本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立 CloudWatch Logs IAM 角色
如果您是使用 Amazon Cognito CLI 或 API,則您需要建立 CloudWatch IAM 角色。下列程序說明如何建立 IAM 角色,讓 Amazon Cognito 可用來將匯入工作的結果寫入 CloudWatch Logs。
注意
在 Amazon Cognito 主控台中建立匯入工作時,可以同時建立 IAM 角色。當您選擇 Create a new IAM role (建立新的 IAM 角色) 時,Amazon Cognito 會自動將適當的信任政策和 IAM 政策套用至該角色。
建立 CloudWatch Logs IAM 角色以進行使用者集區匯入 (AWS CLI、API)
登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/
的 IAM 主控台。 -
建立 AWS 服務 的新 IAM 角色。如需進一步說明,請參閱 AWS Identity and Access Management 使用者指南中的為 AWS 服務 建立角色。
-
當您為 Trusted entity type (信任的實體類型) 選取使用案例時,請選擇任何服務。Amazon Cognito 目前未列在服務使用案例中。
-
在 Add permissions (新增許可) 畫面中,選擇 Create policy (建立政策),然後插入下列政策陳述式。將
REGION
(區域) 取代為您使用者集區的 AWS 區域,例如us-east-1
。使用您的 AWS 帳戶 ID 取代ACCOUNT
,例如111122223333
。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:
REGION
:ACCOUNT
:log-group:/aws/cognito/*" ] } ] }
-
-
由於您在建立角色時並未選擇 Amazon Cognito 做為受信任的實體,您現在必須手動編輯角色的信任關係。在 IAM 主控台的導覽窗格中,選擇 Roles (角色),然後選擇建立的新角色。
-
選擇 Trust Relationships (信任關係) 標籤。
-
選擇 Edit trust policy (編輯信任政策)。
-
將下列政策陳述式貼到 Edit trust policy (編輯信任政策) 中,取代任何現有的文字:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cognito-idp.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
選擇 Update policy (更新政策)。
-
請記下角色 ARN。當您建立匯入工作時,將需要提供此 ARN。