As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# AWS Transit Gateway, registros de registros de fluxo no Amazon Data Firehose
<a name="flow-logs-kinesis"></a>

**Topics**
+ [Perfis do IAM para entrega entre contas](#flow-logs-kinesis-iam)
+ [Criar a função da conta de origem](flowlog-fh-create-source.md)
+ [Criar a função da conta de destino](flowlog-fh-create-destination.md)
+ [Criar um log de fluxo para publicação no Firehose](flow-logs-kinesis-create.md)

Os logs de fluxo podem publicar dados de log de fluxo diretamente no Firehose. É possível optar por publicar logs de fluxo na mesma conta do monitor de recursos ou em uma conta diferente.

**Pré-requisitos**

Ao publicar no Firehose, os dados de logs de fluxo são publicados em um fluxo de entrega do Firehose, em formato de texto sem formatação. É necessário primeiro ter criado um fluxo de entrega do Firehose. Para saber as etapas de criação de fluxos de entrega, consulte [Como criar um fluxo de entrega do Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html) no *Guia do desenvolvedor do Amazon Data Firehose*.

**Preços**

São aplicadas as taxas padrão de ingestão e entrega. Para obter mais informações, abra o [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), selecione **Logs** e encontre **Vended Logs**.

## Perfis do IAM para entrega entre contas
<a name="flow-logs-kinesis-iam"></a>

Ao publicar no Kinesis Data Firehose, é possível escolher um fluxo de entrega que esteja na mesma conta que o recurso a ser monitorado (a conta de origem) ou em uma conta diferente (a conta de destino). Para permitir a entrega de logs de fluxo entre contas para o Firehose, é necessário criar um perfil do IAM na conta de origem e um perfil do IAM na conta de destino.

**Topics**
+ [Perfil da conta de origem](#flow-logs-kinesis-iam-role-source)
+ [Perfil da conta de destino](#flow-logs-kinesis-iam-role-destination)

### Perfil da conta de origem
<a name="flow-logs-kinesis-iam-role-source"></a>

Na conta de origem, crie um perfil que conceda as seguintes permissões. Neste exemplo, o nome do perfil é `mySourceRole`, mas é possível escolher um nome diferente para este perfil. A última instrução permite que o perfil na conta de destino assuma este perfil. As instruções de condição garantem que esse perfil seja passado somente para o serviço de entrega de logs e somente ao monitorar o recurso especificado. Ao criar sua política, especifique as VPCs interfaces de rede ou sub-redes que você está monitorando com a chave de condição. `iam:AssociatedResourceARN` 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::{{111122223333}}:role/mySourceRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "delivery.logs.amazonaws.com"
                },
                "StringLike": {
                    "iam:AssociatedResourceARN": [
                        "arn:aws:ec2:us-east-1:source-account:transit-gateway/tgw-0fb8421e2da853bf"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:GetLogDelivery"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::{{111122223333}}:role/AWSLogDeliveryFirehoseCrossAccountRole"
        }
    ]
}
```

------

Verifique se esse perfil tem a política de confiança a seguir, que permite que o serviço de entrega de logs assuma o perfil.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

### Perfil da conta de destino
<a name="flow-logs-kinesis-iam-role-destination"></a>

Na conta de destino, crie uma função com um nome que comece com **AWSLogDeliveryFirehoseCrossAccountRole**. Esse perfil deve conceder as seguintes permissões. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "iam:CreateServiceLinkedRole",
          "firehose:TagDeliveryStream"
      ],
      "Resource": "*"
    }
  ]
}
```

------

Certifique-se de que esse perfil tenha a seguinte política de confiança, que permite que este perfil seja assumido pelo perfil criado na conta de origem.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{{111122223333}}:role/mySourceRole"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------