Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS Transit Gateway, Flow Logs-Datensätze in Amazon Data Firehose
<a name="flow-logs-kinesis"></a>

**Topics**
+ [IAM-Rollen für die kontoübergreifende Bereitstellung](#flow-logs-kinesis-iam)
+ [Erstellen Sie die Rolle des Quellkontos](flowlog-fh-create-source.md)
+ [Erstellen Sie die Zielkonto-Rolle](flowlog-fh-create-destination.md)
+ [Erstellen Sie ein Flow-Protokoll, das in Firehose veröffentlicht wird](flow-logs-kinesis-create.md)

Flow-Logs können Flow-Log-Daten direkt in Firehose veröffentlichen. Sie können wählen, ob Sie Flow-Protokolle für dasselbe Konto wie den Ressourcenmonitor oder für ein anderes Konto veröffentlichen möchten.

**Voraussetzungen**

Bei der Veröffentlichung in Firehose werden die Flow-Protokolldaten in einem Firehose-Lieferstream im Klartextformat veröffentlicht. Sie müssen zuerst einen Firehose-Lieferstream erstellt haben. Die Schritte zum Erstellen eines Delivery Streams finden Sie unter [Creating an Amazon Data Firehose Delivery Stream](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html) im *Amazon Data Firehose Developer Guide*.

**Preise**

Es fallen die üblichen Kosten für Einnahme und Lieferung an. Weitere Informationen finden Sie unter [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), wählen Sie **Logs** aus und suchen Sie nach **Vending Logs**.

## IAM-Rollen für die kontoübergreifende Bereitstellung
<a name="flow-logs-kinesis-iam"></a>

Wenn Sie in Kinesis Data Firehose veröffentlichen, können Sie einen Bereitstellungsstream auswählen, der sich in demselben Konto wie die zu überwachende Ressource (das Quellkonto) oder in einem anderen Konto (dem Zielkonto) befindet. Um die kontoübergreifende Übermittlung von Flow-Protokollen an Firehose zu ermöglichen, müssen Sie eine IAM-Rolle im Quellkonto und eine IAM-Rolle im Zielkonto erstellen.

**Topics**
+ [Rolle des Quellkontos](#flow-logs-kinesis-iam-role-source)
+ [Rolle des Zielkontos](#flow-logs-kinesis-iam-role-destination)

### Rolle des Quellkontos
<a name="flow-logs-kinesis-iam-role-source"></a>

Erstellen Sie im Quellkonto eine Rolle, die die folgenden Berechtigungen gewährt. In diesem Beispiel lautet der Name der Rolle `mySourceRole`, allerdings können Sie einen anderen Namen für diese Rolle wählen. Die letzte Anweisung ermöglicht es der Rolle im Zielkonto, diese Rolle zu übernehmen. Die Bedingungsanweisungen stellen sicher, dass diese Rolle nur an den Protokollbereitstellungsservice und nur beim Überwachen der angegebenen Ressource übergeben wird. Wenn Sie Ihre Richtlinie erstellen, geben Sie die VPCs Netzwerkschnittstellen oder Subnetze, die Sie überwachen, mit dem Bedingungsschlüssel `iam:AssociatedResourceARN` an. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/mySourceRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "delivery.logs.amazonaws.com"
                },
                "StringLike": {
                    "iam:AssociatedResourceARN": [
                        "arn:aws:ec2:us-east-1:source-account:transit-gateway/tgw-0fb8421e2da853bf"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:GetLogDelivery"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::111122223333:role/AWSLogDeliveryFirehoseCrossAccountRole"
        }
    ]
}
```

------

Stellen Sie sicher, dass Ihre Rolle die folgende Vertrauensrichtlinie hat, die es dem Protokollservice erlaubt, die Rolle zu übernehmen.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

### Rolle des Zielkontos
<a name="flow-logs-kinesis-iam-role-destination"></a>

Erstellen Sie im Zielkonto eine Rolle mit einem Namen, der mit beginnt **AWSLogDeliveryFirehoseCrossAccountRole**. Die Rolle muss die folgenden Berechtigungen enthalten. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "iam:CreateServiceLinkedRole",
          "firehose:TagDeliveryStream"
      ],
      "Resource": "*"
    }
  ]
}
```

------

Stellen Sie sicher, dass diese Rolle über die folgende Vertrauensrichtlinie verfügt, mit der die Rolle, die Sie im Quellkonto erstellt haben, diese Rolle übernehmen kann.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/mySourceRole"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------