本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建 CloudWatch Logs IAM 角色
如果您使用的是 Amazon Cognito CLI 或 API,则需要创建一个 CloudWatch IAM 角色。以下过程描述了如何创建 IAM 角色,Amazon Cognito 可以使用该角色将导入作业的结果写入 CloudWatch Logs。
注意
在 Amazon Cognito 控制台中创建导入作业时,您可以同时创建 IAM 角色。当您选择 Create a new IAM role(创建新 IAM 角色)时,Amazon Cognito 会自动对该角色应用相应的信任策略和 IAM policy。
为用户群体导入创建 CloudWatch Logs IAM 角色(Amazon CLI、API)
登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
为 Amazon Web Service 创建新 IAM 角色。有关详细说明,请参阅《Amazon Identity and Access Management 用户指南》中的为 Amazon Web Service 创建一个角色。
-
当您为 Trusted entity type(可信实体类型)选择 Use case(使用案例)时,请选择任意服务。Amazon Cognito 目前未在服务使用案例中列出。
-
在 Add permissions(添加权限)屏幕中,选择 Create policy(创建策略)并插入以下策略声明。将
REGION替换为您用户群体的 Amazon Web Services 区域,例如us-east-1。将ACCOUNT替换为您的 Amazon Web Services 账户 ID,例如111122223333。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:REGION:ACCOUNT:log-group:/aws/cognito/*" ] } ] }
-
-
由于您在创建角色时没有选择 Amazon Cognito 作为可信实体,因此您现在必须手动编辑该角色的信任关系。在 IAM 控制台的导航窗格中选择 Roles(角色),然后选择您创建的新角色。
-
选择 Trust relationships (信任关系) 选项卡。
-
选择 Edit trust policy(编辑信任策略)。
-
将以下策略声明粘贴到 Edit trust policy(编辑信任策略)中,替换任何现有文本:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cognito-idp.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
选择 Update policy(更新策略)。
-
记下角色 ARN。您在创建导入作业时需要此 ARN。