# CloudWatch 和 Firehose 之间的信任关系
<a name="CloudWatch-metric-streams-trustpolicy"></a>

Firehose 传输流必须通过对 Firehose 具有写入权限的 IAM 角色来信任 CloudWatch。这些权限可仅限为 CloudWatch 指标流使用的单个 Firehose 传输流。IAM 角色必须信任 `streams.metrics.cloudwatch.amazonaws.com` 服务主体。

如果您使用 CloudWatch 控制台创建指标流，则可以让 CloudWatch 创建具有正确权限的角色。如果您使用其他方法创建指标流，或者希望创建 IAM 角色本身，则该角色必须包含以下权限策略和信任策略。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:firehose:us-east-1:123456789012:deliverystream/*"
        }
    ]
}
```

------

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "streams.metrics.cloudwatch.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

指标数据由 CloudWatch 代表拥有该指标流资源的源将其流式传输到目标 Firehose 传输流。