本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 Transit Gateway 流日志创建或更新 IAM 角色 Amazon
<a name="create-flow-logs-role"></a>

您可以使用 Amazon Identity and Access Management 控制台更新现有角色或使用以下过程创建用于流日志的新角色。

**为流日志创建 IAM 角色**

1. 使用 [https://console.aws.amazon.com/iam/](https://console.amazonaws.cn/iam/) 打开 IAM 控制台。

1. 在导航窗格中，选择 **Roles**（角色）和 **Create role**（创建角色）。

1. 对于**Select type of trusted entity（选择受信任实体的类型）**，选择 **Amazon service（服务）**。对于 **Use case（使用案例）**，选择 **EC2**。选择**下一步**。

1. 在 **Add permissions**（添加权限）页面，选择 **Next: Tags**（下一步: 标签），还可以选择性地添加标签。选择**下一步**。

1. 在命名、查看和创建页面上，输入您的角色名称并可选择性地提供**描述**。选择**创建角色**。

1. 选择角色的名称。对于 **Add permissions**（添加权限），选择 **Create inline policy**（创建内联策略），然后选择 **JSON** 选项卡。

1. 从 [用于将流日志发布到 CloudWatch 日志的 IAM 角色](flow-logs-cwl.md#flow-logs-iam) 中复制第一个策略，并将其粘贴到窗口中。选择**Review policy（查看策略）**。

1. 为您的策略输入名称，然后选择 **Create policy（创建策略）**。

1. 选择角色的名称。对于 **Trust relationships（信任关系）**，选择 **Edit trust relationship（编辑信任关系）**。在现有策略文档中，将服务从 `ec2.amazonaws.com` 更改为 `vpc-flow-logs.amazonaws.com`。选择 **Update Trust Policy**（更新信任策略）。

1. 在 **Summary**（总结）页面上，记录您的角色的 ARN。创建流日志时需要此 ARN。