre a política [AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization), que concede ao CloudWatch as permissões necessárias para habilitar e gerenciar as configurações de telemetria para recursos da AWS com base em regras de telemetria.  | 5 de setembro de 2025 | 
|  [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement): nova política de perfil vinculado ao serviço.  |  Foram adicionadas informações sobre a política [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement), que concede ao CloudWatch as permissões necessárias para habilitar e gerenciar as configurações de telemetria para recursos da AWS com base em regras de telemetria.  | 17 de julho de 2025 | 
|  [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals): atualização nas permissões da política de perfil vinculado ao serviço  |  Atualização de [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals) para impedir que janelas de tempo afetem a taxa de obtenção, orçamento de erros e métricas de taxa de consumo de SLO. O CloudWatch pode recuperar janelas de exclusão em seu nome.  | 13 de março de 2025 | 
| [AWSServiceRoleForObservabilityAdmin](#service-linked-role-telemetry-config): novo perfil vinculado ao serviço | O CloudWatch adicionou este novo perfil vinculado ao serviço e a política gerenciada correspondente, AWSObservabilityAdminServiceRolePolicy, para ser compatível com a descoberta de configuração de telemetria e recursos para o AWS Organizations. | 26 de novembro de 2024 | 
|  [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals): atualização nas permissões da política de perfil vinculado ao serviço  |  O CloudWatch adicionou mais grupos de log ao escopo das permissões `logs:StartQuery` e `logs:GetQueryResults` concedidas por este perfil.  | 24 de abril de 2024 | 
|  [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals): novo perfil vinculado ao serviço  |  O CloudWatch adicionou esse novo perfil vinculado ao serviço para permitir que o CloudWatch Application Signals colete dados do CloudWatch Logs, dados de rastreamento do X-Ray, dados de métricas do CloudWatch e dados de marcação de aplicações que você habilitou para o CloudWatch Application Signals.  | 9 de novembro de 2023 | 
|  [AWSServiceRoleForCloudWatchMetrics\_DbPerfInsights](#service-linked-role-permissions-dbperfinsights): novo perfil vinculado ao serviço  |  O CloudWatch adicionou esse novo perfil vinculado ao serviço para permitir que o CloudWatch busque métricas de Insights de Performance para alarmes e captura de instantâneos. Uma política do IAM está anexada a esse perfil, e a política concede permissão ao CloudWatch para buscar métricas de Insights de Performance em seu nome.  | 13 de setembro de 2023 | 
|  [AWSServiceRoleForCloudWatchAlarms\_ActionSSMIncidents](#service-linked-role-permissions-incident-manager): nova função vinculada ao serviço  |  O CloudWatch adicionou uma nova função vinculada ao serviço para permitir que o CloudWatch crie incidentes no AWS Systems Manager Incident Manager.  | 26 de abril de 2021 | 
|  O CloudWatch começou a monitorar alterações  |  O CloudWatch começou a rastrear alterações para seus perfis vinculados ao serviço.  | 26 de abril de 2021 |