

亚马逊 Monitron 不再向新客户开放。现有客户可以继续正常使用该服务。如需了解与 Amazon Monitron 类似的功能，请参阅我们的[博客文章](https://aws.amazon.com/blogs/machine-learning/maintain-access-and-consider-alternatives-for-amazon-monitron)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Service-linked 亚马逊 Monitron 的角色权限
<a name="slr-permissions"></a>

Amazon Monitron 使用名为 **AWSServiceRoleForMonitron[\_ {SUFFIX}] 的服务相关角色——亚马逊**监控用于 AWSServiceRoleForMonitron 访问其他 AWS 服务，包括 Cloudwatch 日志、Kinesis Data Streams、KMS 密钥和 SSO。有关该策略的更多信息，请参阅[AWSServiceRoleForMonitronPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForMonitronPolicy.html)《*AWS 托管策略参考指南》*

 AWSServiceRoleForMonitron[\_ {SUFFIX}] 服务相关角色信任以下服务来代入该角色：
+ `monitron.amazonaws.com` 或 `core.monitron.amazonaws.com`

名为的角色权限策略 MonitronServiceRolePolicy 允许 Amazon Monitron 对指定资源完成以下操作：
+ 操作：Amazon Log CloudWatch s`logs:CreateLogGroup`，`logs:CreateLogStream`在 CloudWatch 日志组`logs:PutLogEvents`上，日志流和 aws/monitron //\*路径下的日志事件

名为的角色权限策略 MonitronServiceDataExport-KinesisDataStreamAccess 允许 Amazon Monitron 对指定资源完成以下操作：
+ 操作：在指定用于实时数据导出的 Kinesis 数据流上执行 Amazon Kinesis的 `kinesis:PutRecord`、`kinesis:PutRecords` 和 `kinesis:DescribeStream` 操作。
+ 操作：Amazon AWS KMS `kms:GenerateDataKey` 用于指定的 Kinesis 数据流用于实时数据导出的 AWS KMS 密钥
+ 操作：Amazon IAM `iam:DeleteRole`，用于在服务相关角色未使用时将其删除。

名为的角色权限策略 AWSServiceRoleForMonitronPolicy 允许 Amazon Monitron 对指定资源完成以下操作：
+ 操作：IAM 身份中心`sso:GetManagedApplicationInstance`、、`sso:GetProfile`、、`sso:ListProfiles`、`sso:AssociateProfile`、、`sso:ListDirectoryAssociations`、`sso:ListProfileAssociations`、`sso-directory:DescribeUsers``sso-directory:SearchUsers``sso:CreateApplicationAssignment`、以及`sso:ListApplicationAssignments`访问与项目关联的 IAM Identity Center 用户

**注意**  
 添加 `sso:ListProfileAssociations`，允许 Amazon Monitron 列出与 Amazon Monitron 项目底层应用程序实例的关联。

您必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务关联角色。有关更多信息，请参阅 *IAM 用户指南*中的[Service-linked 角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。