本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置 CloudWatch 日志记录角色
<a name="configure-cw-logging-role"></a>

要设置访问权限，您需要创建一个基于资源的 IAM 策略和一个提供该访问信息的 IAM 角色。

要启用 Amazon CloudWatch 日志记录，首先要创建启用 CloudWatch日志记录的 IAM 策略。然后，您需要创建一个 IAM 角色并将策略附加到该角色。您可在[创建服务器](getting-started.md#getting-started-server)或[编辑现有服务器](edit-server-config.md)时执行此操作。有关的更多信息 CloudWatch，请参阅 [Amazon 是什么 CloudWatch？](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) 以及[什么是 Amazon CloudWatch 日志？](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 在《*亚马逊 CloudWatch 用户指南》*中。

使用以下 IAM 策略示例来允许 CloudWatch 日志记录。

------
#### [ Use a logging role ]

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
        }
    ]
}
```

------
#### [ Use structured logging ]

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"                
            ],
            "Resource": "*"
        }
    ]
}
```

在前面的示例策略中，对于**Resource**，将*region-id*和*AWS 账户*替换为您的值。例如，**"Resource": "arn:aws::logs:us-east-1:111122223333:log-group:/aws/transfer/\$1"**

------

然后，您可以创建一个角色并附加您创建的 CloudWatch 日志策略。

**创建 IAM 角色并附加策略**

1. 在导航窗格中，选择**角色**，然后选择**创建角色**。

   在**创建角色**页面上，确保已选择**AWS 服务**。

1. 从服务列表中选择**转移**，然后选择**下一步：权限**。这将在和 IAM 角色 AWS Transfer Family 之间建立信任关系。此外，建议使用 `aws:SourceAccount` 和 `aws:SourceArn` 条件键来防止出现*混淆代理*问题。有关详细信息，请参阅以下文档：
   + 与以下机构建立信任关系的程序 AWS Transfer Family：[建立信任关系](requirements-roles.md#establish-trust-transfer)
   + 混淆代理问题描述：[混淆代理问题](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)

1. 在**附加权限策略**部分，找到并选择您刚刚创建的 CloudWatch 日志策略，然后选择**下一步：标签**。

1. （可选）输入标签的键和值，然后选择**下一步：审核**。

1. 在**审核**页面上，输入新角色的名称和描述，然后选择**创建角色**。

1. 要查看日志，请选择**服务器 ID** 以打开服务器配置页面，然后选择**查看日志**。您将被重定向到 CloudWatch 控制台，您可以在其中查看日志流。

在服务器 CloudWatch 页面上，您可以看到用户身份验证（成功和失败）、数据上传（`PUT`操作）和数据下载（`GET`操作）的记录。