Erstellen der IAM-Rolle für CloudWatch Logs - Amazon Cognito

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen der IAM-Rolle für CloudWatch Logs

Wenn Sie die Amazon-Cognito-CLI oder -API verwenden, müssen Sie eine CloudWatch-IAM-Rolle erstellen. Im Folgenden wird beschrieben, wie Sie eine IAM-Rolle erstellen, mit der Amazon Cognito die Ergebnisse Ihres Importauftrags in CloudWatch Logs schreiben kann.

Anmerkung

Wenn Sie einen Importauftrag in der Amazon-Cognito-Konsole erstellen, können Sie gleichzeitig die IAM-Rolle erstellen. Wenn Sie Create a new IAM role (Neue IAM-Rolle erstellen) auswählen, wendet Amazon Cognito automatisch die entsprechende Vertrauensrichtlinie und IAM-Richtlinie auf die Rolle an.

So erstellen Sie die IAM-Rolle für CloudWatch Logs, mit der Sie den Benutzerpool importieren (AWS CLI, API)

  1. Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Erstellen Sie eine neue IAM-Rolle für einen AWS-Service. Detaillierte Anweisungen finden Sie unter Erstellen einer Rolle für einen AWS-Service im Benutzerhandbuch zu AWS Identity and Access Management.

    1. Bei der Auswahl von Use case (Anwendungsfall) für Trusted entity type (Typ der vertrauenswürdigen Entität) können Sie einen beliebigen Service wählen. Amazon Cognito ist derzeit nicht in der Liste der Anwendungsfälle für Services aufgeführt.

    2. Wählen Sie im Bildschirm Add permissions (Berechtigungen hinzufügen) die Option Create policy (Richtlinie erstellen) aus und fügen Sie die folgende Richtlinienanweisung ein. Ersetzen Sie REGION durch die AWS-Region Ihres Benutzerpools, z. B. us-east-1. Ersetzen Sie ACCOUNT durch Ihre AWS-Konto-ID, z. B. 111122223333.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:REGION:ACCOUNT:log-group:/aws/cognito/*"
            ]
        }
    ]    
}

  3. Da Sie Amazon Cognito während der Erstellung der Rolle nicht als vertrauenswürdige Entität ausgewählt haben, müssen Sie die Vertrauensstellung der Rolle jetzt manuell bearbeiten. Klicken Sie im Navigationsbereich der IAM-Konsole auf Roles (Rollen) und wählen Sie dann die neu erstellte Rolle aus.

  4. Wählen Sie die Registerkarte Trust relationships (Vertrauensstellungen).

  5. Wählen Sie Edit trust policy (Vertrauensrichtlinie bearbeiten) aus.

  6. Fügen Sie die folgende Richtlinienanweisung in das Feld Edit trust policy (Vertrauensrichtlinie bearbeiten) ein und ersetzen Sie dabei den vorhandenen Text: 

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Principal": {
                    "Service": "cognito-idp.amazonaws.com"
                },
                "Action": "sts:AssumeRole"
            }
        ]
    }

  7. Wählen Sie Update policy.

  8. Notieren Sie den Rollen-ARN. Sie geben den ARN ein, wenn Sie den Importauftrag erstellen.