亚马逊 Monitron 不再向新客户开放。现有客户可以继续正常使用该服务。如需了解与 Amazon Monitron 类似的功能,请参阅我们的[博客文章](https://aws.amazon.com/blogs/machine-learning/maintain-access-and-consider-alternatives-for-amazon-monitron)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 对 Amazon Monitron 使用服务相关角色
Amazon Monitron 使用 AWS Identity and Access Management (IAM) [服务相关](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)角色。服务相关角色是一种独特类型的 IAM 角色,与 Amazon Monitron 直接相关。服务相关角色由 Amazon Monitron 预定义,包括该服务代表您调用 AWS 其他服务所需的所有权限。
服务相关角色让您可以更轻松地设置 Amazon Monitron,因为您不必手动添加所需权限。Amazon Monitron 定义其服务相关角色的权限,除非另有定义,否则只有 Amazon Monitron 可以代入该角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
有关支持服务相关角色的其它服务的信息,请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找**服务相关角色**列中显示为**是**的服务。选择**是**和链接,查看该服务的服务关联角色文档。
**Topics**
+ [Amazon Monitron 的服务相关角色权限](slr-permissions.md)
+ [为 Amazon Monitron 创建服务相关角色](create-slr.md)
+ [为 Amazon Monitron 编辑服务相关角色](edit-slr.md)
+ [删除 Amazon Monitron 的服务相关角色](delete-slr.md)
+ [Amazon Monitron 服务相关角色支持的区域](slr-regions.md)
+ [AWS 亚马逊 Monitron 的托管策略](monitron-managed-policies.md)
+ [亚马逊 Monitron 更新了托管政策 AWS](managed-policy-updates.md)
# Amazon Monitron 的服务相关角色权限
Amazon Monitron 使用名为 **AWSServiceRoleForMonitron[\$1 \$1SUFFIX\$1] 的服务相关角色——亚马逊**监控用于 AWSServiceRoleForMonitron 访问其他 AWS 服务,包括 Cloudwatch 日志、Kinesis Data Streams、KMS 密钥和 SSO。有关该策略的更多信息,请参阅《*AWS 托管策略参考指南》[AWSServiceRoleForMonitronPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForMonitronPolicy.html)*中的
AWSServiceRoleForMonitron[\$1 \$1SUFFIX\$1] 服务相关角色信任以下服务来代入该角色:
+ `monitron.amazonaws.com` 或 `core.monitron.amazonaws.com`
名为的角色权限策略 MonitronServiceRolePolicy 允许 Amazon Monitron 对指定资源完成以下操作:
+ 操作:Amazon Lo CloudWatch gs`logs:CreateLogGroup`,`logs:CreateLogStream``logs:PutLogEvents`在 CloudWatch 日志组中,日志流和 /aws/monitron/ \$1 路径下的日志事件
名为 MonitronServiceDataExport-的角色权限策略KinesisDataStreamAccess 允许 Amazon Monitron 对指定资源完成以下操作:
+ 操作:在指定用于实时数据导出的 Kinesis 数据流上执行 Amazon Kinesis的 `kinesis:PutRecord`、`kinesis:PutRecords` 和 `kinesis:DescribeStream` 操作。
+ 操作:Amazon AWS KMS `kms:GenerateDataKey` 用于指定的 Kinesis 数据流用于实时数据导出的 AWS KMS 密钥
+ 操作:Amazon IAM `iam:DeleteRole`,用于在服务相关角色未使用时将其删除。
名为的角色权限策略 AWSServiceRoleForMonitronPolicy 允许 Amazon Monitron 对指定资源完成以下操作:
+ 操作:IAM 身份中心`sso:GetManagedApplicationInstance``sso:GetProfile`、`sso:ListProfiles`、`sso:AssociateProfile`、、`sso:ListDirectoryAssociations`、`sso:ListProfileAssociations`、`sso-directory:DescribeUsers`、`sso-directory:SearchUsers`、`sso:CreateApplicationAssignment`、、以及`sso:ListApplicationAssignments`访问与项目关联的 IAM 身份中心用户
**注意**
添加 `sso:ListProfileAssociations`,允许 Amazon Monitron 列出与 Amazon Monitron 项目底层应用程序实例的关联。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
# 为 Amazon Monitron 创建服务相关角色
您无需手动创建服务关联角色。当你在 Amazon Monitron 中启用一项需要你权限才能代表你调用其他 AWS 服务的功能时 AWS 管理控制台,Amazon Monitron 会为你创建服务相关角色。
# 为 Amazon Monitron 编辑服务相关角色
Amazon Monitron 不允许您编辑 AWSService RoleForMonitron [\$1 \$1SUFFIX\$1] 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
# 删除 Amazon Monitron 的服务相关角色
您无需手动删除 AWSService RoleForMonitron [\$1 \$1SUFFIX\$1] 角色。当您在中删除通过 Amazon Monitron 创建的 Amazon Monitron 项目时, AWS 管理控制台 Amazon Monitron 会清理资源并为您删除服务相关角色。
您也可以使用 IAM 控制台、 AWS CLI 或 AWS API 手动删除服务相关角色。为此,必须先手动清除服务相关角色的资源,然后才能手动删除。
**注意**
如果在您试图删除资源时 Amazon Monitron 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除 AWSService RoleForMonitron [\$1 \$1SUFFIX\$1] 使用的亚马逊 Monitron 资源**
+ 删除使用此服务相关角色的 Amazon Monitron 项目。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSService RoleForMonitron [\$1 \$1SUFFIX\$1] 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
# Amazon Monitron 服务相关角色支持的区域
Amazon Monitron 支持在该服务可用的所有区域使用服务相关角色。有关更多信息,请参阅[AWS 区域和端点](https://docs.aws.amazon.com//general/latest/gr/rande.html#connect_region)。
Amazon Monitron 不支持在该服务可用的所有区域使用服务相关角色。您可以在以下区域使用 AWSService RoleForMonitron [\$1 \$1SUFFIX\$1] 角色。
****
| 区域名称 | 区域标识 | Amazon Monitron 是否支持 |
| --- | --- | --- |
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 |
| 美国东部(俄亥俄州) | us-east-2 | 否 |
| 美国西部(北加利福尼亚) | us-west-1 | 否 |
| 美国西部(俄勒冈州) | us-west-2 | 否 |
| 亚太地区(孟买) | ap-south-1 | 否 |
| 亚太地区(大阪) | ap-northeast-3 | 否 |
| 亚太地区(首尔) | ap-northeast-2 | 否 |
| 亚太地区(新加坡) | ap-southeast-1 | 否 |
| 亚太地区(悉尼) | ap-southeast-2 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 否 |
| 加拿大(中部) | ca-central-1 | 否 |
| 欧洲地区(法兰克福) | eu-central-1 | 否 |
| 欧洲地区(爱尔兰) | eu-west-1 | 是 |
| 欧洲地区(伦敦) | eu-west-2 | 否 |
| 欧洲地区(巴黎) | eu-west-3 | 否 |
| 南美洲(圣保罗) | sa-east-1 | 否 |
| AWS GovCloud (US) | us-gov-west-1 | 否 |
# AWS 亚马逊 Monitron 的托管策略
您可以附加 AmazonMonitronFullAccess 到您的 IAM 实体。此策略授予*管理*权限,允许访问所有 Amazon Monitron 资源和操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "monitron.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"monitron:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"monitron.*.amazonaws.com"
]
},
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "AWSSSOPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"ds:DescribeDirectories",
"ds:DescribeTrusts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kinesis:DescribeStream",
"kinesis:ListStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/monitron/*"
}
]
}
```
------
# 亚马逊 Monitron 更新了托管政策 AWS
查看自该服务开始跟踪这些更改以来,Amazon Monitron AWS 托管政策更新的详细信息。有关此页面更改的自动提示,请订阅 Amazon Monitron 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| AWSServiceRoleForMonitronPolicy -更新现有政策 | [在角色`sso:ListApplicationAssignments`权限策略](https://docs.aws.amazon.com/Monitron/latest/user-guide/using-service-linked-roles.html)中添加了`sso:CreateApplicationAssignment`和。 | 2024 年 9 月 30 日 |
| AmazonMonitronFullAccess -更新现有政策 | Amazon Monitron 增加了描述和列出 Kinesis Data Streams、描述获取和创建 CloudWatch 日志组、日志流和日志事件的权限。您必须使用这些权限才能使用 Amazon Monitron 控制台显示有关 Kinesis Data Streams 和日志的信息。 CloudWatch | 2022 年 6 月 8 日 |