本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 從主控台建立新的 IAM 角色
<a name="console-managed-iam-create-new-roles"></a>

或者，您也可以使用 Firehose 主控台代表您建立新的角色。

當 Firehose 代表您建立 IAM 角色時，該角色會自動包含根據 Firehose 串流組態授予所需許可的所有許可和信任政策。

例如，如果您未啟用**具有 功能的轉換來源記錄 AWS Lambda**，則主控台會在 許可政策中產生下列陳述式。

```
{
  "Sid": "lambdaProcessing",
  "Effect": "Allow",
   "Action": [
     "lambda:InvokeFunction",
     "lambda:GetFunctionConfiguration"
   ],
   "Resource": "arn:aws:lambda:us-east-1123456789012:function:%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%"
}
```

**注意**  
您可以忽略包含 的政策陳述式，`%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%`因為它們不會授予任何資源的許可。

主控台建立和編輯 Firehose 串流工作流程也會建立信任政策，並將其連接到 IAM 角色。信任政策允許 Firehose 擔任 IAM 角色。以下是信任政策的範例。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	  
    "Statement": [{
        "Sid": "firehoseAssume",
        "Effect": "Allow",
        "Principal": {
            "Service": "firehose.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }]
}
```

------

**重要**  
您應該避免對多個 Firehose 串流使用相同的主控台受管 IAM 角色。否則，IAM 角色可能會過於寬鬆或導致錯誤。
若要從主控台管理的 IAM 角色使用許可政策中的不同政策陳述式，您可以建立自己的 IAM 角色，並將政策陳述式複製到連接到新角色的許可政策。若要將角色連接至 Firehose 串流，請在**服務存取**中選取**選擇現有的 IAM 角色**選項。
主控台會管理在其 ARN 中包含字串*服務角色*的任何 IAM 角色。當您選擇現有的 IAM 角色選項時，請務必選取在其 ARN 中沒有*服務角色*字串的 IAM 角色，讓主控台不會對其進行任何變更。

## 從主控台建立 IAM 角色的步驟
<a name="console-manage-iam-roles-create-stream"></a>

1. 開啟位於 [https://console.aws.amazon.com/firehose/](https://console.aws.amazon.com/firehose/) 的 Firehose 主控台。

1. 選擇**建立 Firehose 串流**。

1. 選擇來源和目的地。如需詳細資訊，請參閱[教學課程：從主控台建立 Firehose 串流](basic-create.md)。

1. 選擇目的地設定。如需詳細資訊，請參閱[設定目的地設定](create-destination.md)。

1. 在[**進階設定**](create-configure-advanced.md)下，針對**服務存取**，選擇**建立或更新 IAM 角色**。
**注意**  
這是預設選項。若要使用現有角色，請選取**選擇現有 IAM 角色**選項。Firehose 主控台不會對您自己的角色進行任何變更。

1. 選擇**建立 Firehose 串流**。