Utilisation des rôles liés à un service pour CloudWatch - Amazon CloudWatch
Autorisations des rôles liés à un service pour les actions EC2 d'alarmes CloudWatchAutorisations de rôle lié à un service pour la config de télémétrie CloudWatchAutorisations de rôle lié à un service pour l’activation de la télémétrie CloudWatchAutorisations de rôle lié à un service pour CloudWatch Application SignalsAutorisations des rôles liés à un service pour les actions OpsCenter de Systems Manager d'alarmes CloudWatchAutorisations des rôles liés à un service pour les actions Incident Manager de Systems Manager d'alarmes CloudWatchAutorisations des rôles liés à un service pour CloudWatch entre régions et comptesAutorisations de rôle lié à un service pour l'Analyse des performances de base de données CloudWatchAutorisations du rôle lié à un service pour la centralisation des journaux de CloudWatch LogsCréation d'un rôle lié à un service pour CloudWatchModification d'un rôle lié à un service pour CloudWatch Suppression d'un rôle lié à un service pour CloudWatchMises à jour de rôle

Utilisation des rôles liés à un service pour CloudWatch

Amazon CloudWatch utilise des rôles AWS Identity and Access Management (IAM) liés aux services. Un rôle lié à un service est un type unique de rôle IAM lié directement à CloudWatch. Les rôles liés à des services sont prédéfinis par CloudWatch et ils incluent toutes les autorisations requises par le service pour appeler d'autres services AWS en votre nom.

Un rôle lié au service dans CloudWatch facilite la configuration d'alarmes CloudWatch pouvant plus facilement redémarrer, arrêter ou mettre fin à l'instance Amazon EC2 sans ajouter manuellement les autorisations nécessaires. Un autre rôle lié au service permet à un compte de surveillance d'accéder aux données CloudWatch d'autres comptes que vous spécifiez et de créer des tableaux de bord entre régions et comptes.

CloudWatch définit les autorisations de ces rôles liés à un service et, sauf définition contraire, seul CloudWatch peut endosser ce rôle. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisation. De plus, cette politique d'autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer les rôles uniquement après la suppression préalable de leurs ressources connexes. Cette restriction protège vos ressources CloudWatch, car vous ne pouvez pas involontairement supprimer d'autorisations pour accéder aux ressources.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés aux services, consultez Services AWS qui fonctionnent avec IAM et recherchez les services pour lesquels Yes (Oui) est sélectionné dans la colonne Service-Linked Role (Rôle lié aux services). Sélectionnez un Oui ayant un lien permettant de consulter la documentation du rôle lié à un service, pour ce service.

Autorisations des rôles liés à un service pour les actions EC2 d'alarmes CloudWatch

CloudWatch utilise le rôle lié à un service nommé AWSServiceRoleForCloudWatchEvent – CloudWatch utilise ce rôle lié à un service pour effectuer des actions d'alarme Amazon EC2.

Le rôle lié à un service AWSServiceRoleForCloudWatchEvents fait confiance au service CloudWatch Events pour endosser le rôle. CloudWatch Events appelle les actions d'instance de redémarrage, d'arrêt et de résiliation lorsqu'il est appelé par l'alarme.

La politique d'autorisations du rôle lié au service AWSServiceRoleForCloudWatchEvents permet à CloudWatch Events de réaliser les actions suivantes sur des instances Amazon EC2 :

  • ec2:StopInstances

  • ec2:TerminateInstances

  • ec2:RecoverInstances

  • ec2:DescribeInstanceRecoveryAttribute

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

La politique d'autorisations de rôle lié au service AWSServiceRoleForCloudWatchCrossAccount permet à CloudWatch d'effectuer les actions suivantes :

  • sts:AssumeRole

Autorisations de rôle lié à un service pour la config de télémétrie CloudWatch

L’administrateur d’observabilité CloudWatch crée et utilise un rôle lié à un service nommé AWSServiceRoleForObservabilityAdmin. CloudWatch utilise ce rôle lié à un service pour prendre en charge la découverte des ressources et de la configuration de télémétrie pour les AWS Organizations. Le rôle est créé dans tous les comptes membres de l’organisation.

Le rôle lié à un service AWSServiceRoleForObservabilityAdmin fait confiance à l’administrateur d’observabilité pour assumer le rôle. L’administrateur d’observabilité gère les enregistreurs de configuration liés au service AWS Config et l’agrégateur de configuration lié au service dans les comptes de vos Organisations.

Le rôle lié au service AWSServiceRoleForObservabilityAdmin a une politique, appelée AWSObservabilityAdminServiceRolePolicy, attachée et cette politique accorde l’autorisation à l’administrateur d’observabilité CloudWatch d’effectuer les actions suivantes :

  • organizations:ListAccounts

  • organizations:ListAccountsForParent

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:EnableAWSServiceAccess

  • organizations:ListDelegatedAdministrators

  • config:PutServiceLinkedConfigurationRecorder

  • config:DeleteServiceLinkedConfigurationRecorder

  • config:PutConfigurationAggregator

  • config:DeleteConfigurationAggregator

  • config:SelectAggregateResourceConfig

  • iam:CreateServiceLinkedRole

  • iam:PassRole

Le contenu complet de la politique AWSObservabilityAdminServiceRolePolicy est le suivant :

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListAccounts",
				"organizations:ListAccountsForParent",
				"organizations:ListChildren",
				"organizations:ListParents",
				"organizations:DescribeOrganization",
				"organizations:DescribeOrganizationalUnit"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"config:PutServiceLinkedConfigurationRecorder",
				"config:DeleteServiceLinkedConfigurationRecorder"
			],
			"Resource": [
				"arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForObservabilityAdmin/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"config:PutConfigurationAggregator",
				"config:DeleteConfigurationAggregator",
				"config:SelectAggregateResourceConfig"
			],
			"Resource": [
				"arn:aws:config:*:*:config-aggregator/aws-service-config-aggregator/observabilityadmin.amazonaws.com/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:CreateServiceLinkedRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
			],
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
			],
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"organizations:EnableAWSServiceAccess"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"observabilityadmin.amazonaws.com",
						"config.amazonaws.com"
					]
				}
			}
		}
	]
}

Autorisations de rôle lié à un service pour l’activation de la télémétrie CloudWatch

La AWSObservabilityAdminTelemetryEnablementServiceRolePolicy accorde les autorisations nécessaires pour activer et gérer les configurations de télémétrie pour les ressources AWS en fonction des règles de télémétrie.

Cette politique accorde des autorisations pour :

  • Les opérations de télémétrie de base, notamment la description des VPC, des journaux de flux, des groupes de journaux et la gestion de la surveillance des instances EC2

  • Opérations de balisage des ressources avec la balise CloudWatchTelemetryRuleManaged pour le suivi des ressources gérées

  • Configuration de la livraison des journaux pour des services tels que AWS Bedrock et les journaux de flux VPC

  • Gestion de l’enregistreur de configuration pour le suivi de l’activation de la télémétrie

La politique renforce les limites de sécurité par le biais de conditions qui :

  • Limitent les opérations aux ressources du même compte en utilisant aws:ResourceAccount

  • Exigent le balisage CloudWatchTelemetryRuleManaged pour les modifications de ressources

  • Limitent l’accès à l’enregistreur de configuration à ceux qui sont associés à l’activation de la télémétrie

Le contenu complet de l’AWSObservabilityAdminTelemetryEnablementServiceRolePolicy est le suivant :

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListAccounts",
				"organizations:ListAccountsForParent",
				"organizations:ListChildren",
				"organizations:ListParents",
				"organizations:DescribeOrganization",
				"organizations:DescribeOrganizationalUnit"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"config:PutServiceLinkedConfigurationRecorder",
				"config:DeleteServiceLinkedConfigurationRecorder"
			],
			"Resource": [
				"arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForObservabilityAdmin/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"config:PutConfigurationAggregator",
				"config:DeleteConfigurationAggregator",
				"config:SelectAggregateResourceConfig"
			],
			"Resource": [
				"arn:aws:config:*:*:config-aggregator/aws-service-config-aggregator/observabilityadmin.amazonaws.com/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:CreateServiceLinkedRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
			],
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
			],
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"organizations:EnableAWSServiceAccess"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"config.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"observabilityadmin.amazonaws.com",
						"config.amazonaws.com"
					]
				}
			}
		}
	]
}

Autorisations de rôle lié à un service pour CloudWatch Application Signals

CloudWatch Application Signals utilise le rôle lié au service nommé AWSServiceRoleForCloudWatchApplicationSignals : CloudWatch utilise ce rôle lié au service pour collecter les données des journaux CloudWatch, les données des suivis X-Ray, les données des métriques CloudWatch et les données de balisage des applications que vous avez activées pour CloudWatch Application Signals.

Le rôle lié à un service AWSServiceRoleForCloudWatchApplicationSignals fait confiance à CloudWatch Application Signals pour assumer le rôle. Application Signals collecte les données des journaux, des suivis, des métriques et des balises de votre compte.

AWSServiceRoleForCloudWatchApplicationSignals est rattaché à une politique IAM, et cette politique se nomme CloudWatchApplicationSignalsServiceRolePolicy. Cette politique accorde l’autorisation à CloudWatch Application Signals de collecter des données de surveillance et de balisage depuis d’autres services AWS pertinents. Elle inclut les autorisations qui permettent à Application Signals d’effectuer les actions suivantes :

  • xray : récupérer les traces X-Ray.

  • logs : récupérer les informations actuelles des journaux CloudWatch.

  • cloudwatch : récupérer les informations de métriques CloudWatch actuelles.

  • tags : récupérer les balises actuelles.

  • application-signals : récupérer les informations sur les SLO et les fenêtres d’exclusion de temps qui leur sont associées.

  • autoscaling : récupérer les balises d’application du groupe Amazon EC2 Autoscaling.

Le contenu intégral de la politique CloudWatchApplicationSignalsServiceRolePolicy est le suivant :

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "XRayPermission",
			"Effect": "Allow",
			"Action": [
				"xray:GetServiceGraph"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "CWLogsPermission",
			"Effect": "Allow",
			"Action": [
				"logs:StartQuery",
				"logs:GetQueryResults"
			],
			"Resource": [
				"arn:aws:logs:*:*:log-group:/aws/appsignals/*:*",
				"arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "CWListMetricsPermission",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:ListMetrics"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "CWGetMetricDataPermission",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:GetMetricData"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "TagsPermission",
			"Effect": "Allow",
			"Action": [
				"tag:GetResources"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "ApplicationSignalsPermission",
			"Effect": "Allow",
			"Action": [
				"application-signals:ListServiceLevelObjectiveExclusionWindows",
			    "application-signals:GetServiceLevelObjective"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "EC2AutoScalingPermission",
			"Effect": "Allow",
			"Action": [
				"autoscaling:DescribeAutoScalingGroups"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

Autorisations des rôles liés à un service pour les actions OpsCenter de Systems Manager d'alarmes CloudWatch

CloudWatch utilise le rôle lié à un service nommé AWSServiceRoleForCloudWatchAlarms_ActionSSM — CloudWatch utilise ce rôle lié à un service pour effectuer OpsCenter de Systems Manager lorsqu'une alarme CloudWatch passe en état ALARM.

Le rôle lié à un service AWSServiceRoleForCloudWatchAlarms_ActionSSM fait confiance au service CloudWatch pour endosser le rôle. Les alarmes CloudWatch appellent les actions OpsCenter de Systems Manager lorsqu'il est appelé par l'alarme.

La politique d'autorisations de rôle lié au service AWSServiceRoleForCloudWatchAlarms_ActionSSM permet à Systems Manager d'effectuer les actions suivantes :

  • ssm:CreateOpsItem

Autorisations des rôles liés à un service pour les actions Incident Manager de Systems Manager d'alarmes CloudWatch

CloudWatch utilise le rôle lié à un service nommé AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents — CloudWatch utilise ce rôle lié à un service pour démarrer les incidents Incident Manager lorsqu'une alarme CloudWatch passe en état ALARM.

Le rôle lié à un service AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents fait confiance au service CloudWatch pour endosser le rôle. Les alarmes CloudWatch appellent l'action Incident Manager de Systems Manager lorsqu'il est appelé par l'alarme.

La politique d'autorisations de rôle lié au service AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents permet à Systems Manager d'effectuer les actions suivantes :

  • ssm-incidents:StartIncident

Autorisations des rôles liés à un service pour CloudWatch entre régions et comptes

CloudWatch utilise le rôle lié à un service nommé AWSServiceRoleForCloudWatchCrossAccount – CloudWatch utilise ce rôle pour accéder aux données CloudWatch d'autres comptes AWS que vous spécifiez. Le SLR fournit uniquement l'autorisation d'endosser le rôle pour permettre au service CloudWatch d'endosser le rôle dans le compte de partage. C'est le rôle de partage qui fournit l'accès aux données.

La politique d'autorisations de rôle lié au service AWSServiceRoleForCloudWatchCrossAccount permet à CloudWatch d'effectuer les actions suivantes :

  • sts:AssumeRole

Le rôle lié à un service AWSServiceRoleForCloudWatchCrossAccount fait confiance au service CloudWatch pour endosser le rôle.

Autorisations de rôle lié à un service pour l'Analyse des performances de base de données CloudWatch

CloudWatch utilise le rôle lié à un service nommé AWSServiceRoleForCloudWatchMetrics_DbPerfInsights. CloudWatch utilise ce rôle pour récupérer les métriques Performance Insights pour la création d’alarmes et d’instantanés.

Le rôle lié à un service AWSServiceRoleForCloudWatchMetrics_DbPerfInsights possède la politique IAM AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy attachée. Le contenu de cette politique est le suivant :

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"pi:GetResourceMetrics"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

Le rôle lié à un service AWSServiceRoleForCloudWatchMetrics_DbPerfInsights fait confiance au service CloudWatch pour endosser le rôle.

Autorisations du rôle lié à un service pour la centralisation des journaux de CloudWatch Logs

CloudWatch utilise le rôle lié au service nommé AWSObservabilityAdminLogsCentralizationServiceRolePolicy. L’administrateur d’observabilité CloudWatch utilise ce rôle pour utiliser les données de télémétrie d’autres comptes AWS que vous spécifiez pour créer des groupes de journaux CloudWatch, des flux de journaux et des événements du journal dans le compte de surveillance de votre organisation. Le SLR fournit uniquement l’autorisation assumer le rôle pour permettre au service CloudWatch d’assumer le rôle dans le compte de surveillance.

La politique d’autorisations du rôle lié à un service AWSObservabilityAdminLogsCentralizationServiceRolePolicy permet à CloudWatch d’effectuer les actions suivantes :

  • sts:AssumeRole

    logs:CreateLogGroup

    logs:CreateLogStream

    logs:PutLogEvents

    kms:Encrypt

    kms:Decrypt

    kms:GenerateDataKey

Le rôle lié à un service AWSObservabilityAdminLogsCentralizationServiceRolePolicy fait confiance au service logs-centralization.observabilityadmin.amazonaws.com pour assumer le rôle.

Création d'un rôle lié à un service pour CloudWatch

Vous n'avez pas besoin de créer manuellement l'un ou l'autre de ces rôles liés à un service. La première fois que vous créez une alarme dans la AWS Management Console, la CLI IAM ou l'API IAM, CloudWatch crée automatiquement AWSServiceRoleForCloudWatchEvents et AWSServiceRoleForCloudWatchAlarms_ActionSSM.

La première fois que vous activez la découverte de services et de topologies, Application Signals crée AWSServiceRoleForCloudWatchApplicationSignals pour vous.

Lorsque vous activez pour la première fois un compte en tant que compte de surveillance pour la fonctionnalité entre régions et comptes, CloudWatch crée AWSServiceRoleForCloudWatchCrossAccount pour vous.

Lorsque vous créez pour la première fois une alerte qui utilise la fonction mathématique de métrique DB_PERF_INSIGHTS, CloudWatch crée pour vous AWSServiceRoleForCloudWatchMetrics_DbPerfInsights.

Pour plus d'informations, consultez Création d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Modification d'un rôle lié à un service pour CloudWatch

CloudWatch ne vous permet pas de modifier les rôles AWSServiceRoleForCloudWatchEvents, AWSServiceRoleForCloudWatchAlarms_ActionSSM, AWSServiceRoleForCloudWatchCrossAccount ou AWSServiceRoleForCloudWatchMetrics_DbPerfInsights. Après avoir créé ces rôles, vous ne pouvez pas modifier leurs noms, car diverses entités peuvent y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l'aide d'IAM.

Modification de la description d'un rôle lié à un service (console IAM)

Vous pouvez utiliser la console IAM, pour modifier la description d'un rôle lié à un service.

Pour modifier la description d'un rôle lié à un service (console)

  1. Dans le panneau de navigation de la console IAM, sélectionnez Roles (Rôles).

  2. Choisissez le nom du rôle à modifier.

  3. A l'extrême droite de Description du rôle, choisissez Edit (Modifier).

  4. Saisissez une nouvelle description dans la zone et choisissez Save (Enregistrer).

Modification de la description d'un rôle lié à un service (AWS CLI)

Vous pouvez utiliser les commandes IAM du AWS Command Line Interface pour modifier la description d'un rôle lié à un service.

Pour changer la description d'un rôle lié à un service (AWS CLI)

  1. (Facultatif) Pour afficher la description actuelle d'un rôle, utilisez les commandes suivantes :

    $ aws iam get-role --role-name role-name

    Utilisez le nom du rôle, pas l'ARN, pour faire référence aux rôles avec les commandes AWS CLI. Par exemple, si un rôle a l'ARN : arn:aws:iam::123456789012:role/myrole, vous faites référence au rôle en tant que myrole.

  2. Pour mettre à jour la description d'un rôle lié à un service, utilisez la commande suivante :

    $ aws iam update-role-description --role-name role-name --description description

Modification de la description d'un rôle lié à un service (API IAM)

Vous pouvez utiliser l'API IAM pour modifier la description d'un rôle lié à un service.

Pour changer la description d'un rôle lié à un service (API)

  1. (Facultatif) Pour afficher la description actuelle d'un rôle, utilisez la commande suivante :

    GetRole

  2. Pour mettre à jour la description d'un rôle, utilisez la commande suivante :

    UpdateRoleDescription

Suppression d'un rôle lié à un service pour CloudWatch

Si vous ne disposez plus d'alarmes qui redémarrent, arrêtent ou mettent fin automatiquement à des instances EC2, nous vous recommandons de supprimer le rôle AWSServiceRoleForCloudWatchEvents.

Si vous ne disposez plus d'alarmes qui effectuent OpsCenter de Systems Manager, nous vous recommandons de supprimer le rôle AWSServiceRoleForCloudWatchAlarms_ActionSSM.

Si vous supprimez toutes les alertes utilisant la fonction mathématique de métrique DB_PERF_INSIGHTS, nous vous recommandons de supprimer le rôle lié à un service AWSServiceRoleForCloudWatchMetrics_DbPerfInsights.

De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer.

Nettoyage d'un rôle lié à un service

Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez d'abord vérifier qu'aucune session n'est active pour le rôle et supprimer toutes les ressources utilisées par le rôle.

Pour vérifier si une session est active pour le rôle lié à un service dans la console IAM

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Rôles. Choisissez le nom (et non la case à cocher) du rôle AWSServiceRoleForCloudWatchEvents.

  3. Sur la page Summary (Résumé) du rôle sélectionné, choisissez Access Advisor et consultez l'activité récente du rôle lié au service.

    Note

    Si vous n'êtes pas certain que CloudWatch utilise le rôle AWSServiceRoleForCloudWatchEvents, essayez de supprimer ce rôle. Si le service utilise le rôle, la suppression échoue et vous avez accès aux régions dans lesquelles le rôle est utilisé. Si le rôle est utilisé, vous devez attendre que la session se termine avant de pouvoir le supprimer. Vous ne pouvez pas révoquer la session d'un rôle lié à un service.

Suppression d'un rôle lié à un service (console IAM)

Vous pouvez utiliser la console IAM pour supprimer un rôle lié à un service.

Pour supprimer un rôle lié à un service (console)

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Rôles. Cochez la case en regard du nom du rôle que vous souhaitez supprimer, sans sélectionner le nom ou la ligne.

  3. Pour Role actions (Actions du rôle), choisissez Delete role (Supprimer le rôle).

  4. Dans la boîte de dialogue de confirmation, vérifiez les dernières données consultées dans le service. Elles indiquent quels rôles, parmi ceux sélectionnés, ont accédé en dernier à un service AWS. Cela vous permet de confirmer si le rôle est actif actuellement. Pour poursuivre, choisissez Oui, supprimer.

  5. Consultez les notifications de la console IAM pour surveiller la progression de la suppression du rôle lié à un service. Dans la mesure où la suppression du rôle lié à un service IAM est asynchrone, la suppression peut réussir ou échouer après que vous soumettez le rôle afin qu'il soit supprimé. Si la tâche échoue, choisissez View details (Afficher les détails) ou View Resources (Afficher les ressources) à partir des notifications pour connaître le motif de l'échec de la suppression. Si la suppression échoue parce que certaines ressources du service sont actuellement utilisées par le rôle, la raison de l'échec comprend une liste de ressources.

Suppression d'un rôle lié à un service (AWS CLI)

Vous pouvez utiliser les commandes IAM de la AWS Command Line Interface pour supprimer un rôle lié à un service.

Pour supprimer un rôle lié à un service (AWS CLI)

  1. Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas satisfaites. Vous devez capturer le deletion-task-id de la réponse afin de vérifier l'état de la tâche de suppression. Tapez la commande suivante pour envoyer une demande de suppression d'un rôle lié à un service :

    $ aws iam delete-service-linked-role --role-name service-linked-role-name

  2. Tapez la commande suivante pour vérifier l'état de la tâche de suppression :

    $ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    L’état de la tâche de suppression peut être NOT_STARTED, IN_PROGRESS, SUCCEEDED ou FAILED. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution.

Suppression d'un rôle lié à un service (API IAM)

Vous pouvez utiliser l'API IAM pour supprimer un rôle lié à un service.

Pour supprimer un rôle lié à un service (API)

  1. Pour envoyer une demande de suppression d'un rôle lié à un service, appelez DeleteServiceLinkedRole. Dans la demande, spécifiez le nom de rôle que vous souhaitez supprimer.

    Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas satisfaites. Vous devez capturer le DeletionTaskId de la réponse afin de vérifier l'état de la tâche de suppression.

  2. Pour vérifier l’état de la suppression, appelez GetServiceLinkedRoleDeletionStatus. Dans la demande, spécifiez le DeletionTaskId.

    L’état de la tâche de suppression peut être NOT_STARTED, IN_PROGRESS, SUCCEEDED ou FAILED. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution.

Mises à jour de CloudWatch pour rôles liés à un service AWS

Affiche les détails des mises à jour des politiques gérées par AWS pour CloudWatch depuis que ce service a commencé à assurer le suivi de ces modifications. Pour obtenir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du document CloudWatch.

Modification Description Date

AWSObservabilityAdminLogsCentralizationServiceRolePolicy - Nouvelle politique de rôle lié à un service.

Ajout d’informations sur la politique AWSObservabilityAdminLogsCentralizationServiceRolePolicy qui accorde à CloudWatch les autorisations nécessaires pour activer et gérer les configurations de télémétrie pour les ressources AWS en fonction des règles de télémétrie.

 5 septembre 2025

AWSObservabilityAdminTelemetryEnablementServiceRolePolicy : nouvelle politique de rôle lié à un service.

Ajout d’informations sur la politique AWSObservabilityAdminTelemetryEnablementServiceRolePolicy qui accorde à CloudWatch les autorisations nécessaires pour activer et gérer les configurations de télémétrie pour les ressources AWS en fonction des règles de télémétrie.

 17 juillet 2025

AWSServiceRoleForCloudWatchApplicationSignals : mise à jour des autorisations de la politique de rôle lié à un service.

Mise à jour de la politique CloudWatchApplicationSignalsServiceRolePolicy pour exclure les fenêtres temporelles de l’impact sur les métriques de taux d’atteinte des SLO, de budget d’erreurs et de taux d’épuisement. CloudWatch peut récupérer les fenêtres d’exclusion en votre nom.

 13 mars 2025
AWSServiceRoleForObservabilityAdmin : nouveau rôle lié à un service

CloudWatch a ajouté ce nouveau rôle lié à un service et la politique gérée correspondante, AWSObservabilityAdminServiceRolePolicy, pour prendre en charge la découverte des ressources et des configurations de télémétrie pour les AWS Organizations.

26 novembre 2024

AWSServiceRoleForCloudWatchApplicationSignals : mise à jour des autorisations de la politique de rôle lié à un service.

CloudWatch a ajouté plus de groupes de journaux à la portée des autorisations logs:StartQuery et logs:GetQueryResults accordées par ce rôle.

 24 avril 2024

AWSServiceRoleForCloudWatchApplicationSignals : nouveau rôle lié à un service

CloudWatch a ajouté ce nouveau rôle lié au service pour permettre à CloudWatch Application Signals de collecter les données de CloudWatch Logs, les données de suivi X-Ray, les données de métriques CloudWatch et les données de balisage à partir des applications que vous avez activées pour CloudWatch Application Signals.

 9 novembre 2023

AWSServiceRoleForCloudWatchMetrics_DbPerfInsights – Nouveau rôle lié à un service

CloudWatch a ce nouveau rôle lié à un service pour permettre à CloudWatch de récupérer des métriques d'Analyse des performances afin de créer des alertes et de créer des instantanés. Une politique IAM est attachée à ce rôle et autorise CloudWatch à récupérer les métriques d'Analyse des performances en votre nom.

 13 septembre 2023

AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents — Nouveau rôle lié à un service

CloudWatch a ajouté une nouveau rôle lié à un service pour permettre à CloudWatch de créer des incidents dans AWS Systems Manager Incident Manager.

 26 avril 2021

CloudWatch a commencé à assurer le suivi des modifications

CloudWatch a commencé à suivre les modifications pour ses rôles liés à un service.

 26 avril 2021