Langkah 1: Otorisasi aplikasi Anda untuk mengirim data AWS - Amazon CloudWatch
Gunakan kolam identitas Amazon Cognito yang adaPenyedia pihak ketiga

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 1: Otorisasi aplikasi Anda untuk mengirim data AWS

Anda memiliki empat opsi untuk mengatur otentikasi data:

  • Gunakan Amazon Cognito dan biarkan CloudWatch RUM membuat kumpulan identitas Amazon Cognito baru untuk aplikasi. Metode ini membutuhkan usaha paling sedikit untuk mengatur.

    Kolam identitas akan berisi identitas yang tidak diautentikasi. Hal ini memungkinkan klien web CloudWatch RUM untuk mengirim data ke CloudWatch RUM tanpa mengautentikasi pengguna aplikasi.

    Kolam identitas Amazon Cognito memiliki peran IAM terlampir. Identitas Amazon Cognito yang tidak diautentikasi memungkinkan klien web untuk mengambil peran IAM yang berwenang untuk mengirim data ke RUM. CloudWatch

  • Gunakan Amazon Cognito untuk otentikasi. Jika Anda menggunakan ini, Anda dapat menggunakan kumpulan identitas Amazon Cognito yang ada atau membuat yang baru untuk digunakan dengan monitor aplikasi ini. Jika Anda menggunakan kumpulan identitas yang ada, Anda juga harus memodifikasi peran IAM yang dilampirkan ke kumpulan identitas. Gunakan opsi ini untuk kumpulan identitas yang mendukung pengguna yang tidak diautentikasi. Anda dapat menggunakan kumpulan identitas hanya dari Wilayah yang sama.

  • Gunakan autentikasi dari penyedia identitas yang sudah ada yang telah Anda atur. Dalam hal ini, Anda harus mendapatkan kredensial dari penyedia identitas dan aplikasi Anda harus meneruskan kredensial ini ke klien web RUM.

    Gunakan opsi ini untuk kumpulan identitas yang hanya mendukung pengguna yang diautentikasi.

  • Gunakan kebijakan berbasis sumber daya untuk mengelola akses ke monitor aplikasi Anda. Ini termasuk kemampuan untuk mengirim permintaan yang tidak diautentikasi ke CloudWatch RUM tanpa AWS kredensil. Untuk mempelajari lebih lanjut tentang kebijakan berbasis sumber daya dan RUM, lihatMenggunakan kebijakan berbasis sumber daya dengan RUM CloudWatch .

Bagian berikut mencakup detail lebih lanjut tentang opsi ini.

Gunakan kolam identitas Amazon Cognito yang ada

Jika Anda memilih untuk menggunakan kumpulan identitas Amazon Cognito, Anda menentukan kumpulan identitas saat menambahkan aplikasi ke CloudWatch RUM. Kolam harus mendukung pengaktifan ke identitas yang tidak diautentikasi. Anda dapat menggunakan kumpulan identitas hanya dari Wilayah yang sama.

Anda juga harus menambahkan izin berikut ke kebijakan IAM yang dilampirkan ke peran IAM yang terkait dengan kolam identitas ini.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:[region]:[accountid]:appmonitor/[app monitor name]"
        }
    ]
}

Amazon Cognito kemudian akan mengirim token keamanan yang diperlukan untuk memungkinkan aplikasi Anda mengakses CloudWatch RUM.

Penyedia pihak ketiga

Jika memilih untuk menggunakan autentikasi privat dari penyedia pihak ketiga, Anda harus mendapatkan kredensial dari penyedia identitas dan meneruskannya ke AWS. Cara terbaik untuk melakukannya adalah dengan menggunakan vendor token keamanan. Anda dapat menggunakan vendor token keamanan apa pun, termasuk Amazon Cognito dengan. AWS Security Token Service Untuk informasi selengkapnya AWS STS, lihat Selamat Datang di Referensi AWS Security Token Service API.

Jika Anda ingin menggunakan Amazon Cognito sebagai vendor token dalam skenario ini, Anda dapat mengonfigurasi Amazon Cognito agar berfungsi dengan penyedia autentikasi. Untuk informasi selengkapnya, silakan lihat Memulai Kolam Identitas Amazon Cognito (Gabungan Identitas).

Setelah mengonfigurasi Amazon Cognito untuk bekerja dengan penyedia identitas Anda, Anda juga perlu melakukan hal berikut ini:

  • Buat peran IAM dengan izin sebagai berikut. Aplikasi Anda akan menggunakan peran ini untuk mengakses AWS.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rum:PutRumEvents",
            "Resource": "arn:aws:rum:[region]:[accountID]:appmonitor/[app monitor name]"
        }
    ]
}

  • Tambahkan yang berikut ini ke aplikasi Anda agar dapat meneruskan kredensi dari penyedia Anda ke CloudWatch RUM. Masukkan baris sehingga berjalan setelah pengguna masuk ke aplikasi Anda dan aplikasi telah menerima kredensial yang akan digunakan untuk mengakses AWS.

    cwr('setAwsCredentials', {/* Credentials or CredentialProvider */});

Untuk informasi selengkapnya tentang penyedia kredensi di AWS JavaScript SDK, lihat Menyetel kredensional di browser web di panduan pengembang v3 untuk SDK for JavaScript, Menyetel kredensional di browser web di panduan pengembang v2 untuk SDK for, dan @aws -sdk/credential-providers. JavaScript

Anda juga dapat menggunakan SDK untuk klien web CloudWatch RUM untuk mengkonfigurasi metode otentikasi klien web. Untuk informasi selengkapnya tentang SDK klien web, lihat SDK klien web CloudWatch RUM.