本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 CloudWatch 日志使用服务相关角色
<a name="using-service-linked-roles-cwl"></a>

Amaz CloudWatch on Logs 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。服务相关角色是一种独特的 IAM 角色，直接链接到 CloudWatch 日志。 Service-linked 角色由 CloudWatch Logs 预定义，包括该服务代表您调用其他 AWS 服务所需的所有权限。

服务相关角色可以提高 CloudWatch 日志设置的效率，因为您无需手动添加必要的权限。 CloudWatch 日志定义了其服务相关角色的权限，除非另有定义，否则只有 CloudWatch 日志可以担任这些角色。定义的权限包括信任策略和权限策略。这些权限策略不能附加到任何其他 IAM 实体。

有关支持服务相关角色的其他服务的信息，请参阅[与 IAM 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。在 “**Service-Linked角色**” 列中查找 “**是**” 的服务。请选择**是**与查看该服务的服务关联角色文档的链接。

## Service-linked CloudWatch 日志的角色权限
<a name="slr-permissions"></a>

CloudWatch 日志使用名**AWSServiceRoleForLogDelivery**为的服务相关角色。 CloudWatch 日志使用此服务相关角色将日志直接写入 Firehose。有关更多信息，请参阅 [启用从以下位置的日志记录 AWS 务](AWS-logs-and-resource-policy.md)。

**AWSServiceRoleForLogDelivery** 服务相关角色信任以下服务代入该角色：
+ `logs.amazonaws.com`

角色权限策略允许 CloudWatch Logs 对指定资源完成以下操作。**AWSServiceRoleForLogDeliveryPolicy**有关完整的 JSON 策略文档，请参阅[AWSServiceRoleForLogDeliveryPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForLogDeliveryPolicy.html)《*AWS 托管策略参考指南》*。
+ Acti `firehose:ListTagsForDeliveryStream` on: `firehose:PutRecord` `firehose:PutRecordBatch`、、以及所有带有`LogDeliveryEnabled`键值为的标签的 Firehose 传送流。`true`当您创建订阅以将日志传送到 Firehose 时，此标签会自动附加到 Firehose 传送流。
+ 操作：`kms:GenerateDataKey`并`kms:Decrypt`对所有 AWS KMS 按键执行，但仅当通过 Firehose 发出请求时（由设置为`firehose.*.amazonaws.com`的`kms:ViaService`条件键强制执行）。这些权限允许CloudWatch 日志将日志传送到使用服务器端加密和客户托管密钥的 Firehose 传送流（）。SSE-CMK客户的 AWS KMS 密钥策略还必须独立授予对服务相关角色的访问权限。

您必须配置权限以允许 IAM 实体创建、编辑或删除服务相关角色。此实体可以是用户、组或角色。有关更多信息，请参阅 *IAM 用户指南*中的[Service-Linked 角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

## 为日志创建服务相关角色 CloudWatch
<a name="create-slr"></a>

您无需手动创建服务相关角色。当您在 AWS 管理控制台、或 AWS API 中将日志设置为直接发送到 Firehose 流时， CloudWatch 日志会为您创建服务相关角色。 AWS CLI

如果您删除该服务关联角色，然后需要再次创建，您可以使用相同流程在账户中重新创建此角色。当您再次将日志设置为直接发送到 Firehose 流时， CloudWatch 日志会再次为您创建服务相关角色。

## 编辑日志的服务相关角色 CloudWatch
<a name="edit-slr"></a>

CloudWatch 日志不允许您在创建服务相关角色或任何其他服务相关角色后对其进行编辑**AWSServiceRoleForLogDelivery**。由于多个实体可能引用该角色，因此无法更改角色的名称。不过，您可以使用 IAM 编辑角色的说明。有关更多信息，请参阅 *IAM 用户指南*中的[编辑 Service-Linked 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 删除日志的服务相关角色 CloudWatch
<a name="delete-slr"></a>

如果不再需要使用某个需要服务关联角色的功能或服务，我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是，必须先清除服务相关角色的资源，然后才能手动删除它。

**注意**  
如果您尝试删除资源时， CloudWatch 日志服务正在使用该角色，则删除可能会失败。如果发生这种情况，请等待几分钟后重试。

**删除使用的 CloudWatch 日志资源 **AWSServiceRoleForLogDelivery** 服务相关角色**
+ 停止将日志直接发送到 Firehose 流。

**使用 IAM 手动删除服务关联角色**

使用 IAM 控制台 AWS CLI、或 AWS API 删除**AWSServiceRoleForLogDelivery**服务相关角色。有关更多信息，请参阅[删除 Service-Linked 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)

### CloudWatch 日志服务相关角色支持的区域
<a name="slr-regions"></a>

CloudWatch Logs 支持在提供服务的所有 AWS 区域中使用服务相关角色。有关更多信息，请参阅[CloudWatch 记录区域和终端节点](https://docs.aws.amazon.com/general/latest/gr/rande.html#cwl_region)。