为 CloudWatch 使用服务相关角色 - Amazon CloudWatch

为 CloudWatch 使用服务相关角色

Amazon CloudWatch 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 CloudWatch 直接相关。服务相关角色由 CloudWatch 预定义,并包含该服务代表您调用其他 AWS 服务所需的一切权限。

CloudWatch 中的一个服务相关角色将设置可终止、停止或重启 Amazon EC2 实例的 CloudWatch 告警,而无需您手动添加必要的权限。另一个服务相关角色可让监控账户访问您指定的其他账户的 CloudWatch 数据,从而构建跨账户跨区域的控制面板。

CloudWatch 定义这些服务相关角色的权限,除非另行定义,否则仅 CloudWatch 能够代入该角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其它 IAM 实体。

只有在首先删除角色的相关资源后,才能删除角色。此限制将保护您的 CloudWatch 资源,因为您不会无意中删除对资源的访问权限。

有关支持服务相关角色的其它服务的信息,请参阅使用 IAM 的 AWS 服务并查找 Service-Linked Role(服务相关角色)列中显示为 Yes(是)的服务。选择和链接,查看该服务的服务相关角色文档。

CloudWatch EC2 操作的服务相关角色权限

CloudWatch 使用名为 AWSServiceRoleForCloudWatchEvents 的服务相关角色 – CloudWatch 使用此服务相关角色执行 Amazon EC2 告警操作。

AWSServiceRoleForCloudWatchEvents 服务相关角色信任 CloudWatch Events 服务来代入该角色。CloudWatch Events 在被告警调起时,调用终止、停止或重启实例操作。

AWSServiceRoleForCloudWatchEvents 服务相关角色权限策略允许 CloudWatch Events 对 Amazon EC2 实例完成以下操作:

  • ec2:StopInstances

  • ec2:TerminateInstances

  • ec2:RecoverInstances

  • ec2:DescribeInstanceRecoveryAttribute

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

AWSServiceRoleForCloudWatchCrossAccount 服务相关角色权限策略允许 CloudWatch 完成以下操作:

  • sts:AssumeRole

CloudWatch Application Signals 的服务相关角色权限

CloudWatch Application Signals 使用名为 AWSServiceRoleForCloudWatchApplicationSignals 的服务相关角色。CloudWatch 使用这个服务相关角色从您为 CloudWatch Application Signals 启用的应用程序中收集 CloudWatch Logs 数据、X-Ray 跟踪数据、CloudWatch 指标数据和标记数据。

AWSServiceRoleForCloudWatchApplicationSignals 服务相关角色信任 CloudWatch Application Signals 来代入该角色。Application Signals 会从您的账户收集日志、跟踪、指标和标签数据。

AWSServiceRoleForCloudWatchApplicationSignals 附加有 IAM 策略,此政策名为 CloudWatchApplicationSignalsServiceRolePolicy。此策略授予 CloudWatch Application Signals 从其他相关 AWS 服务收集监控和标记数据的权限。其中包含允许 Application Signals 完成以下操作的权限:

  • xray:GetServiceGraph

  • logs:StartQuery

  • logs:GetQueryResults

  • cloudwatch:GetMetricData

  • cloudwatch:ListMetrics

  • tag:GetResources

CloudWatchSyntheticsReadOnlyAccess 的完整内容如下所示:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "XRayPermission", "Effect": "Allow", "Action": [ "xray:GetServiceGraph" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "CWLogsPermission", "Effect": "Allow", "Action": [ "logs:StartQuery", "logs:GetQueryResults" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/appsignals/*:*", "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "CWListMetricsPermission", "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "CWGetMetricDataPermission", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData" ], "Resource": [ "*" ] }, { "Sid": "TagsPermission", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }

CloudWatch 告警 Systems Manager OpsCenter 操作的服务相关角色权限

CloudWatch 使用名为 AWSServiceRoleForCloudWatchAlarms_ActionSSM 的服务相关角色 – CloudWatch 在告警进入 ALARM(告警)状态时使用此服务相关角色执行 Systems Manager OpsCenter 操作。

AWSServiceRoleForCloudWatchAlarms_ActionSSM 服务相关角色信任 CloudWatch 服务来代入该角色。CloudWatch 告警在被告警调用时,将调用 Systems Manager OpsCenter 操作。

AWSServiceRoleForCloudWatchAlarms_ActionSSM 服务相关角色权限策略允许 Systems Manager 完成以下操作:

  • ssm:CreateOpsItem

CloudWatch 告警 Systems Manager Incident Manager 操作的服务相关角色权限

CloudWatch 使用名为 AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents 的服务相关角色 – CloudWatch 在告警进入 ALARM(告警)状态时使用此服务相关角色启动 Incident Manager 事件。

AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents 服务相关角色信任 CloudWatch 服务来代入该角色。CloudWatch 告警在被告警调用时,将调用 Systems Manager Incident Manager 操作。

AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents 服务相关角色权限策略允许 Systems Manager 完成以下操作:

  • ssm-incidents:StartIncident

CloudWatch 跨账户跨区域的服务相关角色权限

CloudWatch 使用名为 AWSServiceRoleForCloudWatchCrossAccount 的服务相关角色 – CloudWatch 使用此角色访问您指定的其他 AWS 账户中的 CloudWatch 数据。SLR 仅提供代入角色权限以允许 CloudWatch 服务代入共享账户中的角色。它是提供对数据的访问权限的共享角色。

AWSServiceRoleForCloudWatchCrossAccount 服务相关角色权限策略允许 CloudWatch 完成以下操作:

  • sts:AssumeRole

AWSServiceRoleForCloudWatchCrossAccount 服务相关角色信任 CloudWatch 服务来代入该角色。

CloudWatch 数据库性能详情的服务相关角色权限

CloudWatch 使用名为 AWSServiceRoleForCloudWatchMetrics_DbPerfInsights 的服务相关角色。– CloudWatch 使用此角色检索用于创建警报和快照的性能详情指标。

AWSServiceRoleForCloudWatchMetrics_DbPerfInsights 服务相关角色附加了 AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy IAM 策略。该策略的内容如下所示:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "pi:GetResourceMetrics" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }

AWSServiceRoleForCloudWatchMetrics_DbPerfInsights 服务相关角色信任 CloudWatch 服务来代入该角色。

为 CloudWatch 创建服务相关角色

您无需手动创建这两个服务相关角色。当您首次在 AWS Management Console、IAM CLI 或 IAM API 中创建告警时,CloudWatch 会为您创建 AWSServiceRoleForCloudWatchEvents 和 AWSServiceRoleForCloudWatchAlarms_ActionSSM

首次启用服务和拓扑发现时,Application Signals 会为您创建 AWSServiceRoleForCloudWatchApplicationSignals

当您首次启用一个账户作为跨账户跨区域功能的监控账户时,CloudWatch 会为您创建 AWSServiceRoleForCloudWatchCrossAccount

当您第一次创建使用 DB_PERF_INSIGHTS 指标数学函数的警报时,CloudWatch 会为您创建 AWSServiceRoleForCloudWatchMetrics_DbPerfInsights

有关更多信息,请参阅《IAM 用户指南》中的 创建服务相关角色

为 CloudWatch 编辑服务相关角色

CloudWatch 不允许您编辑 AWSServiceRoleForCloudWatchEventsAWSServiceRoleForCloudWatchAlarms_ActionSSMAWSServiceRoleForCloudWatchCrossAccountAWSServiceRoleForCloudWatchMetrics_DbPerfInsights 角色。在创建这些角色后,您无法更改这些角色的名称,因为可能有不同的实体引用它们。但是,您可以使用 IAM 编辑这些角色的描述。

编辑服务相关角色描述(IAM 控制台)

您可以使用 IAM 控制台编辑服务相关角色的描述。

编辑服务相关角色的描述(控制台)
  1. 在 IAM 控制台的导航窗格中,选择角色

  2. 以下代码示例显示如何将 IAM 策略附加到用户。

  3. Role description 的最右侧,选择 Edit

  4. 在框中键入新描述,然后选择 Save (保存)

编辑服务相关角色描述 (AWS CLI)

您可以从 AWS Command Line Interface 使用 IAM 命令编辑服务相关角色的描述。

更改服务相关角色描述 (AWS CLI)
  1. (可选) 要查看角色的当前描述,请使用以下命令:

    $ aws iam get-role --role-name role-name

    可以在 AWS CLI 命令中使用角色名称(而不是 ARN)引用角色。例如,如果某个角色的 ARN 为 arn:aws:iam::123456789012:role/myrole,则将该角色称为 myrole

  2. 要更新服务相关角色的描述,请使用以下命令:

    $ aws iam update-role-description --role-name role-name --description description

编辑服务相关角色描述 (IAM API)

您可以使用 IAM API 编辑服务相关角色的描述。

更改服务相关角色的描述(API)
  1. (可选) 要查看角色的当前描述,请使用以下命令:

    GetRole

  2. 要更新角色的描述,请使用以下命令:

    UpdateRoleDescription

为 CloudWatch 删除服务相关角色

如果您不再具有自动停止、终止或重启 EC2 实例的警报,我们建议您删除 AWSServiceRoleForCloudWatchEvents 角色。

如果您不再具有执行 Systems Manager OpsCenter 操作的告警,我们建议您删除 AWSServiceRoleForCloudWatchAlarms_ActionSSM 角色。

如果您删除使用 DB_PERF_INSIGHTS 指标数学函数的所有警报,则建议您删除 AWSServiceRoleForCloudWatchMetrics_DbPerfInsights 服务相关角色。

这样就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能将其删除。

清除服务相关角色

必须先确认服务相关角色没有活动会话并删除该角色使用的任何资源,然后才能使用 IAM 删除服务相关角色。

在 IAM 控制台中检查服务相关角色是否具有活动会话
  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择角色。选择 AWSServiceRoleForCloudWatchEvents 角色的名称(不是复选框)。

  3. 在选定角色的摘要页上,选择访问顾问并查看服务相关角色的近期活动。

    注意

    如果您不确定 CloudWatch 是否正在使用 AWSServiceRoleForCloudWatchEvents 角色,请尝试删除该角色。如果服务正在使用该角色,则删除操作会失败,并且您可以查看正在使用该角色的 区域。如果该角色已被使用,则您必须等待会话结束,然后才能删除该角色。您无法撤销服务相关角色对会话的权限。

删除服务相关角色(IAM 控制台)

您可以使用 IAM 控制台删除服务相关角色。

删除服务相关角色(控制台)
  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择角色。选中要删除的角色名称旁的复选框,而不是名称或行本身。

  3. 对于角色操作,请选择删除角色

  4. 在确认对话框中,查看上次访问服务数据,该数据显示每个选定角色上次访问AWS服务的时间。这样可帮助您确认角色当前是否处于活动状态。要继续,请选择 Yes, Delete(是的,删除)

  5. 监视 IAM 控制台通知,以监控服务相关角色的删除进度。由于 IAM 服务相关角色的删除是异步操作,因此,在提交要删除的角色后,删除任务可能会成功,也可能会失败。如果该任务失败,请从通知中选择查看详细信息查看资源以了解删除失败的原因。如果因角色正在使用服务中的资源而导致删除操作失败,则失败原因将包含一个资源列表。

删除服务相关角色 (AWS CLI)

您可以从 AWS Command Line Interface 使用 IAM 命令删除服务相关角色。

删除服务相关角色 (AWS CLI)
  1. 如果服务相关角色正被使用或具有关联的资源,则无法删除它,因此您必须提交删除请求。如果不满足这些条件,该请求可能会被拒绝。您必须从响应中捕获 deletion-task-id 以检查删除任务的状态。键入以下命令以提交服务相关角色的删除请求:

    $ aws iam delete-service-linked-role --role-name service-linked-role-name
  2. 键入以下命令以检查删除任务的状态:

    $ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    删除任务的状态可能是 NOT_STARTEDIN_PROGRESSSUCCEEDEDFAILED。如果删除失败,则调用会返回失败的原因,以便您进行问题排查。

删除服务相关角色(IAM API)

您可以使用 IAM API 删除服务相关角色。

删除服务相关角色(API)
  1. 要提交服务相关角色的删除请求,请调用 DeleteServiceLinkedRole。在请求中,指定您要删除的角色名称。

    如果服务相关角色正被使用或具有关联的资源,则无法删除它,因此您必须提交删除请求。如果不满足这些条件,该请求可能会被拒绝。您必须从响应中捕获 DeletionTaskId 以检查删除任务的状态。

  2. 要检查删除的状态,请调用 GetServiceLinkedRoleDeletionStatus。在请求中,指定 DeletionTaskId

    删除任务的状态可能是 NOT_STARTEDIN_PROGRESSSUCCEEDEDFAILED。如果删除失败,则调用会返回失败的原因,以便您进行问题排查。

对 AWS 服务相关角色的 CloudWatch 更新

查看有关 CloudWatch 的 AWS 托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 CloudWatch 文档历史记录页面上的 RSS 源。

更改 描述 日期

AWSServiceRoleForCloudWatchApplicationSignals – 更新为服务相关角色策略的权限

CloudWatch 将更多日志组添加到此角色授予的 logs:StartQuerylogs:GetQueryResults 权限的范围。

2024 年 4 月 24 日

AWSServiceRoleForCloudWatchApplicationSignals:新的服务相关角色

CloudWatch 添加了这个新的服务相关角色,以允许 CloudWatch Application Signals 收集 CloudWatch Logs 数据、X-Ray 跟踪数据、CloudWatch 指标数据,以及您为 CloudWatch Application Signals 启用的应用程序中的标记数据。

2023 年 11 月 9 日

AWSServiceRoleForCloudWatchMetrics_DbPerfInsights – 新的服务相关角色

CloudWatch 添加了这个新的服务相关角色,允许 CloudWatch 获取用于警报和快照的性能详情指标。此角色附加了一个 IAM 策略,该策略授予 CloudWatch 代表您获取性能详情指标的权限。

2023 年 9 月 13 日

AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents – 新的服务相关角色

CloudWatch 添加了新的服务相关角色,以允许 CloudWatch 在 AWS Systems Manager Incident Manager 中创建事件。

2021 年 4 月 26 日

CloudWatch 开始跟踪更改

CloudWatch 开始跟踪其服务相关角色的更改。

2021 年 4 月 26 日