Utilisation de rôles liés à un service pour les journaux CloudWatch - Amazon CloudWatch Logs
Autorisations de rôle liées au service pour les journaux CloudWatch Création d'un rôle lié à un service pour Logs CloudWatch Modification d'un rôle lié à un service pour Logs CloudWatch Supprimer un rôle lié à un service pour Logs CloudWatch

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de rôles liés à un service pour les journaux CloudWatch

Amazon CloudWatch Logs utilise des AWS Identity and Access Management rôles liés à un service (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié aux journaux. CloudWatch Les rôles liés au service sont prédéfinis par CloudWatch Logs et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.

Un rôle lié à un service rend la configuration CloudWatch des journaux plus efficace, car vous n'êtes pas obligé d'ajouter manuellement les autorisations nécessaires. CloudWatch Logs définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul CloudWatch Logs peut assumer ces rôles. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisations. Cette politique d'autorisations ne peut pas être attachée à une autre entité IAM.

Pour obtenir des informations sur les autres services qui prennent en charge les rôles liés à un service, consultez Services AWS qui fonctionnent avec IAM. Recherchez les services qui comportent un Oui dans la colonne Rôle lié à un service. Choisissez un Oui ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.

Autorisations de rôle liées au service pour les journaux CloudWatch

CloudWatch Logs utilise le rôle lié au service nommé. AWSServiceRoleForLogDelivery CloudWatch Logs utilise ce rôle lié à un service pour écrire des journaux directement dans Firehose. Pour de plus amples informations, veuillez consulter Activer la journalisation à partir AWS des services.

Le rôle lié à un service AWSServiceRoleForLogDelivery approuve les services suivants pour endosser le rôle :

  • logs.amazonaws.com

La politique d'autorisation des rôles permet à CloudWatch Logs d'effectuer les actions suivantes sur les ressources spécifiées :

  • Action : firehose:PutRecord et firehose:PutRecordBatch sur tous les streams Firehose dotés d'une balise dont la LogDeliveryEnabled clé a une valeur de. True Cette balise est automatiquement attachée à un stream Firehose lorsque vous créez un abonnement pour transmettre les journaux à Firehose.

Vous devez configurer les autorisations pour permettre à une entité IAM de créer, modifier ou supprimer un rôle lié à un service. Cette entité peut être un utilisateur, un groupe ou un rôle. Pour plus d'informations, consultez Autorisations de rôles liés à un service dans le Guide de l'utilisateur IAM

Création d'un rôle lié à un service pour Logs CloudWatch

Vous n'êtes pas obligé de créer manuellement un rôle lié à un service. Lorsque vous configurez des journaux pour qu'ils soient envoyés directement à un flux Firehose via l' AWS Management Console AWS API AWS CLI, CloudWatch Logs crée le rôle lié au service pour vous.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous configurez à nouveau les journaux pour qu'ils soient envoyés directement à un stream Firehose, CloudWatch Logs crée à nouveau le rôle lié au service pour vous.

Modification d'un rôle lié à un service pour Logs CloudWatch

CloudWatch Les journaux ne vous permettent pas de modifier le rôle, ni de le modifier AWSServiceRoleForLogDelivery, ni de l'utiliser pour tout autre rôle lié à un service, une fois que vous l'avez créé. Vous ne pouvez pas modifier le nom du rôle car diverses entités pourraient y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Supprimer un rôle lié à un service pour Logs CloudWatch

Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.

Note

Si le service CloudWatch Logs utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.

Pour supprimer les ressources CloudWatch Logs utilisées par le rôle lié à AWSServiceRoleForLogDeliveryun service

  • Arrêtez d'envoyer des logs directement aux streams Firehose.

Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM

Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSServiceRoleForLogDeliveryservice. Pour plus d'informations, consultez Suppression d'un rôle lié à un service

Régions prises en charge pour les CloudWatch rôles liés au service Logs

CloudWatch Logs prend en charge l'utilisation de rôles liés à un service dans toutes les AWS régions où le service est disponible. Pour plus d'informations, consultez la section CloudWatch Logs, régions et points de terminaison.