本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 傳送至 Firehose 的日誌
<a name="AWS-logs-infrastructure-Firehose"></a>

本節適用於上一節資料表中列出的日誌類型傳送至 Firehose 的情況：

**使用者許可**

若要第一次設定將任何這類日誌傳送至 Firehose，您必須使用下列許可登入 帳戶。
+ `logs:CreateLogDelivery`
+ `firehose:TagDeliveryStream`
+ `iam:CreateServiceLinkedRole`

如果這些類型的日誌中有任何一種已經傳送到 Firehose，則若要設定將另外一種類型的日誌傳送至 Firehose，您只需要擁有 `logs:CreateLogDelivery`和 `firehose:TagDeliveryStream`許可。

**用於許可的 IAM 角色**

由於 Firehose AWS 不使用資源政策，因此 會在設定將這些日誌傳送至 Firehose 時使用 IAM 角色。 會 AWS 建立名為 的服務連結角色**AWSServiceRoleForLogDelivery**。此服務連結角色包含下列許可。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "firehose:PutRecord",
                "firehose:PutRecordBatch",
                "firehose:ListTagsForDeliveryStream"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/LogDeliveryEnabled": "true"
                }
            },
            "Effect": "Allow"
        }
    ]
}
```

------

此服務連結角色會針對`LogDeliveryEnabled`標籤設定為 的所有 Firehose 交付串流授予許可`true`。當您設定記錄時，會將此標籤 AWS 提供給目的地交付串流。

此服務連結角色也有信任政策，以允許 `delivery.logs.amazonaws.com` 服務委託人擔任所需的服務連結角色。該信任政策如下：

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------