Amazon Monitron 不再向新客戶開放。現有客戶可以繼續正常使用該服務。如需類似 Amazon Monitron 的功能,請參閱我們的[部落格文章](https://aws.amazon.com/blogs/machine-learning/maintain-access-and-consider-alternatives-for-amazon-monitron)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Amazon Monitron 的服務連結角色
Amazon Monitron 使用 AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 Amazon Monitron 的唯一 IAM 角色類型。服務連結角色是由 Amazon Monitron 預先定義,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更輕鬆地設定 Amazon Monitron,因為您不必手動新增必要的許可。Amazon Monitron 定義其服務連結角色的許可,除非另有定義,否則只有 Amazon Monitron 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
如需關於支援服務連結角色的其他服務資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找**服務連結角色**資料行中顯示為**是**的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
**Topics**
+ [Amazon Monitron 的服務連結角色許可](slr-permissions.md)
+ [為 Amazon Monitron 建立服務連結角色](create-slr.md)
+ [編輯 Amazon Monitron 的服務連結角色](edit-slr.md)
+ [刪除 Amazon Monitron 的服務連結角色](delete-slr.md)
+ [Amazon Monitron 服務連結角色支援的區域](slr-regions.md)
+ [AWS Amazon Monitron 的 受管政策](monitron-managed-policies.md)
+ [AWS 受管政策的 Amazon Monitron 更新](managed-policy-updates.md)
# Amazon Monitron 的服務連結角色許可
Amazon Monitron 使用名為 **AWSServiceRoleForMonitron【\$1\$1SUFFIX\$1】** 的服務連結角色 – Amazon Monitron 使用 AWSServiceRoleForMonitron 存取其他服務 AWS ,包括 Cloudwatch Logs、Kinesis Data Streams、KMS 金鑰和 SSO。如需政策的詳細資訊,請參閱《 *AWS 受管政策參考指南*》中的 [AWSServiceRoleForMonitronPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForMonitronPolicy.html)
AWSServiceRoleForMonitron【\$1\$1SUFFIX\$1】 服務連結角色信任下列服務擔任該角色:
+ `monitron.amazonaws.com` 或 `core.monitron.amazonaws.com`
名為 MonitronServiceRolePolicy 的角色許可政策允許 Amazon Monitron 對指定的資源完成下列動作:
+ 動作:Amazon CloudWatch Logs `logs:CreateLogGroup``logs:CreateLogStream`和 CloudWatch 日誌群組`logs:PutLogEvents`、日誌串流和 /aws/monitron/\$1 路徑下的日誌事件
名為 MonitronServiceDataExport-KinesisDataStreamAccess 的角色許可政策允許 Amazon Monitron 對指定的資源完成下列動作:
+ 動作:指定用於即時資料匯出的 Kinesis 資料串流`kinesis:DescribeStream`上的 `kinesis:PutRecord`Amazon Kinesis `kinesis:PutRecords`、 和 。
+ 動作:Amazon AWS KMS `kms:GenerateDataKey` 代表 AWS KMS 指定 Kinesis 資料串流用於即時資料匯出的金鑰
+ 動作:Amazon IAM 會在不使用時`iam:DeleteRole`刪除服務連結角色本身
名為 AWSServiceRoleForMonitronPolicy 的角色許可政策允許 Amazon Monitron 對指定的資源完成下列動作:
+ 動作:IAM Identity Center `sso:GetManagedApplicationInstance`、`sso:GetProfile`、、`sso:ListProfiles``sso:AssociateProfile`、`sso:ListDirectoryAssociations``sso:ListProfileAssociations`、`sso-directory:DescribeUsers`、`sso:CreateApplicationAssignment`、、 `sso-directory:SearchUsers`和 `sso:ListApplicationAssignments`存取與專案相關聯的 IAM Identity Center 使用者
**注意**
新增 `sso:ListProfileAssociations` 以允許 Amazon Monitron 列出與 Amazon Monitron 專案基礎之應用程式執行個體的關聯。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
# 為 Amazon Monitron 建立服務連結角色
您不需要手動建立服務連結角色,當您在 中啟用需要許可才能在 Amazon Monitron 中 AWS 代表您呼叫其他服務的功能時 AWS 管理主控台,Amazon Monitron 會為您建立服務連結角色。
# 編輯 Amazon Monitron 的服務連結角色
Amazon Monitron 不允許您編輯 AWSServiceRoleForMonitron【\$1\$1SUFFIX\$1】 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
# 刪除 Amazon Monitron 的服務連結角色
您不需要手動刪除 AWSServiceRoleForMonitron【\$1\$1SUFFIX\$1】 角色。當您在 中刪除透過 Amazon Monitron 建立的 Amazon Monitron 專案時 AWS 管理主控台,Amazon Monitron 會為您清除資源並刪除服務連結角色。
您也可以使用 IAM 主控台、 AWS CLI 或 AWS API 手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。
**注意**
如果您嘗試刪除資源時,Amazon Monitron 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**刪除 AWSServiceRoleForMonitron【\$1\$1SUFFIX\$1】 使用的 Amazon Monitron 資源**
+ 使用此服務連結角色刪除 Amazon Monitron 專案。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForMonitron【\$1\$1SUFFIX\$1】 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
# Amazon Monitron 服務連結角色支援的區域
Amazon Monitron 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊,請參閱 [AWS 區域與端點](https://docs.aws.amazon.com//general/latest/gr/rande.html#connect_region)。
Amazon Monitron 不支援在提供服務的每個區域中使用服務連結角色。您可以在下列區域中使用 AWSServiceRoleForMonitron【\$1\$1SUFFIX\$1】 角色。
****
| 區域名稱 | 區域身分 | Amazon Monitron 支援 |
| --- | --- | --- |
| 美國東部 (維吉尼亞北部) | us-east-1 | 是 |
| 美國東部 (俄亥俄) | us-east-2 | 否 |
| 美國西部 (加利佛尼亞北部) | us-west-1 | 否 |
| 美國西部 (奧勒岡) | us-west-2 | 否 |
| 亞太區域 (孟買) | ap-south-1 | 否 |
| 亞太地區 (大阪) | ap-northeast-3 | 否 |
| 亞太區域 (首爾) | ap-northeast-2 | 否 |
| 亞太區域 (新加坡) | ap-southeast-1 | 否 |
| 亞太地區 (悉尼) | ap-southeast-2 | 是 |
| 亞太區域 (東京) | ap-northeast-1 | 否 |
| 加拿大 (中部) | ca-central-1 | 否 |
| 歐洲 (法蘭克福) | eu-central-1 | 否 |
| 歐洲 (愛爾蘭) | eu-west-1 | 是 |
| 歐洲 (倫敦) | eu-west-2 | 否 |
| Europe (Paris) | eu-west-3 | 否 |
| 南美洲 (聖保羅) | sa-east-1 | 否 |
| AWS GovCloud (US) | us-gov-west-1 | 否 |
# AWS Amazon Monitron 的 受管政策
您可以將 AmazonMonitronFullAccess 連接至您的 IAM 實體。此政策會授予*管理*許可,以允許存取所有 Amazon Monitron 資源和操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "monitron.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"monitron:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"monitron.*.amazonaws.com"
]
},
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "AWSSSOPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"ds:DescribeDirectories",
"ds:DescribeTrusts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kinesis:DescribeStream",
"kinesis:ListStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/monitron/*"
}
]
}
```
------
# AWS 受管政策的 Amazon Monitron 更新
檢視自此服務開始追蹤 Amazon Monitron AWS 受管政策更新以來的詳細資訊。如需此頁面變更的自動提醒,請訂閱 Amazon Monitron 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| AWSServiceRoleForMonitronPolicy - 更新至現有政策 | 已將 `sso:CreateApplicationAssignment`和 `sso:ListApplicationAssignments` 新增至[角色許可政策](https://docs.aws.amazon.com/Monitron/latest/user-guide/using-service-linked-roles.html)。 | 2024 年 9 月 30 日 |
| AmazonMonitronFullAccess - 更新現有政策 | Amazon Monitron 新增了描述和列出 Kinesis Data Streams、描述 get 和建立 CloudWatch 日誌群組、日誌串流和日誌事件的許可。您必須使用這些許可,才能使用 Amazon Monitron 主控台來顯示 Kinesis Data Streams 和 CloudWatch Logs 的相關資訊。 | 2022 年 6 月 8 日 |