對 CloudWatch 使用服務連結角色
Amazon CloudWatch 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是一種獨特的 IAM 角色,可直接連結至 CloudWatch。服務連結角色由 CloudWatch 預先定義,且包含服務代表您呼叫其他 AWS 服務時所需的全部許可。
此 CloudWatch 中的服務連結角色會設定 CloudWatch 警示,其能夠可以終止、停止或重新啟動 Amazon EC2 執行個體,您不需要手動新增必要的許可。另一個服務連結角色可讓監控帳戶從您指定的其他帳戶存取 CloudWatch 資料,以建置跨帳戶跨區域儀表板。
CloudWatch 會定義這些服務連結角色的許可,除非另外定義,否則只有 CloudWatch 才能擔任角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。
您必須先刪除角色的相關資源,才能刪除角色。此限制可保護您的 CloudWatch 資源,避免您不小心移除資源的存取許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱可搭配 IAM 運作的 AWS 服務,並尋找 Service-Linked Role (服務連結角色) 欄顯示為 Yes (是) 的服務。選擇具有連結的是,以檢視該服務的服務連結角色文件。
CloudWatch 警示 EC2 動作的服務連結角色許可
CloudWatch 使用名為 AWSServiceRoleForCloudWatchEvents 的服務連結角色 – CloudWatch 會使用此服務連結角色執行 Amazon EC2 警示動作。
AWSServiceRoleForCloudWatchEvents 服務連結角色信任擔任該角色的 CloudWatch Events 服務。CloudWatch Events 會在警示呼叫時叫用終止、停止或重新啟動執行個體的動作。
AWSServiceRoleForCloudWatchEvents 服務連結角色許可政策允許 CloudWatch Events 在 Amazon EC2 執行個體上完成下列動作:
-
ec2:StopInstances -
ec2:TerminateInstances -
ec2:RecoverInstances -
ec2:DescribeInstanceRecoveryAttribute -
ec2:DescribeInstances -
ec2:DescribeInstanceStatus
AWSServiceRoleForCloudWatchCrossAccount 服務連結角色許可政策允許 CloudWatch 完成下列動作:
-
sts:AssumeRole
CloudWatch 遙測組態的服務連結角色許可
CloudWatch Observability Admin 建立並使用名為 AWSServiceRoleForObservabilityAdmin 的服務連結角色 – CloudWatch 使用此服務連結角色來支援 AWS 組織的資源和遙測組態偵測。組織的所有成員帳戶中都會建立角色。
AWSServiceRoleForObservabilityAdmin 服務連結角色信任由 Observability Admin 擔任角色。Observability Admin 管理組織帳戶中的 AWS Config Service Linked Configuration Recorders 和 Service Linked Configuration Aggregator。
AWSServiceRoleForObservabilityAdmin 服務連結角色已連結名為 AWSObservabilityAdminServiceRolePolicy 的政策,且此政策授與 CloudWatch Observability Admin 完成下列動作的許可:
-
organizations:ListAccounts -
organizations:ListAccountsForParent -
organizations:ListChildren -
organizations:ListParents -
organizations:DescribeOrganization -
organizations:DescribeOrganizationalUnit -
organizations:EnableAWSServiceAccess -
organizations:ListDelegatedAdministrators -
config:PutServiceLinkedConfigurationRecorder -
config:DeleteServiceLinkedConfigurationRecorder -
config:PutConfigurationAggregator -
config:DeleteConfigurationAggregator -
config:SelectAggregateResourceConfig -
iam:CreateServiceLinkedRole -
iam:PassRole
AWSObservabilityAdminServiceRolePolicy 政策的完整內容如下:
啟用 CloudWatch 遙測的服務連結角色許可
AWSObservabilityAdminTelemetryEnablementServiceRolePolicy 授與必要許可,以根據遙測規則啟用和管理 AWS 資源的遙測組態。
此政策授與如下許可:
-
基本遙測操作,包括描述 VPC、流量日誌、日誌群組和管理 EC2 執行個體監控
-
使用
CloudWatchTelemetryRuleManaged標籤對資源進行標記操作,以追蹤受管資源 -
AWS Bedrock、VPC Flow Logs 等服務的日誌傳輸組態
-
針對遙測啟用追蹤的組態記錄器管理
此政策透過下列條件強制執行安全邊界:
-
使用
aws:ResourceAccount將操作限制在同一帳戶中的資源 -
需要
CloudWatchTelemetryRuleManaged標籤才能修改資源 -
限制組態記錄器存取與遙測啟用相關聯的記錄
AWSObservabilityAdminTelemetryEnablementServiceRolePolicy 的完整內容如下:
CloudWatch Application Signals 的服務連結角色許可
CloudWatch Application Signals 使用名稱為 AWSServiceRoleForCloudWatchApplicationSignals 的服務連結角色 – CloudWatch 會使用此服務連結角色,從您為 CloudWatch Application Signals 啟用的應用程式中收集 CloudWatch 日誌資料、X-Ray 追蹤資料、CloudWatch 指標資料以及標記資料。
AWSServiceRoleForCloudWatchApplicationSignals 服務連結角色信任擔任該角色的 CloudWatch Application Signals。Application Signals 會從您的帳戶中收集日誌、追蹤、指標和標記資料。
AWSServiceRoleForCloudWatchApplicationSignals 已附接 IAM 政策,並且此政策名稱為 CloudWatchApplicationSignalsServiceRolePolicy。此政策准許 CloudWatch Application Sigals 從其他相關的 AWS 服務中收集監控和標記資料。它包含允許 Application Signals 完成下列動作的許可:
-
xray– 擷取 X-Ray 追蹤。 -
logs– 擷取目前的 CloudWatch 日誌資訊。 -
cloudwatch– 擷取目前的 CloudWatch 指標資訊。 -
tags– 擷取目前的標籤。 -
application-signals– 擷取 SLO 及其關聯時間排除時段的相關資訊。 -
autoscaling– 從 Amazon EC2 Autoscaling 群組擷取應用程式標籤。
CloudWatchApplicationSignalsServiceRolePolicy 的完整內容如下:
CloudWatch 警示 Systems Manager OpsCenter 動作的服務連結角色許可
CloudWatch 使用名為 AWSServiceRoleForCloudWatchAlarms_ActionSSM 的服務連結角色 – 當 CloudWatch 警示進入 ALARM 狀態時,CloudWatch 會使用此服務連結角色執行 Systems Manager OpsCenter 動作。
AWSServiceRoleForCloudWatchAlarms_ActionSSM 服務連結角色信任擔任該角色的 CloudWatch 服務。CloudWatch 警示會在警示呼叫時叫用 Systems Manager OpsCenter 動作。
AWSServiceRoleForCloudWatchAlarms_ActionSSM 服務連結角色許可政策允許 Systems Manager 完成下列動作:
-
ssm:CreateOpsItem
CloudWatch 警示 Systems Manager Incident Manager 動作的服務連結角色許可
CloudWatch 使用名為 AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents 的服務連結角色 – 當 CloudWatch 警示進入 ALARM 狀態時,CloudWatch 會使用此服務連結角色開始 Incident Manager 事件。
AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents 服務連結角色信任擔任該角色的 CloudWatch 服務。CloudWatch 警示會在警示呼叫時叫用 Systems Manager Incident Manager 動作。
AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents 服務連結角色許可政策允許 Systems Manager 完成下列動作:
-
ssm-incidents:StartIncident
CloudWatch 跨帳戶跨區域的服務連結角色許可
CloudWatch 使用名為 AWSServiceRoleForCloudWatchCrossAccount 的服務連結角色 – CloudWatch 使用此角色來存取您指定的其他 AWS 帳戶中的 CloudWatch 資料。SLR 只會提供擔任角色許可,以允許 CloudWatch 服務擔任共用帳戶中的角色。它是提供資料存取的共享角色。
AWSServiceRoleForCloudWatchCrossAccount 服務連結角色許可政策允許 CloudWatch 完成下列動作:
-
sts:AssumeRole
AWSServiceRoleForCloudWatchCrossAccount 服務連結角色信任擔任該角色的 CloudWatch 服務。
CloudWatch 資料庫 Application Insights 的服務連結角色許可
CloudWatch 使用名為 AWSServiceRoleForCloudWatchMetrics_DbPerfInsights 的服務連結角色 – CloudWatch 使用此角色擷取 Performance Insights 指標,以建立警示和快照。
AWSServiceRoleForCloudWatchMetrics_DbPerfInsights 服務連結角色已連接 AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy IAM 政策。該政策的內容如下:
AWSServiceRoleForCloudWatchMetrics_DbPerfInsights 服務連結角色信任擔任該角色的 CloudWatch 服務。
CloudWatch Logs 集中化服務連結角色許可
CloudWatch 使用名為 AWSObservabilityAdminLogsCentralizationServiceRolePolicy 的服務連結角色 – CloudWatch Observability Admin 利用此角色來使用您指定之其他 AWS 帳戶的遙測資料,在組織的監控帳戶中建立 CloudWatch 日誌群組、日誌串流和日誌事件。SLR 僅提供「承擔角色」許可,允許 CloudWatch 服務在監控帳戶中承擔該角色。
AWSObservabilityAdminLogsCentralizationServiceRolePolicy 服務連結角色許可政策允許 CloudWatch 完成下列動作:
-
sts:AssumeRolelogs:CreateLogGrouplogs:CreateLogStreamlogs:PutLogEventskms:Encryptkms:Decryptkms:GenerateDataKey
AWSObservabilityAdminLogsCentralizationServiceRolePolicy 服務連結角色信任 logs-centralization.observabilityadmin.amazonaws.com 服務擔任角色。
建立 CloudWatch 的服務連結角色
您不需要手動建立任何這些服務連結角色。您第一次在 AWS 管理主控台、IAM CLI 或 IAM API 中建立警示時,CloudWatch 會為您建立 AWSServiceRoleForCloudWatchEvents 和 AWSServiceRoleForCloudWatchAlarms_ActionSSM。
第一次啟用服務和拓撲探索時,Application Signals 會為您建立 AWSServiceRoleForCloudWatchApplicationSignals。
當您第一次啟用帳戶作為跨帳戶跨區域功能的監控帳戶時,CloudWatch 會為您建立 AWSServiceRoleForCloudWatchCrossAccount。
當您第一次使用 DB_PERF_INSIGHTS 指標數學函數來建立警示時,CloudWatch 會為您建立 AWSServiceRoleForCloudWatchMetrics_DbPerfInsights。
如需詳細資訊,請參閱 IAM 使用者指南中的建立服務連結角色。
編輯 CloudWatch 的服務連結角色
CloudWatch 不允許您編輯 AWSServiceRoleForCloudWatchEvents、AWSServiceRoleForCloudWatchAlarms_ActionSSM、AWSServiceRoleForCloudWatchCrossAccount 或 AWSServiceRoleForCloudWatchMetrics_DbPerfInsights 角色。在您建立這些角色之後,您便無法變更其名稱,因為各種實體可能會參考這些角色。然而,您可使用 IAM 來編輯這些角色描述。
編輯服務連結角色說明 (IAM 主控台)
您可以使用 IAM 主控台來編輯服務連結角色的說明。
編輯服務連結角色的說明 (主控台)
-
在 IAM 主控台的導覽窗格中,選擇 Roles (角色)。
-
選擇要修改之角色的名稱。
-
在 Role description (角色說明) 的最右邊,選擇 Edit (編輯)。
-
在方塊中鍵入新的說明,然後選擇 Save (儲存)。
編輯服務連結角色描述 (AWS CLI)
您可以從 AWS Command Line Interface 使用 IAM 命令來編輯服務連結角色的說明。
變更服務連結角色的說明 (AWS CLI)
-
(選用) 若要檢視角色的目前說明,請使用下列命令:
$aws iam get-role --role-namerole-name透過 AWS CLI 命令,使用角色名稱 (而非 ARN) 來參照角色。例如,如果角色具有下列 ARN:
arn:aws:iam::123456789012:role/myrole,請將角色參照為myrole。 -
若要更新服務連結角色的說明,請使用下列命令:
$aws iam update-role-description --role-namerole-name--descriptiondescription
編輯服務連結角色說明 (IAM API)
您可以使用 IAM API 來編輯服務連結角色的說明。
變更服務連結角色的說明 (API)
-
(選用) 若要檢視角色的目前說明,請使用下列命令:
-
若要更新角色的說明,請使用下列命令:
刪除 CloudWatch 的服務連結角色
如果您不再需要可自動停止、終止,或重新啟動 EC2 執行個體的警示,我們建議您刪除 AWSServiceRoleForCloudWatchEvents 角色。
如果您不再需要執行 Systems Manager OpsCenter 動作的警示,建議您刪除 AWSServiceRoleForCloudWatchAlarms_ActionSSM 角色。
如果您刪除所有使用 DB_PERF_INSIGHTS 指標數學函數的警示,建議您刪除 AWSServiceRoleForCloudWatchMetrics_DbPerfInsights 服務連結角色。
如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能將其刪除。
清除服務連結角色
您必須先確認服務連結角色沒有作用中的工作階段,並移除該角色使用的資源,之後才能使用 IAM 將其刪除。
檢查服務連結角色是否於 IAM 主控台有作用中的工作階段
在以下網址開啟 IAM 主控台:https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇角色。選擇 AWSServiceRoleForCloudWatchEvents 角色的名稱 (而非核取方塊)。
-
在 Summary (摘要) 頁面上,針對所選角色選擇 Access Advisor (存取 Advisor),然後檢閱服務連結角色的近期活動。
注意
如果您不確定 CloudWatch 是否正在使用 AWSServiceRoleForCloudWatchEvents 角色,可嘗試刪除該角色。如果服務正在使用該角色,則刪除會失敗,而您可以檢視正在使用該角色的 區域。如果服務正在使用該角色,您必須先等到工作階段結束,才能刪除該角色。您無法撤銷服務連結角色的工作階段。
刪除服務連結角色 (IAM 主控台)
您可以使用 IAM 主控台刪除服務連結角色。
刪除服務連結角色 (主控台)
在以下網址開啟 IAM 主控台:https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇角色。選擇您要刪除的角色名稱旁的核取方塊,而非名稱或資料列本身。
-
對於 Role actions (角色動作),選擇 Delete role (刪除角色)。
-
在確認對話方塊中,檢閱服務上次存取資料,以顯示每個所選取角色上次存取 AWS 服務的時間。這可協助您確認角色目前是否作用中。若要繼續,請選擇 Yes, Delete (是,刪除)。
-
查看 IAM 主控台通知,監視服務連結角色刪除的進度。因為 IAM 服務連結角色刪除不同步,所以在您提交角色進行刪除之後,刪除任務可能會成功或失敗。如果任務失敗,從通知中選擇 View details (檢視詳細資訊) 或 View Resources (檢視資源),以了解刪除失敗原因。如果刪除因角色使用服務中資源而失敗,則失敗原因會包含資源清單。
刪除服務連結角色 (AWS CLI)
您可以從 AWS Command Line Interface 使用 IAM 命令,刪除服務連結角色。
刪除服務連結角色 (AWS CLI)
-
因為無法刪除正在使用或具有相關聯資源的服務連結角色,所以您必須提交刪除要求。如果不符合這些條件,則可以拒絕該請求。您必須從回應中擷取
deletion-task-id,以檢查刪除任務的狀態。鍵入下列命令,以提交服務連結角色刪除要求:$aws iam delete-service-linked-role --role-nameservice-linked-role-name -
鍵入下列命令,以檢查刪除任務的狀態:
$aws iam get-service-linked-role-deletion-status --deletion-task-iddeletion-task-id刪除任務的狀態可以是
NOT_STARTED、IN_PROGRESS、SUCCEEDED或FAILED。如果刪除失敗,則呼叫會傳回失敗原因,以進行疑難排解。
刪除服務連結角色 (IAM API)
您可以使用 IAM API 刪除服務連結角色。
刪除服務連結角色 (API)
-
若要提交服務連結角色的刪除請求,請呼叫 DeleteServiceLinkedRole。在要求中,指定您要刪除的角色名稱。
因為無法刪除正在使用或具有相關聯資源的服務連結角色,所以您必須提交刪除要求。如果不符合這些條件,則可以拒絕該請求。您必須從回應中擷取
DeletionTaskId,以檢查刪除任務的狀態。 -
若要檢查刪除的狀態,請呼叫 GetServiceLinkedRoleDeletionStatus。在請求中,指定
DeletionTaskId。刪除任務的狀態可以是
NOT_STARTED、IN_PROGRESS、SUCCEEDED或FAILED。如果刪除失敗,則呼叫會傳回失敗原因,以進行疑難排解。
CloudWatch 更新 AWS 服務連結角色
檢視自 CloudWatch 開始追蹤 AWS 受管政策的更新以來,這些變更的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 CloudWatch 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
AWSObservabilityAdminLogsCentralizationServiceRolePolicy:新增服務連結角色政策。 |
新增有關 AWSObservabilityAdminLogsCentralizationServiceRolePolicy 的資訊,授與 CloudWatch 必要的許可,以根據遙測規則啟用和管理 AWS 資源的遙測組態。 |
2025 年 9 月 5 日 |
|
AWSObservabilityAdminTelemetryEnablementServiceRolePolicy:新增服務連結角色政策。 |
新增有關 AWSObservabilityAdminTelemetryEnablementServiceRolePolicy 的資訊,授與 CloudWatch 必要的許可,以根據遙測規則啟用和管理 AWS 資源的遙測組態。 |
2025 年 7 月 17 日 |
|
AWSServiceRoleForCloudWatchApplicationSignals:更新服務連結角色政策的許可 |
更新 CloudWatchApplicationSignalsServiceRolePolicy,排除影響 SLO 達成率、錯誤預算和消耗率指標的時段。CloudWatch 可以代表您擷取排除時段。 |
2025 年 3 月 13 日 |
| AWSServiceRoleForObservabilityAdmin:新增服務連結角色 | CloudWatch 新增這個新的服務連結角色和對應的受管政策 AWSObservabilityAdminServiceRolePolicy,以支援 AWS 組織的資源和遙測組態偵測。 |
2024 年 11 月 26 日 |
|
AWSServiceRoleForCloudWatchApplicationSignals:更新服務連結角色政策的許可 |
CloudWatch 會將更多日誌群組新增至 |
2024 年 4 月 24 日 |
|
CloudWatch 已新增此服務連結角色,允許 CloudWatch Application Signals 從您為 CloudWatch Application Signals 啟用的應用程式中收集 CloudWatch 日誌資料、X-Ray 追蹤資料、CloudWatch 指標資料以及標記資料。 |
2023 年 11 月 9 日 | |
|
AWSServiceRoleForCloudWatchMetrics_DbPerfInsights – 全新服務連結角色 |
CloudWatch 新增此服務連結角色,讓 CloudWatch 能夠擷取 Performance Insights 指標,以供警示和快照之用。IAM 政策已附加至此角色,且該政策授予 CloudWatch 許可來以代表您擷取 Performance Insights 指標。 |
2023 年 9 月 13 日 |
|
AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents – 新的服務連結角色 |
CloudWatch 新增了新的服務連結角色,讓 CloudWatch 能夠在 AWS Systems Manager Incident Manager 中建立事件。 |
2021 年 4 月 26 日 |
|
CloudWatch 開始追蹤變更 |
CloudWatch 開始追蹤其服務連結角色的變更。 |
2021 年 4 月 26 日 |
