Amazon Cognito
開発者ガイド

CloudWatch Logs IAM ロールの作成

Amazon Cognito CLI または API を使用している場合、CloudWatch IAM ロールを作成する必要があります。次の手順は、Amazon Cognito を有効にし、CloudWatch Logs にユーザープールのインポートジョブについての情報を記録する方法を説明します。

注記

コンソールがロールを作成するので、Amazon Cognito コンソールを使用している場合は、この手順を使用する必要はありません。

ユーザープールのインポートの CloudWatch Logs IAM ロールを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. [Roles] を選択します。

  3. [Create New Role] を選択します。

  4. ロール名を入力し、[次のステップ] を選択します。

  5. [ロールタイプの選択] で、[Amazon EC2] を選択します。任意のロールタイプを選択できます。後の手順でこの設定を変更します。これは、IAM ロールをゼロから作成できないためです。既存の IAM ロールをテンプレートとして使用し、必要なロールを作成して上書きすることのみできます。

  6. [Attach Policy] で、[Next Step] を選択します。

  7. [Review (確認)] で、[ロールの作成] を選択します。

  8. [ロール] で、作成したロールを選択します。

  9. [概要] で、[アクセス許可] を選択します。

  10. [アクセス許可] タブで、[インラインポリシー]、[ここをクリックしてください] の順に選択します。

  11. [アクセス許可を設定する] ページで、[カスタムポリシー] を選択し、次に [選択] をクリックします。

  12. [ポリシーの確認] で、ポリシー名(スペースなし)を入力し、ロールアクセスポリシーとして以下のテキストをコピーして貼り付けて、既存のテキストと置き換えます。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:REGION:ACCOUNT:log-group:/aws/cognito/*" ] } ] }
  13. [Apply Policy] を選択します。

  14. [概要] で、[信頼関係] タブを選択します。

  15. [信頼関係の編集] を選択します。

  16. 信頼関係のテキストを [ポリシードキュメント] テキストボックスにコピーして貼り付けて、既存のテキストと置き換えます。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cognito-idp.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  17. [Update Trust Policy] を選択します。ロールの作成はこれで完了です。

  18. ロール ARN をメモします。インポートジョブを作成する場合、後で必要になります。