Utilizzo di ruoli collegati ai servizi per i registri CloudWatch - CloudWatch Registri Amazon
Autorizzazioni relative ai ruoli collegati al servizio per Logs CloudWatch Creazione di un ruolo collegato al servizio per Logs CloudWatch Modifica di un ruolo collegato al servizio per Logs CloudWatch Eliminazione di un ruolo collegato al servizio per Logs CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per i registri CloudWatch

Amazon CloudWatch Logs utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ai log. CloudWatch I ruoli collegati ai servizi sono predefiniti da CloudWatch Logs e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS

Un ruolo collegato al servizio rende la configurazione di CloudWatch Logs più efficiente perché non è necessario aggiungere manualmente le autorizzazioni necessarie. CloudWatch Logs definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo Logs può assumere tali ruoli. CloudWatch Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Queste ultime non possono essere collegate a nessun'altra entità IAM.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi consulta Servizi AWS che funzionano con IAM. Cerca i servizi che hanno nella colonna Ruolo collegato ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni relative ai ruoli collegati al servizio per Logs CloudWatch

CloudWatch Logs utilizza il ruolo collegato al servizio denominato. AWSServiceRoleForLogDelivery CloudWatch Logs utilizza questo ruolo collegato al servizio per scrivere i log direttamente su Firehose. Per ulteriori informazioni, consulta Abilita la registrazione dai servizi AWS.

Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi AWSServiceRoleForLogDelivery considera attendibili i seguenti servizi:

  • logs.amazonaws.com

La politica di autorizzazione dei ruoli consente a CloudWatch Logs di completare le seguenti azioni sulle risorse specificate:

  • Azione: firehose:PutRecord e firehose:PutRecordBatch su tutti gli stream Firehose che hanno un tag con una LogDeliveryEnabled chiave con un valore di. True Questo tag viene collegato automaticamente a uno stream Firehose quando si crea un abbonamento per inviare i log a Firehose.

Per consentire a un'entità IAM, di creare, modificare o eliminare un ruolo collegato ai servizi, devi configurare le autorizzazioni. Questa entità può essere un utente, un gruppo o un ruolo. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione di un ruolo collegato al servizio per Logs CloudWatch

Non è necessario creare manualmente un ruolo collegato ai servizi. Quando configurate i log da inviare direttamente a uno stream Firehose nell'API, AWS CLI nella o AWS Management Console nell'API CloudWatch , Logs crea automaticamente AWS il ruolo collegato al servizio.

Se elimini questo ruolo collegato ai servizi, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando configuri nuovamente i log per essere inviati direttamente a uno stream Firehose CloudWatch , Logs crea nuovamente il ruolo collegato al servizio per te.

Modifica di un ruolo collegato al servizio per Logs CloudWatch

CloudWatch I registri non consentono di modificare AWSServiceRoleForLogDelivery, o qualsiasi altro ruolo collegato al servizio, dopo averlo creato. Non è possibile modificare il nome del ruolo poiché varie entità possono farvi riferimento. Tuttavia, utilizzando IAM è possibile modificarne la descrizione. Per ulteriori informazioni, consulta la sezione Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato al servizio per Logs CloudWatch

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.

Nota

Se il servizio CloudWatch Logs utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per eliminare le risorse CloudWatch Logs utilizzate dal ruolo collegato al servizio AWSServiceRoleForLogDelivery

  • Smetti di inviare i log direttamente agli stream di Firehose.

Per eliminare manualmente il ruolo collegato ai servizi mediante IAM

Utilizza la console IAM AWS CLI, l'o l' AWS API per eliminare il ruolo collegato al AWSServiceRoleForLogDeliveryservizio. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi.

Regioni supportate per i ruoli collegati al servizio CloudWatch Logs

CloudWatch Logs supporta l'utilizzo di ruoli collegati al servizio in tutte le AWS regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta CloudWatch Registra regioni ed endpoint.