本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Verified Access 日志记录权限
<a name="access-logs-permissions"></a>

用于配置日志记录目标的 IAM 主体需要具有一定的权限才能使日志记录正常工作。以下部分显示了每个日志记录目标所需的权限。

**要发送到 CloudWatch 日志，请执行以下操作：**
+ 对 Verified Access 实例的 `ec2:ModifyVerifiedAccessInstanceLoggingConfiguration`
+ 对所有资源的 `logs:CreateLogDelivery`、`logs:DeleteLogDelivery`、`logs:GetLogDelivery`、`logs:ListLogDeliveries` 和 `logs:UpdateLogDelivery`
+ 对目的地日志组的 `logs:DescribeLogGroups`、`logs:DescribeResourcePolicies` 和 `logs:PutResourcePolicy`

**对于传输到 Amazon S3：**
+ 对 Verified Access 实例的 `ec2:ModifyVerifiedAccessInstanceLoggingConfiguration`
+ 对所有资源的 `logs:CreateLogDelivery`、`logs:DeleteLogDelivery`、`logs:GetLogDelivery`、`logs:ListLogDeliveries` 和 `logs:UpdateLogDelivery`
+ 对目的地存储桶的 `s3:GetBucketPolicy` 和 `s3:PutBucketPolicy`

**对于传输到 Firehose：**
+ 对 Verified Access 实例的 `ec2:ModifyVerifiedAccessInstanceLoggingConfiguration`
+ 对所有资源的 `firehose:TagDeliveryStream`
+ 对所有资源的 `iam:CreateServiceLinkedRole`
+ 对所有资源的 `logs:CreateLogDelivery`、`logs:DeleteLogDelivery`、`logs:GetLogDelivery`、`logs:ListLogDeliveries` 和 `logs:UpdateLogDelivery`