Você pode querer garantir que sua política do IAM tenha "vpc-flow-logs.amazonaws.com" definida como uma entidade confiável. Você pode verificar (e definir) a entidade de confiança usando o AWS Management Console na seção IAM / Roles e pesquisando seu nome de função do IAM.