本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 對 CloudWatch 使用服務連結角色
Amazon CloudWatch 使用 AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是一種獨特的 IAM 角色,可直接連結至 CloudWatch。服務連結角色由 CloudWatch 預先定義,且包含服務代表您呼叫其他 AWS 服務時所需的全部許可。
此 CloudWatch 中的服務連結角色會設定 CloudWatch 警示,其能夠可以終止、停止或重新啟動 Amazon EC2 執行個體,您不需要手動新增必要的許可。另一個服務連結角色可讓監控帳戶從您指定的其他帳戶存取 CloudWatch 資料,以建置跨帳戶跨區域儀表板。
CloudWatch 會定義這些服務連結角色的許可,除非另外定義,否則只有 CloudWatch 才能擔任角色。定義的許可包括信任政策和許可政策,並且該許可政策不能附加到任何其他 IAM 實體。
您必須先刪除角色的相關資源,才能刪除角色。此限制可保護您的 CloudWatch 資源,避免您不小心移除資源的存取許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## CloudWatch 警示 EC2 動作的服務連結角色許可
CloudWatch 使用名為 **AWSServiceRoleForCloudWatchEvents** 的服務連結角色 – CloudWatch 會使用此服務連結角色執行 Amazon EC2 警示動作。
AWSServiceRoleForCloudWatchEvents 服務連結角色信任擔任該角色的 CloudWatch Events 服務。CloudWatch Events 會在警示呼叫時叫用終止、停止或重新啟動執行個體的動作。
AWSServiceRoleForCloudWatchEvents 服務連結角色許可政策允許 CloudWatch Events 在 Amazon EC2 執行個體上完成下列動作:
+ `ec2:StopInstances`
+ `ec2:TerminateInstances`
+ `ec2:RecoverInstances`
+ `ec2:DescribeInstanceRecoveryAttribute`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
**AWSServiceRoleForCloudWatchCrossAccount** 服務連結角色許可政策允許 CloudWatch 完成下列動作:
+ `sts:AssumeRole`
## CloudWatch 遙測組態的服務連結角色許可
CloudWatch Observability Admin 建立並使用名為 **AWSServiceRoleForObservabilityAdmin** 的服務連結角色 – CloudWatch 使用此服務連結角色來支援 AWS 組織的資源和遙測組態偵測。組織的所有會員帳戶中都會建立角色。
**AWSServiceRoleForObservabilityAdmin** 服務連結角色信任由 Observability Admin 擔任角色。Observability Admin 管理組織帳戶中的 AWS Config Service Linked Configuration Recorders 和 Service Linked Configuration Aggregator。
**AWSServiceRoleForObservabilityAdmin** 服務連結角色已連結名為 AWSObservabilityAdminServiceRolePolicy 的政策,且此政策授與 CloudWatch Observability Admin 完成下列動作的許可:
+ `organizations:ListAccounts`
+ `organizations:ListAccountsForParent`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:DescribeOrganization`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListDelegatedAdministrators`
+ `config:PutServiceLinkedConfigurationRecorder`
+ `config:DeleteServiceLinkedConfigurationRecorder`
+ `config:PutConfigurationAggregator`
+ `config:DeleteConfigurationAggregator`
+ `config:SelectAggregateResourceConfig`
+ `iam:CreateServiceLinkedRole`
+ `iam:PassRole`
AWSObservabilityAdminServiceRolePolicy 政策的完整內容如下:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"config:PutServiceLinkedConfigurationRecorder",
"config:DeleteServiceLinkedConfigurationRecorder"
],
"Resource": [
"arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForObservabilityAdmin/*"
]
},
{
"Effect": "Allow",
"Action": [
"config:PutConfigurationAggregator",
"config:DeleteConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": [
"arn:aws:config:*:*:config-aggregator/aws-service-config-aggregator/observabilityadmin.amazonaws.com/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"observabilityadmin.amazonaws.com",
"config.amazonaws.com"
]
}
}
}
]
}
```
------
## 啟用 CloudWatch 遙測的服務連結角色許可
`AWSObservabilityAdminTelemetryEnablementServiceRolePolicy` 授與必要許可,以根據遙測規則啟用和管理 AWS 資源的遙測組態。
此政策授與如下許可:
+ 基本遙測操作,包括描述 VPCs、流程日誌、日誌群組。它還包含啟用 EKS 叢集記錄記錄記錄組態、WAF 放置記錄組態、啟用 NLB 日誌、Route53 Resolver 查詢記錄、Amazon EC2 詳細監控、Security Hub、Bedrock Agentcore Gateway、Bedrock Agentcore Memory 和 CloudFront Distribution 的許可。
+ 使用 `CloudWatchTelemetryRuleManaged` 標籤對資源進行標記操作,以追蹤受管資源
+ AWS Bedrock 和 VPC 流程日誌等服務的日誌交付組態
+ 針對遙測啟用追蹤的組態記錄器管理
此政策透過下列條件強制執行安全邊界:
+ 使用 `aws:ResourceAccount` 將操作限制在同一帳戶中的資源
+ 需要 `CloudWatchTelemetryRuleManaged` 標籤才能修改資源
+ 限制組態記錄器存取與遙測啟用相關聯的記錄
您可以在這裡找到 AWSObservabilityAdminTelemetryEnablementServiceRolePolicy 政策的完整內容:[AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSObservabilityAdminTelemetryEnablementServiceRolePolicy.html)。
## CloudWatch Application Signals 的服務連結角色許可
CloudWatch Application Signals 使用名稱為 **AWSServiceRoleForCloudWatchApplicationSignals** 的服務連結角色 – CloudWatch 會使用此服務連結角色,從您為 CloudWatch Application Signals 啟用的應用程式中收集 CloudWatch 日誌資料、X-Ray 追蹤資料、CloudWatch 指標資料以及標記資料。
**AWSServiceRoleForCloudWatchApplicationSignals** 服務連結角色信任擔任該角色的 CloudWatch Application Signals。Application Signals 會從您的帳戶中收集日誌、追蹤、指標和標記資料。
**AWSServiceRoleForCloudWatchApplicationSignals** 已附接 IAM 政策,並且此政策名稱為 **CloudWatchApplicationSignalsServiceRolePolicy**。此政策授予 CloudWatch Application Signals 許可,以從其他相關 AWS 服務收集監控和標記資料。它包含允許 Application Signals 完成下列動作的許可:
+ `xray` – 擷取 X-Ray 追蹤。
+ `logs` – 擷取目前的 CloudWatch 日誌資訊。
+ `cloudwatch` – 擷取目前的 CloudWatch 指標資訊。
+ `tags` – 擷取目前的標籤。
+ `application-signals` – 擷取 SLO 及其關聯時間排除時段的相關資訊。
+ `autoscaling` – 從 Amazon EC2 Autoscaling 群組擷取應用程式標籤。
+ `resource-explorer-2` – 從 AWS Resource Explorer 擷取目前的 AWS 資源資訊。
+ `cloudtrail` – 啟用建立服務連結頻道以擷取 CloudTrail 事件。
**CloudWatchApplicationSignalsServiceRolePolicy** 的完整內容如下:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "XRayPermission",
"Effect": "Allow",
"Action": [
"xray:GetServiceGraph"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWLogsPermission",
"Effect": "Allow",
"Action": [
"logs:StartQuery",
"logs:GetQueryResults"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/appsignals/*:*",
"arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWListMetricsPermission",
"Effect": "Allow",
"Action": [
"cloudwatch:ListMetrics"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWGetMetricDataPermission",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "TagsPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "ApplicationSignalsPermission",
"Effect": "Allow",
"Action": [
"application-signals:ListServiceLevelObjectiveExclusionWindows",
"application-signals:GetServiceLevelObjective"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EC2AutoScalingPermission",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## CloudWatch 警示 Systems Manager OpsCenter 動作的服務連結角色許可
CloudWatch 使用名為 **AWSServiceRoleForCloudWatchAlarms\$1ActionSSM** 的服務連結角色 – 當 CloudWatch 警示進入 ALARM 狀態時,CloudWatch 會使用此服務連結角色執行 Systems Manager OpsCenter 動作。
AWSServiceRoleForCloudWatchAlarms\$1ActionSSM 服務連結角色信任擔任該角色的 CloudWatch 服務。CloudWatch 警示會在警示呼叫時叫用 Systems Manager OpsCenter 動作。
**AWSServiceRoleForCloudWatchAlarms\$1ActionSSM** 服務連結角色許可政策允許 Systems Manager 完成下列動作:
+ `ssm:CreateOpsItem`
## CloudWatch 警示 Systems Manager Incident Manager 動作的服務連結角色許可
CloudWatch 使用名為 **AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents** 的服務連結角色 – 當 CloudWatch 警示進入 ALARM 狀態時,CloudWatch 會使用此服務連結角色開始 Incident Manager 事件。
**AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents** 服務連結角色信任擔任該角色的 CloudWatch 服務。CloudWatch 警示會在警示呼叫時叫用 Systems Manager Incident Manager 動作。
**AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents** 服務連結角色許可政策允許 Systems Manager 完成下列動作:
+ `ssm-incidents:StartIncident`
## CloudWatch 跨帳戶跨區域的服務連結角色許可
CloudWatch 使用名為 **AWSServiceRoleForCloudWatchCrossAccount** 的服務連結角色 – CloudWatch 使用此角色存取您指定之其他 AWS 帳戶中的 CloudWatch 資料。SLR 只會提供擔任角色許可,以允許 CloudWatch 服務擔任共用帳戶中的角色。它是提供資料存取的共享角色。
**AWSServiceRoleForCloudWatchCrossAccount** 服務連結角色許可政策允許 CloudWatch 完成下列動作:
+ `sts:AssumeRole`
**AWSServiceRoleForCloudWatchCrossAccount** 服務連結角色信任擔任該角色的 CloudWatch 服務。
## CloudWatch 資料庫 Application Insights 的服務連結角色許可
CloudWatch 使用名為 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 的服務連結角色 – CloudWatch 使用此角色擷取 Performance Insights 指標,以建立警示和快照。
**AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 服務連結角色已連接 `AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy` IAM 政策。該政策的內容如下:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pi:GetResourceMetrics"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
**AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 服務連結角色信任擔任該角色的 CloudWatch 服務。
## CloudWatch Logs 集中化服務連結角色許可
**AWSObservabilityAdminLogsCentralizationServiceRolePolicy** 會連接到中央管理帳戶中的適當 IAM 實體,例如 CloudWatch 服務角色 –,以授予設定和管理集中式日誌集合的必要許可。CloudWatch 使用此角色從您指定的其他 AWS 帳戶存取遙測資料,以在組織的監控帳戶中建立 CloudWatch 日誌群組、日誌串流和日誌事件。SLR 僅提供「承擔角色」許可,允許 CloudWatch 服務在監控帳戶中承擔該角色。如果您使用 設定集中式日誌集合,此政策會自動連接 AWS 管理主控台。如果您使用 AWS CLI 或 API 來設定日誌集中,則必須手動將此政策連接至將用於可觀測性管理任務的 IAM 角色。
**AWSObservabilityAdminLogsCentralizationServiceRolePolicy** 服務連結角色許可政策允許 CloudWatch 完成下列動作:
+ `sts:AssumeRole`
+ `logs:CreateLogGroup`
+ `logs:CreateLogStream`
+ `logs:PutLogEvents`
+ `kms:Encrypt`
+ `kms:Decrypt`
+ `kms:GenerateDataKey`
**AWSObservabilityAdminLogsCentralizationServiceRolePolicy** 服務連結角色信任 `logs-centralization.observabilityadmin.amazonaws.com` 服務擔任角色。
## 建立 CloudWatch 的服務連結角色
您不需要手動建立任何這些服務連結角色。第一次在 AWS 管理主控台、IAM CLI 或 IAM API 中建立警示時,CloudWatch 會為您建立 AWSServiceRoleForCloudWatchEvents 和 **AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**。
第一次啟用服務和拓撲探索時,Application Signals 會為您建立 **AWSServiceRoleForCloudWatchApplicationSignals**。
當您第一次啟用帳戶作為跨帳戶跨區域功能的監控帳戶時,CloudWatch 會為您建立 **AWSServiceRoleForCloudWatchCrossAccount**。
當您第一次使用 `DB_PERF_INSIGHTS` 指標數學函數來建立警示時,CloudWatch 會為您建立 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights**。
如需詳細資訊,請參閱 *IAM 使用者指南*中的[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。
## 編輯 CloudWatch 的服務連結角色
CloudWatch 不允許您編輯 **AWSServiceRoleForCloudWatchEvents**、**AWSServiceRoleForCloudWatchAlarms\$1ActionSSM**、**AWSServiceRoleForCloudWatchCrossAccount** 或 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 角色。在您建立這些角色之後,您便無法變更其名稱,因為各種實體可能會參考這些角色。然而,您可使用 IAM 來編輯這些角色描述。
### 編輯服務連結角色說明 (IAM 主控台)
您可以使用 IAM 主控台來編輯服務連結角色的說明。
**編輯服務連結角色的說明 (主控台)**
1. 在 IAM 主控台的導覽窗格中,選擇 **Roles** (角色)。
1. 選擇要修改之角色的名稱。
1. 在 **Role description** (角色說明) 的最右邊,選擇 **Edit** (編輯)。
1. 在方塊中鍵入新的說明,然後選擇 **Save (儲存)**。
### 編輯服務連結角色描述 (AWS CLI)
您可以從 使用 IAM 命令 AWS Command Line Interface 來編輯服務連結角色的描述。
**變更服務連結角色的說明 (AWS CLI)**
1. (選用) 若要檢視角色的目前說明,請使用下列命令:
```
$ aws iam [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) --role-name role-name
```
透過 AWS CLI 命令,使用角色名稱 (而非 ARN) 來參照角色。例如,如果角色具有下列 ARN:`arn:aws:iam::123456789012:role/myrole`,請將角色參照為 **myrole**。
1. 若要更新服務連結角色的說明,請使用下列命令:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html) --role-name role-name --description description
```
### 編輯服務連結角色說明 (IAM API)
您可以使用 IAM API 來編輯服務連結角色的說明。
**變更服務連結角色的說明 (API)**
1. (選用) 若要檢視角色的目前說明,請使用下列命令:
[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
1. 若要更新角色的說明,請使用下列命令:
[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
## 刪除 CloudWatch 的服務連結角色
如果您不再需要可自動停止、終止,或重新啟動 EC2 執行個體的警示,我們建議您刪除 AWSServiceRoleForCloudWatchEvents 角色。
如果您不再需要執行 Systems Manager OpsCenter 動作的警示,建議您刪除 AWSServiceRoleForCloudWatchAlarms\$1ActionSSM 角色。
如果您刪除所有使用 `DB_PERF_INSIGHTS` 指標數學函數的警示,建議您刪除 **AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights** 服務連結角色。
如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能將其刪除。
### 清除服務連結角色
您必須先確認服務連結角色沒有作用中的工作階段,並移除該角色使用的資源,之後才能使用 IAM 將其刪除。
**檢查服務連結角色是否於 IAM 主控台有作用中的工作階段**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**。選擇 AWSServiceRoleForCloudWatchEvents 角色的名稱 (而非核取方塊)。
1. 在 **Summary (摘要)** 頁面上,針對所選角色選擇 **Access Advisor (存取 Advisor)**,然後檢閱服務連結角色的近期活動。
**注意**
如果您不確定 CloudWatch 是否正在使用 AWSServiceRoleForCloudWatchEvents 角色,可嘗試刪除該角色。如果服務正在使用該角色,則刪除會失敗,而您可以檢視正在使用該角色的 區域。如果服務正在使用該角色,您必須先等到工作階段結束,才能刪除該角色。您無法撤銷服務連結角色的工作階段。
### 刪除服務連結角色 (IAM 主控台)
您可以使用 IAM 主控台刪除服務連結角色。
**刪除服務連結角色 (主控台)**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**。選擇您要刪除的角色名稱旁的核取方塊,而非名稱或資料列本身。
1. 對於 **Role actions (角色動作)**,選擇 **Delete role (刪除角色)**。
1. 在確認對話方塊中,檢閱服務上次存取資料,以顯示每個所選取角色上次存取 AWS 服務的時間。這可協助您確認角色目前是否作用中。若要繼續,請選擇 **Yes, Delete (是,刪除)**。
1. 查看 IAM 主控台通知,監視服務連結角色刪除的進度。因為 IAM 服務連結角色刪除不同步,所以在您提交角色進行刪除之後,刪除任務可能會成功或失敗。如果任務失敗,從通知中選擇 **View details (檢視詳細資訊)** 或 **View Resources (檢視資源)**,以了解刪除失敗原因。如果刪除因角色使用服務中資源而失敗,則失敗原因會包含資源清單。
### 刪除服務連結角色 (AWS CLI)
您可以從 使用 IAM 命令 AWS Command Line Interface 來刪除服務連結角色。
**刪除服務連結角色 (AWS CLI)**
1. 因為無法刪除正在使用或具有相關聯資源的服務連結角色,所以您必須提交刪除要求。如果不符合這些條件,則可以拒絕該請求。您必須從回應中擷取 `deletion-task-id`,以檢查刪除任務的狀態。鍵入下列命令,以提交服務連結角色刪除要求:
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name service-linked-role-name
```
1. 鍵入下列命令,以檢查刪除任務的狀態:
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id deletion-task-id
```
刪除任務的狀態可以是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果刪除失敗,則呼叫會傳回失敗原因,以進行疑難排解。
### 刪除服務連結角色 (IAM API)
您可以使用 IAM API 刪除服務連結角色。
**刪除服務連結角色 (API)**
1. 若要提交服務連結角色的刪除請求,請呼叫 [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html)。在要求中,指定您要刪除的角色名稱。
因為無法刪除正在使用或具有相關聯資源的服務連結角色,所以您必須提交刪除要求。如果不符合這些條件,則可以拒絕該請求。您必須從回應中擷取 `DeletionTaskId`,以檢查刪除任務的狀態。
1. 若要檢查刪除的狀態,請呼叫 [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html)。在請求中,指定 `DeletionTaskId`。
刪除任務的狀態可以是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果刪除失敗,則呼叫會傳回失敗原因,以進行疑難排解。
## AWS 服務連結角色的 CloudWatch 更新
檢視自此服務開始追蹤這些變更以來CloudWatch AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 CloudWatch 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) – 更新至服務連結角色政策。 | 更新了 [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy 的相關資訊,該 AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) 授予 CloudWatch 必要許可,以根據遙測規則啟用和管理其他 AWS 資源的遙測組態。 | 2026 年 3 月 31 日 |
| [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) – 更新至服務連結角色政策。 | 更新了 [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy 的相關資訊,該 AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) 授予 CloudWatch 必要許可,以根據遙測規則啟用和管理其他 AWS 資源的遙測組態。 | 2026 年 3 月 10 日 |
| [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) – 更新至服務連結角色政策。 | 更新了 [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy ](#service-linked-role-telemetry-enablement)的相關資訊,該 AWSObservabilityAdminTelemetryEnablementServiceRolePolicy 授予 CloudWatch 必要許可,以根據遙測規則啟用和管理其他 AWS 資源的遙測組態。 | 2025 年 12 月 2 日 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals):更新服務連結角色政策的許可 | 更新 [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals) 以包含 `resource-explorer-2:Search`和 `cloudtrail:CreateServiceLinkedChannel` 以啟用新的 Application Signals 功能。 | 2025 年 11 月 12 日 |
| [AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization):新增服務連結角色政策。 | 新增了有關 [ AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization) 的資訊,其授予 CloudWatch 根據遙測規則啟用和管理 AWS 資源遙測組態所需的許可。 | 2025 年 9 月 5 日 |
| [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement):新增服務連結角色政策。 | 新增了有關 [ AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) 的資訊,其授予 CloudWatch 根據遙測規則啟用和管理 AWS 資源遙測組態所需的許可。 | 2025 年 7 月 17 日 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals):更新服務連結角色政策的許可 | 更新 [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals),排除影響 SLO 達成率、錯誤預算和消耗率指標的時段。CloudWatch 可以代表您擷取排除時段。 | 2025 年 3 月 13 日 |
| [AWSServiceRoleForObservabilityAdmin](#service-linked-role-telemetry-config):新增服務連結角色 | CloudWatch 新增這個新的服務連結角色和對應的受管政策 AWSObservabilityAdminServiceRolePolicy,以支援 AWS 組織的資源和遙測組態偵測。 | 2024 年 11 月 26 日 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals):更新服務連結角色政策的許可 | CloudWatch 會將更多日誌群組新增至 `logs:StartQuery` 的範圍以及角色授與的 `logs:GetQueryResults` 許可。 | 2024 年 4 月 24 日 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals) – 全新服務連結角色 | CloudWatch 已新增此服務連結角色,允許 CloudWatch Application Signals 從您為 CloudWatch Application Signals 啟用的應用程式中收集 CloudWatch 日誌資料、X-Ray 追蹤資料、CloudWatch 指標資料以及標記資料。 | 2023 年 11 月 9 日 |
| [ AWSServiceRoleForCloudWatchMetrics\$1DbPerfInsights](#service-linked-role-permissions-dbperfinsights) – 全新服務連結角色 | CloudWatch 新增此服務連結角色,讓 CloudWatch 能夠擷取 Performance Insights 指標,以供警示和快照之用。IAM 政策已附加至此角色,且該政策授予 CloudWatch 許可來以代表您擷取 Performance Insights 指標。 | 2023 年 9 月 13 日 |
| [ AWSServiceRoleForCloudWatchAlarms\$1ActionSSMIncidents](#service-linked-role-permissions-incident-manager) – 新的服務連結角色 | CloudWatch 新增了新的服務連結角色,以允許 CloudWatch 在 AWS Systems Manager Incident Manager 中建立事件。 | 2021 年 4 月 26 日 |
| CloudWatch 開始追蹤變更 | CloudWatch 開始追蹤其服務連結角色的變更。 | 2021 年 4 月 26 日 |