建立 CloudWatch Logs IAM 角色

如果您是使用 Amazon Cognito CLI 或 API，則您需要建立 CloudWatch IAM 角色。下列程序說明如何建立 IAM 角色，讓 Amazon Cognito 可用來將匯入工作的結果寫入 CloudWatch Logs。

注意

在 Amazon Cognito 主控台中建立匯入工作時，可以同時建立 IAM 角色。當您選擇 Create a new IAM role (建立新的 IAM 角色) 時，Amazon Cognito 會自動將適當的信任政策和 IAM 政策套用至該角色。

建立 CloudWatch Logs IAM 角色以進行使用者集區匯入 (AWS CLI、API)

1. 登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

2. 建立 AWS 服務 的新 IAM 角色。如需進一步說明，請參閱 AWS Identity and Access Management 使用者指南中的為 AWS 服務 建立角色。

   1. 當您為 Trusted entity type (信任的實體類型) 選取使用案例時，請選擇任何服務。Amazon Cognito 目前未列在服務使用案例中。

   2. 在 Add permissions (新增許可) 畫面中，選擇 Create policy (建立政策)，然後插入下列政策陳述式。將 REGION (區域) 取代為您使用者集區的 AWS 區域，例如 us-east-1。使用您的 AWS 帳戶 ID 取代 ACCOUNT，例如 111122223333。

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "logs:CreateLogGroup",
                      "logs:CreateLogStream",
                      "logs:DescribeLogStreams",
                      "logs:PutLogEvents"
                  ],
                  "Resource": [
                      "arn:aws:logs:REGION:ACCOUNT:log-group:/aws/cognito/*"
                  ]
              }
          ]    
      }

3. 由於您在建立角色時並未選擇 Amazon Cognito 做為受信任的實體，您現在必須手動編輯角色的信任關係。在 IAM 主控台的導覽窗格中，選擇 Roles (角色)，然後選擇建立的新角色。

4. 選擇 Trust Relationships (信任關係) 標籤。

5. 選擇 Edit trust policy (編輯信任政策)。

6. 將下列政策陳述式貼到 Edit trust policy (編輯信任政策) 中，取代任何現有的文字：

   {
           "Version": "2012-10-17",
           "Statement": [
               {
                   "Effect": "Allow",
                   "Principal": {
                       "Service": "cognito-idp.amazonaws.com"
                   },
                   "Action": "sts:AssumeRole"
               }
           ]
       }

7. 選擇 Update policy (更新政策)。

8. 請記下角色 ARN。當您建立匯入工作時，將需要提供此 ARN。