Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation de rôles liés à un service pour CloudWatch
Amazon CloudWatch utilise des rôles Gestion des identités et des accès AWS liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. CloudWatch Les rôles liés à un service sont prédéfinis par CloudWatch et comprennent toutes les autorisations nécessaires au service pour appeler d’autres services AWS en votre nom.
Un rôle lié au service CloudWatch permet de configurer des CloudWatch alarmes qui peuvent mettre fin à, arrêter ou redémarrer une instance Amazon EC2 sans que vous ayez à ajouter manuellement les autorisations nécessaires. Un autre rôle lié au service permet à un compte de surveillance d'accéder aux données CloudWatch d'autres comptes que vous spécifiez et de créer des tableaux de bord entre régions et comptes.
CloudWatch définit les autorisations de ces rôles liés aux services et, sauf indication contraire, seul CloudWatch peut assumer le rôle. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer les rôles uniquement après la suppression préalable de leurs ressources connexes. Cette restriction protège vos CloudWatch ressources car vous ne pouvez pas supprimer par inadvertance les autorisations d'accès aux ressources.
Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services avec un **Oui ** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
## Autorisations de rôle liées au service pour les actions EC2 relatives aux CloudWatch alarmes
CloudWatch utilise le rôle lié au service nommé **AWSServiceRoleForCloudWatchEvents**— CloudWatch utilise ce rôle lié au service pour effectuer des actions d'alarme Amazon EC2.
Le rôle AWSService RoleForCloudWatchEvents lié au service fait confiance au service CloudWatch Events pour assumer ce rôle. CloudWatch Les événements invoquent les actions de fin, d'arrêt ou de redémarrage de l'instance lorsque l'alarme l'appelle.
La politique d'autorisation des rôles AWSServiceRoleForCloudWatchEvents liés au service permet à CloudWatch Events d'effectuer les actions suivantes sur les instances Amazon EC2 :
+ `ec2:StopInstances`
+ `ec2:TerminateInstances`
+ `ec2:RecoverInstances`
+ `ec2:DescribeInstanceRecoveryAttribute`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
La politique d'autorisation des rôles **AWSServiceRoleForCloudWatchCrossAccount**liés au service permet d' CloudWatch effectuer les actions suivantes :
+ `sts:AssumeRole`
## Autorisations de rôle liées au service pour CloudWatch la configuration de la télémétrie
CloudWatch l'administrateur de l'observabilité crée et utilise un rôle lié à un service nommé **AWSServiceRoleForObservabilityAdmin**— CloudWatch utilise ce rôle lié à un service pour faciliter la découverte de ressources et de configurations de télémétrie pour les Organisations. AWS Le rôle est créé dans tous les comptes membres de l’organisation.
Le rôle **AWSServiceRoleForObservabilityAdmin**lié au service fait confiance à Observability Admin pour assumer le rôle. L’administrateur d’observabilité gère les enregistreurs de configuration liés au service AWS Config et l’agrégateur de configuration lié au service dans les comptes de vos Organisations.
Le rôle **AWSServiceRoleForObservabilityAdmin**lié au service possède une politique, appelée, jointe AWSObservabilityAdminServiceRolePolicy, et cette politique autorise CloudWatch Observability Admin à effectuer les actions suivantes :
+ `organizations:ListAccounts`
+ `organizations:ListAccountsForParent`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:DescribeOrganization`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListDelegatedAdministrators`
+ `config:PutServiceLinkedConfigurationRecorder`
+ `config:DeleteServiceLinkedConfigurationRecorder`
+ `config:PutConfigurationAggregator`
+ `config:DeleteConfigurationAggregator`
+ `config:SelectAggregateResourceConfig`
+ `iam:CreateServiceLinkedRole`
+ `iam:PassRole`
Le contenu complet de la AWSObservability AdminServiceRolePolicy politique est le suivant :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"config:PutServiceLinkedConfigurationRecorder",
"config:DeleteServiceLinkedConfigurationRecorder"
],
"Resource": [
"arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForObservabilityAdmin/*"
]
},
{
"Effect": "Allow",
"Action": [
"config:PutConfigurationAggregator",
"config:DeleteConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": [
"arn:aws:config:*:*:config-aggregator/aws-service-config-aggregator/observabilityadmin.amazonaws.com/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"observabilityadmin.amazonaws.com",
"config.amazonaws.com"
]
}
}
}
]
}
```
------
## Autorisations de rôle liées à un service pour CloudWatch l'activation de la télémétrie
La `AWSObservabilityAdminTelemetryEnablementServiceRolePolicy` accorde les autorisations nécessaires pour activer et gérer les configurations de télémétrie pour les ressources AWS en fonction des règles de télémétrie.
Cette politique accorde des autorisations pour :
+ Opérations de télémétrie de base, notamment la description des VPC, des journaux de flux et des groupes de journaux. Il inclut également des autorisations permettant d'activer la configuration de journalisation pour la journalisation du cluster EKS, la configuration de journalisation WAF, l'activation des journaux NLB, la journalisation des requêtes Route53 Resolver, la surveillance détaillée d'Amazon EC2, Security Hub, Bedrock Agentcore Gateway, Bedrock Agentcore Memory et Distribution. CloudFront
+ Opérations de balisage des ressources avec la balise `CloudWatchTelemetryRuleManaged` pour le suivi des ressources gérées
+ Configuration de livraison de journaux pour des services tels que AWS Bedrock et VPC Flow Logs
+ Gestion de l’enregistreur de configuration pour le suivi de l’activation de la télémétrie
La politique renforce les limites de sécurité par le biais de conditions qui :
+ Limitent les opérations aux ressources du même compte en utilisant `aws:ResourceAccount`
+ Exigent le balisage `CloudWatchTelemetryRuleManaged` pour les modifications de ressources
+ Limitent l’accès à l’enregistreur de configuration à ceux qui sont associés à l’activation de la télémétrie
Le contenu complet de la AWSObservability AdminTelemetryEnablementServiceRolePolicy politique se trouve ici : [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSObservabilityAdminTelemetryEnablementServiceRolePolicy.html).
## Autorisations de rôle liées au service pour les signaux d'application CloudWatch
CloudWatch Application Signals utilise le rôle lié à un service nommé **AWSServiceRoleForCloudWatchApplicationSignals**: CloudWatch utilise ce rôle lié à un service pour collecter les données des journaux, les CloudWatch données de suivi X-Ray, les données CloudWatch métriques et les données de balisage à partir des applications que vous avez activées pour Application Signals. CloudWatch
Le rôle **AWSServiceRoleForCloudWatchApplicationSignals**lié au service fait confiance à CloudWatch Application Signals pour assumer le rôle. Application Signals collecte les données des journaux, des suivis, des métriques et des balises de votre compte.
Une politique IAM y est attachée, et cette politique est nommée **CloudWatchApplicationSignalsServiceRolePolicy**. **AWSServiceRoleForCloudWatchApplicationSignals** Cette politique autorise CloudWatch Application Signals à collecter des données de surveillance et de marquage auprès d'autres AWS services pertinents. Elle inclut les autorisations qui permettent à Application Signals d’effectuer les actions suivantes :
+ `xray` : récupérer les traces X-Ray.
+ `logs`— Récupère les informations CloudWatch des journaux actuels.
+ `cloudwatch`— Récupère les informations CloudWatch métriques actuelles.
+ `tags` : récupérer les balises actuelles.
+ `application-signals`— Récupère des informations sur les fenêtres d'exclusion temporelle associées SLOs et les fenêtres d'exclusion qui leur sont associées.
+ `autoscaling` : récupérer les balises d’application du groupe Amazon EC2 Autoscaling.
+ `resource-explorer-2`— Récupère les informations actuelles sur AWS les ressources à partir de l'explorateur de AWS ressources.
+ `cloudtrail`— Activez la création de canaux liés aux services pour récupérer CloudTrail les événements.
Le contenu complet de **CloudWatchApplicationSignalsServiceRolePolicy**est le suivant :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "XRayPermission",
"Effect": "Allow",
"Action": [
"xray:GetServiceGraph"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWLogsPermission",
"Effect": "Allow",
"Action": [
"logs:StartQuery",
"logs:GetQueryResults"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/appsignals/*:*",
"arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWListMetricsPermission",
"Effect": "Allow",
"Action": [
"cloudwatch:ListMetrics"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWGetMetricDataPermission",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "TagsPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "ApplicationSignalsPermission",
"Effect": "Allow",
"Action": [
"application-signals:ListServiceLevelObjectiveExclusionWindows",
"application-signals:GetServiceLevelObjective"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EC2AutoScalingPermission",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Autorisations de rôle liées au service pour les actions d' CloudWatch alarmes Systems Manager OpsCenter
CloudWatch utilise le rôle lié au service nommé **AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**— CloudWatch utilise ce rôle lié au service pour exécuter les OpsCenter actions de Systems Manager lorsqu'une CloudWatch alarme passe à l'état ALARM.
Le rôle AWSServiceRoleForCloudWatchAlarms\$1ActionSSM lié au service fait confiance au CloudWatch service pour assumer le rôle. CloudWatch les alarmes invoquent les OpsCenter actions de Systems Manager lorsqu'elles sont déclenchées par l'alarme.
La politique d'autorisation des rôles **AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**liés au service permet à Systems Manager d'effectuer les actions suivantes :
+ `ssm:CreateOpsItem`
## Autorisations de rôle liées au service pour les CloudWatch alarmes (actions de Systems Manager Incident Manager)
CloudWatch utilise le rôle lié au service nommé **AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents**: CloudWatch utilise ce rôle lié au service pour déclencher des incidents Incident Manager lorsqu'une CloudWatch alarme passe à l'état ALARM.
Le rôle **AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents**lié au service fait confiance au CloudWatch service pour assumer le rôle. CloudWatch les alarmes appellent l'action Systems Manager Incident Manager lorsqu'elles sont déclenchées par l'alarme.
La politique d'autorisation des rôles **AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents**liés au service permet à Systems Manager d'effectuer les actions suivantes :
+ `ssm-incidents:StartIncident`
## Autorisations de rôle liées à un service pour CloudWatch plusieurs comptes et entre régions
CloudWatch utilise le rôle lié au service nommé **AWSServiceRoleForCloudWatchCrossAccount**: CloudWatch utilise ce rôle pour accéder aux CloudWatch données des autres AWS comptes que vous spécifiez. Le SLR fournit uniquement l'autorisation d'assumer le rôle pour permettre au CloudWatch service d'assumer le rôle dans le compte de partage. C'est le rôle de partage qui fournit l'accès aux données.
La politique d'autorisation des rôles **AWSServiceRoleForCloudWatchCrossAccount**liés au service permet d' CloudWatch effectuer les actions suivantes :
+ `sts:AssumeRole`
Le rôle **AWSServiceRoleForCloudWatchCrossAccount**lié au service fait confiance au CloudWatch service pour assumer le rôle.
## Autorisations de rôle liées à un service pour la base de CloudWatch données Performance Insights
CloudWatch utilise le rôle lié au service nommé **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**: CloudWatch utilise ce rôle pour récupérer les métriques Performance Insights afin de créer des alarmes et de créer des instantanés.
La politique `AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy` IAM est **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**attachée au rôle lié au service. Le contenu de cette politique est le suivant :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pi:GetResourceMetrics"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Le rôle **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**lié au service fait confiance au CloudWatch service pour assumer le rôle.
## Autorisations de rôle liées au service pour CloudWatch la centralisation des journaux
Les **AWSObservabilityAdminLogsCentralizationServiceRolePolicy**pièces jointes à l'entité IAM appropriée de votre compte de gestion central, telle que le rôle de CloudWatch service, pour accorder les autorisations nécessaires à la configuration et à la gestion de la collecte centralisée des journaux. CloudWatch utilise ce rôle pour accéder aux données de télémétrie provenant d'autres AWS comptes que vous spécifiez pour créer des groupes de CloudWatch journaux, des flux de journaux et des événements dans le compte de surveillance de votre organisation. Le SLR fournit uniquement l'autorisation d'assumer le rôle pour permettre au CloudWatch service d'assumer le rôle dans le compte de surveillance. Cette politique est automatiquement attachée si vous configurez une collecte de journaux centralisée à l'aide du AWS Management Console. Si vous utilisez l'API AWS CLI or pour configurer la centralisation des journaux, vous devez associer cette politique manuellement au rôle IAM qui sera utilisé pour les tâches d'administration de l'observabilité.
La politique d'autorisation des rôles **AWSObservabilityAdminLogsCentralizationServiceRolePolicy**liés au service permet d' CloudWatch effectuer les actions suivantes :
+ `sts:AssumeRole`
+ `logs:CreateLogGroup`
+ `logs:CreateLogStream`
+ `logs:PutLogEvents`
+ `kms:Encrypt`
+ `kms:Decrypt`
+ `kms:GenerateDataKey`
Le rôle lié à un service **AWSObservabilityAdminLogsCentralizationServiceRolePolicy** fait confiance au service `logs-centralization.observabilityadmin.amazonaws.com` pour endosser le rôle.
## Création d'un rôle lié à un service pour CloudWatch
Vous n'avez pas besoin de créer manuellement l'un ou l'autre de ces rôles liés à un service. La première fois que vous créez une alarme dans le AWS Management Console, l'IAM CLI, ou l'API IAM, CloudWatch crée AWSService RoleForCloudWatchEvents et **AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**pour vous.
La première fois que vous activez la découverte de services et de topologies, Application Signals crée **AWSServiceRoleForCloudWatchApplicationSignals**pour vous.
Lorsque vous activez pour la première fois un compte comme compte de surveillance pour la fonctionnalité inter-comptes interrégionaux, il CloudWatch crée **AWSServiceRoleForCloudWatchCrossAccount**pour vous.
Lorsque vous créez pour la première fois une alarme qui utilise la fonction mathématique `DB_PERF_INSIGHTS` métrique, CloudWatch elle le fait **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**pour vous.
Pour plus d'informations, consultez [Création d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Modification d'un rôle lié à un service pour CloudWatch
CloudWatch ne vous permet pas de modifier les **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**rôles **AWSServiceRoleForCloudWatchEvents**AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**AWSServiceRoleForCloudWatchCrossAccount******,, ou. Après avoir créé ces rôles, vous ne pouvez pas modifier leurs noms, car diverses entités peuvent y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l'aide d'IAM.
### Modification de la description d'un rôle lié à un service (console IAM)
Vous pouvez utiliser la console IAM, pour modifier la description d'un rôle lié à un service.
**Pour modifier la description d'un rôle lié à un service (console)**
1. Dans le panneau de navigation de la console IAM, choisissez **Rôles**.
1. Choisissez le nom du rôle à modifier.
1. A l'extrême droite de **Description du rôle**, choisissez **Edit (Modifier)**.
1. Saisissez une nouvelle description dans la zone et choisissez **Save (Enregistrer)**.
### Modification de la description d'un rôle lié à un service (AWS CLI)
Vous pouvez utiliser les commandes IAM depuis le AWS Command Line Interface pour modifier la description d'un rôle lié à un service.
**Pour changer la description d'un rôle lié à un service (AWS CLI)**
1. (Facultatif) Pour afficher la description actuelle d'un rôle, utilisez les commandes suivantes :
```
$ aws iam [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) --role-name role-name
```
Utilisez le nom du rôle, pas l'ARN, pour faire référence aux rôles avec les commandes AWS CLI . Par exemple, si un rôle a l'ARN : `arn:aws:iam::123456789012:role/myrole`, vous faites référence au rôle en tant que **myrole**.
1. Pour mettre à jour la description d'un rôle lié à un service, utilisez la commande suivante :
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html) --role-name role-name --description description
```
### Modification de la description d'un rôle lié à un service (API IAM)
Vous pouvez utiliser l'API IAM pour modifier la description d'un rôle lié à un service.
**Pour changer la description d'un rôle lié à un service (API)**
1. (Facultatif) Pour afficher la description actuelle d'un rôle, utilisez la commande suivante :
[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
1. Pour mettre à jour la description d'un rôle, utilisez la commande suivante :
[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
## Supprimer un rôle lié à un service pour CloudWatch
Si vous n'avez plus d'alarmes qui arrêtent, mettent fin ou redémarrent automatiquement les instances EC2, nous vous recommandons de supprimer le AWSService RoleForCloudWatchEvents rôle.
Si vous n'avez plus d'alarmes qui exécutent des OpsCenter actions de Systems Manager, nous vous recommandons de supprimer le AWSServiceRoleForCloudWatchAlarms\$1ActionSSM rôle.
Si vous supprimez toutes les alarmes qui utilisent la fonction mathématique `DB_PERF_INSIGHTS` métrique, nous vous recommandons de supprimer le rôle **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**lié au service.
De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer.
### Nettoyage d’un rôle lié à un service
Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez d’abord vérifier qu’aucune session n’est active pour le rôle et supprimer toutes les ressources utilisées par le rôle.
**Pour vérifier si une session est active pour le rôle lié à un service dans la console IAM**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Rôles**. Choisissez le nom (et non la case à cocher) du AWSService RoleForCloudWatchEvents rôle.
1. Sur la page **Summary** (Résumé) du rôle sélectionné, choisissez **Access Advisor** et consultez l'activité récente du rôle lié au service.
**Note**
Si vous ne savez pas si le AWSService RoleForCloudWatchEvents rôle CloudWatch est utilisé, essayez de le supprimer. Si le service utilise le rôle, la suppression échoue et vous avez accès aux régions dans lesquelles le rôle est utilisé. Si le rôle est utilisé, vous devez attendre que la session se termine avant de pouvoir le supprimer. Vous ne pouvez pas révoquer la session d’un rôle lié à un service.
### Suppression d'un rôle lié à un service (console IAM)
Vous pouvez utiliser la console IAM pour supprimer un rôle lié à un service.
**Pour supprimer un rôle lié à un service (console)**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Rôles**. Cochez la case en regard du nom du rôle que vous souhaitez supprimer, sans sélectionner le nom ou la ligne.
1. Pour **Role actions** (Actions du rôle), choisissez **Delete role** (Supprimer le rôle).
1. Dans la boîte de dialogue de confirmation, vérifiez les dernières données consultées dans le service. Elles indiquent quels rôles, parmi ceux sélectionnés, ont accédé en dernier à un service AWS . Cela vous permet de confirmer si le rôle est actif actuellement. Pour poursuivre, choisissez **Oui, supprimer**.
1. Consultez les notifications de la console IAM pour surveiller la progression de la suppression du rôle lié à un service. Dans la mesure où la suppression du rôle lié à un service IAM est asynchrone, la suppression peut réussir ou échouer après que vous soumettez le rôle afin qu'il soit supprimé. Si la tâche échoue, choisissez **View details** (Afficher les détails) ou **View Resources** (Afficher les ressources) à partir des notifications pour connaître le motif de l'échec de la suppression. Si la suppression échoue parce que certaines ressources du service sont actuellement utilisées par le rôle, la raison de l'échec comprend une liste de ressources.
### Suppression d'un rôle lié à un service (AWS CLI)
Vous pouvez utiliser les commandes IAM depuis le AWS Command Line Interface pour supprimer un rôle lié à un service.
**Pour supprimer un rôle lié à un service (AWS CLI)**
1. Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas satisfaites. Vous devez capturer le `deletion-task-id` de la réponse afin de vérifier l'état de la tâche de suppression. Tapez la commande suivante pour envoyer une demande de suppression d'un rôle lié à un service :
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name service-linked-role-name
```
1. Tapez la commande suivante pour vérifier l'état de la tâche de suppression :
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id deletion-task-id
```
L’état de la tâche de suppression peut être `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` ou `FAILED`. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution.
### Suppression d'un rôle lié à un service (API IAM)
Vous pouvez utiliser l'API IAM pour supprimer un rôle lié à un service.
**Pour supprimer un rôle lié à un service (API)**
1. Pour soumettre une demande de suppression pour un rôle lié à un service, appelez. [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) Dans la demande, spécifiez le nom de rôle que vous souhaitez supprimer.
Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas satisfaites. Vous devez capturer le `DeletionTaskId` de la réponse afin de vérifier l'état de la tâche de suppression.
1. Pour vérifier l'état de la suppression, appelez [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Dans la demande, spécifiez le `DeletionTaskId`.
L’état de la tâche de suppression peut être `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` ou `FAILED`. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution.
## CloudWatch mises à jour des rôles AWS liés aux services
Consultez les détails des mises à jour des politiques AWS gérées CloudWatch depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du CloudWatch document.
| Modifier | Description | Date |
| --- | --- | --- |
| [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)— Mise à jour de la politique relative aux rôles liés aux services. | Informations mises à jour sur le [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)qui octroie CloudWatch les autorisations nécessaires pour activer et gérer les configurations de télémétrie pour les AWS ressources supplémentaires en fonction des règles de télémétrie. | 31 mars 2026 |
| [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)— Mise à jour de la politique relative aux rôles liés aux services. | Informations mises à jour sur le [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)qui octroie CloudWatch les autorisations nécessaires pour activer et gérer les configurations de télémétrie pour les AWS ressources supplémentaires en fonction des règles de télémétrie. | 10 mars 2026 |
| [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)— Mise à jour de la politique relative aux rôles liés aux services. | Informations mises à jour sur le [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)qui octroie CloudWatch les autorisations nécessaires pour activer et gérer les configurations de télémétrie pour les AWS ressources supplémentaires en fonction des règles de télémétrie. | 2 décembre 2025 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals)— Mise à jour des autorisations de la politique des rôles liés aux services | Mise à jour du [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals)pour inclure `resource-explorer-2:Search` et `cloudtrail:CreateServiceLinkedChannel` activer les nouvelles fonctionnalités des signaux d'application. | 12 novembre 2025 |
| [AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization)— Nouvelle politique de rôles liés aux services. | Ajout d'informations concernant CloudWatch l'octroi [AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization)des autorisations nécessaires pour activer et gérer les configurations de télémétrie pour les AWS ressources en fonction des règles de télémétrie. | 5 septembre 2025 |
| [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)— Nouvelle politique de rôles liés aux services. | Ajout d'informations concernant CloudWatch l'octroi [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement)des autorisations nécessaires pour activer et gérer les configurations de télémétrie pour les AWS ressources en fonction des règles de télémétrie. | 17 juillet 2025 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals)— Mise à jour des autorisations de la politique des rôles liés aux services | Mise à jour du [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals)pour empêcher les fenêtres temporelles d'avoir un impact sur le taux d'atteinte du SLO, le budget d'erreurs et les indicateurs de taux de combustion. CloudWatch peut récupérer des fenêtres d'exclusion en votre nom. | 13 mars 2025 |
| [AWSServiceRoleForObservabilityAdmin](#service-linked-role-telemetry-config)— Nouveau rôle lié au service | CloudWatch a ajouté ce nouveau rôle lié au service et la politique gérée correspondante AWSObservabilityAdminServiceRolePolicy, afin de faciliter la découverte des ressources et des configurations de télémétrie pour les Organisations. AWS | 26 novembre 2024 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals)— Mise à jour des autorisations de la politique des rôles liés aux services | CloudWatch ajoutez d'autres groupes de journaux à la portée `logs:StartQuery` des `logs:GetQueryResults` autorisations accordées par ce rôle. | 24 avril 2024 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals)— Nouveau rôle lié au service | CloudWatch a ajouté ce nouveau rôle lié à un service pour permettre à CloudWatch Application Signals de collecter les données des CloudWatch journaux, les données de suivi X-Ray, CloudWatch les données métriques et les données de balisage à partir des applications que vous avez activées pour CloudWatch Application Signals. | 9 novembre 2023 |
| [ AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights](#service-linked-role-permissions-dbperfinsights)— Nouveau rôle lié au service | CloudWatch a ajouté ce nouveau rôle lié au service pour permettre de récupérer les métriques de Performance Insights CloudWatch à des fins d'alarme et de capture instantanée. Une politique IAM est associée à ce rôle, et cette politique autorise l'extraction des métriques CloudWatch de Performance Insights en votre nom. | 13 septembre 2023 |
| [AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents](#service-linked-role-permissions-incident-manager)— Nouveau rôle lié au service | CloudWatch a ajouté un nouveau rôle lié au service pour permettre de CloudWatch créer des incidents dans AWS Systems Manager Incident Manager. | 26 avril 2021 |
| CloudWatch a commencé à suivre les modifications | CloudWatch a commencé à suivre les modifications apportées à ses rôles liés aux services. | 26 avril 2021 |