View a markdown version of this page

Verwenden von serviceverknüpften Rollen für Logs CloudWatch - CloudWatch Amazon-Protokolle
Service-linked Rollenberechtigungen für CloudWatch LogsEine serviceverknüpfte Rolle für Logs erstellen CloudWatchBearbeitung einer serviceverknüpften Rolle für Logs CloudWatchLöschen einer serviceverknüpften Rolle für Logs CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Logs CloudWatch

Amazon CloudWatch Logs verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Logs verknüpft ist. CloudWatch Service-linked Rollen sind in CloudWatch Logs vordefiniert und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine dienstbezogene Rolle macht die Einrichtung von CloudWatch Logs effizienter, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. CloudWatch Logs definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, können nur CloudWatch Logs diese Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann an keine andere IAM-Entität angefügt werden.

Weitere Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter AWS -Services, die mit IAM funktionieren. Suchen Sie in der Spalte Service-LinkedRolle nach den Diensten, für die Ja angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Service-linked Rollenberechtigungen für CloudWatch Logs

CloudWatch Logs verwendet die mit dem Dienst verknüpfte Rolle namens AWSServiceRoleForLogDelivery. CloudWatch Logs verwendet diese dienstbezogene Rolle, um Protokolle direkt in Firehose zu schreiben. Weitere Informationen finden Sie unter Protokollierung aktivieren von AWS service.

Die serviceverknüpfte Rolle AWSServiceRoleForLogDelivery vertraut darauf, dass die folgenden Services die Rolle annehmen:

  • logs.amazonaws.com

Die Richtlinie für Rollenberechtigungen ermöglicht es CloudWatch Logs AWSServiceRoleForLogDeliveryPolicy, die folgenden Aktionen an den angegebenen Ressourcen durchzuführen. Das vollständige JSON-Richtliniendokument finden Sie AWSServiceRoleForLogDeliveryPolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

  • Aktion: firehose:PutRecordfirehose:PutRecordBatch, und firehose:ListTagsForDeliveryStream für alle Firehose-Lieferdatenströme, die ein Tag mit einem LogDeliveryEnabled Schlüssel mit einem Wert von true haben. Dieses Tag wird automatisch an einen Firehose-Lieferstream angehängt, wenn Sie ein Abonnement für die Übermittlung der Protokolle an Firehose erstellen.

  • Aktion: kms:GenerateDataKey und kms:Decrypt für alle AWS KMS Schlüssel, aber nur, wenn die Anfrage über Firehose gestellt wird (erzwungen durch den auf gesetzten kms:ViaService Bedingungsschlüssel). firehose.*.amazonaws.com Diese Berechtigungen ermöglichen es CloudWatch Logs, Protokolle an Firehose-Lieferdatenströme zu senden, die serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln () SSE-CMK verwenden. Die AWS KMS Schlüsselrichtlinie des Kunden muss außerdem eigenständig Zugriff auf die mit dem Service verknüpfte Rolle gewähren.

Sie müssen Berechtigungen konfigurieren, die es einer IAM-Entität erlaubt, eine serviceverknüpfte Rolle zu erstellen, zu bearbeiten oder zu löschen. Diese Entität kann ein Benutzer, eine Gruppe oder eine Rolle sein. Weitere Informationen finden Sie unter Service-Linked Rollenberechtigungen im IAM-Benutzerhandbuch.

Eine serviceverknüpfte Rolle für Logs erstellen CloudWatch

Sie brauchen keine serviceverknüpfte Rolle manuell erstellen. Wenn Sie Protokolle so einrichten, dass sie direkt an einen Firehose-Stream in der AWS-Managementkonsole, der oder der AWS CLI AWS API gesendet werden, erstellt CloudWatch Logs die dienstbezogene Rolle für Sie.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie erneut Protokolle so einrichten, dass sie direkt an einen Firehose-Stream gesendet werden, erstellt CloudWatch Logs die dienstverknüpfte Rolle erneut für Sie.

Bearbeitung einer serviceverknüpften Rolle für Logs CloudWatch

CloudWatch Logs ermöglicht es Ihnen nicht AWSServiceRoleForLogDelivery, diese oder jede andere dienstbezogene Rolle zu bearbeiten, nachdem Sie sie erstellt haben. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung nicht geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Service-Linked Rolle bearbeiten.

Löschen einer serviceverknüpften Rolle für Logs CloudWatch

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn der CloudWatch Logs-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

Um CloudWatch Logs-Ressourcen zu löschen, die verwendet werden von AWSServiceRoleForLogDelivery Serviceverknüpfte Rolle

  • Beenden Sie das direkte Senden von Protokollen an Firehose-Streams.

So löschen Sie die serviceverknüpfte Rolle mit IAM

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSServiceRoleForLogDeliveryserviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Rolle löschen Service-Linked

Unterstützte Regionen für Rollen, die mit dem CloudWatch Logs-Dienst verknüpft sind

CloudWatch Logs unterstützt die Verwendung von dienstbezogenen Rollen in allen AWS Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter CloudWatch Logs, Regionen und Endpoints.