本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
對 CloudWatch 使用服務連結角色
Amazon CloudWatch 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是一種獨特的 IAM 角色,可直接連結至 CloudWatch。服務連結角色由 CloudWatch 預先定義,且包含服務代表您呼叫其他 AWS 服務時所需的全部許可。
此 CloudWatch 中的服務連結角色會設定 CloudWatch 警示,其能夠可以終止、停止或重新啟動 Amazon EC2 執行個體,您不需要手動新增必要的許可。另一個服務連結角色可讓監控帳戶從您指定的其他帳戶存取 CloudWatch 資料,以建置跨帳戶跨區域儀表板。
CloudWatch 會定義這些服務連結角色的許可,除非另外定義,否則只有 CloudWatch 才能擔任角色。定義的許可包括信任政策和許可政策,並且該許可政策不能附加到任何其他 IAM 實體。
您必須先刪除角色的相關資源,才能刪除角色。此限制可保護您的 CloudWatch 資源,避免您不小心移除資源的存取許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱可搭配 IAM 運作的AWS 服務,並尋找 Service-Linked Role (服務連結角色) 欄顯示為 Yes (是) 的服務。選擇具有連結的是,以檢視該服務的服務連結角色文件。
CloudWatch 警示 EC2 動作的服務連結角色許可
CloudWatch 使用名為 AWSServiceRoleForCloudWatchEvents 的服務連結角色 – CloudWatch 會使用此服務連結角色執行 Amazon EC2 警示動作。
AWSServiceRoleForCloudWatchEvents 服務連結角色信任擔任該角色的 CloudWatch Events 服務。CloudWatch Events 會在警示呼叫時叫用終止、停止或重新啟動執行個體的動作。
AWSServiceRoleForCloudWatchEvents 服務連結角色許可政策允許 CloudWatch Events 在 Amazon EC2 執行個體上完成下列動作:
-
ec2:StopInstances -
ec2:TerminateInstances -
ec2:RecoverInstances -
ec2:DescribeInstanceRecoveryAttribute -
ec2:DescribeInstances -
ec2:DescribeInstanceStatus
AWSServiceRoleForCloudWatchCrossAccount 服務連結角色許可政策允許 CloudWatch 完成下列動作:
-
sts:AssumeRole
CloudWatch 遙測組態的服務連結角色許可
CloudWatch 可觀測性管理員會建立並使用名為 AWSServiceRoleForObservabilityAdmin 的服務連結角色 – CloudWatch 會使用此服務連結角色來支援 Organizations 的資源和遙測組態探索 AWS 。角色會在組織的所有成員帳戶中建立。
AWSServiceRoleForObservabilityAdmin 服務連結角色信任 Observability Admin 擔任該角色。可觀測性管理員會管理 Organizations 帳戶中的 AWS Config Service 連結組態記錄器和服務連結組態彙總器。
AWSServiceRoleForObservabilityAdmin 服務連結角色具有稱為 AWSObservabilityAdminServiceRolePolicy 的政策,已連接,且此政策授予 CloudWatch Observability Admin 完成下列動作的許可:
organizations:ListAccountsorganizations:ListAccountsForParentorganizations:ListChildrenorganizations:ListParentsorganizations:DescribeOrganizationorganizations:DescribeOrganizationalUnitorganizations:EnableAWSServiceAccessorganizations:ListDelegatedAdministratorsconfig:PutServiceLinkedConfigurationRecorderconfig:DeleteServiceLinkedConfigurationRecorderconfig:PutConfigurationAggregatorconfig:DeleteConfigurationAggregatorconfig:SelectAggregateResourceConfigiam:CreateServiceLinkedRoleiam:PassRole
AWSObservabilityAdminServiceRolePolicy 政策的完整內容如下:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListChildren", "organizations:ListParents", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "config:PutServiceLinkedConfigurationRecorder", "config:DeleteServiceLinkedConfigurationRecorder" ], "Resource": [ "arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForObservabilityAdmin/*" ] }, { "Effect": "Allow", "Action": [ "config:PutConfigurationAggregator", "config:DeleteConfigurationAggregator", "config:SelectAggregateResourceConfig" ], "Resource": [ "arn:aws:config:*:*:config-aggregator/aws-service-config-aggregator/observabilityadmin.amazonaws.com/*" ] }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig" ], "Condition": { "StringEquals": { "iam:AWSServiceName": [ "config.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "config.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "config.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "observabilityadmin.amazonaws.com", "config.amazonaws.com" ] } } } ] }
CloudWatch Application Signals 的服務連結角色許可
CloudWatch Application Signals 使用名稱為 AWSServiceRoleForCloudWatchApplicationSignals 的服務連結角色 – CloudWatch 會使用此服務連結角色,從您為 CloudWatch Application Signals 啟用的應用程式中收集 CloudWatch 日誌資料、X-Ray 追蹤資料、CloudWatch 指標資料以及標記資料。
AWSServiceRoleForCloudWatchApplicationSignals 服務連結角色信任擔任該角色的 CloudWatch Application Signals。Application Signals 會從您的帳戶中收集日誌、追蹤、指標和標記資料。
AWSServiceRoleForCloudWatchApplicationSignals 已附接 IAM 政策,並且此政策名稱為 CloudWatchApplicationSignalsServiceRolePolicy。此政策授予 CloudWatch Application Signals 許可,以從其他相關 AWS 服務收集監控和標記資料。它包含允許 Application Signals 完成下列動作的許可:
-
xray– 擷取 X-Ray 追蹤。 -
logs– 擷取目前的 CloudWatch 日誌資訊。 -
cloudwatch– 擷取目前的 CloudWatch 指標資訊。 -
tags– 擷取目前的標籤。 -
application-signals– 擷取 SLOs及其相關時間排除時段的資訊。 -
autoscaling– 從 Amazon EC2 Autoscaling 群組擷取應用程式標籤。
CloudWatchApplicationSignalsServiceRolePolicy 的完整內容如下:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "XRayPermission", "Effect": "Allow", "Action": [ "xray:GetServiceGraph" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "CWLogsPermission", "Effect": "Allow", "Action": [ "logs:StartQuery", "logs:GetQueryResults" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/appsignals/*:*", "arn:aws:logs:*:*:log-group:/aws/application-signals/data:*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "CWListMetricsPermission", "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "CWGetMetricDataPermission", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData" ], "Resource": [ "*" ] }, { "Sid": "TagsPermission", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "ApplicationSignalsPermission", "Effect": "Allow", "Action": [ "application-signals:ListServiceLevelObjectiveExclusionWindows", "application-signals:GetServiceLevelObjective" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EC2AutoScalingPermission", "Effect": "Allow", "Action": [ "autoscaling:DescribeAutoScalingGroups" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
CloudWatch 警示 Systems Manager OpsCenter 動作的服務連結角色許可
CloudWatch 使用名為 AWSServiceRoleForCloudWatchAlarms_ActionSSM 的服務連結角色 – 當 CloudWatch 警示進入 ALARM 狀態時,CloudWatch 會使用此服務連結角色執行 Systems Manager OpsCenter 動作。
AWSServiceRoleForCloudWatchAlarms_ActionSSM 服務連結角色信任擔任該角色的 CloudWatch 服務。CloudWatch 警示會在警示呼叫時叫用 Systems Manager OpsCenter 動作。
AWSServiceRoleForCloudWatchAlarms_ActionSSM 服務連結角色許可政策允許 Systems Manager 完成下列動作:
-
ssm:CreateOpsItem
CloudWatch 警示 Systems Manager Incident Manager 動作的服務連結角色許可
CloudWatch 使用名為 AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents 的服務連結角色 – 當 CloudWatch 警示進入 ALARM 狀態時,CloudWatch 會使用此服務連結角色開始 Incident Manager 事件。
AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents 服務連結角色信任擔任該角色的 CloudWatch 服務。CloudWatch 警示會在警示呼叫時叫用 Systems Manager Incident Manager 動作。
AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents 服務連結角色許可政策允許 Systems Manager 完成下列動作:
-
ssm-incidents:StartIncident
CloudWatch 跨帳戶跨區域的服務連結角色許可
CloudWatch 使用名為 AWSServiceRoleForCloudWatchCrossAccount 的服務連結角色 – CloudWatch 使用此角色存取您指定之其他 AWS 帳戶中的 CloudWatch 資料。SLR 只會提供擔任角色許可,以允許 CloudWatch 服務擔任共用帳戶中的角色。它是提供資料存取的共享角色。
AWSServiceRoleForCloudWatchCrossAccount 服務連結角色許可政策允許 CloudWatch 完成下列動作:
-
sts:AssumeRole
AWSServiceRoleForCloudWatchCrossAccount 服務連結角色信任擔任該角色的 CloudWatch 服務。
CloudWatch 資料庫 Application Insights 的服務連結角色許可
CloudWatch 使用名為 AWSServiceRoleForCloudWatchMetrics_DbPerfInsights 的服務連結角色。– CloudWatch 使用此角色擷取 Performance Insights 指標,以建立警示和快照。
AWSServiceRoleForCloudWatchMetrics_DbPerfInsights 服務連結角色已連接 AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy IAM 政策。該政策的內容如下:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "pi:GetResourceMetrics" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWSServiceRoleForCloudWatchMetrics_DbPerfInsights 服務連結角色信任擔任該角色的 CloudWatch 服務。
建立 CloudWatch 的服務連結角色
您不需要手動建立任何這些服務連結角色。第一次在 AWS Management Console、IAM CLI 或 IAM API 中建立警示時,CloudWatch 會為您建立 AWSServiceRoleForCloudWatchEvents 和 AWSServiceRoleForCloudWatchAlarms_ActionSSM。
第一次啟用服務和拓撲探索時,Application Signals 會為您建立 AWSServiceRoleForCloudWatchApplicationSignals。
當您第一次啟用帳戶作為跨帳戶跨區域功能的監控帳戶時,CloudWatch 會為您建立 AWSServiceRoleForCloudWatchCrossAccount。
當您第一次使用 DB_PERF_INSIGHTS 指標數學函數來建立警示時,CloudWatch 會為您建立 AWSServiceRoleForCloudWatchMetrics_DbPerfInsights。
如需詳細資訊,請參閱 IAM 使用者指南中的建立服務連結角色。
編輯 CloudWatch 的服務連結角色
CloudWatch 不允許您編輯 AWSServiceRoleForCloudWatchEvents、AWSServiceRoleForCloudWatchAlarms_ActionSSM、AWSServiceRoleForCloudWatchCrossAccount 或 AWSServiceRoleForCloudWatchMetrics_DbPerfInsights 角色。在您建立這些角色之後,您便無法變更其名稱,因為各種實體可能會參考這些角色。然而,您可使用 IAM 來編輯這些角色描述。
編輯服務連結角色說明 (IAM 主控台)
您可以使用 IAM 主控台來編輯服務連結角色的說明。
編輯服務連結角色的說明 (主控台)
-
在 IAM 主控台的導覽窗格中,選擇 Roles (角色)。
-
選擇要修改之角色的名稱。
-
在 Role description (角色說明) 的最右邊,選擇 Edit (編輯)。
-
在方塊中鍵入新的說明,然後選擇 Save (儲存)。
編輯服務連結角色描述 (AWS CLI)
您可以使用 的 IAM 命令 AWS Command Line Interface 來編輯服務連結角色的描述。
變更服務連結角色的說明 (AWS CLI)
-
(選用) 若要檢視角色的目前說明,請使用下列命令:
$aws iam get-role --role-namerole-name透過 AWS CLI 命令,使用角色名稱 (而非 ARN) 來參照角色。例如,如果角色具有下列 ARN:
arn:aws:iam::123456789012:role/myrole,請將角色參照為myrole。 -
若要更新服務連結角色的說明,請使用下列命令:
$aws iam update-role-description --role-namerole-name--descriptiondescription
編輯服務連結角色說明 (IAM API)
您可以使用 IAM API 來編輯服務連結角色的說明。
變更服務連結角色的說明 (API)
-
(選用) 若要檢視角色的目前說明,請使用下列命令:
-
若要更新角色的說明,請使用下列命令:
刪除 CloudWatch 的服務連結角色
如果您不再需要可自動停止、終止,或重新啟動 EC2 執行個體的警示,我們建議您刪除 AWSServiceRoleForCloudWatchEvents 角色。
如果您不再需要執行 Systems Manager OpsCenter 動作的警示,建議您刪除 AWSServiceRoleForCloudWatchAlarms_ActionSSM 角色。
如果您刪除所有使用 DB_PERF_INSIGHTS 指標數學函數的警示,建議您刪除 AWSServiceRoleForCloudWatchMetrics_DbPerfInsights 服務連結角色。
如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能將其刪除。
清除服務連結角色
您必須先確認服務連結角色沒有作用中的工作階段,並移除該角色使用的資源,之後才能使用 IAM 將其刪除。
檢查服務連結角色是否於 IAM 主控台有作用中的工作階段
在以下網址開啟 IAM 主控台:https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇角色。選擇 AWSServiceRoleForCloudWatchEvents 角色的名稱 (而非核取方塊)。
-
在 Summary (摘要) 頁面上,針對所選角色選擇 Access Advisor (存取 Advisor),然後檢閱服務連結角色的近期活動。
注意
如果您不確定 CloudWatch 是否正在使用 AWSServiceRoleForCloudWatchEvents 角色,可嘗試刪除該角色。如果服務正在使用該角色,則刪除會失敗,而您可以檢視正在使用該角色的 區域。如果服務正在使用該角色,您必須先等到工作階段結束,才能刪除該角色。您無法撤銷服務連結角色的工作階段。
刪除服務連結角色 (IAM 主控台)
您可以使用 IAM 主控台刪除服務連結角色。
刪除服務連結角色 (主控台)
在以下網址開啟 IAM 主控台:https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇角色。選擇您要刪除的角色名稱旁的核取方塊,而非名稱或資料列本身。
-
對於 Role actions (角色動作),選擇 Delete role (刪除角色)。
-
在確認對話方塊中,檢閱服務上次存取資料,以顯示每個所選取角色上次存取 AWS 服務的時間。這可協助您確認角色目前是否作用中。若要繼續,請選擇 Yes, Delete (是,刪除)。
-
查看 IAM 主控台通知,監視服務連結角色刪除的進度。因為 IAM 服務連結角色刪除不同步,所以在您提交角色進行刪除之後,刪除任務可能會成功或失敗。如果任務失敗,從通知中選擇 View details (檢視詳細資訊) 或 View Resources (檢視資源),以了解刪除失敗原因。如果刪除因角色使用服務中資源而失敗,則失敗原因會包含資源清單。
刪除服務連結角色 (AWS CLI)
您可以從 使用 IAM 命令 AWS Command Line Interface 來刪除服務連結角色。
刪除服務連結角色 (AWS CLI)
-
因為無法刪除正在使用或具有相關聯資源的服務連結角色,所以您必須提交刪除要求。如果不符合這些條件,則可以拒絕該請求。您必須從回應中擷取
deletion-task-id,以檢查刪除任務的狀態。鍵入下列命令,以提交服務連結角色刪除要求:$aws iam delete-service-linked-role --role-nameservice-linked-role-name -
鍵入下列命令,以檢查刪除任務的狀態:
$aws iam get-service-linked-role-deletion-status --deletion-task-iddeletion-task-id刪除任務的狀態可以是
NOT_STARTED、IN_PROGRESS、SUCCEEDED或FAILED。如果刪除失敗,則呼叫會傳回失敗原因,以進行疑難排解。
刪除服務連結角色 (IAM API)
您可以使用 IAM API 刪除服務連結角色。
刪除服務連結角色 (API)
-
若要提交服務連結角色的刪除請求,請呼叫 DeleteServiceLinkedRole。在要求中,指定您要刪除的角色名稱。
因為無法刪除正在使用或具有相關聯資源的服務連結角色,所以您必須提交刪除要求。如果不符合這些條件,則可以拒絕該請求。您必須從回應中擷取
DeletionTaskId,以檢查刪除任務的狀態。 -
若要檢查刪除的狀態,請呼叫 GetServiceLinkedRoleDeletionStatus。在請求中,指定
DeletionTaskId。刪除任務的狀態可以是
NOT_STARTED、IN_PROGRESS、SUCCEEDED或FAILED。如果刪除失敗,則呼叫會傳回失敗原因,以進行疑難排解。
AWS 服務連結角色的 CloudWatch 更新
檢視自此服務開始追蹤這些變更以來CloudWatch AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 CloudWatch 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
AWSServiceRoleForCloudWatchApplicationSignals – 更新服務連結角色政策的許可 |
更新 CloudWatchApplicationSignalsServiceRolePolicy,排除影響 SLO 達成率、錯誤預算和燒錄率指標的時段。CloudWatch 可以代表您擷取排除時段。 |
2025 年 3 月 13 日 |
| AWSServiceRoleForObservabilityAdmin – 新的服務連結角色 | CloudWatch 新增了這個新的服務連結角色和對應的受管政策 AWSObservabilityAdminServiceRolePolicy,以支援 Organizations 的資源和遙測組態探索 AWS 。 |
2024 年 11 月 26 日 |
|
AWSServiceRoleForCloudWatchApplicationSignals – 更新服務連結角色政策的許可 |
CloudWatch 會將更多日誌群組新增至此角色授予的 |
2024 年 4 月 24 日 |
|
CloudWatch 已新增此服務連結角色,允許 CloudWatch Application Signals 從您為 CloudWatch Application Signals 啟用的應用程式中收集 CloudWatch 日誌資料、X-Ray 追蹤資料、CloudWatch 指標資料以及標記資料。 |
2023 年 11 月 9 日 | |
|
AWSServiceRoleForCloudWatchMetrics_DbPerfInsights – 全新服務連結角色 |
CloudWatch 新增此服務連結角色,讓 CloudWatch 能夠擷取 Performance Insights 指標,以供警示和快照之用。IAM 政策已附加至此角色,且該政策授予 CloudWatch 許可來以代表您擷取 Performance Insights 指標。 |
2023 年 9 月 13 日 |
|
AWSServiceRoleForCloudWatchAlarms_ActionSSMIncidents – 新的服務連結角色 |
CloudWatch 新增了新的服務連結角色,以允許 CloudWatch 在 AWS Systems Manager Incident Manager 中建立事件。 |
2021 年 4 月 26 日 |
|
CloudWatch 開始追蹤變更 |
CloudWatch 開始追蹤其服務連結角色的變更。 |
2021 年 4 月 26 日 |
