# 适用于 Network Flow Monitor 的 Amazon 托管式策略 Amazon 托管策略 Amazon 托管式策略是由 Amazon 创建和管理的独立策略。Amazon 托管式策略旨在为许多常见使用案例提供权限,以便您可以开始为用户、组和角色分配权限。 请记住,Amazon 托管式策略可能不会为您的特定使用案例授予最低权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。 您无法更改 Amazon 托管式策略中定义的权限。如果 Amazon 更新在 Amazon 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 Amazon Web Services 服务 启动或新的 API 操作可用于现有服务时,Amazon 最有可能更新 Amazon 托管式策略。 有关更多信息,请参阅《IAM 用户指南》**中的 [Amazon 托管式策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。 ## Amazon 托管式策略:CloudWatchNetworkFlowMonitorServiceRolePolicy CloudWatchNetworkFlowMonitorServiceRolePolicy 您不能将 `CloudWatchNetworkFlowMonitorServiceRolePolicy` 附加到自己的 IAM 实体。该策略附加到名为 **AWSServiceRoleForNetworkFlowMonitor** 的服务相关角色,该角色将 Network Flow Monitor 代理收集的网络遥测聚合结果发布到 CloudWatch。该策略还允许服务使用 Amazon Organizations 获取多账户场景的信息。 要查看此策略的权限,请参阅《Amazon Managed Policy Reference》**中的 [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html)。 有关更多信息,请参阅 [适用于 Network Flow Monitor 的服务相关角色](using-service-linked-roles-network-flow-monitor.md)。 ## Amazon 托管式策略:CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy 您不能将 ` CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` 附加到自己的 IAM 实体。此策略附加到名为 **AWSServiceRoleForNetworkFlowMonitor\$1Topology** 的服务相关角色。该服务相关角色使用这些权限以及内部元数据信息收集(旨在提高性能效率),为该服务监控网络流量的资源收集有关资源网络配置的元数据,例如描述路由表和网关。借助这些元数据,Network Flow Monitor 能够生成资源的拓扑快照。当出现网络性能下降时,Network Flow Monitor 会使用拓扑来提供有关网络中问题位置的见解,并帮助确定问题的归因。 要查看此策略的权限,请参阅《Amazon Managed Policy Reference》**中的 [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html)。 有关更多信息,请参阅 [适用于 Network Flow Monitor 的服务相关角色](using-service-linked-roles-network-flow-monitor.md)。 ## Amazon 托管式策略:CloudWatchNetworkFlowMonitorAgentPublishPolicy CloudWatchNetworkFlowMonitorAgentPublishPolicy 您可以在附加到 Amazon EC2 和 Amazon EKS 实例资源的 IAM 角色中使用此策略,以向 Network Flow Monitor 端点发送遥测报告(指标)。 要查看此策略的权限,请参阅《Amazon Managed Policy Reference》**中的 [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)。 ## Network Flow Monitor 服务相关角色的更新 服务相关角色的更新 有关适用于 Network Flow Monitor 服务相关角色的 Amazon 托管式策略的更新,请参阅 CloudWatch的 [Amazon 托管式策略更新表](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)。您也可以在 CloudWatch [文档历史记录页面](DocumentHistory.md)上订阅自动 RSS 提醒。