将服务相关角色用于 CloudWatch 网络监测仪
Amazon CloudWatch 网络监测仪通过以下服务相关角色获取代表您调用其他 AWS 服务所需的权限:
AWSServiceRoleForNetworkMonitor
CloudWatch 网络监控使用名为 AWSServiceRoleForNetworkMonitor
的服务相关角色更新和管理 CloudWatch 网络监测仪。
AWSServiceRoleForNetworkMonitor
服务相关角色仅信任以下服务来担任该角色:
-
networkmonitor.amazonaws.com
CloudWatchNetworkMonitorServiceRolePolicy
附加到服务相关角色,授予服务访问您账户中的 VPC 和 EC2 资源以及管理已创建网络监测仪的访问权限。
权限分组
策略分组为以下权限集:
-
cloudwatch
:允许服务主体向 CloudWatch 资源发布网络监控指标。 -
ec2
:允许服务主体描述您账户中的 VPC 和子网,以创建或更新监测仪和探测器。此权限集还允许服务主体创建、修改和删除安全组、网络接口及其关联权限,以配置监测仪或探测器,来向您的端点发送监控流量。
有关策略的更多信息,请参阅 CloudWatch 网络监测仪的 AWS 托管策略。
CloudWatchNetworkMonitorServiceRolePolicy
如下:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PublishCw", "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/NetworkMonitor" } } }, { "Sid": "DescribeAny", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "DeleteModifyEc2Resources", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterfacePermission", "ec2:RevokeSecurityGroupEgress", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DeleteNetworkInterface", "ec2:DeleteSecurityGroup" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/ManagedByCloudWatchNetworkMonitor": "true" } } } ] }
创建服务相关角色
AWSServiceRoleForNetworkMonitor
您无需手动创建 AWSServiceRoleForNetworkMonitor
角色。
-
CloudWatch 网络监测仪会在您首次创建网络监测仪时创建
AWSServiceRoleForNetworkMonitor
角色。该角色将应用于您后续创建的任何监测仪。
要代表您创建服务相关角色,您必须具有所需权限。有关更多信息,请参阅 IAM 用户指南 中的服务相关角色权限。
编辑服务相关角色
您可以使用 IAM 编辑 AWSServiceRoleForNetworkMonitor
描述。有关更多信息,请参阅 IAM 用户指南 中的编辑服务相关角色。
删除服务相关角色
如果您不再需要使用 CloudWatch 网络监测仪,我们建议您删除 AWSServiceRoleForNetworkMonitor
角色。
您只有在删除网络监测仪后,才能删除服务相关角色。有关删除网络监测仪的信息,请参阅 Delete a network monitor。
您可以使用 IAM 控制台、IAM CLI 或 IAM API 删除服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的删除服务相关角色。
删除 AWSServiceRoleForNetworkMonitor
后,CloudWatch 网络监测仪将在创建新的监测仪时再次创建角色。
CloudWatch 网络监测仪服务相关角色支持的区域
CloudWatch 网络监测仪支持在提供该服务的所有 AWS 区域 使用服务相关角色。有关更多信息,请参阅 AWS 一般参考 中的 AWS 端点。