本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 从控制台中创建新的 IAM 角色
<a name="console-managed-iam-create-new-roles"></a>

或者，您也可以使用 Firehose 控制台来代表您创建新的角色。

当 Firehose 代表您创建 IAM 角色时，该角色会自动包含基于 Firehose 流配置授予所需权限的所有权限和信任策略。

例如，如果您没有启用**使用 AWS Lambda转换源记录**功能，则控制台会在权限策略中生成以下语句。

```
{
  "Sid": "lambdaProcessing",
  "Effect": "Allow",
   "Action": [
     "lambda:InvokeFunction",
     "lambda:GetFunctionConfiguration"
   ],
   "Resource": "arn:aws:lambda:us-east-1123456789012:function:%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%"
}
```

**注意**  
可以放心地忽略包含 `%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%` 的策略声明，因为它们不授予对任何资源的权限。

控制台创建和编辑 Firehose 流工作流程，也会创建信任策略并将其附加到 IAM 角色。此信任策略允许 Firehose 承担 IAM 角色。以下是信任策略的示例。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	  
    "Statement": [{
        "Sid": "firehoseAssume",
        "Effect": "Allow",
        "Principal": {
            "Service": "firehose.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }]
}
```

------

**重要**  
您应避免为多个 Firehose 流使用相同的控制台托管 IAM 角色。否则，IAM 角色可能会变得权限过于宽松或导致错误。
要在控制台托管的 IAM 角色的权限策略中使用不同的策略声明，您可以创建自己的 IAM 角色，并将策略声明复制到新角色所附加的权限策略中。要将角色附加到 Firehose 流，请在**服务访问权限**中选择**选择现有 IAM 角色**选项。
控制台管理其 ARN 中包含字符串 *service-role* 的 IAM 角色。选择现有 IAM 角色选项时，请务必选择一个 ARN 中没有 *service-role* 字符串的 IAM 角色，这样控制台就不会对其进行任何更改。

## 从控制台中创建 IAM 角色的步骤
<a name="console-manage-iam-roles-create-stream"></a>

1. 打开 Firehose 控制台，网址为。[https://console.aws.amazon.com/firehose/](https://console.aws.amazon.com/firehose/)

1. 选择**创建 Firehose 流**。

1. 选择源和目的地。有关更多信息，请参阅 [教程：从控制台创建 Firehose 流](basic-create.md)。

1. 选择目的地设置。有关更多信息，请参阅 [配置目的地设置](create-destination.md)。

1. 在[**高级设置**](create-configure-advanced.md)下，针对**服务访问权限**，选择**创建或更新 IAM 角色**。
**注意**  
这是默认选项。要使用现有角色，请选择**选择现有 IAM 角色**选项。Firehose 控制台不会对您自己的角色进行任何更改。

1. 选择**创建 Firehose 流**。