Confiança entre o CloudWatch e o Firehose
O fluxo de entrega do Firehose deve confiar no CloudWatch por meio de um perfil do IAM que tenha permissões de gravação no Firehose. Essas permissões podem ser limitadas ao único fluxo de entrega do Firehose usado pelo fluxo de métricas do CloudWatch. A função do IAM deve confiar no serviço principal streams.metrics.cloudwatch.amazonaws.com
.
Se usar o console do CloudWatch para criar um fluxo de métricas, você poderá fazer com que o CloudWatch crie a função com as permissões corretas. Caso use outro método para criar um fluxo de métricas ou queira criar a própria função do IAM, ele deverá conter a seguinte política de permissões e política de confiança.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "firehose:PutRecord", "firehose:PutRecordBatch" ], "Effect": "Allow", "Resource": "arn:aws:firehose:
region
:account-id:deliverystream/*" } ] }
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "streams.metrics.cloudwatch.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Os dados de métrica são transmitidos pelo CloudWatch ao fluxo de entrega do Firehose de destino em nome da origem que contém o recurso de fluxo de métricas.