As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Usando funções vinculadas a serviços para Logs CloudWatch
<a name="using-service-linked-roles-cwl"></a>

O Amazon CloudWatch Logs usa AWS Identity and Access Management funções [vinculadas a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente aos CloudWatch Logs. Os papéis vinculados ao serviço são predefinidos pelo CloudWatch Logs e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome. 

Uma função vinculada ao serviço torna a configuração de CloudWatch registros mais eficiente porque você não precisa adicionar manualmente as permissões necessárias. CloudWatch O Logs define as permissões de seus papéis vinculados ao serviço e, a menos que seja definido de outra forma, somente o CloudWatch Logs pode assumir esses papéis. As permissões definidas incluem a política de confiança e a política de permissões. Essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros produtos que oferecem suporte a funções vinculadas a serviços, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Procure os serviços que têm **Sim** na coluna **Função vinculada ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.

## Permissões de função vinculadas ao serviço para Logs CloudWatch
<a name="slr-permissions"></a>

CloudWatch O Logs usa a função vinculada ao serviço chamada. **AWSServiceRoleForLogDelivery** CloudWatch O Logs usa essa função vinculada ao serviço para gravar registros diretamente no Firehose. Para obter mais informações, consulte [Habilitar o registro a partir de AWS serviços](AWS-logs-and-resource-policy.md).

A função vinculada ao serviço **AWSServiceRoleForLogDelivery** confia nos seguintes serviços para assumir a função:
+ `logs.amazonaws.com`

A política de permissões de função permite que o CloudWatch Logs conclua as seguintes ações nos recursos especificados:
+ Ação: `firehose:PutRecord` e `firehose:PutRecordBatch` em todos os fluxos do Firehose que tenham uma tag com uma chave `LogDeliveryEnabled` com um valor de `True`. Essa tag é anexada automaticamente a um fluxo do Firehose quando você cria uma assinatura para entregar os logs ao Firehose.

Você deve configurar permissões para que uma entidade do IAM crie, edite ou exclua uma função vinculada ao serviço. Essa entidade pode ser um usuário, um grupo ou uma função. Para saber mais, consulte [Permissões de Função Vinculadas ao Serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do Usuário do IAM*.

## Criação de uma função vinculada ao serviço para o Logs CloudWatch
<a name="create-slr"></a>

Não é necessário criar manualmente uma função vinculada ao serviço. Quando você configura registros para serem enviados diretamente para um stream do Firehose na, na ou na AWS API Console de gerenciamento da AWS AWS CLI, o CloudWatch Logs cria a função vinculada ao serviço para você. 

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você configura novamente os registros para serem enviados diretamente para um stream do Firehose, o CloudWatch Logs cria novamente a função vinculada ao serviço para você. 

## Editando uma função vinculada ao serviço para Logs CloudWatch
<a name="edit-slr"></a>

CloudWatch O Logs não permite que você edite **AWSServiceRoleForLogDelivery**, nem qualquer outra função vinculada ao serviço, depois de criá-la. Não é possível alterar o nome da função, pois várias entidades podem fazer referência a ela. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar uma função vinculada a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluindo uma função vinculada ao serviço para Logs CloudWatch
<a name="delete-slr"></a>

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.

**nota**  
Se o serviço CloudWatch Logs estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

**Para excluir CloudWatch os recursos do Logs usados pela função vinculada ao **AWSServiceRoleForLogDelivery**serviço**
+ Interrompa o envio de logs diretamente para os fluxos do Firehose.

**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função **AWSServiceRoleForLogDelivery**vinculada ao serviço. Para obter mais informações, consulte [Excluir uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role).

### Regiões suportadas para funções vinculadas ao serviço CloudWatch Logs
<a name="slr-regions"></a>

CloudWatch O Logs oferece suporte ao uso de funções vinculadas ao serviço em todas as AWS regiões em que o serviço está disponível. Para obter mais informações, consulte [CloudWatch Regiões e endpoints](https://docs.aws.amazon.com/general/latest/gr/rande.html#cwl_region) de registros.