Perfis vinculados ao serviço do Network Flow Monitor - Amazon CloudWatch
Permissões do perfil vinculado ao serviço do Network Flow MonitorCriar perfil vinculado ao serviço do Network Flow MonitorEditar perfil vinculado ao serviço do Network Flow MonitorExcluir perfil vinculado ao serviço do Network Flow MonitorAtualizações do perfil vinculado ao serviço do Network Flow Monitor

Perfis vinculados ao serviço do Network Flow Monitor

O Network Flow Monitor usa perfis do AWS Identity and Access Management (IAM) vinculados ao serviço. O perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM que é vinculado diretamente ao Network Flow Monitor. O perfil vinculado ao serviço é predefinido pelo Network Flow Monitor e inclui todas as permissões de que o serviço precisa para chamar outros serviços da AWS em seu nome.

O Network Flow Monitor define as permissões dos perfis vinculados ao serviço e, a menos que definido em contrário, apenas o Network Flow Monitor poderá assumir o perfil. As permissões definidas incluem as políticas de confiança e as políticas de permissões, e essas políticas de permissões não podem ser anexadas a nenhuma outra entidade do IAM.

Você pode excluir os perfis somente depois de primeiro excluir seus recursos relacionados. Essa restrição protege os recursos do Network Flow Monitor, pois não é possível remover acidentalmente as permissões de acesso a eles.

Para obter informações sobre outros serviços compatíveis com funções vinculadas aos serviços, consulte Serviços da AWS que funcionam com o IAM e procure os serviços que apresentam Sim na coluna Funções vinculadas aos serviços. Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.

Permissões do perfil vinculado ao serviço do Network Flow Monitor

O Network Flow Monitor usa os seguintes perfis vinculados ao serviço:

  • AWSServiceRoleForNetworkFlowMonitor

  • AWSServiceRoleForNetworkFlowMonitor_Topology

Permissões de perfil vinculado ao serviço de AWSServiceRoleForNetworkFlowMonitor

O Network Flow Monitor usa o perfil vinculado ao serviço denominado AWSServiceRoleForNetworkFlowMonitor. Esse perfil permite que o Network Flow Monitor publique métricas de telemetria agregadas do CloudWatch coletadas para o tráfego de rede entre instâncias e entre instâncias e locais da AWS. Também permite que o serviço use o AWS Organizations para obter informações para cenários de várias contas.

Esse perfil vinculado ao serviço usa a política gerenciada CloudWatchNetworkFlowMonitorServiceRolePolicy.

Para visualizar as permissões dessa política, consulte CloudWatchNetworkFlowMonitorServiceRolePolicy na Referência de políticas gerenciadas pela AWS.

O perfil AWSServiceRoleForNetworkFlowMonitor vinculado ao serviço confia no seguinte serviço para assumir o perfil:

  • networkflowmonitor.amazonaws.com

Permissões de perfil vinculado ao serviço de AWSServiceRoleForNetworkFlowMonitor_Topology

O Network Flow Monitor usa o perfil vinculado ao serviço denominado AWSServiceRoleForNetworkFlowMonitor_Topology. Esse perfil permite que o Network Flow Monitor gere um snapshot da topologia dos recursos que você usa com o Network Flow Monitor.

Esse perfil vinculado ao serviço usa a política gerenciada CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.

Para visualizar as permissões dessa política, consulte CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy na Referência de políticas gerenciadas pela AWS.

O perfil AWSServiceRoleForNetworkFlowMonitor_Topology vinculado ao serviço confia no seguinte serviço para assumir o perfil:

  • topology.networkflowmonitor.amazonaws.com

Criar perfil vinculado ao serviço do Network Flow Monitor

Você não precisa criar manualmente perfis vinculados ao serviço para o Network Flow Monitor. Quando você inicializar o Network Flow Monitor pela primeira vez, ele criará as funções AWSServiceRoleForNetworkFlowMonitor e AWSServiceRoleForNetworkFlowMonitor_Topology em seu nome.

Para obter mais informações, consulte Criar um perfil vinculado a serviço no Guia do usuário do IAM.

Editar perfil vinculado ao serviço do Network Flow Monitor

Após o Network Flow Monitor criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil porque várias entidades poderão referenciá-lo. Porém, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluir perfil vinculado ao serviço do Network Flow Monitor

Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. Porém, você deve limpar os recursos do perfil vinculado ao serviço antes de poder excluí-lo manualmente.

nota

Se o serviço do Network Flow Monitor estiver usando um perfil quando você tentar excluí-lo, a exclusão poderá falhar. Se isso acontecer, aguarde alguns minutos e tente novamente.

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil AWSServiceRoleForNetworkFlowMonitor ou o AWSServiceRoleForNetworkFlowMonitor_Topology vinculado a serviço. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Atualizações do perfil vinculado ao serviço do Network Flow Monitor

Para conferir as atualizações de CloudWatchNetworkFlowMonitorServiceRolePolicy ou CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy, as políticas gerenciadas pela AWS dos perfis vinculados ao serviço do Network Flow Monitor, consulte as atualizações do CloudFront para as políticas gerenciadas da AWS. Para obter alertas automáticos sobre alterações em políticas gerenciadas, inscreva-se no feed RSS na página Histórico de documentos do CloudWatch.