# 配置代理的权限
<a name="CloudWatch-NetworkFlowMonitor-agents-ec2-permissions"></a>

要启用代理向 Network Flow Monitor 摄取后端发送指标，有代理在其中运行的 EC2 实例所用的角色必须有附加了正确权限的策略。要提供所需的权限，请使用附加了以下 AWS 托管策略的角色：[CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)。将此策略附加到您计划安装 Network Flow Monitor 代理的 EC2 实例的 IAM 角色。

我们建议您在 EC2 实例上安装代理之前添加权限。您可以在完成代理安装之前选择等待，但是在正确附加权限之前，代理将无法向服务发送指标。

**为 Network Flow Monitor 代理添加权限**

1. 在 AWS 管理控制台的 Amazon EC2 控制台中，找到您计划在其上安装 Network Flow Monitor 代理的 EC2 实例。

1. 将 [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) 策略附加到各个实例的 IAM 角色。

   如果实例未附加 IAM 角色，请执行以下操作来选择角色：

   1. 在**操作**下，选择**安全**。

   1. 选择**修改 IAM 角色**，或者通过选择**创建新 IAM 角色**来创建新角色。

   1. 为实例选择角色，然后附加 [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) 策略。