Creación del rol de IAM de CloudWatch Logs - Amazon Cognito

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación del rol de IAM de CloudWatch Logs

Si utiliza la CLI o la API de Amazon Cognito, tiene que crear un rol de IAM para CloudWatch. En el procedimiento siguiente se describe cómo crear un rol de IAM que Amazon Cognito pueda utilizar para escribir los resultados de su trabajo de importación en CloudWatch Logs.

nota

Al crear un trabajo de importación en la consola de Amazon Cognito, puede crear el rol de IAM al mismo tiempo. Cuando elige Create a new IAM role (Crear un nuevo rol de IAM), Amazon Cognito aplica automáticamente la política de confianza y la política de IAM adecuadas al rol.

Para crear el rol de IAM de CloudWatch Logs para la importación de grupos de usuarios (AWS CLI, API)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Cree un nuevo rol de IAM para un Servicio de AWS. Para obtener instrucciones detalladas, consulte Creación de un rol para un Servicio de AWS en la Guía del usuario de AWS Identity and Access Management.

    1. Al seleccionar Use case (Caso de uso) para Trusted entity type (Tipo de entidad de confianza), elija cualquier servicio. Amazon Cognito no aparece actualmente en la lista de casos de uso del servicio.

    2. En la pantalla Add permissions (Agregar permisos), elija Create policy (Crear política) e inserte la siguiente declaración de política. Reemplace REGION por la Región de AWS de su grupo de usuarios, por ejemplo, us-east-1. Reemplace ACCOUNT por su ID de Cuenta de AWS, por ejemplo, 111122223333.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:REGION:ACCOUNT:log-group:/aws/cognito/*"
            ]
        }
    ]    
}

  3. Como no ha elegido Amazon Cognito como entidad de confianza al crear el rol, ahora debe editar manualmente la relación de confianza del rol. Elija Roles en el panel de navegación de la consola de IAM y, a continuación, elija el nuevo rol que ha creado.

  4. Seleccione la pestaña Trust Relationships (Relaciones de confianza).

  5. Elija Edit trust policy (Editar la política de confianza).

  6. Pegue la siguiente declaración de política en Edit trust policy (Editar política de confianza) y reemplace cualquier texto existente: 

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Principal": {
                    "Service": "cognito-idp.amazonaws.com"
                },
                "Action": "sts:AssumeRole"
            }
        ]
    }

  7. Elija Update policy.

  8. Apunte el ARN del rol. Proporcionará el ARN cuando cree su trabajo de importación.