Verwenden von serviceverknüpften Rollen für CloudWatch - Amazon CloudWatch
Serviceverknüpfte Rollenberechtigungen für EC2-Aktionen von CloudWatch-AlarmenServiceverknüpfte Rollenberechtigungen für die CloudWatch-TelemetriekonfigurationServiceverknüpfte Rollenberechtigungen für die Aktivierung der CloudWatch-TelemetrieServiceverknüpfte Rollenberechtigungen für CloudWatch Application SignalsServiceverknüpfte Rollenberechtigungen für Systems-Manager-OpsCenter-Aktionen von CloudWatch-AlarmenServiceverknüpfte Rollenberechtigungen für CloudWatch-Alarme für Aktionen von Systems Manager Incident ManagerServiceverknüpfte Rollenberechtigungen für konto- und regionenübergreifende CloudWatch-BerechtigungenServiceverknüpfte Rollenberechtigungen für die CloudWatch-Datenbank Performance InsightsServiceverknüpfte Rollenberechtigungen für die CloudWatch-Logs-ZentralisierungErstellen einer serviceverknüpften Rolle für CloudWatchBearbeiten einer serviceverknüpften Rolle für CloudWatch Löschen einer serviceverknüpften Rolle für CloudWatchAktualisierungen von Rollen

Verwenden von serviceverknüpften Rollen für CloudWatch

Amazon CloudWatch verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit CloudWatch verknüpft ist. Serviceverknüpfte Rollen werden von CloudWatch vordefiniert und enthalten alle Berechtigungen, die der Service zum Aufrufen anderer AWS-Services in Ihrem Namen erfordert.

Eine serviceverknüpfte Rolle in CloudWatch übernimmt das Einrichten von CloudWatch-Alarmen, die eine Amazon-EC2-Instance beenden, anhalten oder neu starten können, ohne dass Sie die erforderlichen Berechtigungen manuell hinzufügen müssen. Eine andere serviceverknüpfte Rolle ermöglicht es einem Überwachungskonto, auf CloudWatch-Daten von anderen von Ihnen angegebenen Konten zuzugreifen, um konto- und regionenübergreifende Dashboards zu erstellen.

CloudWatch definiert die Berechtigungen dieser serviceverknüpften Rolle. Sofern keine andere Konfiguration festgelegt wurde, kann nur CloudWatch die Rolle übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Sie können die Rollen nur nach dem Löschen der zugehörigen Ressourcen löschen. Dies schützt Ihre CloudWatch-Ressourcen, da Sie nicht versehentlich die Berechtigungen für den Zugriff auf die Ressourcen entfernen können.

Informationen zu anderen Services, die servicegebundene Rollen unterstützen, finden Sie unter AWS-Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Servicegebundene Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Serviceverknüpfte Rollenberechtigungen für EC2-Aktionen von CloudWatch-Alarmen

CloudWatch verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForCloudWatchEvents – CloudWatch verwendet diese serviceverknüpfte Rolle, um Amazon-EC2-Alarmaktionen auszuführen.

Die serviceverknüpfte Rolle „AWSServiceRoleForCloudFrontLogger“ vertraut dem CloudWatch-Events-Service, um die Rolle zu übernehmen: CloudWatch Events ruft die Instance-Aktionen zum Beenden, Anhalten oder Neustarten auf, wenn der jeweilige Alarm dies auslöst.

Die serviceverknüpfte Rollenberechtigungsrichtlinie AWSServiceRoleForCloudWatchEvents ermöglicht es CloudWatch Events, die folgenden Aktionen auf Amazon-EC2-Instances auszuführen:

  • ec2:StopInstances

  • ec2:TerminateInstances

  • ec2:RecoverInstances

  • ec2:DescribeInstanceRecoveryAttribute

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

Mit der serviceverknüpften Rollenberechtigungsrichtlinie AWSServiceRoleForCloudWatchCrossAccount kann CloudWatch die folgenden Aktionen ausführen:

  • sts:AssumeRole

Serviceverknüpfte Rollenberechtigungen für die CloudWatch-Telemetriekonfiguration

CloudWatch erstellt eine serviceverknüpfte Rolle mit dem Namen AWSServiceRoleForObservabilityAdmin – CloudWatch verwendet diese serviceverknüpfte Rolle, um die Erkennung von Ressourcen und Telemetriekonfiguration für AWS Organizations zu unterstützen. Die Rolle wird in allen Mitgliedskonten der Organisation erstellt.

Die serviceverknüpfte Rolle AWSServiceRoleForObservabilityAdmin vertraut Observability Admin, die Rolle zu übernehmen. Observability Admin verwaltet AWS Config Service Linked Configuration Recorders und Service Linked Configuration Aggregator in Ihren Organizations-Konten.

Die serviceverknüpfte Rolle AWSServiceRoleForObservabilityAdmin hat die angefügte Richtlinie AWSObservabilityAdminServiceRolePolicy. Diese Richtlinie erteilt CloudWatch Observability Admin die Berechtigung, die folgenden Aktionen durchzuführen:

  • organizations:ListAccounts

  • organizations:ListAccountsForParent

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:EnableAWSServiceAccess

  • organizations:ListDelegatedAdministrators

  • config:PutServiceLinkedConfigurationRecorder

  • config:DeleteServiceLinkedConfigurationRecorder

  • config:PutConfigurationAggregator

  • config:DeleteConfigurationAggregator

  • config:SelectAggregateResourceConfig

  • iam:CreateServiceLinkedRole

  • iam:PassRole

Der vollständige Inhalt der Richtlinie AWSObservabilityAdminServiceRolePolicy lautet wie folgt:

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListAccounts",
				"organizations:ListAccountsForParent",
				"organizations:ListChildren",
				"organizations:ListParents",
				"organizations:DescribeOrganization",
				"organizations:DescribeOrganizationalUnit"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"config:PutServiceLinkedConfigurationRecorder",
				"config:DeleteServiceLinkedConfigurationRecorder"
			],
			"Resource": [
				"arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForObservabilityAdmin/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"config:PutConfigurationAggregator",
				"config:DeleteConfigurationAggregator",
				"config:SelectAggregateResourceConfig"
			],
			"Resource": [
				"arn:aws:config:*:*:config-aggregator/aws-service-config-aggregator/observabilityadmin.amazonaws.com/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:CreateServiceLinkedRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
			],
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
			],
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"organizations:EnableAWSServiceAccess"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"observabilityadmin.amazonaws.com",
						"config.amazonaws.com"
					]
				}
			}
		}
	]
}

Serviceverknüpfte Rollenberechtigungen für die Aktivierung der CloudWatch-Telemetrie

AWSObservabilityAdminTelemetryEnablementServiceRolePolicy gewährt die erforderlichen Berechtigungen, um Telemetriekonfigurationen für AWS-Ressourcen auf der Grundlage von Telemetrieregeln zu aktivieren und zu verwalten.

Diese Richtlinie gewährt Berechtigungen für:

  • grundlegende Telemetrievorgänge, einschließlich der Beschreibung von VPCs, Flow-Protokollen, Protokollgruppen und der Verwaltung der EC2-Instance-Überwachung.

  • Vorgänge zur Ressourcen-Markierung mit dem Tag CloudWatchTelemetryRuleManaged zur Nachverfolgung verwalteter Ressourcen.

  • die Konfiguration der Protokollbereitstellung für Services wie AWS Bedrock und VPC Flow Logs.

  • die Verwaltung von Configuration Recorder für die Nachverfolgung der Telemetrie-Aktivierung.

Die Richtlinie setzt Sicherheitsgrenzen mit Bedingungen durch, die:

  • Vorgänge mit aws:ResourceAccount auf Ressourcen innerhalb desselben Kontos beschränken.

  • das Tag CloudWatchTelemetryRuleManaged für Ressourcenänderungen erfordern.

  • den Zugriff auf Configuration Recorder auf Ressourcen beschränkt, die mit der Telemetrie-Aktivierung verknüpft sind.

Der vollständige Inhalt der Richtlinie AWSObservabilityAdminTelemetryEnablementServiceRolePolicy lautet wie folgt:

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListAccounts",
				"organizations:ListAccountsForParent",
				"organizations:ListChildren",
				"organizations:ListParents",
				"organizations:DescribeOrganization",
				"organizations:DescribeOrganizationalUnit"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"config:PutServiceLinkedConfigurationRecorder",
				"config:DeleteServiceLinkedConfigurationRecorder"
			],
			"Resource": [
				"arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForObservabilityAdmin/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"config:PutConfigurationAggregator",
				"config:DeleteConfigurationAggregator",
				"config:SelectAggregateResourceConfig"
			],
			"Resource": [
				"arn:aws:config:*:*:config-aggregator/aws-service-config-aggregator/observabilityadmin.amazonaws.com/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:CreateServiceLinkedRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
			],
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
			],
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"organizations:EnableAWSServiceAccess"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"observabilityadmin.amazonaws.com",
						"config.amazonaws.com"
					]
				}
			}
		}
	]
}

Serviceverknüpfte Rollenberechtigungen für CloudWatch Application Signals

CloudWatch Application Signals verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForCloudWatchApplicationSignals – CloudWatch verwendet diese serviceverknüpfte Rolle, um CloudWatch-Logs-Daten, X-Ray-Trace-Daten, CloudWatch-Metrikdaten und Markierungs-Daten von Anwendungen, die Sie für CloudWatch Application Signals aktiviert haben, zu erfassen.

Die serviceverknüpfte Rolle AWSServiceRoleForCloudWatchApplicationSignals vertraut CloudWatch Application Signals, um die Rolle zu übernehmen. Application Signals erfasst die Protokoll-, Trace-, Metrik- und Tag-Daten aus Ihrem Konto.

AWSServiceRoleForCloudWatchApplicationSignals hat eine IAM-Richtlinie angehängt, und diese Richtlinie trägt den Namen CloudWatchApplicationSignalsServiceRolePolicy. Diese Richtlinie gewährt CloudWatch Application Signals die Berechtigung, Überwachungs- und Markierungsdaten von anderen relevanten AWS-Services zu erfassen. Sie enthält Berechtigungen, die Application Signals die folgenden Aktionen ermöglichen:

  • xray – Abrufen von X-Ray-Traces.

  • logs – Abrufen der aktuellen CloudWatch-Protokollinformationen.

  • cloudwatch – Abrufen der aktuellen CloudWatch-Metrikinformationen.

  • tags – Abrufen der aktuellen Tags.

  • application-signals – Abrufen von Informationen zu SLOs und den zugehörigen Zeitausschlussfenstern.

  • autoscaling – Abrufen von Anwendungs-Tags aus der Amazon-EC2-Autoscaling-Gruppe.

Der gesamt Inhalt der CloudWatchApplicationSignalsServiceRolePolicy-Richtlinie lautet wie folgt:

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "XRayPermission",
			"Effect": "Allow",
			"Action": [
				"xray:GetServiceGraph"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "CWLogsPermission",
			"Effect": "Allow",
			"Action": [
				"logs:StartQuery",
				"logs:GetQueryResults"
			],
			"Resource": [
				"arn:aws:logs:*:*:log-group:/aws/appsignals/*:*",
				"arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "CWListMetricsPermission",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:ListMetrics"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "CWGetMetricDataPermission",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:GetMetricData"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "TagsPermission",
			"Effect": "Allow",
			"Action": [
				"tag:GetResources"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "ApplicationSignalsPermission",
			"Effect": "Allow",
			"Action": [
				"application-signals:ListServiceLevelObjectiveExclusionWindows",
			    "application-signals:GetServiceLevelObjective"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "EC2AutoScalingPermission",
			"Effect": "Allow",
			"Action": [
				"autoscaling:DescribeAutoScalingGroups"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

Serviceverknüpfte Rollenberechtigungen für Systems-Manager-OpsCenter-Aktionen von CloudWatch-Alarmen

CloudWatch verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForCloudWatchAlarms_ActionSSM – CloudWatch verwendet diese serviceverknüpfte Rolle, um Systems-Manager-OpsCenter-Aktionen auszuführen, wenn ein CloudWatch-Alarm in den ALARM-Zustand wechselt.

Die serviceverknüpfte Rolle „AWSServiceRoleForCloudWatchAlarms_ActionSSM“ vertraut dem CloudWatch-Service, um die Rolle zu übernehmen: CloudWatch-Alarme rufen die Systems-Manager-OpsCenter-Aktionen auf, wenn sie durch den Alarm aufgerufen werden.

Mit der serviceverknüpften Rollenberechtigungsrichtlinie AWSServiceRoleForCloudWatchAlarms_ActionSSM kann Systems Manager die folgenden Aktionen ausführen:

  • ssm:CreateOpsItem

Serviceverknüpfte Rollenberechtigungen für CloudWatch-Alarme für Aktionen von Systems Manager Incident Manager

CloudWatch verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForCloudWatchAlarms_ActionsMincidents – CloudWatch verwendet diese serviceverknüpfte Rolle, um Incident-Manager-Vorfälle zu starten, wenn ein CloudWatch-Alarm in den ALARM-Status wechselt.

Die servicegebundene Rolle AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents vertraut den CloudWatch-Services, die diese Rolle übernehmen: CloudWatch-Alarme rufen die Aktion von Systems Manager Incident Manager auf, wenn sie durch den Alarm aufgerufen werden.

Mit der serviceverknüpften Rollenberechtigungsrichtlinie AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents kann Systems Manager die folgenden Aktionen ausführen:

  • ssm-incidents:StartIncident

Serviceverknüpfte Rollenberechtigungen für konto- und regionenübergreifende CloudWatch-Berechtigungen

CloudWatch verwendet die serviceverknüpfte Rolle mit dem Namen AWSServiceRoleForCloudWatchCrossAccount – CloudWatch verwendet diese Rolle, um auf CloudWatch-Daten in anderen von Ihnen angegebenen AWS-Konten zuzugreifen. Die SLR stellt nur die Berechtigung zum Annehmen der Rolle bereit, damit der CloudWatch-Service die Rolle im Freigabekonto übernehmen kann. Es ist die Freigaberolle, die den Zugriff auf Daten ermöglicht.

Mit der serviceverknüpften Rollenberechtigungsrichtlinie AWSServiceRoleForCloudWatchCrossAccount kann CloudWatch die folgenden Aktionen ausführen:

  • sts:AssumeRole

Die serviceverknüpfte Rolle AWSServiceRoleForCloudWatchCrossAccount vertraut dem CloudWatch-Service, um die Rolle zu übernehmen.

Serviceverknüpfte Rollenberechtigungen für die CloudWatch-Datenbank Performance Insights

CloudWatch verwendet die serviceverknüpfte Rolle AWSServiceRoleForCloudWatchMetrics_DbPerfInsights – CloudWatch verwendet diese Rolle, um Performance-Insights-Metriken für die Erstellung von Alarmen und Snapshots abzurufen.

Der serviceverknüpften Rolle AWSServiceRoleForCloudWatchMetrics_DbPerfInsights hat die IAM-Richtlinie AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy angehängt. Der Inhalt dieser Richtlinie lautet wie folgt:

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"pi:GetResourceMetrics"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

Die serviceverknüpfte Rolle AWSServiceRoleForCloudWatchMetrics_DbPerfInsights vertraut dem CloudWatch-Service, die Rolle zu übernehmen.

Serviceverknüpfte Rollenberechtigungen für die CloudWatch-Logs-Zentralisierung

CloudWatch verwendet die serviceverknüpfte Rolle AWSObservabilityAdminLogsCentralizationServiceRolePolicy – CloudWatch Observability Admin verwendet diese Rolle, um Telemetriedaten von anderen AWS-Konten zu verwenden, die Sie angeben, um CloudWatch-Protokollgruppen, -Protokollstreams und -Protokollereignisse im Überwachungskonto Ihrer Organisation zu erstellen. Die SLR stellt nur die Berechtigung zum Annehmen der Rolle bereit, damit der CloudWatch-Service die Rolle im Überwachungskonto übernehmen kann.

Mit der serviceverknüpften Rollenberechtigungsrichtlinie AWSObservabilityAdminLogsCentralizationServiceRolePolicy kann CloudWatch die folgenden Aktionen ausführen:

  • sts:AssumeRole

    logs:CreateLogGroup

    logs:CreateLogStream

    logs:PutLogEvents

    kms:Encrypt

    kms:Decrypt

    kms:GenerateDataKey

Die serviceverknüpfte Rolle AWSObservabilityAdminLogsCentralizationServiceRolePolicy vertraut dem Service logs-centralization.observabilityadmin.amazonaws.com, die Rolle anzunehmen.

Erstellen einer serviceverknüpften Rolle für CloudWatch

Sie müssen keine dieser serviceverknüpften Rollen manuell erstellen. Wenn Sie zum ersten Mal einen Alarm in der AWS-Managementkonsole, der IAM-CLI oder der IAM-API erstellen, erstellt CloudWatch AWSServiceRoleForCloudWatchEvents und AWSServiceRoleForCloudWatchAlarms_ActionSSM für Sie.

Wenn Sie die Service- und Topologieerkennung zum ersten Mal aktivieren, erstellt Application Signals AWSServiceRoleForCloudWatchApplicationSignals für Sie.

Wenn Sie zum ersten Mal ein Konto als Überwachungskonto für die konto- und regionenübergreifende Funktionalität aktivieren, erstellt CloudWatch AWSServiceRoleForCloudWatchCrossAccount für Sie.

Wenn Sie zum ersten Mal einen Alarm erstellen, der die DB_PERF_INSIGHTS-Funktion zur Berechnung von Metriken verwendet, erstellt CloudWatch AWSServiceRoleForCloudWatchMetrics_DbPerfInsights für Sie.

Weitere Informationen finden Sie unter Erstellen einer serviceverknüpfte Rolle im IAM-Leitfaden.

Bearbeiten einer serviceverknüpften Rolle für CloudWatch

CloudWatch erlaubt es Ihnen nicht, die Rollen AWSServiceRoleForCloudWatchEvents, AWSServiceRoleForCloudWatchAlarms_ActionSSM, AWSServiceRoleForCloudWatchCrossAccount oder AWSServiceRoleForCloudWatchMetrics_DbPerfInsights zu bearbeiten. Nachdem Sie diese Rollen erstellt haben, können Sie ihre Namen nicht ändern, da verschiedene Entitäten möglicherweise auf diese Rollen verweisen. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten.

Bearbeiten der Beschreibung einer serviceverknüpften Rolle (IAM-Konsole)

Sie können die IAM-Konsole für das Bearbeiten der Beschreibung einer serviceverknüpften Rolle verwenden.

So bearbeiten Sie die Beschreibung einer serviceverknüpften Rolle (Konsole)

  1. Wählen Sie im Navigationsbereich der IAM Console Roles (Rollen) aus.

  2. Wählen Sie den Namen der zu ändernden Rolle.

  3. Wählen Sie neben Role description ganz rechts Edit.

  4. Geben Sie die neue Beschreibung im Dialogfeld ein und klicken Sie auf Save (Speichern).

Bearbeiten der Beschreibung einer serviceverknüpften Rolle (AWS CLI)

Sie können die IAM-Befehle der AWS Command Line Interface für das Bearbeiten der Beschreibung einer serviceverknüpften Rolle verwenden.

So ändern Sie die Beschreibung einer serviceverknüpften Rolle (AWS CLI)

  1. (Optional) Um die aktuelle Beschreibung einer Rolle anzuzeigen, verwenden Sie die folgenden Befehle:

    $ aws iam get-role --role-name role-name

    Verwenden Sie den Rollennamen, nicht den ARN, um sich auf Rollen mit den AWS CLI-Befehlen zu beziehen. Wenn eine Rolle zum Beispiel folgenden ARN hat: arn:aws:iam::123456789012:role/myrole, verweisen Sie auf die Rolle als myrole.

  2. Um die Beschreibung einer serviceverknüpften Rolle zu aktualisieren, verwenden Sie den folgenden Befehl:

    $ aws iam update-role-description --role-name role-name --description description

Bearbeiten der Beschreibung einer serviceverknüpften Rolle (IAM-API)

Sie können die IAM-API für das Bearbeiten der Beschreibung einer serviceverknüpften Rolle verwenden.

So ändern Sie die Beschreibung einer serviceverknüpften Rolle (API)

  1. (Optional) Um die aktuelle Beschreibung einer Rolle anzuzeigen, verwenden Sie den folgenden Befehl:

    GetRole

  2. Um die Beschreibung einer Rolle zu aktualisieren, verwenden Sie den folgenden Befehl:

    UpdateRoleDescription

Löschen einer serviceverknüpften Rolle für CloudWatch

Wenn Sie über keine weiteren Alarme verfügen, die EC2-Instances automatisch anhalten, beenden oder neu starten, empfehlen wir, dass Sie die Rolle „AWSServiceRoleForCloudWatchEvents“ löschen.

Wenn Sie keine Alarme mehr haben, die Systems-Manager-OpsCenter-Aktionen ausführen, empfehlen wir, die AWSServiceRoleForCloudWatchAlarms_ActionSSM-Rolle zu löschen.

Wenn Sie alle Alarme löschen, die die DB_PERF_INSIGHTS-Funktion zur Berechnung von Metriken verwenden, empfehlen wir Ihnen, die mit serviceverknüpfte Rolle AWSServiceRoleForCloudWatchMetrics_DbPerfInsights zu löschen.

Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie löschen können.

Bereinigen einer serviceverknüpften Rolle

Bevor Sie mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie sich zunächst vergewissern, dass die Rolle über keine aktiven Sitzungen verfügt, und alle Ressourcen entfernen, die von der Rolle verwendet werden.

So überprüfen Sie in der IAM-Konsole, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Rollen. Wählen Sie dann den Namen (nicht das Kontrollkästchen) der Rolle AWSServiceRoleForCloudWatchEvents aus.

  3. Wählen Sie auf der Seite Summary der ausgewählten Rolle Access Advisor und überprüfen Sie die letzten Aktivitäten auf die serviceverknüpfte Rolle.

    Anmerkung

    Wenn Sie sich nicht sicher sind, ob CloudWatch die Rolle AWSServiceRoleForCloudWatchEvents verwendet, können Sie versuchen, die Rolle zu löschen. Wenn der Service die Rolle verwendet, schlägt die Löschung fehl und Sie können die -Regionen anzeigen, in denen die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet wird, bevor Sie die Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.

Löschen einer serviceverknüpften Rolle (IAM-Konsole)

Sie können die IAM-Konsole für das Löschen einer serviceverknüpften Rolle verwenden.

So löschen Sie eine serviceverknüpfte Rolle (Konsole)

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Rollen. Aktivieren Sie dann das Kontrollkästchen neben dem Namen der Rolle, die Sie löschen möchten, nicht den Namen oder die Zeile selbst.

  3. Klicken Sie bei Role actions auf Delete role.

  4. Überprüfen Sie im Bestätigungsdialogfeld die letzten Service-Zugriffsdaten, die zeigen, wann jede der ausgewählten Rollen zuletzt auf den AWS-Service zugegriffen hat. Auf diese Weise können Sie leichter bestätigen, ob die Rolle derzeit aktiv ist. Wählen Sie Yes, Delete, um fortzufahren.

  5. Sehen Sie sich die Benachrichtigungen in der IAM-Konsole an, um den Fortschritt der Löschung der serviceverknüpften Rolle zu überwachen. Da die Löschung der serviceverknüpften IAM-Rolle asynchron erfolgt, kann die Löschung nach dem Übermitteln der Rolle für die Löschung erfolgreich sein oder fehlschlagen. Wenn der Vorgang fehlschlägt, wählen Sie in den Benachrichtigungen View details oder View Resources aus, um zu erfahren, warum die Löschung fehlgeschlagen ist. Wenn das Löschen fehlschlägt, weil der Service Ressourcen enthält, die von der Rolle verwendet werden, enthält die Angabe des Fehlergrundes eine Liste der Ressourcen.

Löschen einer serviceverknüpften Rolle (AWS CLI)

Sie können die IAM-Befehle in der AWS Command Line Interface zum Löschen einer serviceverknüpften Rolle verwenden.

So löschen Sie eine serviceverknüpfte Rolle (AWS CLI)

  1. Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die deletion-task-id aus der Antwort, um den Status der Löschaufgabe zu überprüfen. Geben Sie den folgenden Befehl ein, um eine Löschanforderung für eine serviceverknüpfte Rolle zu übermitteln:

    $ aws iam delete-service-linked-role --role-name service-linked-role-name

  2. Geben Sie den folgenden Befehl ein, um den Status der Löschaufgabe zu überprüfen:

    $ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    Der Status der Löschaufgabe kann NOT_STARTED, IN_PROGRESS, SUCCEEDED oder FAILED lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können.

Löschen einer serviceverknüpften Rolle (IAM-API)

Sie können die IAM-API zum Löschen einer serviceverknüpften Rolle verwenden.

So löschen Sie eine serviceverknüpfte Rolle (API)

  1. Um eine Löschanforderung für eine serviceverknüpfte Rolle zu übermitteln, rufen Sie DeleteServiceLinkedRole auf. Geben Sie in der Anforderung den Namen der Rolle an, die Sie löschen möchten.

    Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die DeletionTaskId aus der Antwort, um den Status der Löschaufgabe zu überprüfen.

  2. Rufen Sie GetServiceLinkedRoleDeletionStatus auf, um den Status der Löschung zu überprüfen. Geben Sie in der Anforderung die DeletionTaskId an.

    Der Status der Löschaufgabe kann NOT_STARTED, IN_PROGRESS, SUCCEEDED oder FAILED lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können.

CloudWatch Updates für AWS-serviceverknüpfte Rollen

Anzeigen von Details zu Aktualisierungen für AWS-verwaltete Richtlinien für CloudWatch, seit dieser Service mit der Verfolgung dieser Änderungen begonnen hat. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der CloudWatch-Dokumentverlauf-Seite.

Änderung Beschreibung Datum

AWSObservabilityAdminLogsCentralizationServiceRolePolicy – neue serviceverknüpfte Rollenrichtlinie.

Zusätzliche Informationen zur Richtlinie AWSObservabilityAdminLogsCentralizationServiceRolePolicy, die CloudWatch die erforderlichen Berechtigungen gewährt, um Telemetriekonfigurationen für AWS-Ressourcen auf der Grundlage von Telemetrieregeln zu aktivieren und zu verwalten.

 5. September 2025

AWSObservabilityAdminTelemetryEnablementServiceRolePolicy – neue serviceverknüpfte Rollenrichtlinie.

Zusätzliche Informationen zur Richtlinie AWSObservabilityAdminTelemetryEnablementServiceRolePolicy, die CloudWatch die erforderlichen Berechtigungen gewährt, um Telemetriekonfigurationen für AWS-Ressourcen auf der Grundlage von Telemetrieregeln zu aktivieren und zu verwalten.

 17 Juli 2025

AWSServiceRoleForCloudWatchApplicationSignals – Aktualisierung der Berechtigungen der serviceverknüpften Rollenrichtlinie

Die Richtlinie CloudWatchApplicationSignalsServiceRolePolicy wurde aktualisiert, sodass Zeitfenster keine Auswirkungen auf die SLO-Erreichungsquote, das Fehlerbudget und die Nutzungsraten-Metriken haben. CloudWatch kann Ausschlusszeitfenster in Ihrem Namen abrufen.

 13. März 2025
AWSServiceRoleForObservabilityAdmin – neue serviceverknüpfte Rolle

CloudWatch hat diese neue serviceverknüpfte Rolle und die entsprechende verwaltete Richtlinie AWSObservabilityAdminServiceRolePolicy hinzugefügt, um die Erkennung von Ressourcen und Telemetriekonfigurationen für AWS Organizations zu unterstützen.

26. November 2024

AWSServiceRoleForCloudWatchApplicationSignals – Aktualisierung der Berechtigungen der serviceverknüpften Rollenrichtlinie

CloudWatch fügt dem Geltungsbereich der durch diese Rolle gewährten Berechtigungen logs:StartQuery und logs:GetQueryResults weitere Protokollgruppen hinzu.

 24. April 2024

AWSServiceRoleForCloudWatchApplicationSignals – Neue serviceverknüpfte Rolle

CloudWatch hat diese neue serviceverknüpfte Rolle hinzugefügt, damit Application Signals CloudWatch-Logs-Daten, X-Ray-Trace-Daten, CloudWatch-Metrikdaten und Markierungsdaten von Anwendungen, die Sie für CloudWatch Application Signals aktiviert haben, erfassen kann.

 9. November 2023

AWSServiceRoleForCloudWatchMetrics_DbPerfInsights – Neue serviceverknüpfte Rolle

CloudWatch hat diese neue serviceverknüpfte Rolle hinzugefügt, damit CloudWatch Performance-Insights-Metriken für Alarme und Snapshots abrufen kann. Dieser Rolle ist eine IAM-Richtlinie angehängt, die CloudWatch die Berechtigung gewährt, Performance-Insights-Metriken in Ihrem Namen abzurufen.

 13. September 2023

AWSServiceRoleForCloudWatchAlarms_ActionsMincidents – Neue serviceverknüpfte Rolle

CloudWatch hat eine neue serviceverknüpfte Rolle hinzugefügt, damit CloudWatch Vorfälle in AWS Systems Manager Incident Manager erstellen kann.

 26. April 2021

CloudWatch hat mit der Verfolgung von Änderungen begonnen

CloudWatch hat mit der Verfolgung von Änderungen für seine serviceverknüpften Rollen begonnen.

 26. April 2021