Schritt 1: Autorisieren Sie Ihre Anwendung zum Senden von Daten an AWS - Amazon CloudWatch
Verwenden Sie einen vorhandenen Amazon-Cognito-Identitätspool.Drittanbieter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 1: Autorisieren Sie Ihre Anwendung zum Senden von Daten an AWS

Sie haben vier Möglichkeiten, die Datenauthentifizierung einzurichten:

  • Verwenden Sie Amazon Cognito und lassen Sie CloudWatch RUM einen neuen Amazon Cognito Cognito-Identitätspool für die Anwendung erstellen. Diese Methode erfordert den geringsten Aufwand für die Einrichtung.

    Der Identitätspool enthält eine nicht authentifizierte Identität. Auf diese Weise kann der CloudWatch RUM-Webclient Daten an CloudWatch RUM senden, ohne den Benutzer der Anwendung zu authentifizieren.

    Der Amazon-Cognito-Identitätspool hat eine angehängte IAM-Rolle. Die nicht authentifizierte Identität von Amazon Cognito ermöglicht es dem Webclient, die IAM-Rolle zu übernehmen, die berechtigt ist, Daten an RUM zu senden. CloudWatch

  • Verwenden Sie Amazon Cognito für die Authentifizierung. Wenn Sie dies verwenden, können Sie einen vorhandenen Amazon Cognito Cognito-Identitätspool verwenden oder einen neuen erstellen, um ihn mit diesem App-Monitor zu verwenden. Wenn Sie einen vorhandenen Identitätspool verwenden, müssen Sie auch die IAM-Rolle ändern, die dem Identitätspool zugeordnet ist. Verwenden Sie diese Option für Identitätspools, die nicht authentifizierte Benutzer unterstützen. Sie können Identitätspools nur aus derselben Region verwenden.

  • Verwenden Sie die Authentifizierung von einem vorhandenen Identitätsanbieter, den Sie bereits eingerichtet haben. In diesem Fall müssen Sie Anmeldeinformationen vom Identitätsanbieter abrufen, und Ihre Anwendung muss diese Anmeldeinformationen an den RUM-Webclient weiterleiten.

    Verwenden Sie diese Option für Identitätspools, die nur authentifizierte Benutzer unterstützen.

  • Verwenden Sie ressourcenbasierte Richtlinien, um den Zugriff auf Ihren App Monitor zu verwalten. Dies beinhaltet die Möglichkeit, nicht authentifizierte Anfragen ohne Anmeldeinformationen an RUM zu CloudWatch senden. AWS Weitere Informationen zu ressourcenbasierten Richtlinien und RUM finden Sie unter. Verwendung ressourcenbasierter Richtlinien mit RUM CloudWatch

In den folgenden Abschnitten werden diese Optionen ausführlich erörtert.

Verwenden Sie einen vorhandenen Amazon-Cognito-Identitätspool.

Wenn Sie sich für die Verwendung eines Amazon Cognito Cognito-Identitätspools entscheiden, geben Sie den Identitätspool an, wenn Sie die Anwendung zu CloudWatch RUM hinzufügen. Der Pool muss die Aktivierung des Zugriffs auf nicht authentifizierte Identitäten unterstützen. Sie können Identitätspools nur aus derselben Region verwenden.

Sie müssen auch die folgenden Berechtigungen zur IAM-Richtlinie hinzufügen, die an die IAM-Rolle angehängt ist, die mit diesem Identitätspool verknüpft ist.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:[region]:[accountid]:appmonitor/[app monitor name]"
        }
    ]
}

Amazon Cognito sendet dann das erforderliche Sicherheitstoken, damit Ihre Anwendung auf CloudWatch RUM zugreifen kann.

Drittanbieter

Wenn Sie sich für die Nutzung einer privaten Authentifizierung von einem Drittanbieter entscheiden, müssen Sie Anmeldeinformationen vom Identitätsanbieter abrufen und an AWS weiterleiten. Am besten kann dies mit einem Sicherheits-Token-Anbieter durchgeführt werden. Sie können jeden Anbieter von Sicherheitstoken verwenden, einschließlich Amazon Cognito mit AWS Security Token Service. Weitere Informationen zu finden Sie AWS STS unter Willkommen bei der AWS Security Token Service API-Referenz.

Wenn Sie Amazon Cognito in diesem Szenario als Token-Anbieter verwenden möchten, können Sie Amazon Cognito so konfigurieren, dass es mit einem Authentifizierungsanbieter zusammenarbeitet. Weitere Informationen erhalten Sie unter Erste Schritte mit Amazon-Cognito-Identitätenpools (Verbundidentitäten).

Nachdem Sie Amazon Cognito für die Zusammenarbeit mit Ihrem Identitätsanbieter konfiguriert haben, müssen Sie wie folgt vorgehen:

  • Erstellen Sie eine IAM-Rolle mit den folgenden Berechtigungen. Ihre Anwendung verwendet diese Rolle für den Zugriff auf AWS.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:[region]:[accountID]:appmonitor/[app monitor name]"
        }
    ]
}

  • Fügen Sie Ihrer Anwendung Folgendes hinzu, damit sie die Anmeldeinformationen von Ihrem Anbieter an CloudWatch RUM weiterleitet. Fügen Sie die Zeile so ein, dass sie ausgeführt wird, nachdem sich ein Benutzer bei Ihrer Anwendung angemeldet hat und die Anwendung die Anmeldeinformationen für den Zugriff auf AWS erhalten hat.

    cwr('setAwsCredentials', {/* Credentials or CredentialProvider */});

Weitere Informationen zu Anmeldeinformationsanbietern im AWS JavaScript SDK finden Sie unter Einrichten von Anmeldeinformationen in einem Webbrowser im v3-Entwicklerhandbuch für SDK for JavaScript, Einrichten von Anmeldeinformationen in einem Webbrowser im v2-Entwicklerhandbuch für SDK for JavaScript, und @aws -sdk/credentials al-providers.

Sie können auch das SDK für den CloudWatch RUM-Webclient verwenden, um die Webclient-Authentifizierungsmethoden zu konfigurieren. Weitere Informationen zum Webclient-SDK finden Sie unter CloudWatch RUM-Webclient-SDK.