Journalisation d’activités supplémentaires à partir des groupes d’utilisateurs Amazon Cognito - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Journalisation d’activités supplémentaires à partir des groupes d’utilisateurs Amazon Cognito

Vous pouvez configurer votre groupe d'utilisateurs pour envoyer des journaux détaillés de certaines activités supplémentaires à un groupe de CloudWatch journaux. Ces journaux sont d'une granularité plus fine que ceux contenus dans AWS CloudTrail le fichier et peuvent être utiles pour résoudre les problèmes de votre groupe d'utilisateurs. Lorsque vous activez cette fonctionnalité, vous pouvez choisir le groupe de journaux auquel vous souhaitez qu’Amazon Cognito envoie les journaux. La journalisation des activités des utilisateurs est utile lorsque vous souhaitez connaître l’état des e-mails et des SMS envoyés par votre groupe d’utilisateurs via Amazon SNS et Amazon SES.

Actuellement, vous pouvez uniquement livrer les journaux de notification utilisateur au niveau de l’erreur provenant de votre groupe d’utilisateurs.

La journalisation détaillée ne remplace ni ne modifie les fonctions de journalisation suivantes des groupes d’utilisateurs.

  1. CloudTrail journaux des activités courantes des utilisateurs, telles que l'inscription et la connexion.

  2. Analyse de l'activité des utilisateurs à grande échelle à l'aide de CloudWatch métriques.

Séparément, vous pouvez également trouver les journaux des tâches d'importation des utilisateurs et des déclencheurs Lambda dans CloudWatch Logs. Amazon Cognito et Lambda stockent ces journaux dans des groupes de journaux différents de ceux que vous avez définis pour les journaux d’activité détaillés.

Vous pouvez configurer des journaux d'activité détaillés avec l'API des groupes d'utilisateurs Amazon Cognito dans une demande d'SetLogDeliveryConfigurationAPI. Vous pouvez consulter la configuration de journalisation d'un groupe d'utilisateurs dans une demande d'GetLogDeliveryConfigurationAPI.

Vous devez autoriser ces demandes avec des AWS informations d'identification disposant des autorisations suivantes.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageUserPoolLogs", "Action": [ "cognito-idp:SetLogDeliveryConfiguration", "cognito-idp:GetLogDeliveryConfiguration", ], "Resource": [ "*" ], "Effect": "Allow" }, { "Sid": "CognitoLog", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Sid": "CognitoLoggingCWL", "Action": [ "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": [ "*" ], "Effect": "Allow" } ] }

Voici un exemple d’événement dans un groupe d’utilisateurs. Ce schéma de journal est soumis à modification. Certains champs peuvent être consignés avec des valeurs nulles.

{ "eventTimestamp": "1687297330677", "eventSource": "USER_NOTIFICATION", "logLevel": "ERROR", "message": { "details": "String" }, "logSourceId": { "userPoolId": "String" } }

L’envoi des journaux depuis Amazon Cognito est la meilleure solution. Le volume de journaux fourni par votre groupe d'utilisateurs et vos quotas de service pour les CloudWatch journaux peuvent avoir une incidence sur la diffusion des journaux.

CloudWatch Les frais de journalisation s'appliquent lorsque la livraison des journaux est activée. Pour plus d'informations, consultez la section Vended Logs sur Amazon CloudWatch Pricing.

Pour envoyer des journaux à des groupes de journaux dont la taille de la politique de ressources est supérieure à 5 120 caractères, configurez un groupe de journaux avec un chemin commençant par /aws/vendedlogs. Pour plus d'informations, consultez la section Activation de la journalisation à partir de certains AWS services.