Amazon Cognito
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

创建 CloudWatch Logs IAM 角色

如果您使用的是 Amazon Cognito CLI 或 API,则您需要创建一个 CloudWatch IAM 角色。以下过程介绍了如何使 Amazon Cognito 在 CloudWatch Logs 中记录有关用户池导入任务的信息。

注意

如果您使用的是 Amazon Cognito 控制台,则您不需要使用此过程,因为控制台会为您创建该角色。

为用户池导入创建 CloudWatch Logs IAM 角色的步骤

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 选择 Roles

  3. 选择 Create New Role

  4. 键入角色名称,然后选择 Next Step

  5. Select Role Type 中,选择 Amazon EC2。您可以选择任何角色类型;您将在后面的步骤中更改此设置。这是因为您不能从头开始创建 IAM 角色;您只能使用现有 IAM 角色作为模板并覆盖它,才能创建所需的角色。

  6. Attach Policy 中,选择 Next Step

  7. Review 中,选择 Create Role

  8. Roles 中,选择您刚创建的角色。

  9. Summary 中,选择 Permissions

  10. Permissions 选项卡上,选择 Inline Policies,然后选择 click here

  11. Set Permissions 中,选择 custom policy,然后选择 select

  12. Review Policy 中,键入策略名称 (中间没有空格),复制以下文本并将其粘贴为角色访问策略,从而替换所有现有文本:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:REGION:ACCOUNT:log-group:/aws/cognito/*" ] } ] }
  13. 选择 Apply Policy

  14. Summary 中,选择 Trust Relationships 选项卡。

  15. 选择 Edit Trust Relationship

  16. 复制以下信任关系文本并将其粘贴到 Policy Document 文本框中,从而替换所有现有文本:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cognito-idp.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  17. 选择 Update Trust Policy。现在,您已完成角色的创建。

  18. 记下角色 ARN。在稍后创建导入任务时,您将需要此信息。