Verwenden von serviceverknüpften Rollen für Logs CloudWatch - CloudWatch Amazon-Protokolle
Dienstbezogene Rollenberechtigungen für Logs CloudWatch Eine serviceverknüpfte Rolle für Logs erstellen CloudWatch Bearbeitung einer serviceverknüpften Rolle für Logs CloudWatch Löschen einer dienstbezogenen Rolle für Logs CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Logs CloudWatch

Amazon CloudWatch Logs verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Logs verknüpft ist. CloudWatch Dienstbezogene Rollen sind in CloudWatch Logs vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine dienstbezogene Rolle macht die Einrichtung von CloudWatch Logs effizienter, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. CloudWatch Logs definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, können nur CloudWatch Logs diese Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann an keine andere IAM-Entität angefügt werden.

Weitere Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter AWS -Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Yes (Ja) in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Dienstbezogene Rollenberechtigungen für Logs CloudWatch

CloudWatch Logs verwendet die angegebene dienstverknüpfte Rolle. AWSServiceRoleForLogDelivery CloudWatch Logs verwendet diese dienstbezogene Rolle, um Protokolle direkt in Firehose zu schreiben. Weitere Informationen finden Sie unter Aktivieren Sie die Protokollierung von Diensten AWS.

Die serviceverknüpfte Rolle AWSServiceRoleForLogDelivery vertraut darauf, dass die folgenden Services die Rolle annehmen:

  • logs.amazonaws.com

Die Richtlinie für Rollenberechtigungen ermöglicht es CloudWatch Logs, die folgenden Aktionen an den angegebenen Ressourcen durchzuführen:

  • Aktion: firehose:PutRecord und firehose:PutRecordBatch auf allen Firehose-Streams, die ein Tag mit einem LogDeliveryEnabled Schlüssel mit einem Wert von True haben. Dieses Tag wird automatisch an einen Firehose-Stream angehängt, wenn Sie ein Abonnement für die Übermittlung der Protokolle an Firehose erstellen.

Sie müssen Berechtigungen konfigurieren, die es einer IAM-Entität erlaubt, eine serviceverknüpfte Rolle zu erstellen, zu bearbeiten oder zu löschen. Diese Entität kann ein Benutzer, eine Gruppe oder eine Rolle sein. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigungen im IAM-Benutzerhandbuch.

Eine serviceverknüpfte Rolle für Logs erstellen CloudWatch

Sie brauchen keine serviceverknüpfte Rolle manuell erstellen. Wenn Sie Protokolle so einrichten, dass sie direkt an einen Firehose-Stream in der AWS Management Console, der oder der AWS CLI AWS API gesendet werden, erstellt CloudWatch Logs die dienstbezogene Rolle für Sie.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie erneut Protokolle so einrichten, dass sie direkt an einen Firehose-Stream gesendet werden, erstellt CloudWatch Logs die dienstverknüpfte Rolle erneut für Sie.

Bearbeitung einer serviceverknüpften Rolle für Logs CloudWatch

CloudWatch Logs ermöglicht es Ihnen nicht AWSServiceRoleForLogDelivery, diese oder jede andere dienstbezogene Rolle zu bearbeiten, nachdem Sie sie erstellt haben. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung nicht geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer dienstbezogenen Rolle für Logs CloudWatch

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn der CloudWatch Logs-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

Um CloudWatch Logs-Ressourcen zu löschen, die von der mit dem AWSServiceRoleForLogDeliveryDienst verknüpften Rolle verwendet werden

  • Beenden Sie das direkte Senden von Protokollen an Firehose-Streams.

So löschen Sie die serviceverknüpfte Rolle mit IAM

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSServiceRoleForLogDeliveryserviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle

Unterstützte Regionen für dienstverknüpfte CloudWatch Logs-Rollen

CloudWatch Logs unterstützt die Verwendung von dienstbezogenen Rollen in allen AWS Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter CloudWatch Logs, Regionen und Endpoints.