Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de roles vinculados a servicios para Logs CloudWatch
Amazon CloudWatch Logs utiliza funciones AWS Identity and Access Management vinculadas a servicios (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Logs. CloudWatch Service-linked Los roles están predefinidos en CloudWatch Logs e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre.
Un rol vinculado a un servicio hace que la configuración de CloudWatch los registros sea más eficiente, ya que no es necesario añadir manualmente los permisos necesarios. CloudWatch Logs define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo CloudWatch Logs puede asumir esas funciones. Los permisos definidos incluyen la política de confianza y la política de permisos. Dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.
Para obtener más información sobre otros servicios que admiten los roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM. Busque los servicios que tengan la palabra Sí en la columna Service-LinkedRol. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
Service-linked permisos de rol para CloudWatch los registros
CloudWatch Logs usa el rol vinculado al servicio denominado. AWSServiceRoleForLogDelivery CloudWatch Logs usa esta función vinculada al servicio para escribir registros directamente en Firehose. Para obtener más información, consulte Habilitar el registro desde AWS servicios.
El rol vinculado al servicio AWSServiceRoleForLogDelivery confía en los siguientes servicios para asumir el rol:
-
logs.amazonaws.com
La política de permisos del rol permite a CloudWatch Logs realizar las siguientes acciones en los recursos especificados. AWSServiceRoleForLogDeliveryPolicy Para ver el documento de política de JSON completo, consulte AWSServiceRoleForLogDeliveryPolicyla Guía de referencia de políticas AWS gestionadas.
-
Acción:
firehose:PutRecordfirehose:PutRecordBatch, yfirehose:ListTagsForDeliveryStreamen todas las transmisiones de entrega de Firehose que tengan una etiqueta con unaLogDeliveryEnabledclave con un valor de.trueEsta etiqueta se adjunta automáticamente a una transmisión de entrega de Firehose al crear una suscripción para entregar los troncos a Firehose. -
Acción:
kms:GenerateDataKeyykms:Decrypten todas AWS KMS las claves, pero solo cuando la solicitud se realiza a través de Firehose (se aplica mediante la clave dekms:ViaServicecondición establecida en).firehose.*.amazonaws.com.rproxy.govskope.caEstos permisos permiten a Logs entregar CloudWatch registros a las transmisiones de entrega de Firehose que utilizan cifrado del lado del servidor con claves administradas por el cliente (). SSE-CMK La política AWS KMS clave del cliente también debe conceder de forma independiente el acceso a la función vinculada al servicio.
Debe configurar los permisos para permitir que una entidad de IAM cree, edite o elimine un rol vinculado al servicio. Esta entidad puede ser un usuario, un grupo o un rol. Para obtener más información, consulte los permisos de Service-Linked rol en la Guía del usuario de IAM.
Crear un rol vinculado a un servicio para los registros CloudWatch
No necesita crear manualmente un rol vinculado a un servicio. Cuando configuras los registros para que se envíen directamente a una transmisión de Firehose en la Consola de administración de AWS, la o la AWS API AWS CLI, CloudWatch Logs crea el rol vinculado al servicio por ti.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando vuelves a configurar los registros para que se envíen directamente a una transmisión de Firehose, CloudWatch Logs vuelve a crear el rol vinculado al servicio para ti.
Edición de un rol vinculado a un servicio para Logs CloudWatch
CloudWatch Los registros no permiten editar AWSServiceRoleForLogDeliveryni ningún otro rol vinculado a un servicio después de crearlo. Dado que varias entidades pueden hacer referencia al rol, no puede cambiar su nombre después de crearlo. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Edición de un Service-Linked rol en la Guía del usuario de IAM.
Eliminar un rol vinculado a un servicio para los registros CloudWatch
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
nota
Si el servicio de CloudWatch registros utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
Para eliminar CloudWatch los recursos de registros utilizados por el AWSServiceRoleForLogDelivery rol vinculado al servicio
-
Deje de enviar registros directamente a los flujos de Firehose.
Para eliminar manualmente el rol vinculado a servicios mediante IAM
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForLogDeliveryservicio. Para obtener más información, consulte Eliminar un rol Service-Linked
Regiones compatibles con las funciones CloudWatch vinculadas al servicio de registros
CloudWatch Logs admite el uso de funciones vinculadas al servicio en todas las AWS regiones en las que el servicio está disponible. Para obtener más información, consulte CloudWatch Regiones y puntos finales de registros.
