View a markdown version of this page

Menggunakan peran terkait layanan untuk Log CloudWatch - CloudWatch Log Amazon
Service-linked izin peran untuk CloudWatch LogMembuat peran terkait layanan untuk Log CloudWatchMengedit peran terkait layanan untuk Log CloudWatchMenghapus peran terkait layanan untuk Log CloudWatch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan peran terkait layanan untuk Log CloudWatch

Amazon CloudWatch Logs menggunakan AWS Identity and Access Management peran terkait layanan (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke Log. CloudWatch Service-linked peran telah ditentukan sebelumnya oleh CloudWatch Log dan menyertakan semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.

Peran terkait layanan membuat pengaturan CloudWatch Log lebih efisien karena Anda tidak diharuskan menambahkan izin yang diperlukan secara manual. CloudWatch Log mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya CloudWatch Log yang dapat mengambil peran tersebut. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin. Kebijakan izin itu tidak dapat dilampirkan ke entitas IAM lainnya.

Untuk informasi tentang layanan lain yang mendukung peran yang terhubung dengan layanan, lihat AWS Layanan yang Bekerja dengan IAM. Cari layanan yang memiliki Ya di kolom Service-LinkedPeran. Pilih Ya dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

Service-linked izin peran untuk CloudWatch Log

CloudWatch Log menggunakan nama peran terkait layanan. AWSServiceRoleForLogDelivery CloudWatch Log menggunakan peran terkait layanan ini untuk menulis log langsung ke Firehose. Untuk informasi selengkapnya, lihat Aktifkan logging dari AWS layanan.

Peran tertaut layanan AWSServiceRoleForLogDelivery memercayai layanan berikut untuk mengambil peran tersebut:

  • logs.amazonaws.com

Kebijakan izin peran AWSServiceRoleForLogDeliveryPolicy, memungkinkan CloudWatch Log untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan. Untuk dokumen kebijakan JSON selengkapnya, lihat AWSServiceRoleForLogDeliveryPolicydi Panduan Referensi Kebijakan AWS Terkelola.

  • Tindakan: firehose:PutRecordfirehose:PutRecordBatch,, dan firehose:ListTagsForDeliveryStream pada semua aliran pengiriman Firehose yang memiliki tag dengan LogDeliveryEnabled kunci dengan nilai. true Tag ini secara otomatis dilampirkan ke aliran pengiriman Firehose saat Anda membuat langganan untuk mengirimkan log ke Firehose.

  • Tindakan: kms:GenerateDataKey dan kms:Decrypt pada semua AWS KMS kunci, tetapi hanya jika permintaan dibuat melalui Firehose (diberlakukan oleh kunci kms:ViaService kondisi yang disetel ke). firehose.*.amazonaws.com Izin ini memungkinkan CloudWatch Log mengirimkan log ke aliran pengiriman Firehose yang menggunakan enkripsi sisi server dengan kunci terkelola pelanggan (). SSE-CMK Kebijakan AWS KMS utama pelanggan juga harus secara independen memberikan akses ke peran terkait layanan.

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM untuk membuat, mengedit, atau menghapus peran yang terhubung dengan layanan. Entitas ini dapat berupa pengguna, grup, atau peran. Untuk informasi selengkapnya, lihat Izin Service-Linked Peran di Panduan Pengguna IAM.

Membuat peran terkait layanan untuk Log CloudWatch

Anda tidak perlu membuat peran yang terhubung dengan layanan secara manual. Saat Anda menyiapkan log untuk dikirim langsung ke aliran Firehose di Konsol Manajemen AWS, the, atau AWS API AWS CLI, CloudWatch Log akan membuat peran terkait layanan untuk Anda.

Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mengatur kembali log untuk dikirim langsung ke aliran Firehose, CloudWatch Log akan membuat peran terkait layanan untuk Anda lagi.

Mengedit peran terkait layanan untuk Log CloudWatch

CloudWatch Log tidak memungkinkan Anda untuk mengedit AWSServiceRoleForLogDelivery, atau peran terkait layanan lainnya, setelah Anda membuatnya. Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat Mengedit Service-Linked Peran di Panduan Pengguna IAM.

Menghapus peran terkait layanan untuk Log CloudWatch

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.

catatan

Jika layanan CloudWatch Log menggunakan peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

Untuk menghapus sumber daya CloudWatch Log yang digunakan oleh AWSServiceRoleForLogDelivery peran yang terhubung dengan layanan

  • Berhenti mengirim log langsung ke aliran Firehose.

Untuk menghapus peran tertaut layanan secara manual menggunakan IAM

Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSServiceRoleForLogDeliveryterkait layanan. Untuk informasi selengkapnya, lihat Menghapus Peran Service-Linked

Wilayah yang Didukung untuk CloudWatch peran terkait layanan Log

CloudWatch Log mendukung penggunaan peran terkait layanan di semua AWS Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat CloudWatch Logs Regions and Endpoints.