# Perfis vinculados ao serviço do Network Flow Monitor
<a name="using-service-linked-roles-network-flow-monitor"></a>

O Network Flow Monitor usa [perfis do AWS Identity and Access Management (IAM) vinculados ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). O perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM que é vinculado diretamente ao Network Flow Monitor. O perfil vinculado ao serviço é predefinido pelo Network Flow Monitor e inclui todas as permissões de que o serviço precisa para chamar outros serviços da AWS em seu nome. 

O Network Flow Monitor define as permissões dos perfis vinculados ao serviço e, a menos que definido em contrário, apenas o Network Flow Monitor poderá assumir o perfil. As permissões definidas incluem as políticas de confiança e as políticas de permissões, e essas políticas de permissões não podem ser anexadas a nenhuma outra entidade do IAM.

Você pode excluir os perfis somente depois de primeiro excluir seus recursos relacionados. Essa restrição protege os recursos do Network Flow Monitor, pois não é possível remover acidentalmente as permissões de acesso a eles.

Para saber mais sobre outros serviços compatíveis com perfis vinculados ao serviço, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços com **Sim** na coluna **Perfil vinculado ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.

## Permissões do perfil vinculado ao serviço do Network Flow Monitor
<a name="service-linked-role-permissions-NetworkFlowMonitor"></a>

O Network Flow Monitor usa os seguintes perfis vinculados ao serviço: 
+ **AWSServiceRoleForNetworkFlowMonitor**
+ **AWSServiceRoleForNetworkFlowMonitor\$1Topology**

### Permissões de perfil vinculado ao serviço de AWSServiceRoleForNetworkFlowMonitor
<a name="service-linked-role-permissions-AWSServiceRoleForNetworkFlowMonitor"></a>

O Network Flow Monitor usa o perfil vinculado ao serviço denominado **AWSServiceRoleForNetworkFlowMonitor**. Esse perfil permite que o Network Flow Monitor publique métricas de telemetria agregadas do CloudWatch coletadas para o tráfego de rede entre instâncias e entre instâncias e locais da AWS. Também permite que o serviço use o AWS Organizations para obter informações para cenários de várias contas.

Esse perfil vinculado ao serviço usa a política gerenciada `CloudWatchNetworkFlowMonitorServiceRolePolicy`. 

Para visualizar as permissões dessa política, consulte [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html) na *Referência de políticas gerenciadas pela AWS*.

O perfil **AWSServiceRoleForNetworkFlowMonitor** vinculado ao serviço confia no seguinte serviço para assumir o perfil:
+ `networkflowmonitor.amazonaws.com`

### Permissões de perfil vinculado ao serviço de AWSServiceRoleForNetworkFlowMonitor\$1Topology
<a name="service-linked-role-permissions-AWSServiceRoleForNetworkFlowMonitor_Topology"></a>

O Network Flow Monitor usa o perfil vinculado ao serviço denominado **AWSServiceRoleForNetworkFlowMonitor\$1Topology**. Esse perfil permite que o Network Flow Monitor gere um snapshot da topologia dos recursos que você usa com o Network Flow Monitor.

Esse perfil vinculado ao serviço usa a política gerenciada `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy`. 

Para visualizar as permissões dessa política, consulte [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html) na *Referência de políticas gerenciadas pela AWS*.

O perfil **AWSServiceRoleForNetworkFlowMonitor\$1Topology** vinculado ao serviço confia no seguinte serviço para assumir o perfil:
+ `topology.networkflowmonitor.amazonaws.com`

## Criar perfil vinculado ao serviço do Network Flow Monitor
<a name="create-service-linked-role-network-flow-monitor"></a>

Você não precisa criar manualmente perfis vinculados ao serviço para o Network Flow Monitor. Quando você inicializar o Network Flow Monitor pela primeira vez, ele criará as funções **AWSServiceRoleForNetworkFlowMonitor** e **AWSServiceRoleForNetworkFlowMonitor\$1Topology** em seu nome.

Para saber mais, consulte [Criar um perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*.

## Editar perfil vinculado ao serviço do Network Flow Monitor
<a name="edit-service-linked-role-network-flow-monitor"></a>

Após o Network Flow Monitor criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil porque várias entidades poderão referenciá-lo. Porém, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluir perfil vinculado ao serviço do Network Flow Monitor
<a name="delete-service-linked-role-network-flow-monitor"></a>

Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. Porém, você deve limpar os recursos do perfil vinculado ao serviço antes de poder excluí-lo manualmente.

**nota**  
Se o serviço do Network Flow Monitor estiver usando um perfil quando você tentar excluí-lo, a exclusão poderá falhar. Se isso acontecer, aguarde alguns minutos e tente novamente.

**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**

Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil **AWSServiceRoleForNetworkFlowMonitor** ou o **AWSServiceRoleForNetworkFlowMonitor\$1Topology** vinculado a serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Atualizações do perfil vinculado ao serviço do Network Flow Monitor
<a name="security-iam-awsmanpol-updates-network-flow-monitor"></a>

Para conferir as atualizações de `CloudWatchNetworkFlowMonitorServiceRolePolicy` ou `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy`, as políticas gerenciadas pela AWS dos perfis vinculados ao serviço do Network Flow Monitor, consulte as [atualizações do CloudFront para as políticas gerenciadas da AWS](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates). Para obter alertas automáticos sobre alterações em políticas gerenciadas, inscreva-se no feed RSS na página [Histórico de documentos](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html) do CloudWatch.