Verwenden von serviceverknüpften Rollen für Logs CloudWatch - CloudWatch Amazon-Protokolle
Berechtigungen für dienstverknüpfte Rollen für Logs CloudWatch Eine dienstverknüpfte Rolle für Logs erstellen CloudWatch Bearbeitung einer serviceverknüpften Rolle für Logs CloudWatch Löschen einer dienstverknüpften Rolle für Logs CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Logs CloudWatch

Amazon CloudWatch Logs verwendet dienstbezogene Rollen AWS Identity and Access Management (IAM). Eine serviceverknüpfte Rolle ist ein einzigartiger IAM Rollentyp, der direkt mit Logs verknüpft ist. CloudWatch Dienstbezogene Rollen sind in CloudWatch Logs vordefiniert und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine dienstbezogene Rolle macht die Einrichtung von CloudWatch Logs effizienter, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. CloudWatch Logs definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, können nur CloudWatch Logs diese Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.

Informationen zu anderen Diensten, die dienstbezogene Rollen unterstützen, finden Sie unter AWS Services That Work with IAM. Suchen Sie nach den Services, für die Yes (Ja) in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Berechtigungen für dienstverknüpfte Rollen für Logs CloudWatch

CloudWatch Logs verwendet die dienstverknüpfte Rolle mit dem Namen AWSServiceRoleForLogDelivery. CloudWatch Logs verwendet diese dienstbezogene Rolle, um Protokolle direkt in Firehose zu schreiben. Weitere Informationen finden Sie unter Protokollierung von AWS Diensten aktivieren.

Die AWSServiceRoleForLogDeliveryDie dienstgebundene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

  • logs.amazonaws.com

Die Richtlinie für Rollenberechtigungen ermöglicht es CloudWatch Logs, die folgenden Aktionen an den angegebenen Ressourcen durchzuführen:

  • Aktion: firehose:PutRecord und firehose:PutRecordBatch auf allen Firehose-Streams, die ein Tag mit einem LogDeliveryEnabled Schlüssel mit einem Wert von True haben. Dieses Tag wird automatisch an einen Firehose-Stream angehängt, wenn Sie ein Abonnement für die Übermittlung der Protokolle an Firehose erstellen.

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Diese Entität kann ein Benutzer, eine Gruppe oder eine Rolle sein. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.

Eine dienstverknüpfte Rolle für Logs erstellen CloudWatch

Sie brauchen keine serviceverknüpfte Rolle manuell erstellen. Wenn Sie Protokolle so einrichten, dass sie direkt an einen Firehose in den AWS Management Console, den oder den gesendet werden AWS CLI, erstellt CloudWatch Logs die AWS API dienstverknüpfte Rolle für Sie.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie erneut Protokolle so einrichten, dass sie direkt an einen Firehose-Stream gesendet werden, erstellt CloudWatch Logs die dienstverknüpfte Rolle erneut für Sie.

Bearbeitung einer serviceverknüpften Rolle für Logs CloudWatch

CloudWatch Logs erlaubt Ihnen keine Bearbeitung AWSServiceRoleForLogDeliveryoder eine andere dienstbezogene Rolle, nachdem Sie sie erstellt haben. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung nicht geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Bearbeiten einer dienstbezogenen Rolle.

Löschen einer dienstverknüpften Rolle für Logs CloudWatch

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn der CloudWatch Logs-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

Um CloudWatch Logs-Ressourcen zu löschen, die verwendet werden von AWSServiceRoleForLogDeliveryService-verknüpfte -Rolle

  • Beenden Sie das direkte Senden von Protokollen an Firehose-Streams.

So löschen Sie die serviceverknüpfte Rolle mit IAM

Verwenden Sie die IAM Konsole, die AWS CLI, oder die, AWS API um das zu löschen AWSServiceRoleForLogDeliveryRolle, die mit dem Dienst verknüpft ist. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle

Unterstützte Regionen für Rollen im Zusammenhang mit dem Dienst CloudWatch Logs

CloudWatch Logs unterstützt die Verwendung von dienstbezogenen Rollen in allen AWS Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter CloudWatch Logs, Regionen und Endpoints.