Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di ruoli collegati ai servizi per i registri CloudWatch
Amazon CloudWatch Logs utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ai log. CloudWatch Service-linked i ruoli sono predefiniti da CloudWatch Logs e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio rende la configurazione di CloudWatch Logs più efficiente perché non è necessario aggiungere manualmente le autorizzazioni necessarie. CloudWatch Logs definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo Logs può assumere tali ruoli. CloudWatch Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Queste ultime non possono essere collegate a nessun'altra entità IAM.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi consulta Servizi AWS che funzionano con IAM. Cerca i servizi con Sì nella colonna Ruolo. Service-Linked Scegliere Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
Service-linked autorizzazioni di ruolo per Logs CloudWatch
CloudWatch Logs utilizza il ruolo collegato al servizio denominato. AWSServiceRoleForLogDelivery CloudWatch Logs utilizza questo ruolo collegato al servizio per scrivere i log direttamente su Firehose. Per ulteriori informazioni, consulta Abilita la registrazione da AWS services.
Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi AWSServiceRoleForLogDelivery considera attendibili i seguenti servizi:
-
logs.amazonaws.com
La politica di autorizzazione dei ruoli consente a CloudWatch Logs di completare le seguenti azioni sulle risorse specificate. AWSServiceRoleForLogDeliveryPolicy Per il documento completo sulla policy JSON, consulta la AWS Managed Policy AWSServiceRoleForLogDeliveryPolicyReference Guide.
-
Azione:
firehose:PutRecordfirehose:PutRecordBatch, efirehose:ListTagsForDeliveryStreamsu tutti i flussi di distribuzione Firehose che hanno un tag con unaLogDeliveryEnabledchiave con un valore di.trueQuesto tag viene collegato automaticamente a un flusso di distribuzione Firehose quando si crea un abbonamento per consegnare i log a Firehose. -
Azione:
kms:GenerateDataKeyekms:Decryptsu tutte le AWS KMS chiavi, ma solo quando la richiesta viene effettuata tramite Firehose (imposta dalla chiave dikms:ViaServicecondizione impostata su).firehose.*.amazonaws.com.rproxy.govskope.usQueste autorizzazioni consentono a CloudWatch Logs di inviare i log ai flussi di distribuzione Firehose che utilizzano la crittografia lato server con chiavi gestite dal cliente (). SSE-CMK La politica AWS KMS chiave del cliente deve inoltre concedere in modo indipendente l'accesso al ruolo collegato al servizio.
Per consentire a un'entità IAM, di creare, modificare o eliminare un ruolo collegato ai servizi, devi configurare le autorizzazioni. Questa entità può essere un utente, un gruppo o un ruolo. Per ulteriori informazioni, consulta Service-Linked Role Permissions nella IAM User Guide.
Creazione di un ruolo collegato al servizio per Logs CloudWatch
Non è necessario creare manualmente un ruolo collegato ai servizi. Quando configurate i log da inviare direttamente a uno stream Firehose nell'API, AWS CLI nella o Console di gestione AWS nell'API CloudWatch , Logs crea automaticamente AWS il ruolo collegato al servizio.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando configuri nuovamente i log per essere inviati direttamente a uno stream Firehose CloudWatch , Logs crea nuovamente il ruolo collegato al servizio per te.
Modifica di un ruolo collegato al servizio per Logs CloudWatch
CloudWatch I registri non consentono di modificare AWSServiceRoleForLogDelivery, o qualsiasi altro ruolo collegato al servizio, dopo averlo creato. Non è possibile modificare il nome del ruolo poiché varie entità possono farvi riferimento. Tuttavia, utilizzando IAM è possibile modificarne la descrizione. Per ulteriori informazioni, consulta Modifica di un Service-Linked ruolo nella Guida per l'utente IAM.
Eliminazione di un ruolo collegato al servizio per Logs CloudWatch
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
Nota
Se il servizio CloudWatch Logs utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
Per eliminare le risorse CloudWatch Logs utilizzate da AWSServiceRoleForLogDelivery Ruolo collegato al servizio
-
Smetti di inviare i log direttamente agli stream di Firehose.
Per eliminare manualmente il ruolo collegato ai servizi mediante IAM
Utilizza la console IAM AWS CLI, l'o l' AWS API per eliminare il ruolo collegato al AWSServiceRoleForLogDeliveryservizio. Per ulteriori informazioni, consulta Eliminazione di un ruolo Service-Linked
Regioni supportate per i ruoli collegati al CloudWatch servizio Logs
CloudWatch Logs supporta l'utilizzo di ruoli collegati al servizio in tutte le AWS regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta CloudWatch Registra regioni ed endpoint.
