Uso de roles vinculados a servicios para Logs CloudWatch - Amazon CloudWatch Logs
Permisos de roles vinculados al servicio para Logs CloudWatch Crear un rol vinculado a un servicio para Logs CloudWatch Edición de un rol vinculado a un servicio para Logs CloudWatch Eliminar un rol vinculado a un servicio para Logs CloudWatch

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios para Logs CloudWatch

Amazon CloudWatch Logs utiliza funciones AWS Identity and Access Management vinculadas a servicios (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Logs. CloudWatch Los roles vinculados al servicio están predefinidos en CloudWatch Logs e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre.

Un rol vinculado a un servicio hace que la configuración de CloudWatch los registros sea más eficiente, ya que no es necesario añadir manualmente los permisos necesarios. CloudWatch Logs define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo CloudWatch Logs puede asumir esas funciones. Los permisos definidos incluyen la política de confianza y la política de permisos. Dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.

Para obtener más información sobre otros servicios que admiten los roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM. Busque los servicios para los que se indique en la columna Roles vinculados a servicios. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de roles vinculados al servicio para Logs CloudWatch

CloudWatch Logs usa el rol vinculado al servicio denominado. AWSServiceRoleForLogDelivery CloudWatch Logs usa esta función vinculada al servicio para escribir registros directamente en Firehose. Para obtener más información, consulte Habilite el registro desde los servicios AWS.

El rol vinculado al servicio AWSServiceRoleForLogDelivery confía en los siguientes servicios para asumir el rol:

  • logs.amazonaws.com

La política de permisos de roles permite a CloudWatch Logs realizar las siguientes acciones en los recursos especificados:

  • Acción: firehose:PutRecord y firehose:PutRecordBatch en todos los flujos de Firehose que tienen una etiqueta con una clave LogDeliveryEnabled con un valor de True. Esta etiqueta se adjunta automáticamente a un flujo de Firehose cuando crea una suscripción para entregar los registros a Firehose.

Debe configurar los permisos para permitir que una entidad de IAM cree, edite o elimine un rol vinculado al servicio. Esta entidad puede ser un usuario, un grupo o un rol. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Crear un rol vinculado a un servicio para Logs CloudWatch

No necesita crear manualmente un rol vinculado a un servicio. Cuando configuras los registros para que se envíen directamente a una transmisión de Firehose en la AWS Management Console, la o la AWS API AWS CLI, CloudWatch Logs crea el rol vinculado al servicio por ti.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando vuelves a configurar los registros para que se envíen directamente a una transmisión de Firehose, CloudWatch Logs vuelve a crear el rol vinculado al servicio para ti.

Edición de un rol vinculado a un servicio para Logs CloudWatch

CloudWatch Los registros no permiten editar AWSServiceRoleForLogDeliveryni ningún otro rol vinculado a un servicio después de crearlo. Dado que varias entidades pueden hacer referencia al rol, no puede cambiar su nombre después de crearlo. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Edición de un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminar un rol vinculado a un servicio para Logs CloudWatch

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio de CloudWatch registros utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar CloudWatch los recursos de registros utilizados por el rol AWSServiceRoleForLogDeliveryvinculado al servicio

  • Deje de enviar registros directamente a los flujos de Firehose.

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForLogDeliveryservicio. Para obtener más información, consulte Eliminar un rol vinculado al servicio

Funciones vinculadas al servicio Regions for Logs CloudWatch compatibles

CloudWatch Logs admite el uso de funciones vinculadas al servicio en todas las AWS regiones en las que el servicio está disponible. Para obtener más información, consulte CloudWatch Regiones y puntos finales de registros.