# Rol de IAM para publicar registros de flujo en CloudWatch Logs
El rol de IAM asociado con el registro de flujo debe tener permisos suficientes para publicar registros de flujo en el grupo de registro especificado en CloudWatch Logs. El rol de IAM debe pertenecer a la cuenta de AWS.
La política de IAM asociada al rol de IAM debe incluir al menos los siguientes permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
}
```
------
Asegúrese de que el rol posee la siguiente política de confianza, la cual permite al servicio de registros de flujo asumir ese rol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Le recomendamos que utilice las claves de condición `aws:SourceAccount` y `aws:SourceArn` para protegerse contra el [problema del suplente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Por ejemplo, podría agregar el siguiente bloque de condición a la política de confianza anterior. La cuenta fuente es la propietaria del registro de flujo y el ARN fuente es el ARN del registro de flujo. Si no conoce el ID del registro de flujo, puede reemplazar esa parte del ARN por un comodín (\$1) y, a continuación, actualizar la política después de crear el registro de flujo.
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}
```
## Crear un rol de IAM para registros de flujo
Se puede actualizar un rol existente tal como se ha descrito anteriormente. También puede emplear el siguiente procedimiento para crear un nuevo rol y usarlo con los registros de flujo. Especificará esta función al crear el registro de flujo.
**Para crear un rol de IAM para registros de flujo**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Políticas**.
1. Elija **Create Policy** (Crear política).
1. En la página **Create policy (Crear política)**, haga lo siguiente:
1. Elija **JSON**.
1. Reemplace el contenido de esta ventana por la política de permisos que aparece al principio de esta sección.
1. Elija **Siguiente**.
1. Introduzca un nombre para su política y una descripción y etiquetas opcionales y, a continuación, elija **Create policy** (Crear política).
1. Seleccione **Roles** en el panel de navegación.
1. Elija **Creación de rol**.
1. En **Trusted entity type** (Tipo de entidad de confianza), elija **Custom trust policy** (Política de confianza personalizada). En **Custom trust policy** (Política de confianza personalizada), reemplace `"Principal": {},` con lo siguiente y luego elija **Next** (Siguiente).
```
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
```
1. En la página **Add permissions** (Agregar permisos), seleccione la casilla de verificación de la política que creó anteriormente en este procedimiento y luego elija **Next** (Siguiente).
1. Ingrese un nombre para el rol y, opcionalmente, especifique una descripción.
1. Elija **Create role (Crear rol)**.