Passaggio 1: autorizzare la richiesta a inviare dati a AWS - Amazon CloudWatch
Utilizzare un pool di identità Amazon Cognito esistenteFornitore di terza parte

Passaggio 1: autorizzare la richiesta a inviare dati a AWS

Sono disponibili quattro opzioni per impostare l'autenticazione dei dati:

  • Utilizzare Amazon Cognito per consentire a CloudWatch RUM di creare un nuovo pool di identità Amazon Cognito per l'applicazione. Questo metodo richiede il minimo sforzo per la configurazione.

    Il pool di identità conterrà un'identità non autenticata. Ciò consente al client Web CloudWatch RUM di inviare dati a CloudWatch RUM senza autenticare l'utente dell'applicazione.

    Il pool di identità di Amazon Cognito ha un ruolo IAM associato. L'identità non autenticata di Amazon Cognito consente al client Web di assumere il ruolo IAM autorizzato a inviare dati a CloudWatch RUM.

  • Utilizzare Amazon Cognito per l'autenticazione. In questo modo, puoi impiegare un pool di identità di Amazon Cognito esistente o crearne uno nuovo da utilizzare con questo monitor dell'app. Se utilizzi un pool di identità esistente, è anche necessario modificare il ruolo IAM associato al pool di identità. Utilizza questa opzione per i pool di identità che supportano utenti non autenticati. Puoi utilizzare i pool di identità solo dalla stessa Regione.

  • Utilizzare l'autenticazione da un provider di identità esistente già configurato. In questo caso, è necessario ottenere le credenziali dal provider di identità e l'applicazione deve inoltrare queste credenziali al client Web RUM.

    Utilizza questa opzione per i pool di identità che supportano solo utenti autenticati.

  • Utilizzare le policy basate su risorse per gestire l'accesso al monitor dell'app. Ciò include la possibilità di inviare richieste non autenticate a CloudWatch RUM senza credenziali AWS. Per ulteriori informazioni sulle policy basate su risorse e RUM, consulta Utilizzo di policy basate sulle risorse con CloudWatch RUM.

Le seguenti sezioni includono maggiori dettagli su queste opzioni.

Utilizzare un pool di identità Amazon Cognito esistente

Se si sceglie di utilizzare un pool di identità Amazon Cognito, specificare il pool di identità quando si aggiunge l'applicazione a CloudWatch RUM. Il pool deve supportare l'abilitazione dell'accesso a identità non autenticate. Puoi utilizzare i pool di identità solo dalla stessa Regione.

È inoltre necessario aggiungere le seguenti autorizzazioni alla policy IAM associata al ruolo IAM associato a questo pool di identità.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        { 
            "Effect": "Allow",
            "Action": [
                "rum:PutRumEvents"
            ],
            "Resource": "arn:aws:rum:us-east-1:123456789012:appmonitor/app monitor name" 
        }
    ]
}

Amazon Cognito invierà quindi il token di sicurezza necessario per consentire all'applicazione di accedere a CloudWatch RUM.

Fornitore di terza parte

Se si sceglie l'autenticazione privata da un provider di terze parti, è necessario ottenere le credenziali dal provider di identità e inoltrarle a AWS. Il modo migliore per eseguire questa operazione è possibile utilizzare un fornitore di token di sicurezza. È possibile utilizzare qualsiasi fornitore di token di sicurezza, incluso Amazon Cognito con AWS Security Token Service. Per ulteriori informazioni su AWS STS, consulta Benvenuto alla guida di riferimento alle API di AWS Security Token Service

Se si desidera utilizzare Amazon Cognito come fornitore di token in questo scenario, è possibile configurare Amazon Cognito in modo che funzioni con un provider di autenticazione. Per maggiori informazioni, consulta Nozioni di base sui pool di identità di Amazon Cognito (identità federate)

Dopo aver configurato Amazon Cognito per lavorare con il proprio provider di identità, è necessario anche fare quanto segue:

  • Creare un ruolo IAM con le seguenti autorizzazioni. L'applicazione utilizzerà questo ruolo per accedere a AWS.

    JSON
    { 
 "Version":"2012-10-17",		 	 	 
 "Statement": [ 
   { 
     "Effect": "Allow",
     "Action": "rum:PutRumEvents",
     "Resource": "arn:aws:rum:us-east-2:123456789012:appmonitor/AppMonitorName"
   }
 ]
}

  • Aggiungere quanto segue alla propria applicazione per far passare le credenziali dal proprio provider a CloudWatch RUM. Inserire la riga in modo che venga eseguita dopo che un utente ha effettuato l'accesso all'applicazione e l'applicazione ha ricevuto le credenziali da utilizzare per accedere a AWS.

    cwr('setAwsCredentials', {/* Credentials or CredentialProvider */});

Per ulteriori informazioni sui fornitori di credenziali nella SDK JavaScript di AWS, consulta Impostazione delle credenziali in un browser Web nella guida per sviluppatori v3 per SDK per JavaScript, Impostazione delle credenziali in un browser Web nella guida per sviluppatori v2 per SDK per JavaScript, e @aws -sdk/fornitori di credenziali.

È inoltre possibile utilizzare l'SDK per il client Web CloudWatch RUM per configurare i metodi di autenticazione del client Web. Per ulteriori informazioni sull'SDK del client Web, consulta SDK client Web CloudWatch RUM.