本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
對 CloudWatch Logs 使用服務連結角色
Amazon CloudWatch Logs 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是一種獨特的 IAM 角色,直接連結至 CloudWatch Logs。服務連結角色由 CloudWatch Logs 預先定義,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可以更有效率設定 CloudWatch Logs,因為您不需要手動新增必要的許可。CloudWatch Logs 定義其服務連結角色的許可,除非另有定義,否則只有 CloudWatch Logs 可以擔任這些角色。已定義的許可包括信任政策和許可政策。該許可政策無法連接至其他任何 IAM 實體。
關於支援服務連結角色的其他服務,如需相關資訊,請參閱與 IAM 搭配運作的AWS 服務。尋找服務連結角色欄中顯示 Yes (是) 的服務。選擇具有連結的是,以檢視該服務的服務連結角色文件。
CloudWatch Logs 的服務連結角色許可
CloudWatch Logs 使用名為 AWSServiceRoleForLogDelivery 的服務連結角色。CloudWatch Logs 使用此服務連結角色將日誌直接寫入 Firehose。如需詳細資訊,請參閱從 AWS 服務啟用記錄。
AWSServiceRoleForLogDelivery 服務連結角色信任下列服務擔任角色:
-
logs.amazonaws.com
角色許可政策允許 CloudWatch Logs 對指定的資源完成下列動作:
-
動作:
firehose:PutRecord和 在所有 Firehose 串流firehose:PutRecordBatch上,其標籤的LogDeliveryEnabled索引鍵值為True。當您建立訂閱以將日誌交付至 Firehose 時,此標籤會自動連接至 Firehose 串流。
您必須設定許可來允許 IAM 實體建立、編輯或刪除服務連結角色。此實體可以是使用者、群組或角色。如需詳細資訊,請參閱《IAM 使用者指南》中的服務連結角色許可。
建立 CloudWatch Logs 的服務連結角色
您不需要手動建立服務連結角色。當您設定要直接傳送到 AWS Management Console AWS CLI、 或 AWS API 中 Firehose 串流的日誌時,CloudWatch Logs 會為您建立服務連結角色。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您再次設定日誌以直接傳送到 Firehose 串流時,CloudWatch Logs 會再次為您建立服務連結角色。
編輯 CloudWatch Logs 的服務連結角色
當您建立 AWSServiceRoleForLogDelivery 或其他任何服務連結角色後,CloudWatch Logs 就不允許您編輯角色。因為各種實體可能會參考角色,所以您無法變更角色的名稱。然而,您可使用 IAM 來編輯角色描述。如需更多資訊,請參閱 IAM 使用者指南中的編輯服務連結角色。
刪除 CloudWatch Logs 的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
注意
當您嘗試刪除資源時,如果 CloudWatch Logs 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
刪除由 AWSServiceRoleForLogDelivery 服務連結角色所使用的 CloudWatch Logs 資源
-
停止將日誌直接傳送至 Firehose 串流。
使用 IAM 手動刪除服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除AWSServiceRoleForLogDelivery服務連結角色。如需詳細資訊,請參閱刪除服務連結角色
CloudWatch Logs 服務連結角色支援的區域
CloudWatch Logs 支援在所有提供服務的 AWS 區域中使用服務連結角色。如需詳細資訊,請參閱 CloudWatch Logs 區域和端點。
