Schritt 1: Autorisieren Sie Ihre Anwendung zum Senden von Daten an AWS - Amazon CloudWatch
CloudWatch RUMerstellt einen neuen Amazon Cognito Cognito-IdentitätspoolVerwenden Sie einen vorhandenen Amazon-Cognito-Identitätspool.Drittanbieter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 1: Autorisieren Sie Ihre Anwendung zum Senden von Daten an AWS

Um Ihre Anwendung verwenden zu können CloudWatch RUM, muss sie autorisiert sein.

Sie haben drei Möglichkeiten, die Autorisierung einzurichten:

  • Lassen Sie uns einen neuen Amazon Cognito Cognito-Identitätspool für die Anwendung CloudWatch RUM erstellen. Diese Methode erfordert den geringsten Aufwand für die Einrichtung. Dies ist die Standardoption.

    Der Identitätspool enthält eine nicht authentifizierte Identität. Auf diese Weise kann der CloudWatch RUM Webclient Daten an senden, CloudWatch RUM ohne den Benutzer der Anwendung zu authentifizieren.

    Dem Amazon Cognito Cognito-Identitätspool ist eine IAM Rolle zugewiesen. Die nicht authentifizierte Identität von Amazon Cognito ermöglicht es dem Webclient, die IAM Rolle zu übernehmen, an die Daten gesendet werden dürfen. CloudWatch RUM

  • Verwenden Sie einen vorhandenen Amazon-Cognito-Identitätspool. In diesem Fall müssen Sie auch die IAM Rolle ändern, die dem Identitätspool zugeordnet ist. Verwenden Sie diese Option für Identitätspools, die nicht authentifizierte Benutzer unterstützen. Sie können Identitätspools nur aus derselben Region verwenden.

  • Verwenden Sie die Authentifizierung von einem vorhandenen Identitätsanbieter, den Sie bereits eingerichtet haben. In diesem Fall müssen Sie Anmeldeinformationen vom Identitätsanbieter erhalten und Ihre Anwendung muss diese Anmeldeinformationen an den RUM Webclient weiterleiten.

    Verwenden Sie diese Option für Identitätspools, die nur authentifizierte Benutzer unterstützen.

In den folgenden Abschnitten werden diese Optionen ausführlich erörtert.

CloudWatch RUMerstellt einen neuen Amazon Cognito Cognito-Identitätspool

Dies ist die einfachste Option zum Einrichten. Wenn Sie diese auswählen, sind keine weiteren Einrichtungsschritte erforderlich. Sie benötigen Administratorrechte, um diese Option verwenden zu können. Weitere Informationen finden Sie unter IAMZu verwendende Richtlinien CloudWatch RUM.

Mit dieser Option werden die folgenden Ressourcen CloudWatch RUM erstellt:

  • Einen neuen Amazon-Cognito-Identitätspool

  • Eine nicht authentifizierte Amazon-Cognito-Identität. Dadurch kann der RUM Webclient eine IAM Rolle übernehmen, ohne den Benutzer der Anwendung zu authentifizieren.

  • Die IAM Rolle, die der RUM Webclient übernehmen wird. Die dieser Rolle zugeordnete IAM Richtlinie ermöglicht es ihr, die Ressource PutRumEvents API zusammen mit der App Monitor-Ressource zu verwenden. Mit anderen Worten, es ermöglicht dem RUM Webclient, Daten an zu sendenRUM.

Der RUM Webclient verwendet die Amazon Cognito Cognito-Identität, um AWS Anmeldeinformationen abzurufen. Die AWS Anmeldeinformationen sind der IAM Rolle zugeordnet. Die IAM Rolle ist zur Verwendung PutRumEvents mit der AppMonitor Ressource autorisiert.

Amazon Cognito sendet das erforderliche Sicherheitstoken, damit Ihre Anwendung Daten an CloudWatch RUM senden kann. Der JavaScript CloudWatch RUM generierte Codeausschnitt enthält die folgenden Zeilen, um die Authentifizierung zu aktivieren.


   {
    identityPoolId: [identity pool id],  // e.g., 'us-west-2:EXAMPLE4a-66f6-4114-902a-EXAMPLEbad7'
   }
);

Verwenden Sie einen vorhandenen Amazon-Cognito-Identitätspool.

Wenn Sie sich dafür entscheiden, einen vorhandenen Amazon Cognito Cognito-Identitätspool zu verwenden, geben Sie den Identitätspool an, wenn Sie die Anwendung hinzufügen CloudWatch RUM. Der Pool muss die Aktivierung des Zugriffs auf nicht authentifizierte Identitäten unterstützen. Sie können Identitätspools nur aus derselben Region verwenden.

Außerdem müssen Sie der IAM Richtlinie, die der IAM Rolle zugeordnet ist, die diesem Identitätspool zugeordnet ist, die folgenden Berechtigungen hinzufügen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:[region]:[accountid]:appmonitor/[app monitor name]"
        }
    ]
}

Amazon Cognito sendet dann das erforderliche Sicherheitstoken, damit Ihre Anwendung darauf zugreifen CloudWatch RUM kann.

Drittanbieter

Wenn Sie sich für die Nutzung einer privaten Authentifizierung von einem Drittanbieter entscheiden, müssen Sie Anmeldeinformationen vom Identitätsanbieter abrufen und an AWS weiterleiten. Am besten kann dies mit einem Sicherheits-Token-Anbieter durchgeführt werden. Sie können jeden Anbieter von Sicherheitstoken verwenden, einschließlich Amazon Cognito mit AWS Security Token Service. Weitere Informationen zu finden Sie AWS STS unter Willkommen bei der AWS Security Token Service API Referenz.

Wenn Sie Amazon Cognito in diesem Szenario als Token-Anbieter verwenden möchten, können Sie Amazon Cognito so konfigurieren, dass es mit einem Authentifizierungsanbieter zusammenarbeitet. Weitere Informationen erhalten Sie unter Erste Schritte mit Amazon-Cognito-Identitätenpools (Verbundidentitäten).

Nachdem Sie Amazon Cognito für die Zusammenarbeit mit Ihrem Identitätsanbieter konfiguriert haben, müssen Sie wie folgt vorgehen:

  • Erstellen Sie eine IAM Rolle mit den folgenden Berechtigungen. Ihre Anwendung verwendet diese Rolle für den Zugriff auf AWS.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:[region]:[accountID]:appmonitor/[app monitor name]"
        }
    ]
}

  • Fügen Sie Ihrer Anwendung Folgendes hinzu, damit sie die Anmeldeinformationen von Ihrem Anbieter weiterleitet CloudWatch RUM. Fügen Sie die Zeile so ein, dass sie ausgeführt wird, nachdem sich ein Benutzer bei Ihrer Anwendung angemeldet hat und die Anwendung die Anmeldeinformationen für den Zugriff auf AWS erhalten hat.

    cwr('setAwsCredentials', {/* Credentials or CredentialProvider */});

Weitere Informationen zu Anmeldeinformationsanbietern in der AWS JavaScript SDK finden Sie unter Einrichten von Anmeldeinformationen in einem Webbrowser im v3-Entwicklerhandbuch SDK für JavaScript, Einrichten von Anmeldeinformationen in einem Webbrowser im v2-Entwicklerhandbuch für SDK für JavaScript, und @aws -sdk/credentials.

Sie können auch den für den Webclient verwenden, um die Authentifizierungsmethoden SDK für den CloudWatch RUM Webclient zu konfigurieren. Weitere Informationen zum Webclient finden Sie SDK unter CloudWatch RUMWebclient SDK.