# 为 CloudWatch 使用服务相关角色
Amazon CloudWatch 使用 AWS Identity and Access Management (IAM)[ 服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特类型的 IAM 角色,它与 CloudWatch 直接相关。服务相关角色由 CloudWatch 预定义,并包含该服务代表您调用其他 AWS 服务所需的一切权限。
CloudWatch 中的一个服务相关角色将设置可终止、停止或重启 Amazon EC2 实例的 CloudWatch 告警,而无需您手动添加必要的权限。另一个服务相关角色可让监控账户访问您指定的其他账户的 CloudWatch 数据,从而构建跨账户跨区域的控制面板。
CloudWatch 定义这些服务相关角色的权限,除非另行定义,否则仅 CloudWatch 能够代入该角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
只有在首先删除角色的相关资源后,才能删除角色。此限制将保护您的 CloudWatch 资源,因为您不会无意中删除对资源的访问权限。
有关支持服务相关角色的其它服务的信息,请参阅[使用 IAM 的 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找 **Service-Linked Role**(服务相关角色)列中显示为 **Yes**(是)的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## CloudWatch EC2 操作的服务相关角色权限
CloudWatch 使用名为 **AWSServiceRoleForCloudWatchEvents** 的服务相关角色 – CloudWatch 使用此服务相关角色执行 Amazon EC2 告警操作。
AWSServiceRoleForCloudWatchEvents 服务相关角色信任 CloudWatch Events 服务来代入该角色。CloudWatch Events 在被告警调起时,调用终止、停止或重启实例操作。
AWSServiceRoleForCloudWatchEvents 服务相关角色权限策略允许 CloudWatch Events 对 Amazon EC2 实例完成以下操作:
+ `ec2:StopInstances`
+ `ec2:TerminateInstances`
+ `ec2:RecoverInstances`
+ `ec2:DescribeInstanceRecoveryAttribute`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
**AWSServiceRoleForCloudWatchCrossAccount** 服务相关角色权限策略允许 CloudWatch 完成以下操作:
+ `sts:AssumeRole`
## CloudWatch 遥测配置的服务相关角色权限
CloudWatch 可观测性管理员创建并使用名为 **AWSServiceRoleForObservabilityAdmin** 的服务相关角色 – CloudWatch 使用此服务相关角色来支持 AWS Organizations 的资源和遥测配置发现。该角色在组织的所有成员账户中创建。
**AWSServiceRoleForObservabilityAdmin** 服务相关角色信任可观测性管理员来代入角色。可观测性管理员管理 Organizations 账户中的 AWS Config 服务相关配置记录器和服务相关配置聚合器。
**AWSServiceRoleForObservabilityAdmin** 服务相关角色附加了一项名为 AWSObservabilityAdminServiceRolePolicy 的策略,该策略授予 CloudWatch 可观测性管理员执行以下操作的权限:
+ `organizations:ListAccounts`
+ `organizations:ListAccountsForParent`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:DescribeOrganization`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListDelegatedAdministrators`
+ `config:PutServiceLinkedConfigurationRecorder`
+ `config:DeleteServiceLinkedConfigurationRecorder`
+ `config:PutConfigurationAggregator`
+ `config:DeleteConfigurationAggregator`
+ `config:SelectAggregateResourceConfig`
+ `iam:CreateServiceLinkedRole`
+ `iam:PassRole`
AWSObservabilityAdminServiceRolePolicy 策略的完整内容如下所示:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"config:PutServiceLinkedConfigurationRecorder",
"config:DeleteServiceLinkedConfigurationRecorder"
],
"Resource": [
"arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForObservabilityAdmin/*"
]
},
{
"Effect": "Allow",
"Action": [
"config:PutConfigurationAggregator",
"config:DeleteConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": [
"arn:aws:config:*:*:config-aggregator/aws-service-config-aggregator/observabilityadmin.amazonaws.com/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"observabilityadmin.amazonaws.com",
"config.amazonaws.com"
]
}
}
}
]
}
```
------
## CloudWatch 遥测启用所需的服务相关角色权限
`AWSObservabilityAdminTelemetryEnablementServiceRolePolicy` 会授予根据遥测规则启用及管理 AWS 资源遥测配置功能所需的权限。
此策略会授予以下权限:
+ 基本遥测操作,包括描述 VPC、流日志、日志组。其中还包括为 EKS 集群日志记录启用日志记录配置、WAF 放置日志记录配置、启用 NLB 日志、Route53 Resolver 查询日志记录、Amazon EC2 详细监控、Security Hub、Bedrock Agentcore 网关、Bedrock Agentcore 内存 和 CloudFront 分配的权限。
+ 资源标记操作,即使用 `CloudWatchTelemetryRuleManaged` 标签追踪托管资源
+ 日志交付配置,用于 AWS Bedrock 和 VPC 流日志服务
+ 配置记录器管理,用于遥测启用追踪
此策略通过以下条件强制执行安全边界:
+ 使用 `aws:ResourceAccount` 将操作对象限制在同一账户内的资源
+ 需要 `CloudWatchTelemetryRuleManaged` 标签才能进行资源修改
+ 将配置记录器的访问权限限制在与遥测启用相关的资源范围内
AWSObservabilityAdminTelemetryEnablementServiceRolePolicy 策略的完整内容可在此处找到:[AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSObservabilityAdminTelemetryEnablementServiceRolePolicy.html)。
## CloudWatch Application Signals 的服务相关角色权限
CloudWatch Application Signals 使用名为 **AWSServiceRoleForCloudWatchApplicationSignals** 的服务相关角色。CloudWatch 使用这个服务相关角色从您为 CloudWatch Application Signals 启用的应用程序中收集 CloudWatch Logs 数据、X-Ray 跟踪数据、CloudWatch 指标数据和标记数据。
**AWSServiceRoleForCloudWatchApplicationSignals** 服务相关角色信任 CloudWatch Application Signals 来代入该角色。Application Signals 会从您的账户收集日志、跟踪、指标和标签数据。
**AWSServiceRoleForCloudWatchApplicationSignals** 附加有 IAM 策略,此政策名为 **CloudWatchApplicationSignalsServiceRolePolicy**。此策略授予 CloudWatch Application Signals 从其他相关 AWS 服务收集监控和标记数据的权限。其中包含允许 Application Signals 完成以下操作的权限:
+ `xray` – 检索 X-Ray 跟踪。
+ `logs` – 检索当前的 CloudWatch 日志信息。
+ `cloudwatch` – 检索当前的 CloudWatch 指标信息。
+ `tags` – 检索当前标签。
+ `application-signals` – 检索有关 SLO 及其关联的时间排除窗口的信息。
+ `autoscaling` – 从 Amazon EC2 Autoscaling 组中检索应用程序标签。
+ `resource-explorer-2` – 从 AWS Resource Explorer 中检索当前 AWS 资源信息。
+ `cloudtrail` – 支持创建用于检索 CloudTrail 事件的服务相关通道。
**CloudWatchApplicationSignalsServiceRolePolicy** 的完整内容如下所示:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "XRayPermission",
"Effect": "Allow",
"Action": [
"xray:GetServiceGraph"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWLogsPermission",
"Effect": "Allow",
"Action": [
"logs:StartQuery",
"logs:GetQueryResults"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/appsignals/*:*",
"arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWListMetricsPermission",
"Effect": "Allow",
"Action": [
"cloudwatch:ListMetrics"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWGetMetricDataPermission",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "TagsPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "ApplicationSignalsPermission",
"Effect": "Allow",
"Action": [
"application-signals:ListServiceLevelObjectiveExclusionWindows",
"application-signals:GetServiceLevelObjective"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EC2AutoScalingPermission",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## CloudWatch 告警 Systems Manager OpsCenter 操作的服务相关角色权限
CloudWatch 使用名为 **AWSServiceRoleForCloudWatchAlarms\$1ActionSSM** 的服务相关角色 – CloudWatch 在告警进入 ALARM(告警)状态时使用此服务相关角色执行 Systems Manager OpsCenter 操作。
AWSServiceRoleForCloudWatchAlarms\$1ActionSSM 服务相关角色信任 CloudWatch 服务来代入该角色。CloudWatch 告警在被告警调用时,将调用 Systems Manager OpsCenter 操作。
**AWSServiceRoleForCloudWatchAlarms\$1ActionSSM** 服务相关角色权限策略允许 Systems Manager 完成以下操作:
+ `ssm:CreateOpsItem`
## CloudWatch 告警 Systems Manager Incident Manager 操作的服务相关角色权限
CloudWatch 使用名为 **AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents** 的服务相关角色 – CloudWatch 在告警进入 ALARM(告警)状态时使用此服务相关角色启动 Incident Manager 事件。
**AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents** 服务相关角色信任 CloudWatch 服务来代入该角色。CloudWatch 告警在被告警调用时,将调用 Systems Manager Incident Manager 操作。
**AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents** 服务相关角色权限策略允许 Systems Manager 完成以下操作:
+ `ssm-incidents:StartIncident`
## CloudWatch 跨账户跨区域的服务相关角色权限
CloudWatch 使用名为 **AWSServiceRoleForCloudWatchCrossAccount** 的服务相关角色 – CloudWatch 使用此角色访问您指定的其他 AWS 账户中的 CloudWatch 数据。SLR 仅提供代入角色权限以允许 CloudWatch 服务代入共享账户中的角色。它是提供对数据的访问权限的共享角色。
**AWSServiceRoleForCloudWatchCrossAccount** 服务相关角色权限策略允许 CloudWatch 完成以下操作:
+ `sts:AssumeRole`
**AWSServiceRoleForCloudWatchCrossAccount** 服务相关角色信任 CloudWatch 服务来代入该角色。
## CloudWatch 数据库性能详情的服务相关角色权限
CloudWatch 使用名为 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 的服务相关角色:CloudWatch 使用该角色检索性能详情指标用于创建警报及生成快照。
**AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 服务相关角色附加了 `AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy` IAM 策略。该策略的内容如下所示:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pi:GetResourceMetrics"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
**AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 服务相关角色信任 CloudWatch 服务来代入该角色。
## CloudWatch Logs 集中化功能所需的服务相关角色权限
**AWSObservabilityAdminLogsCentralizationServiceRolePolicy** 会附加到中央管理账户中相应的 IAM 实体,例如 CloudWatch 服务角色,以授予设置和管理集中式日志收集所需的权限。CloudWatch 使用此角色访问其他 AWS 账户的遥测数据,这些账户经指定用于在组织监控账户中创建 CloudWatch 日志组、日志流和日志事件。SLR 仅提供代入角色权限以允许 CloudWatch 服务代入监控账户中的角色。如果使用 AWS 管理控制台设置集中式日志收集,则会自动附加此策略。如果使用 AWS CLI 或 API 来配置日志集中化,则必须手动将此策略附加到将用于可观测性管理任务的 IAM 角色。
**AWSObservabilityAdminLogsCentralizationServiceRolePolicy** 服务相关角色权限策略允许 CloudWatch 完成以下操作:
+ `sts:AssumeRole`
+ `logs:CreateLogGroup`
+ `logs:CreateLogStream`
+ `logs:PutLogEvents`
+ `kms:Encrypt`
+ `kms:Decrypt`
+ `kms:GenerateDataKey`
**AWSObservabilityAdminLogsCentralizationServiceRolePolicy** 服务相关角色信任 `logs-centralization.observabilityadmin.amazonaws.com` 服务来代入该角色。
## 为 CloudWatch 创建服务相关角色
您无需手动创建这两个服务相关角色。当您首次在 AWS 管理控制台、IAM CLI 或 IAM API 中创建告警时,CloudWatch 会为您创建 AWSServiceRoleForCloudWatchEvents 和 **AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**。
首次启用服务和拓扑发现时,Application Signals 会为您创建 **AWSServiceRoleForCloudWatchApplicationSignals**。
当您首次启用一个账户作为跨账户跨区域功能的监控账户时,CloudWatch 会为您创建 **AWSServiceRoleForCloudWatchCrossAccount**。
当您第一次创建使用 `DB_PERF_INSIGHTS` 指标数学函数的警报时,CloudWatch 会为您创建 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**。
有关更多信息,请参阅《IAM 用户指南》中的 [创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)**。
## 为 CloudWatch 编辑服务相关角色
CloudWatch 不允许您编辑 **AWSServiceRoleForCloudWatchEvents**、**AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**、**AWSServiceRoleForCloudWatchCrossAccount** 或 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 角色。在创建这些角色后,您无法更改这些角色的名称,因为可能有不同的实体引用它们。但是,您可以使用 IAM 编辑这些角色的描述。
### 编辑服务相关角色描述(IAM 控制台)
您可以使用 IAM 控制台编辑服务相关角色的描述。
**编辑服务相关角色的描述(控制台)**
1. 在 IAM 控制台的导航窗格中,选择**角色**。
1. 以下代码示例显示如何将 IAM 策略附加到用户。
1. 在 **Role description** 的最右侧,选择 **Edit**。
1. 在框中键入新描述,然后选择 **Save (保存)**。
### 编辑服务相关角色描述 (AWS CLI)
您可以从 AWS Command Line Interface 使用 IAM 命令编辑服务相关角色的描述。
**更改服务相关角色描述 (AWS CLI)**
1. (可选) 要查看角色的当前描述,请使用以下命令:
```
$ aws iam [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) --role-name role-name
```
可以在 AWS CLI 命令中使用角色名称(而不是 ARN)引用角色。例如,如果某个角色的 ARN 为 `arn:aws:iam::123456789012:role/myrole`,则将该角色称为 **myrole**。
1. 要更新服务相关角色的描述,请使用以下命令:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html) --role-name role-name --description description
```
### 编辑服务相关角色描述 (IAM API)
您可以使用 IAM API 编辑服务相关角色的描述。
**更改服务相关角色的描述(API)**
1. (可选) 要查看角色的当前描述,请使用以下命令:
[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
1. 要更新角色的描述,请使用以下命令:
[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
## 为 CloudWatch 删除服务相关角色
如果您不再具有自动停止、终止或重启 EC2 实例的警报,我们建议您删除 AWSServiceRoleForCloudWatchEvents 角色。
如果您不再具有执行 Systems Manager OpsCenter 操作的告警,我们建议您删除 AWSServiceRoleForCloudWatchAlarms\$1ActionSSM 角色。
如果您删除使用 `DB_PERF_INSIGHTS` 指标数学函数的所有警报,则建议您删除 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 服务相关角色。
这样就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能将其删除。
### 清除服务相关角色
必须先确认服务相关角色没有活动会话并删除该角色使用的任何资源,然后才能使用 IAM 删除服务相关角色。
**在 IAM 控制台中检查服务相关角色是否具有活动会话**
1. 通过以下网址打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**角色**。选择 AWSServiceRoleForCloudWatchEvents 角色的名称(不是复选框)。
1. 在选定角色的**摘要**页上,选择**访问顾问**并查看服务相关角色的近期活动。
**注意**
如果您不确定 CloudWatch 是否正在使用 AWSServiceRoleForCloudWatchEvents 角色,请尝试删除该角色。如果服务正在使用该角色,则删除操作会失败,并且您可以查看正在使用该角色的 区域。如果该角色已被使用,则您必须等待会话结束,然后才能删除该角色。您无法撤销服务相关角色对会话的权限。
### 删除服务相关角色(IAM 控制台)
您可以使用 IAM 控制台删除服务相关角色。
**删除服务相关角色(控制台)**
1. 通过以下网址打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**角色**。选中要删除的角色名称旁的复选框,而不是名称或行本身。
1. 对于**角色操作**,请选择**删除角色**。
1. 在确认对话框中,查看上次访问服务数据,该数据显示每个选定角色上次访问AWS服务的时间。这样可帮助您确认角色当前是否处于活动状态。要继续,请选择 **Yes, Delete(是的,删除)**。
1. 监视 IAM 控制台通知,以监控服务相关角色的删除进度。由于 IAM 服务相关角色的删除是异步操作,因此,在提交要删除的角色后,删除任务可能会成功,也可能会失败。如果该任务失败,请从通知中选择**查看详细信息**或**查看资源**以了解删除失败的原因。如果因角色正在使用服务中的资源而导致删除操作失败,则失败原因将包含一个资源列表。
### 删除服务相关角色 (AWS CLI)
您可以从 AWS Command Line Interface 使用 IAM 命令删除服务相关角色。
**删除服务相关角色 (AWS CLI)**
1. 如果服务相关角色正被使用或具有关联的资源,则无法删除它,因此您必须提交删除请求。如果不满足这些条件,该请求可能会被拒绝。您必须从响应中捕获 `deletion-task-id` 以检查删除任务的状态。键入以下命令以提交服务相关角色的删除请求:
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name service-linked-role-name
```
1. 键入以下命令以检查删除任务的状态:
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id deletion-task-id
```
删除任务的状态可能是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果删除失败,则调用会返回失败的原因,以便您进行问题排查。
### 删除服务相关角色(IAM API)
您可以使用 IAM API 删除服务相关角色。
**删除服务相关角色(API)**
1. 要提交服务相关角色的删除请求,请调用 [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html)。在请求中,指定您要删除的角色名称。
如果服务相关角色正被使用或具有关联的资源,则无法删除它,因此您必须提交删除请求。如果不满足这些条件,该请求可能会被拒绝。您必须从响应中捕获 `DeletionTaskId` 以检查删除任务的状态。
1. 要检查删除的状态,请调用 [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html)。在请求中,指定 `DeletionTaskId`。
删除任务的状态可能是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果删除失败,则调用会返回失败的原因,以便您进行问题排查。
## 对 AWS 服务相关角色的 CloudWatch 更新
查看有关 CloudWatch 的 AWS 托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 CloudWatch 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) – 更新为服务相关角色策略。 | 更新了有关 [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) 的信息,该策略会授予 CloudWatch 根据遥测规则启用和管理其他 AWS 资源遥测配置所需的权限。 | March 31, 2026 |
| [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) – 更新为服务相关角色策略。 | 更新了有关 [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) 的信息,该策略会授予 CloudWatch 根据遥测规则启用和管理其他 AWS 资源遥测配置所需的权限。 | 2026 年 3 月 10 日 |
| [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) – 更新为服务相关角色策略。 | 更新了有关 [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) 的信息,该策略会授予 CloudWatch 根据遥测规则启用和管理其他 AWS 资源遥测配置所需的权限。 | 2025 年 12 月 2 日 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals) – 更新为服务相关角色策略的权限 | 更新了 [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals),新增 `resource-explorer-2:Search` 和 `cloudtrail:CreateServiceLinkedChannel` 以启用新的 Application Signals 功能。 | 2025 年 11 月 12 日 |
| [AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization):新的服务相关角色策略。 | 添加了有关 [AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization) 的信息,该策略会授予 CloudWatch 根据遥测规则启用和管理 AWS 资源遥测配置所需的权限。 | 2025 年 9 月 5 日 |
| [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement):新的服务相关角色策略。 | 添加了有关 [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) 的信息,该策略会授予 CloudWatch 根据遥测规则启用和管理 AWS 资源遥测配置所需的权限。 | 2025 年 7 月 17 日 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals) – 更新为服务相关角色策略的权限 | 更新了 [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals),以排除时间窗口对 SLO 达成率、错误预算和消耗率指标的影响。CloudWatch 可以代表您检索排除窗口。 | 2025 年 3 月 13 日 |
| [AWSServiceRoleForObservabilityAdmin](#service-linked-role-telemetry-config) – 新的服务相关角色 | CloudWatch 添加了这个新的服务相关角色和相应的托管式策略 AWSObservabilityAdminServiceRolePolicy,为 AWS Organizations 的资源和遥测配置发现提供支持。 | 2024 年 11 月 26 日 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals) – 更新为服务相关角色策略的权限 | CloudWatch 将更多日志组添加到此角色授予的 `logs:StartQuery` 和 `logs:GetQueryResults` 权限的范围。 | 2024 年 4 月 24 日 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals):新的服务相关角色 | CloudWatch 添加了这个新的服务相关角色,以允许 CloudWatch Application Signals 收集 CloudWatch Logs 数据、X-Ray 跟踪数据、CloudWatch 指标数据,以及您为 CloudWatch Application Signals 启用的应用程序中的标记数据。 | 2023 年 11 月 9 日 |
| [ AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights](#service-linked-role-permissions-dbperfinsights) – 新的服务相关角色 | CloudWatch 添加了这个新的服务相关角色,允许 CloudWatch 获取用于警报和快照的性能详情指标。此角色附加了一个 IAM 策略,该策略授予 CloudWatch 代表您获取性能详情指标的权限。 | 2023 年 9 月 13 日 |
| [AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents](#service-linked-role-permissions-incident-manager) – 新的服务相关角色 | CloudWatch 添加了新的服务相关角色,以允许 CloudWatch 在 AWS Systems Manager Incident Manager 中创建事件。 | 2021 年 4 月 26 日 |
| CloudWatch 开始跟踪更改 | CloudWatch 开始跟踪其服务相关角色的更改。 | 2021 年 4 月 26 日 |