将服务相关角色用于 CloudWatch 网络监测仪 - Amazon CloudWatch
AWSServiceRoleForNetworkMonitor创建服务相关角色编辑服务相关角色删除服务相关角色支持的区域
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

将服务相关角色用于 CloudWatch 网络监测仪

Amazon CloudWatch 网络监测仪通过以下服务相关角色获取代表您调用其他 Amazon 服务所需的权限:

AWSServiceRoleForNetworkMonitor

CloudWatch 网络监控使用名为 AWSServiceRoleForNetworkMonitor 的服务相关角色更新和管理 CloudWatch 网络监测仪。

AWSServiceRoleForNetworkMonitor 服务相关角色仅信任以下服务来担任该角色:

  • networkmonitor.amazonaws.com

CloudWatchNetworkMonitorServiceRolePolicy 附加到服务相关角色,授予服务访问您账户中的 VPC 和 EC2 资源以及管理已创建网络监测仪的访问权限。

权限分组

策略分组为以下权限集:

  • cloudwatch:允许服务主体向 CloudWatch 资源发布网络监控指标。

  • ec2:允许服务主体描述您账户中的 VPC 和子网,以创建或更新监测仪和探测器。此权限集还允许服务主体创建、修改和删除安全组、网络接口及其关联权限,以配置监测仪或探测器,来向您的端点发送监控流量。

有关策略的更多信息,请参阅 CloudWatch 网络监测仪的 Amazon 托管策略

CloudWatchNetworkMonitorServiceRolePolicy 如下:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "PublishCw",
			"Effect": "Allow",
			"Action": "cloudwatch:PutMetricData",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": "AWS/NetworkMonitor"
				}
			}
		},
		{
			"Sid": "DescribeAny",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeNetworkInterfaceAttribute",
				"ec2:DescribeVpcs",
				"ec2:DescribeNetworkInterfacePermissions",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Resource": "*"
		},
		{
			"Sid": "DeleteModifyEc2Resources",
			"Effect": "Allow",
			"Action": [
				"ec2:AuthorizeSecurityGroupEgress",
				"ec2:CreateNetworkInterfacePermission",
				"ec2:DeleteNetworkInterfacePermission",
				"ec2:RevokeSecurityGroupEgress",
				"ec2:ModifyNetworkInterfaceAttribute",
				"ec2:DeleteNetworkInterface",
				"ec2:DeleteSecurityGroup"
			],
			"Resource": [
				"arn:aws:ec2:*:*:network-interface/*",
				"arn:aws:ec2:*:*:security-group/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/ManagedByCloudWatchNetworkMonitor": "true"
				}
			}
		}
	]
}

创建服务相关角色

AWSServiceRoleForNetworkMonitor

您无需手动创建 AWSServiceRoleForNetworkMonitor 角色。

  • CloudWatch 网络监测仪会在您首次创建网络监测仪时创建 AWSServiceRoleForNetworkMonitor 角色。该角色将应用于您后续创建的任何监测仪。

要代表您创建服务相关角色,您必须具有所需权限。有关更多信息,请参阅 IAM 用户指南 中的服务相关角色权限

编辑服务相关角色

您可以使用 IAM 编辑 AWSServiceRoleForNetworkMonitor 描述。有关更多信息,请参阅 IAM 用户指南 中的编辑服务相关角色

删除服务相关角色

如果您不再需要使用 CloudWatch 网络监测仪,我们建议您删除 AWSServiceRoleForNetworkMonitor 角色。

您只有在删除网络监测仪后,才能删除服务相关角色。有关删除网络监测仪的信息,请参阅 Delete a network monitor

您可以使用 IAM 控制台、IAM CLI 或 IAM API 删除服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的删除服务相关角色

删除 AWSServiceRoleForNetworkMonitor 后,CloudWatch 网络监测仪将在创建新的监测仪时再次创建角色。

CloudWatch 网络监测仪服务相关角色支持的区域

CloudWatch 网络监测仪支持在提供该服务的所有 Amazon Web Services 区域 使用服务相关角色。有关更多信息,请参阅 Amazon Web Services 一般参考 中的 Amazon 端点