Configuración de la autenticación de Amazon Cognito para paneles OpenSearch - OpenSearch Servicio Amazon

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de la autenticación de Amazon Cognito para paneles OpenSearch

Puede autenticar y proteger su instalación predeterminada de OpenSearch paneles de Amazon OpenSearch Service mediante Amazon Cognito. La autenticación de Amazon Cognito es opcional y solo está disponible para los dominios que utilizan Elasticsearch OpenSearch 5.1 o una versión posterior. Si no configura la autenticación de Amazon Cognito, puede seguir protegiendo Dashboards con una política de acceso basada en IP y un servidor proxy, una autenticación básica de HTTP o SAML.

Gran parte del proceso de autenticación se lleva a cabo en Amazon Cognito, pero en esta sección se ofrecen directrices y requisitos para configurar los recursos de Amazon Cognito para que funcionen OpenSearch con los dominios de servicio. Se aplican precios estándar a todos los recursos de Amazon Cognito.

sugerencia

La primera vez que configure un dominio para usar la autenticación de Amazon Cognito para los OpenSearch paneles, le recomendamos que utilice la consola. Los recursos de Amazon Cognito se pueden personalizar en gran medida y la consola puede ayudar a identificar y comprender las funciones importantes.

Requisitos previos

Antes de poder configurar la autenticación de Amazon Cognito para los OpenSearch paneles, debe cumplir varios requisitos previos. La consola OpenSearch de servicio ayuda a agilizar la creación de estos recursos, pero comprender el propósito de cada recurso ayuda a configurar y solucionar problemas. La autenticación de Amazon Cognito para Dashboards requiere los siguientes recursos:

  • Grupo de usuarios de Amazon Cognito

  • Grupo de identidades de Amazon Cognito

  • Rol de IAM que tiene la política de AmazonOpenSearchServiceCognitoAccess adjunta (CognitoAccessForAmazonOpenSearch)

nota

El grupo de usuarios y el grupo de identidades deben estar en la misma Región de AWS. Puede usar el mismo grupo de usuarios, grupo de identidades y rol de IAM para añadir la autenticación de Amazon Cognito para Dashboards a OpenSearch varios dominios de servicio. Para obtener más información, consulte Cuotas.

Acerca del grupo de usuarios

Los grupos de usuarios tiene dos características principales: crear y administrar un directorio de usuarios y permitir que los usuarios se inscriban e inicien sesión. Para obtener instrucciones sobre cómo crear un grupo de usuarios, consulte Introducción a los grupos de usuarios en la Guía para desarrolladores de Amazon Cognito.

Al crear un grupo de usuarios para usarlo con el OpenSearch Servicio, tenga en cuenta lo siguiente:

  • Su grupo de usuarios de Amazon Cognito debe tener un nombre de dominio. OpenSearch El servicio utiliza este nombre de dominio para redirigir a los usuarios a una página de inicio de sesión para acceder a los paneles. Aparte de un nombre de dominio, el grupo de usuarios no requiere ninguna configuración no predeterminada.

  • Debe especificar los atributos estándar necesarios del grupo como nombre, fecha de nacimiento, dirección de email y número de teléfono. No se pueden cambiar estos atributos después de crear el grupo de usuarios, por lo que debe elegir los que considere importantes en este momento.

  • Al crear el grupo de usuarios, elija si los usuarios pueden crear sus propias cuentas, el nivel mínimo de seguridad de la contraseña para las cuentas y si se va a habilitar la autenticación multifactor. Si tiene previsto utilizar un proveedor de identidades externo, estos ajustes no tienen importancia. Técnicamente puede habilitar el grupo de usuarios como un proveedor de identidades y habilitar un proveedor de identidades externo, pero la mayoría de las personas prefieren uno u otro.

El grupo de usuarios IDs adopta la forma deregion_ID. Si planea usar la AWS CLI o un AWS SDK para configurar el OpenSearch servicio, anote el ID.

Acerca del grupo de identidades

Los grupos de identidades permiten asignar funciones temporales con privilegios limitados a los usuarios después de que inicien sesión. Para obtener instrucciones sobre cómo crear un grupo de identidades, consulte la descripción general de la consola de grupos de identidades en la Guía para desarrolladores de Amazon Cognito. Al crear un grupo de identidades para usarlo con el OpenSearch servicio, tenga en cuenta lo siguiente:

  • Si utiliza la consola de Amazon Cognito, debe seleccionar la casilla de verificación Habilitar el acceso a identidades sin autenticar para crear el grupo de identidades. Tras crear el grupo de identidades y configurar el dominio del OpenSearch servicio, Amazon Cognito inhabilita este ajuste.

  • No es necesario agregar proveedores de identidades externos al grupo de identidades. Cuando configura el OpenSearch Servicio para usar la autenticación de Amazon Cognito, configura el grupo de identidades para que use el grupo de usuarios que acaba de crear.

  • Después de crear el grupo de identidades, debe elegir funciones de IAM autenticadas y sin autenticar. Estos roles especifican las políticas de acceso que los usuarios tienen antes y después de que inicien sesión. Si utiliza la consola de Amazon Cognito, puede crear estas funciones para usted. Una vez creado el rol autenticado, anote el ARN, que adopta la forma de arn:aws:iam::123456789012:role/Cognito_identitypoolnameAuth_Role.

El grupo de identidades IDs adopta la forma de. region:ID-ID-ID-ID-ID Si planea usar la AWS CLI o un AWS SDK para configurar el OpenSearch servicio, anote el ID.

Acerca del rol CognitoAccessForAmazonOpenSearch

OpenSearch El servicio necesita permisos para configurar los grupos de usuarios e identidades de Amazon Cognito y usarlos para la autenticación. Para elloAmazonOpenSearchServiceCognitoAccess, puede utilizar una política AWS gestionada. AmazonESCognitoAccesses una política antigua que se sustituyó por la que AmazonOpenSearchServiceCognitoAccess se cambió el nombre del servicio a Amazon OpenSearch Service. Ambas políticas proporcionan los permisos mínimos de Amazon Cognito necesarios para habilitar la autenticación de Amazon Cognito. Para obtener información detallada sobre la política, consulte AmazonOpenSearchServiceCognitoAccessla Guía de referencia de políticas AWS administradas.

Si utilizas la consola para crear o configurar tu dominio de OpenSearch servicio, esta crea un rol de IAM para ti y adjunta la AmazonOpenSearchServiceCognitoAccess política (o la AmazonESCognitoAccess política si es un dominio de Elasticsearch) al rol. El nombre predeterminado del rol es CognitoAccessForAmazonOpenSearch.

AmazonESCognitoAccessTanto la función como las políticas AmazonOpenSearchServiceCognitoAccess de permisos permiten al OpenSearch Servicio realizar las siguientes acciones en todos los grupos de identidades y usuarios:

  • Acción: cognito-idp:DescribeUserPool

  • Acción: cognito-idp:CreateUserPoolClient

  • Acción: cognito-idp:DeleteUserPoolClient

  • Acción: cognito-idp:UpdateUserPoolClient

  • Acción: cognito-idp:DescribeUserPoolClient

  • Acción: cognito-idp:AdminInitiateAuth

  • Acción: cognito-idp:AdminUserGlobalSignOut

  • Acción: cognito-idp:ListUserPoolClients

  • Acción: cognito-identity:DescribeIdentityPool

  • Acción: cognito-identity:SetIdentityPoolRoles

  • Acción: cognito-identity:GetIdentityPoolRoles

Si usa uno de ellos AWS SDKs, debe crear su propio rol, adjuntar la política y especificar el ARN de este rol al configurar su dominio de OpenSearch servicio. AWS CLI El rol debe tener la siguiente relación de confianza:

JSON
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "opensearchservice.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Para obtener instrucciones, consulte Crear un rol para delegar permisos a un AWS servicio y Agregar y eliminar permisos de identidad de IAM en la Guía del usuario de IAM.

Configuración de un dominio para utilizar la autenticación de Amazon Cognito

Tras completar los requisitos previos, puede configurar un dominio de OpenSearch servicio para usar Amazon Cognito for Dashboards.

nota

Amazon Cognito no está disponible en todos los dispositivos. Regiones de AWS Para obtener una lista de las regiones compatibles, consulte los puntos de enlace de servicio de Amazon Cognito. No necesita usar la misma región para Amazon Cognito que usa para OpenSearch el Servicio.

Configuración de la autenticación de Amazon Cognito (consola)

Como crea el CognitoAccessForAmazonOpenSearch rol para usted, la consola ofrece la experiencia de configuración más sencilla. Además de los permisos de OpenSearch servicio estándar, necesita el siguiente conjunto de permisos para usar la consola y crear un dominio que utilice la autenticación de Amazon Cognito para OpenSearch Dashboards.

JSON
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "cognito-identity:ListIdentityPools", "cognito-idp:ListUserPools", "iam:CreateRole", "iam:AttachRolePolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonOpenSearch" } ] }

Para obtener instrucciones sobre cómo agregar permisos a una identidad (usuario, grupo de usuarios o rol), consulteAdición de permisos de identidad de IAM (consola).

Si el CognitoAccessForAmazonOpenSearch ya existe, necesita menos permisos:

JSON
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "cognito-identity:ListIdentityPools", "cognito-idp:ListUserPools" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonOpenSearch" } ] }
Para configurar la autenticación de Amazon Cognito para Dashboards (consola)
  1. Abre la consola de Amazon OpenSearch Service en https://console.aws.amazon.com/aos/casa/.

  2. En Dominios, seleccione el dominio que desea configurar.

  3. Seleccione Acciones y Editar la configuración de seguridad.

  4. Seleccione Habilitar la autenticación de Amazon Cognito.

  5. En Región, seleccione la Región de AWS que contenga su grupo de usuarios y su grupo de identidades de Amazon Cognito.

  6. En Grupo de usuarios de Cognito, seleccione un grupo de usuarios o cree uno. Para obtener más información, consulte Acerca del grupo de usuarios.

  7. En Grupo de identidades de Cognito, seleccione un grupo de identidades o cree uno. Para obtener más información, consulte Acerca del grupo de identidades.

    nota

    Los enlaces Crear grupo de usuarios y Crear grupo de identidades dirigen a la consola de Amazon Cognito y requieren crear estos recursos de forma manual. El proceso no es automático. Para obtener más información, consulte Requisitos previos.

  8. Para INombre de rol de IAM, utilice el valor de CognitoAccessForAmazonOpenSearch predeterminado (recomendado) o ingrese un nombre nuevo. Para obtener más información, consulte Acerca del rol CognitoAccessForAmazonOpenSearch.

  9. Elija Save changes (Guardar cambios).

Después de que el dominio termine de procesarse, consulte Permitir el rol autenticado y Configuración de proveedores de identidades para conocer los pasos adicionales de configuración.

Configuración de la autenticación de Amazon Cognito (AWS CLI)

Utilice el --cognito-options parámetro para configurar su dominio OpenSearch de servicio. Los comandos create-domain y update-domain-config emplean la siguiente sintaxis:

--cognito-options Enabled=true,UserPoolId="user-pool-id",IdentityPoolId="identity-pool-id",RoleArn="arn:aws:iam::123456789012:role/CognitoAccessForAmazonOpenSearch"

Ejemplo

En el siguiente ejemplo se crea un dominio en la región us-east-1 que habilita la autenticación de Amazon Cognito para Dashboards mediante el rol CognitoAccessForAmazonOpenSearch y proporciona acceso al dominio a Cognito_Auth_Role:

aws opensearch create-domain --domain-name my-domain --region us-east-1 --access-policies '{ "Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS": ["arn:aws:iam::123456789012:role/Cognito_Auth_Role"]},"Action":"es:ESHttp*","Resource":"arn:aws:es:us-east-1:123456789012:domain/*" }]}' --engine-version "OpenSearch_1.0" --cluster-config InstanceType=m4.xlarge.search,InstanceCount=1 --ebs-options EBSEnabled=true,VolumeSize=10 --cognito-options Enabled=true,UserPoolId="us-east-1_123456789",IdentityPoolId="us-east-1:12345678-1234-1234-1234-123456789012",RoleArn="arn:aws:iam::123456789012:role/CognitoAccessForAmazonOpenSearch"

Después de que el dominio termine de procesarse, consulte Permitir el rol autenticado y Configuración de proveedores de identidades para conocer los pasos adicionales de configuración.

Configuración de la autenticación de Amazon Cognito ()AWS SDKs

Las AWS SDKs (excepto Android e iOS SDKs) admiten todas las operaciones que se definen en la referencia de la API de Amazon OpenSearch Service, incluido el CognitoOptions parámetro de las UpdateDomainConfig operaciones CreateDomain y. Para obtener más información sobre la instalación y el uso de AWS SDKs, consulte los kits de desarrollo de AWS software.

Después de que el dominio termine de procesarse, consulte Permitir el rol autenticado y Configuración de proveedores de identidades para conocer los pasos adicionales de configuración.

Permitir el rol autenticado

De forma predeterminada, el rol de IAM autenticado que configuró siguiendo las instrucciones que se indican en él Acerca del grupo de identidades no tiene los privilegios necesarios para acceder OpenSearch a los paneles. Debe proporcionar permisos adicionales al rol.

nota

Si configuró el control de acceso detallado y utiliza una política de acceso abierta o basada en IP, puede omitir este paso.

Puede incluir estos permisos en una política basada en la identidad, pero a menos que desee que los usuarios autenticados tengan acceso a todos los dominios del OpenSearch servicio, lo mejor es aplicar una política basada en recursos asociada a un único dominio.

Para el Principal, especifique el ARN del rol autenticado de Cognito que configuró con las pautas que figuran en Acerca del grupo de identidades.

JSON
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":[ "arn:aws:iam::123456789012:role/Cognito_identitypoolnameAuth_Role" ] }, "Action":[ "es:ESHttp*" ], "Resource":"arn:aws:es:region:123456789012:domain/domain-name/*" } ] }

Para obtener instrucciones sobre cómo agregar una política basada en recursos a un dominio de servicio, consulte. OpenSearch Configurar políticas de acceso

Configuración de proveedores de identidades

Al configurar un dominio para usar la autenticación de Amazon Cognito para los paneles, OpenSearch Service agrega un cliente de aplicación al grupo de usuarios y agrega el grupo de usuarios al grupo de identidades como proveedor de autenticación.

aviso

No cambie el nombre ni elimine el cliente de aplicación.

En función de cómo configure el grupo de usuarios, puede que necesite crear cuentas de usuarios de forma manual, o bien los usuarios podrían crear sus propias cuentas. Si estos ajustes son aceptables, no es necesario realizar más acciones. Sin embargo, muchas personas prefieren usar proveedores de identidades externos.

Para habilitar un proveedor de identidades SAML 2.0, debe proporcionar un documento de metadatos de SAML. Para habilitar proveedores de identidades sociales como Login with Amazon, Facebook y Google, debe disponer de un ID de aplicación y de la clave secreta de la aplicación de esos proveedores. Puede habilitar cualquier combinación de proveedores de identidades.

La forma más sencilla de configurar el grupo de usuarios consiste en utilizar la consola de Amazon Cognito. Para obtener instrucciones, consulte el inicio de sesión del grupo de usuarios con proveedores de identidad externos y la configuración específica de la aplicación con el cliente de la aplicación en la Guía para desarrolladores de Amazon Cognito.

(Opcional) Configuración de acceso pormenorizado

Es posible que haya observado que la configuración predeterminada del grupo de identidades asigna a todos los usuarios que inician sesión el mismo rol de IAM (Cognito_identitypoolAuth_Role), lo que significa que todos los usuarios pueden acceder a los mismos recursos. AWS Si desea utilizar el control de acceso detallado con Amazon Cognito, por ejemplo, si desea que los analistas de la organización tengan acceso de solo lectura a varios índices, pero que los desarrolladores tengan acceso de escritura a todos los índices, tiene dos opciones:

  • Cree grupos de usuarios y configure su proveedor de identidades de tal forma que elija el rol de IAM en función del token de autenticación del usuario (recomendado).

  • Configure su proveedor de identidades para que elija el rol de IAM en función de una o varias reglas.

Para obtener un tutorial que incluya el control de acceso detallado, consulte Tutorial: Configurar un dominio con un usuario maestro de IAM y la autenticación de Amazon Cognito.

importante

Al igual que sucede con el rol predeterminado, Amazon Cognito debe formar parte de la relación de confianza de cada rol adicional. Para obtener más información, consulte Creación de roles para la asignación de roles en la Guía para desarrolladores de Amazon Cognito.

Grupos de usuarios y tokens

Al crear un grupo de usuarios, elige un rol de IAM para los miembros del grupo. Para obtener información sobre la creación de grupos, consulte Añadir grupos a un grupo de usuarios en la Guía para desarrolladores de Amazon Cognito.

Después de crear uno o más grupos de usuarios, puede configurar su proveedor de autenticación para asignar a los usuarios las funciones de sus grupos en lugar del rol predeterminado del grupo de identidades. Seleccione Elegir rol a partir de un token, luego elija Utilizar rol autenticado predeterminado o DENEGAR para especificar de qué manera el grupo de identidades se encargará de los usuarios que no forman parte del grupo.

Reglas

Las reglas son básicamente una serie de instrucciones if que Amazon Cognito evalúa de forma secuencial. Por ejemplo, si una dirección de email del usuario contiene @corporate, Amazon Cognito asigna Role_A a ese usuario. Si la dirección de correo electrónico de un usuario contiene @subsidiary, asigna a ese usuario Role_B. De lo contrario, asigna al usuario el rol autenticado predeterminado.

Para obtener más información, consulte Uso del mapeo basado en reglas para asignar funciones a los usuarios en la Guía para desarrolladores de Amazon Cognito.

(Opcional) Personalización de la página de inicio de sesión

Puede usar la consola de Amazon Cognito para cargar un logotipo personalizado y realizar cambios de CSS en la página de inicio de sesión. Para obtener instrucciones y una lista completa de las propiedades de CSS, consulte Personalización de la marca de la interfaz de usuario alojada (clásica) en la Guía para desarrolladores de Amazon Cognito.

(Opcional) Configuración de seguridad avanzada

Los grupos de usuarios de Amazon Cognito admiten características de seguridad avanzadas como la autenticación multifactor, la verificación de credenciales comprometidas y la autenticación flexible. Para obtener más información, consulte Uso de las funciones de seguridad de los grupos de usuarios de Amazon Cognito en la Guía para desarrolladores de Amazon Cognito.

Testeo

Una vez que esté satisfecho con la configuración, verifique que la experiencia del usuario cumpla sus expectativas.

Para acceder a los paneles OpenSearch
  1. Vaya a https://opensearch-domain/_dashboards en un navegador Web. Para iniciar sesión directamente en un inquilino específico, agregue ?security_tenant=tenant-name a la URL.

  2. Inicie sesión con las credenciales que prefiera.

  3. Una vez que se carguen los OpenSearch paneles, configure al menos un patrón de índice. Dashboards utiliza estos patrones para identificar los índices que desea analizar. Escriba *, seleccione Siguiente paso y, a continuación, seleccione Crear patrón de índice.

  4. Para buscar datos o explorar en ellos, seleccione Detección.

Si cualquier paso de este proceso da error, consulte Problemas habituales de configuración para obtener información sobre resolución de problemas.

Cuotas

Amazon Cognito cuenta con límites flexibles en muchos de los recursos. Si desea habilitar la autenticación de Dashboards para un gran número de dominios de OpenSearch servicio, revise las cuotas en Amazon Cognito y solicite los aumentos del límite según sea necesario.

Cada dominio OpenSearch de servicio agrega un cliente de aplicación al grupo de usuarios, que agrega un proveedor de autenticación al grupo de identidades. Si habilita la autenticación de OpenSearch Dashboards para más de 10 dominios, es posible que se encuentre con el límite «máximo de proveedores de grupos de usuarios de Amazon Cognito por grupo de identidades». Si supera un límite, cualquier dominio de OpenSearch servicio que intente configurar para usar la autenticación de Amazon Cognito para los paneles puede quedar atrapado en un estado de configuración de Procesamiento.

Problemas habituales de configuración

En las tablas siguientes se muestran los problemas habituales de configuración y las soluciones.

Configuración del servicio OpenSearch
Problema Solución

OpenSearch Service can't create the role (consola)

No dispone de los permisos de IAM correctos. Añada los permisos especificados en Configuración de la autenticación de Amazon Cognito (consola).

User is not authorized to perform: iam:PassRole on resource CognitoAccessForAmazonOpenSearch (consola)

No tienes iam:PassRole permisos para el CognitoAccessForAmazonOpenSearchrol. Asocie la siguiente política a su cuenta:
JSON
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonOpenSearch" } ] }

Como alternativa, puede adjuntar la política IAMFullAccess.

User is not authorized to perform: cognito-identity:ListIdentityPools on resource

No tiene permisos de lectura para Amazon Cognito. Adjunte la política AmazonCognitoReadOnly a su cuenta.

An error occurred (ValidationException) when calling the CreateDomain operation: OpenSearch Service must be allowed to use the passed role

OpenSearch El servicio no está especificado en la relación de confianza del CognitoAccessForAmazonOpenSearch rol. Verifique si el rol utiliza la relación de confianza que se especifica en Acerca del rol CognitoAccessForAmazonOpenSearch. De manera alternativa, utilice la consola para configurar la autenticación de Amazon Cognito. La consola crea un rol para usted.

An error occurred (ValidationException) when calling the CreateDomain operation: User is not authorized to perform: cognito-idp:action on resource: user pool

El rol especificado en --cognito-options no cuenta con permisos para acceder a Amazon Cognito. Compruebe que el rol tenga la AmazonOpenSearchServiceCognitoAccess política AWS gestionada adjunta. De manera alternativa, utilice la consola para configurar la autenticación de Amazon Cognito. La consola crea un rol para usted.
An error occurred (ValidationException) when calling the CreateDomain operation: User pool does not exist

OpenSearch El servicio no encuentra el grupo de usuarios. Verifique que creó uno y que tiene el ID correcto. Para encontrar el ID, puede utilizar la consola de Amazon Cognito o el siguiente comando: AWS CLI

aws cognito-idp list-user-pools --max-results 60 --region region

An error occurred (ValidationException) when calling the CreateDomain operation: IdentityPool not found

OpenSearch El servicio no encuentra el grupo de identidades. Verifique que creó uno y que tiene el ID correcto. Para encontrar el ID, puede utilizar la consola de Amazon Cognito o el siguiente comando: AWS CLI

aws cognito-identity list-identity-pools --max-results 60 --region region

An error occurred (ValidationException) when calling the CreateDomain operation: Domain needs to be specified for user pool

El grupo de usuarios no tiene un nombre de dominio. Puede configurar uno con la consola de Amazon Cognito o el siguiente comando de la AWS CLI :
aws cognito-idp create-user-pool-domain --domain name --user-pool-id id
Acceso a OpenSearch los paneles
Problema Solución
La página de inicio de sesión no muestra mis proveedores de identidades preferidos.

Compruebe que ha activado el proveedor de identidad para el cliente de la aplicación de OpenSearch servicio, tal y como se especifica enConfiguración de proveedores de identidades.

La página de inicio de sesión no parece estar asociada a mi organización.

Consulte (Opcional) Personalización de la página de inicio de sesión.

Mis credenciales de inicio de sesión no funcionan.

Verifique que configuró el proveedor de identidades tal y como se especifica en Configuración de proveedores de identidades.

Si utiliza el grupo de usuarios como proveedor de identidades, verifique que la cuenta exista en la consola de Amazon Cognito.

OpenSearch Los paneles no se cargan en absoluto o no funcionan correctamente.

El rol autenticado de Amazon Cognito necesita permisos es:ESHttp* para el dominio (/*) a fin de obtener acceso y utilizar Dashboards. Verifique que agregó una política de acceso tal y como se especifica en Permitir el rol autenticado.

Al cerrar sesión en los OpenSearch paneles de control desde una pestaña, en las pestañas restantes aparece un mensaje que indica que se ha revocado el token de actualización.

Cuando cierra sesión en una sesión de OpenSearch Dashboards mientras utiliza la autenticación de Amazon Cognito OpenSearch , Service ejecuta AdminUserGlobalSignOutuna operación que cierra la sesión de todas las sesiones de Dashboards OpenSearch activas.

Invalid identity pool configuration. Check assigned IAM roles for this pool. Amazon Cognito no cuenta con permisos para asumir el rol de IAM en nombre del usuario autenticado. Modifique la relación de confianza para el rol de tal forma que incluya:
JSON
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Federated": "cognito-identity.amazonaws.com" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "cognito-identity.amazonaws.com:aud": "identity-pool-id" }, "ForAnyValue:StringLike": { "cognito-identity.amazonaws.com:amr": "authenticated" } } }] }
Token is not from a supported provider of this identity pool. Este error poco habitual se puede producir al eliminar el cliente de aplicación del grupo de usuarios. Intente abrir Dashboards en una nueva sesión del navegador.

Desactivación de la autenticación de Amazon Cognito para paneles OpenSearch

Utilice el siguiente procedimiento para deshabilitar la autenticación de Amazon Cognito para Dashboards.

Para deshabilitar la autenticación de Amazon Cognito para Dashboards (consola)
  1. Abre la consola OpenSearch de Amazon Service.

  2. En Dominios, seleccione el dominio que desea configurar.

  3. Seleccione Acciones y Editar la configuración de seguridad.

  4. Desactive Habilitar la autenticación de Amazon Cognito.

  5. Seleccione Guardar cambios.

importante

Si ya no necesita el grupo de usuarios y de identidades de Amazon Cognito, elimínelos. De lo contrario, seguirá incurriendo en costos.

Eliminar dominios que utilizan la autenticación de Amazon Cognito para los paneles OpenSearch

Para evitar que los dominios que utilizan la autenticación de Amazon Cognito para los paneles se atasquen en un estado de configuración de Procesamiento, elimine los dominios de OpenSearch servicio antes de eliminar sus grupos de usuarios e identidades de Amazon Cognito asociados.