Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de roles vinculados a servicios para Logs CloudWatch
Amazon CloudWatch Logs utiliza funciones AWS Identity and Access Management vinculadas a [servicios (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Logs. CloudWatch Los roles vinculados al servicio están predefinidos en CloudWatch Logs e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre.
Un rol vinculado a un servicio hace que la configuración de CloudWatch los registros sea más eficiente, ya que no es necesario añadir manualmente los permisos necesarios. CloudWatch Logs define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo CloudWatch Logs puede asumir esas funciones. Los permisos definidos incluyen la política de confianza y la política de permisos. Dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.
Para obtener más información sobre otros servicios que admiten los roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Busque los servicios para los que se indique **Sí **en la columna **Roles vinculados a servicios**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados al servicio para Logs CloudWatch
CloudWatch Logs usa el rol vinculado al servicio denominado. **AWSServiceRoleForLogDelivery** CloudWatch Logs usa esta función vinculada a un servicio para escribir registros directamente en Firehose. Para obtener más información, consulte [Habilitar el registro desde AWS los servicios](AWS-logs-and-resource-policy.md).
El rol vinculado al servicio **AWSServiceRoleForLogDelivery** confía en los siguientes servicios para asumir el rol:
+ `logs.amazonaws.com`
La política de permisos de roles permite a CloudWatch Logs realizar las siguientes acciones en los recursos especificados:
+ Acción: `firehose:PutRecord` y `firehose:PutRecordBatch` en todos los flujos de Firehose que tienen una etiqueta con una clave `LogDeliveryEnabled` con un valor de `True`. Esta etiqueta se adjunta automáticamente a un flujo de Firehose cuando crea una suscripción para entregar los registros a Firehose.
Debe configurar los permisos para permitir que una entidad de IAM cree, edite o elimine un rol vinculado al servicio. Esta entidad puede ser un usuario, un grupo o un rol. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para Logs CloudWatch
No necesita crear manualmente un rol vinculado a un servicio. Cuando configuras los registros para que se envíen directamente a una transmisión de Firehose en la Consola de administración de AWS, la o la AWS API AWS CLI, CloudWatch Logs crea el rol vinculado al servicio por ti.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando vuelves a configurar los registros para que se envíen directamente a una transmisión de Firehose, CloudWatch Logs vuelve a crear el rol vinculado al servicio para ti.
## Edición de un rol vinculado a un servicio para Logs CloudWatch
CloudWatch Los registros no permiten editar **AWSServiceRoleForLogDelivery**ni ningún otro rol vinculado a un servicio después de crearlo. Dado que varias entidades pueden hacer referencia al rol, no puede cambiar su nombre después de crearlo. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para Logs CloudWatch
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
**nota**
Si el servicio de CloudWatch registros utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar CloudWatch los recursos de registros utilizados por el rol **AWSServiceRoleForLogDelivery**vinculado al servicio**
+ Deje de enviar registros directamente a los flujos de Firehose.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al **AWSServiceRoleForLogDelivery**servicio. Para obtener más información, consulte [Eliminar un rol vinculado al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)
### Funciones vinculadas al servicio Regions for Logs CloudWatch compatibles
CloudWatch Logs admite el uso de funciones vinculadas al servicio en todas las AWS regiones en las que el servicio está disponible. Para obtener más información, consulte [CloudWatch Regiones y puntos finales de registros](https://docs.aws.amazon.com/general/latest/gr/rande.html#cwl_region).