メニュー
Amazon Cognito
開発者ガイド

CloudWatch Logs IAM ロールの作成

Amazon Cognito CLI または API を使用している場合、CloudWatch IAM ロールを作成する必要があります。次の手順は、Amazon Cognito を有効にし、CloudWatch Logs にユーザープールのインポートジョブについての情報を記録する方法を説明します。

注記

コンソールがロールを作成するので、Amazon Cognito コンソールを使用している場合は、この手順を使用する必要はありません。

ユーザープールのインポートの CloudWatch Logs IAM ロールを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. [Roles] を選択します。

  3. [Create New Role] を選択します。

  4. ロール名を入力し、[Next Step] を選択します。

  5. [Select Role Type] で、[Amazon EC2] を選択します。任意のロールタイプを選択できます。後の手順でこの設定を変更します。これは、IAM ロールをゼロから作成できないためです。既存の IAM ロールをテンプレートとして使用し、必要なロールを作成して上書きすることのみできます。

  6. [Attach Policy] で、[Next Step] を選択します。

  7. [Review] で、[Create Role] を選択します。

  8. [Roles] で、作成したロールを選択します。

  9. [Summary] で、[Permissions] を選択します。

  10. [Permissions] タブで、[Inline Policies]、[click here] の順に選択します。

  11. [Set Permissions] ページで、[custom policy] を選択し、次に [select] をクリックします。

  12. [Review Policy] で、ポリシー名(スペースなし)を入力し、ロールアクセスポリシーとして以下のテキストをコピーして貼り付けて、既存のテキストと置き換えます。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:REGION:ACCOUNT:log-group:/aws/cognito/*" ] } ] }
  13. [Apply Policy] を選択します。

  14. [Summary] で、[Trust Relationships] タブを選択します。

  15. [Edit Trust Relationship] を選択します。

  16. 信頼関係のテキストを [Policy Document] テキストボックスにコピーして貼り付けて、既存のテキストと置き換えます。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cognito-idp.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  17. [Update Trust Policy] を選択します。ロールの作成はこれで完了です。

  18. ロール ARN をメモします。インポートジョブを作成する場合、後で必要になります。