Criar o perfil do IAM do CloudWatch Logs - Amazon Cognito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar o perfil do IAM do CloudWatch Logs

Se você estiver usando a CLI ou a API do Amazon Cognito, precisará criar uma função do IAM do CloudWatch. O procedimento a seguir descreve como criar um perfil do IAM que o Amazon Cognito possa usar para gravar os resultados do trabalho de importação no CloudWatch Logs.

nota

Ao criar um trabalho de importação no console do Amazon Cognito, você pode criar o perfil do IAM ao mesmo tempo. Quando você seleciona Create a new IAM role (Criar um perfil do IAM), o Amazon Cognito aplica automaticamente a política de confiança e a política do IAM apropriadas ao perfil.

Como criar o perfil do IAM do CloudWatch Logs para importação do grupo de usuários (AWS CLI, API)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Criar um perfil do IAM para um AWS service (Serviço da AWS). Para obter instruções detalhadas, consulte Creating a role for an AWS service (Serviço da AWS) (Criar um perfil para um AWS service (Serviço da AWS)) no Guia do usuário do AWS Identity and Access Management.

    1. Ao selecionar um Use case (Caso de uso) para o Trusted entity type (Tipo de entidade confiável), escolha qualquer serviço. Atualmente, o Amazon Cognito não está listado nos casos de uso de serviço.

    2. Na tela Add permissions (Adicionar permissões), escolha Create policy (Criar política) e insira a instrução de política a seguir. Substitua REGION pela Região da AWS do seu grupo de usuários, por exemplo us-east-1. Substitua ACCOUNT pelo ID da sua Conta da AWS, por exemplo 111122223333.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:REGION:ACCOUNT:log-group:/aws/cognito/*"
            ]
        }
    ]    
}

  3. Como você não escolheu o Amazon Cognito como entidade confiável ao criar o perfil, agora é necessário editar manualmente a relação de confiança do perfil. No painel de navegação do console do IAM, selecione Roles (Perfis) e escolha o perfil criado.

  4. Selecione a guia Trust relationships (Relações de confiança).

  5. Escolha Edit trust policy (Editar política de confiança).

  6. Cole a seguinte instrução de política em Edit trust policy (Editar política de confiança), substituindo qualquer texto existente: 

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Principal": {
                    "Service": "cognito-idp.amazonaws.com"
                },
                "Action": "sts:AssumeRole"
            }
        ]
    }

  7. Escolha Update policy.

  8. Anote o Nome de região da Amazon (ARN) da função. Forneça o ARN ao criar o trabalho de importação.