Amazon Monitron は新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。Amazon Monitron に似た機能については、ブログ記事
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Monitron のサービスリンクロール許可
Amazon Monitron は、AWSServiceRoleForMonitron[_{SUFFIX}] という名前のサービスにリンクされたロールを使用します。Amazon Monitron は AWSServiceRoleForMonitron を使用して、Cloudwatch Logs、Kinesis Data Streams、KMS キー、SSO などの他の AWS サービスにアクセスします。ポリシーの詳細については、「 AWS マネージドポリシーリファレンスガイド」のAWSServiceRoleForMonitronPolicy」を参照してください。
AWSServiceRoleForMonitron[_{SUFFIX}] のサービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。
-
monitron.amazonaws.com、またはcore.monitron.amazonaws.com
MonitronServiceRolePolicy という名前のロールのアクセス許可ポリシーは、指定したリソースに対して Amazon Monitron が以下のアクションを実行することを許可します。
-
アクション: Amazon CloudWatch Logs
logs:CreateLogGroup、CloudWatch ロググループ、ログストリーム、および /aws/monitron/* パスにあるログイベント上のlogs:CreateLogStreamおよびlogs:PutLogEvents
MonitronServiceDataExport-KinesisDataStreamAccess という名前のロールのアクセス許可ポリシーは、指定したリソースに対して Amazon Monitron が以下のアクションを実行することを許可します。
-
アクション: Amazon Kinesis
kinesis:PutRecord、kinesis:PutRecords、およびライブデータエクスポート用に指定された Kinesis データストリーム上のkinesis:DescribeStream -
アクション: ライブデータエクスポート用に AWS KMS 指定された Kinesis データストリームで使用されるキーの Amazon AWS KMS
kms:GenerateDataKey -
アクション: 使用していないサービスにリンクされたロール自体を削除する Amazon IAM
iam:DeleteRole
AWSServiceRoleForMonitronPolicy という名前のロールのアクセス許可ポリシーは、Amazon Monitron が指定されたリソースで以下のアクションを実行することを許可します。
-
アクション: IAM Identity Center
sso:GetManagedApplicationInstance、sso:GetProfile、sso:ListProfiles、sso:AssociateProfile、sso:ListDirectoryAssociations、、sso:CreateApplicationAssignment、およびsso:ListProfileAssociationssso-directory:DescribeUserssso-directory:SearchUsersプロジェクトに関連付けられた IAM Identity Center ユーザーsso:ListApplicationAssignmentsにアクセス
注記
Amazon Monitron が Amazon Monitron プロジェクトの基盤となるアプリケーションインスタンスとの関連付けを一覧表示できるようにするために、sso:ListProfileAssociations を追加してください。
サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細についてはIAM ユーザーガイド の「サービスにリンクされた役割のアクセス許可」を参照してください。
