# Perfil do IAM para publicar logs de fluxo no CloudWatch Logs
A função do IAM associada ao log de fluxo deve ter permissões suficientes para publicar logs de fluxo para o grupo de logs especificado no CloudWatch Logs. A função do IAM deve pertencer à sua conta da AWS.
A política do IAM anexada à sua função do IAM deve incluir pelo menos as permissões a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
}
```
------
Verifique se a sua função tem a política de confiança a seguir, que permite que o serviço de logs de fluxo assuma a função.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Recomendamos o uso das chaves de condição `aws:SourceAccount` e `aws:SourceArn` para se proteger contra [O problema do agente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Por exemplo, você poderia adicionar o bloco de condições a seguir na política de confiança anterior. A conta de origem é o proprietário do log de fluxo e o ARN de origem é o ARN do log de fluxo. Se você não souber o ID do log de fluxos, poderá substituir essa parte do ARN por um caractere curinga (\$1) e, em seguida, atualizar a política depois de criar o log de fluxos.
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}
```
## Criar um perfil do IAM para logs de fluxo
Você pode atualizar um perfil existente conforme descrito acima. Como alternativa, você pode usar o seguinte procedimento para criar um novo perfil para usar com os logs de fluxo. Você especificará esse perfil ao criar o log de fluxo.
**Como criar um perfil do IAM para logs de fluxos**
1. Abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Policies**.
1. Selecione **Criar política**.
1. Na página **Create policy (Criar política)** faça o seguinte:
1. Escolha **JSON**.
1. Substitua o conteúdo dessa janela pela política de permissões no início desta seção.
1. Escolha **Próximo**.
1. Insira um nome e uma descrição e tags opcionais para a política e escolha **Criar política**.
1. No painel de navegação, escolha **Perfis**.
1. Escolha **Criar Perfil**.
1. Em **Trusted entity type** (Tipo de entidade confiável), escolha **Custom trust policy** (Política de confiança personalizada). Em **Custom trust policy** (Política de confiança personalizada), substitua `"Principal": {},` pelo seguinte e escolha **Next** (Próximo).
```
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
```
1. Na página **Add permissions** (Adicionar permissões), marque a caixa de seleção correspondente à política que você criou anteriormente neste procedimento e, em seguida, escolha **Next** (Próximo).
1. Insira um nome para a função e, opcionalmente, uma descrição.
1. Selecione **Create role**.