本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置高级设置
<a name="create-configure-advanced"></a>

下一节包含 Firehose 流的高级设置的详细信息。
+ 服务器端加密——Amazon Data Firehose 支持 Amazon 使用密钥管理服务Amazon (KMS) 的 Amazon S3 服务器端加密，用于加密亚马逊 S3 中交付的数据。有关更多信息，请参阅[使用 KMS Amazon 托管密钥的服务器端加密 (SSE-KMS) 保护数据](https://docs.amazonaws.cn/AmazonS3/latest/userguide/UsingKMSEncryption.html)。
+ 错误日志记录：Amazon Data Firehose 将记录处理和传输相关的错误。此外，启用数据转换后，它可以记录 Lambda 调用并将数据传输错误发送到日志。 CloudWatch 有关更多信息，请参阅 [使用日志监控亚马逊数据 Firehose CloudWatch](monitoring-with-cloudwatch-logs.md)。
**重要**  
虽然是可选的，但强烈建议在创建 Firehose 流过程中启用 Amazon Data Firehose 错误日志记录。这种做法可确保在记录处理或传输失败的情况下，您可以访问错误详细信息。
+ 权限：Amazon Data Firehose 使用 IAM 角色来获取 Firehose 流所需的所有权限。您可以选择创建自动分配所需权限的新角色，也可以选择为 Amazon Data Firehose 创建的现有角色。该角色用于向 Firehose 授予对各种服务的访问权限，包括您的 S3 存储桶、 Amazon KMS 密钥（如果启用了数据加密）和 Lambda 函数（如果启用了数据转换）。控制台可创建带占位符的角色。有关更多信息，请参阅[什么是 IAM？](https://docs.amazonaws.cn/IAM/latest/UserGuide/introduction.html)。
**注意**  
IAM 角色（包括占位符）根据您在创建 Firehose 流时选择的配置创建。如果您对 Firehose 流源或目的地进行任何更改，则必须手动更新 IAM 角色。
+ 标签-您可以添加标签来组织 Amazon 资源、跟踪成本和控制访问权限。

  如果您在 `CreateDeliveryStream` 操作中执行了标签，则 Amazon Data Firehose 会对 `firehose:TagDeliveryStream` 操作执行额外的授权，以验证用户是否具备创建标签的权限。如果您不提供此权限，则创建带有 IAM 资源标签的新 Firehose 流的请求将失败，并显示 `AccessDeniedException`，如下所示。

  ```
  AccessDeniedException 
  User: arn:aws:sts::x:assumed-role/x/x is not authorized to perform: firehose:TagDeliveryStream on resource: arn:aws:firehose:us-east-1:x:deliverystream/x with an explicit deny in an identity-based policy.
  ```

  以下示例演示了允许用户创建 Firehose 流并应用标签的策略。

选择备份和高级设置后，查看您的选择，然后选择**创建 Firehose 流**。

新的 Firehose 流在**正在创建**状态下需要一些时间才能使用。当您的 Firehose 流处于**活动**状态后，就可以从生产者向其发送数据。