Amazon Cognito
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

创建 CloudWatch LogsIAM 角色

如果您使用的是 Amazon Cognito CLI 或 API,则您需要创建一个 CloudWatch IAM 角色。以下过程介绍了如何使 Amazon Cognito 在 CloudWatch Logs 中记录有关用户池导入任务的信息。

注意

如果您使用的是 Amazon Cognito 控制台,则您不需要使用此过程,因为控制台会为您创建该角色。

为用户池导入创建 CloudWatch Logs IAM 角色的步骤

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 选择 Roles

  3. 选择 Create New Role

  4. 键入角色名称,然后选择下一步

  5. 选择角色类型中,选择 Amazon EC2。您可以选择任何角色类型;您将在后面的步骤中更改此设置。这是因为您不能从头开始创建 IAM 角色;您只能使用现有 IAM 角色作为模板并覆盖它,才能创建所需的角色。

  6. Attach Policy 中,选择 Next Step

  7. 审核中,选择创建角色

  8. 角色中,选择您刚创建的角色。

  9. 摘要中,选择权限

  10. 权限选项卡上,选择内联策略,然后选择单击此处

  11. 设置权限中,选择自定义策略,然后选择选择

  12. 查看策略中,键入策略名称(中间没有空格),复制以下文本并将其粘贴为角色访问策略,从而替换所有现有文本:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:REGION:ACCOUNT:log-group:/aws/cognito/*" ] } ] }
  13. 选择 Apply Policy

  14. 摘要中,选择信任关系选项卡。

  15. 选择编辑信任关系

  16. 复制以下信任关系文本并将其粘贴到策略文档文本框中,从而替换所有现有文本:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cognito-idp.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  17. 选择 Update Trust Policy。现在,您已完成角色的创建。

  18. 记下角色 ARN。在稍后创建导入任务时,您将需要此信息。