CloudWatch 和 Kinesis Data Firehose 之间的信任关系 - Amazon CloudWatch
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

CloudWatch 和 Kinesis Data Firehose 之间的信任关系

Kinesis Data Firehose 传输流必须通过对 Kinesis Data Firehose 具有写入权限的 IAM 角色来信任 CloudWatch。这些权限可仅限为 CloudWatch 指标流使用的单个 Kinesis Data Firehose 传输流。IAM 角色必须信任 streams.metrics.cloudwatch.amazonaws.com 服务主体。

如果您使用 CloudWatch 控制台创建指标流,则可以让 CloudWatch 创建具有正确权限的角色。如果您使用其他方法创建指标流,或者希望创建 IAM 角色本身,则该角色必须包含以下权限策略和信任策略。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "firehose:PutRecord", "firehose:PutRecordBatch" ], "Effect": "Allow", "Resource": "arn:aws:firehose:region:account-id:deliverystream/*" } ] }
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "streams.metrics.cloudwatch.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

指标数据由 CloudWatch 代表拥有该指标流资源的源将其流式传输到目标 Kinesis Data Firehose 传输流。