Configurazione dell'autenticazione Amazon Cognito per dashboard OpenSearch - OpenSearch Servizio Amazon
PrerequisitiConfigurazione di un dominio per l'uso dell'autenticazione Amazon CognitoConcessione del ruolo autenticatoConfigurazione dei provider di identità(Facoltativo) Configurazione dell'accesso granulare(Facoltativo) Personalizzazione della pagina di accesso(Facoltativo) Configurazione della sicurezza avanzataTest in corsoQuoteProblemi di configurazione comuniDisattivazione dell'autenticazione Amazon Cognito per dashboard OpenSearch Eliminazione di domini che utilizzano l'autenticazione Amazon Cognito per dashboard OpenSearch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell'autenticazione Amazon Cognito per dashboard OpenSearch

Puoi autenticare e proteggere l'installazione predefinita di OpenSearch dashboard di Amazon OpenSearch Service utilizzando Amazon Cognito. L'autenticazione Amazon Cognito è facoltativa e disponibile solo per i domini che utilizzano Elasticsearch 5.1 OpenSearch o versione successiva. Se non si configura l'autenticazione Amazon Cognito, è comunque possibile proteggere Dashboards usando una policy di accesso basata su IP e un server proxy, autenticazione di base HTTP o SAML.

Gran parte del processo di autenticazione avviene in Amazon Cognito, ma questa sezione offre linee guida e requisiti per configurare le risorse di Amazon Cognito in modo che funzionino con i domini di servizio. OpenSearch A tutte le risorse Amazon Cognito si applicano i prezzi standard.

Suggerimento

La prima volta che configuri un dominio per utilizzare l'autenticazione Amazon Cognito per le OpenSearch dashboard, ti consigliamo di utilizzare la console. Le risorse Amazon Cognito sono estremamente personalizzabili e la console può aiutare a identificare e comprendere le funzionalità importanti più adatte al proprio caso specifico.

Prerequisiti

Prima di poter configurare l'autenticazione Amazon Cognito per le OpenSearch dashboard, devi soddisfare diversi prerequisiti. La console OpenSearch di servizio aiuta a semplificare la creazione di queste risorse, ma la comprensione dello scopo di ciascuna risorsa aiuta nella configurazione e nella risoluzione dei problemi. L'autenticazione Amazon Cognito per Dashboards richiede le risorse seguenti:

  • Bacino d'utenza di Amazon Cognito

  • Pool di identità di Amazon Cognito

  • Ruolo IAM a cui è collegata la policy AmazonOpenSearchServiceCognitoAccess (CognitoAccessForAmazonOpenSearch)

Nota

Il bacino d'utenza e il pool di identità devono trovarsi nella stessa Regione AWS. Puoi utilizzare lo stesso pool di utenti, pool di identità e ruolo IAM per aggiungere l'autenticazione Amazon Cognito per dashboard a più OpenSearch domini di servizio. Per ulteriori informazioni, consulta Quote.

Informazioni sul bacino d'utenza

I pool di utenti hanno due caratteristiche principali: creano e gestiscono una directory di utenti e permettono agli utenti di registrarsi e accedere. Per istruzioni su come creare un pool di utenti, consulta la Guida introduttiva ai pool di utenti nella Amazon Cognito Developer Guide.

Quando crei un pool di utenti da utilizzare con OpenSearch Service, considera quanto segue:

  • Il tuo pool di utenti Amazon Cognito deve avere un nome di dominio. OpenSearch Il servizio utilizza questo nome di dominio per reindirizzare gli utenti a una pagina di accesso per accedere alle dashboard. Oltre a un nome di dominio, il pool di utenti non richiede altre configurazioni non predefinite.

  • È necessario specificare gli attributi standard obbligatori del pool, ovvero attributi come nome, data di nascita, indirizzo e-mail e numero di telefono. Poiché non puoi modificare questi attributi dopo che crei il pool di utenti, scegli quelli più importanti a questo punto.

  • Durante la creazione del pool di utenti, scegli se gli utenti possono creare i propri account, la complessità minima delle password per gli account e se abilitare l'autenticazione a più fattori. Se prevedi di usare un provider di identità esterno, queste impostazioni non si escludono a vicenda. Tecnicamente, puoi abilitare il pool di utenti come provider di identità e abilitare un provider di identità esterno, ma la maggior parte degli utenti preferisce scegliere solo uno dei due approcci.

Il pool di utenti IDs assume la forma di. region_ID Se prevedi di utilizzare la AWS CLI o un AWS SDK per configurare il OpenSearch servizio, prendi nota dell'ID.

Informazioni sul pool di identità

I pool di identità permettono di assegnare ruoli temporanei con privilegi limitati agli utenti dopo che questi accedono. Per istruzioni sulla creazione di un pool di identità, consulta la panoramica della console dei pool di identità nella Amazon Cognito Developer Guide. Quando crei un pool di identità da utilizzare con OpenSearch Service, considera quanto segue:

  • Se si utilizza la console Amazon Cognito, è necessario selezionare la casella di controllo Consenti l'accesso a identità non autenticate per creare il pool di identità. Dopo aver creato il pool di identità e configurato il dominio del OpenSearch servizio, Amazon Cognito disabilita questa impostazione.

  • Non devi aggiungere provider di identità esterni al pool di identità. Quando configuri OpenSearch Service per utilizzare l'autenticazione Amazon Cognito, configura il pool di identità per utilizzare il pool di utenti che hai appena creato.

  • Dopo aver creato il pool di identità, devi scegliere i ruoli IAM non autenticati e autenticati. Questi ruoli specificano le policy d'accesso associate agli utenti prima e dopo l'accesso. Se si utilizza la console Amazon Cognito, questa può creare i ruoli per conto dell'utente. Dopo aver creato il ruolo autenticato, annota l'ARN, che usa il formato arn:aws:iam::123456789012:role/Cognito_identitypoolnameAuth_Role.

Il pool di identità IDs assume la forma di. region:ID-ID-ID-ID-ID Se prevedi di utilizzare la AWS CLI o un AWS SDK per configurare il OpenSearch servizio, prendi nota dell'ID.

Informazioni sul ruolo CognitoAccessForAmazonOpenSearch

OpenSearch Il servizio richiede le autorizzazioni per configurare i pool di utenti e identità di Amazon Cognito e utilizzarli per l'autenticazione. È possibile utilizzareAmazonOpenSearchServiceCognitoAccess, che è una politica AWS gestita, per questo scopo. AmazonESCognitoAccessè una politica precedente che è stata sostituita da AmazonOpenSearchServiceCognitoAccess quando il servizio è stato rinominato Amazon OpenSearch Service. Entrambe le policy forniscono le autorizzazioni minime di Amazon Cognito necessarie per abilitare l'autenticazione Amazon Cognito. Per i dettagli sulle politiche, consulta AmazonOpenSearchServiceCognitoAccessla AWS Managed Policy Reference Guide.

Se utilizzi la console per creare o configurare il tuo dominio di OpenSearch servizio, questa crea per te un ruolo IAM e allega la AmazonOpenSearchServiceCognitoAccess policy (o la AmazonESCognitoAccess policy se si tratta di un dominio Elasticsearch) al ruolo. Il nome predefinito per questo ruolo è CognitoAccessForAmazonOpenSearch.

AmazonESCognitoAccessEntrambe le politiche AmazonOpenSearchServiceCognitoAccess relative alle autorizzazioni dei ruoli consentono a OpenSearch Service di completare le seguenti azioni su tutti i pool di identità e utenti:

  • Operazione: cognito-idp:DescribeUserPool

  • Operazione: cognito-idp:CreateUserPoolClient

  • Operazione: cognito-idp:DeleteUserPoolClient

  • Operazione: cognito-idp:UpdateUserPoolClient

  • Operazione: cognito-idp:DescribeUserPoolClient

  • Operazione: cognito-idp:AdminInitiateAuth

  • Operazione: cognito-idp:AdminUserGlobalSignOut

  • Operazione: cognito-idp:ListUserPoolClients

  • Operazione: cognito-identity:DescribeIdentityPool

  • Operazione: cognito-identity:SetIdentityPoolRoles

  • Operazione: cognito-identity:GetIdentityPoolRoles

Se si utilizza il AWS CLI o uno dei ruoli AWS SDKs, è necessario creare il proprio ruolo, allegare la policy e specificare l'ARN per questo ruolo quando si configura il dominio di OpenSearch servizio. Il ruolo deve avere la relazione di trust seguente:

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "opensearchservice.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Per istruzioni, consulta Creare un ruolo per delegare le autorizzazioni a un AWS servizio e Aggiungere e rimuovere i permessi di identità IAM nella Guida per l'utente IAM.

Configurazione di un dominio per l'uso dell'autenticazione Amazon Cognito

Dopo aver completato i prerequisiti, puoi configurare un dominio di OpenSearch servizio per utilizzare Amazon Cognito for Dashboards.

Nota

Amazon Cognito non è disponibile in tutti i casi. Regioni AWS Per un elenco delle regioni supportate, consulta Endpoint di servizio per Amazon Cognito. Non è necessario utilizzare la stessa regione per Amazon Cognito utilizzata per OpenSearch Service.

Configurazione dell'autenticazione Amazon Cognito (console)

Poiché crea il CognitoAccessForAmazonOpenSearch ruolo per te, la console offre l'esperienza di configurazione più semplice. Oltre alle autorizzazioni standard del OpenSearch Servizio, è necessario il seguente set di autorizzazioni per utilizzare la console per creare un dominio che utilizza l'autenticazione Amazon Cognito per le dashboard. OpenSearch

JSON
{
  "Version": "2012-10-17",
  "Statement": [{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeVpcs",
        "cognito-identity:ListIdentityPools",
        "cognito-idp:ListUserPools",
        "iam:CreateRole",
        "iam:AttachRolePolicy"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonOpenSearch"
    }
  ]
}

Per istruzioni per aggiungere autorizzazioni per un'identità (utente, gruppo di utenti o ruolo), consulta Aggiunta di autorizzazioni per identità IAM (console).

Se CognitoAccessForAmazonOpenSearch esiste già, è necessario un numero minore di autorizzazioni:

JSON
{
  "Version": "2012-10-17",
  "Statement": [{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeVpcs",
        "cognito-identity:ListIdentityPools",
        "cognito-idp:ListUserPools"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonOpenSearch"
    }
  ]
}
Come configurare l'autenticazione Amazon Cognito per Dashboards (console)

  1. Apri la console Amazon OpenSearch Service a https://console.aws.amazon.com/aos/casa/.

  2. In Domini, seleziona il dominio che desideri configurare.

  3. Scegli Operazioni, quindi Modifica configurazione di sicurezza.

  4. SelezionaAbilitare l'autenticazione Amazon Cognito.

  5. Per Regione, seleziona Regione AWS quella che contiene il pool di utenti e il pool di identità di Amazon Cognito.

  6. Per Bacino d'utenza Cognito, seleziona un pool di utenti o creane uno. Per ulteriori informazioni, consulta Informazioni sul bacino d'utenza.

  7. Per Pool di identità Cognito, seleziona un pool di identità o creane uno. Per ulteriori informazioni, consulta Informazioni sul pool di identità.

    Nota

    I link Crea bacino d'utenza e Crea pool di identità reindirizzano alla console Amazon Cognito e richiedono la creazione manuale di queste risorse. Il processo non è automatico. Per ulteriori informazioni, consulta Prerequisiti.

  8. Per Nome ruolo IAM, utilizza il valore di default CognitoAccessForAmazonOpenSearch (consigliato) o specifica un nuovo nome. Per ulteriori informazioni, consulta Informazioni sul ruolo CognitoAccessForAmazonOpenSearch.

  9. Scegli Salva modifiche.

Al termine dell'elaborazione del dominio, consulta Concessione del ruolo autenticato e Configurazione dei provider di identità per informazioni sulle altre fasi di configurazione.

Configurazione dell'autenticazione Amazon Cognito (AWS CLI)

Usa il --cognito-options parametro per configurare il tuo dominio OpenSearch di servizio. La sintassi seguente viene usata dai comandi create-domain e update-domain-config:

--cognito-options Enabled=true,UserPoolId="user-pool-id",IdentityPoolId="identity-pool-id",RoleArn="arn:aws:iam::123456789012:role/CognitoAccessForAmazonOpenSearch"

Esempio

Nell'esempio seguente viene creato un dominio nella regione us-east-1 che abilita l'autenticazione Amazon Cognito per Dashboards tramite il ruolo CognitoAccessForAmazonOpenSearch e fornisce a Cognito_Auth_Role l'accesso al dominio:

aws opensearch create-domain --domain-name my-domain --region us-east-1 --access-policies '{ "Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS": ["arn:aws:iam::123456789012:role/Cognito_Auth_Role"]},"Action":"es:ESHttp*","Resource":"arn:aws:es:us-east-1:123456789012:domain/*" }]}' --engine-version "OpenSearch_1.0" --cluster-config InstanceType=m4.xlarge.search,InstanceCount=1 --ebs-options EBSEnabled=true,VolumeSize=10 --cognito-options Enabled=true,UserPoolId="us-east-1_123456789",IdentityPoolId="us-east-1:12345678-1234-1234-1234-123456789012",RoleArn="arn:aws:iam::123456789012:role/CognitoAccessForAmazonOpenSearch"

Al termine dell'elaborazione del dominio, consulta Concessione del ruolo autenticato e Configurazione dei provider di identità per informazioni sulle altre fasi di configurazione.

Configurazione dell'autenticazione Amazon Cognito ()AWS SDKs

AWS SDKs (eccetto Android e iOS SDKs) supportano tutte le operazioni definite nell'Amazon OpenSearch Service API Reference, incluso il CognitoOptions parametro per le UpdateDomainConfig operazioni CreateDomain and. Per ulteriori informazioni sull'installazione e l'utilizzo di AWS SDKs, consulta AWS Software Development Kits.

Al termine dell'elaborazione del dominio, consulta Concessione del ruolo autenticato e Configurazione dei provider di identità per informazioni sulle altre fasi di configurazione.

Concessione del ruolo autenticato

Per impostazione predefinita, il ruolo IAM autenticato che hai configurato seguendo le linee guida contenute Informazioni sul pool di identità non dispone dei privilegi necessari per accedere alle dashboard. OpenSearch Devi fornire al ruolo autorizzazioni aggiuntive.

Nota

Se hai configurato un controllo granulare degli accessi e utilizzi una policy di accesso aperta o basata su IP, puoi saltare questo passaggio.

È possibile includere queste autorizzazioni in una policy basata sull'identità, ma a meno che non si desideri che gli utenti autenticati abbiano accesso a tutti i domini di OpenSearch servizio, una policy basata sulle risorse collegata a un singolo dominio è l'approccio migliore.

Per Principal, specifica l'ARN del ruolo autenticato di Cognito che hai configurato con le linee guida in Informazioni sul pool di identità.

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":[
               "arn:aws:iam::123456789012:role/Cognito_identitypoolnameAuth_Role"
            ]
         },
         "Action":[
            "es:ESHttp*"
         ],
         "Resource":"arn:aws:es:region:123456789012:domain/domain-name/*"
      }
   ]
}

Per istruzioni sull'aggiunta di una politica basata sulle risorse a un dominio di servizio, consulta. OpenSearch Configurazione delle policy di accesso

Configurazione dei provider di identità

Quando configuri un dominio per utilizzare l'autenticazione Amazon Cognito per dashboard, OpenSearch Service aggiunge un client di app al pool di utenti e aggiunge il pool di utenti al pool di identità come provider di autenticazione.

avvertimento

Non rinominare o eliminare il client app.

A seconda di come hai configurato il pool di utenti, potresti dover creare gli account utente manualmente oppure gli utenti potrebbero essere in grado di creare i propri account. Se queste impostazioni sono accettabili, non devi eseguire altre operazioni. Molte persone, tuttavia, preferiscono usare provider di identità esterni.

Per abilitare un provider di identità SAML 2.0, devi fornire un documento di metadati SAML. Per abilitare provider di identità social come Login with Amazon, Facebook e Google, devi ottenere un ID app e un segreto dell'app da questi provider. Puoi abilitare qualsiasi combinazione di provider di identità.

Il metodo più semplice per configurare il bacino d'utenza è usare la console Amazon Cognito. Per istruzioni, consulta Accesso al pool di utenti con provider di identità di terze parti e Impostazioni specifiche dell'applicazione con client di app nella Amazon Cognito Developer Guide.

(Facoltativo) Configurazione dell'accesso granulare

Avrai notato che le impostazioni predefinite del pool di identità assegnano a ogni utente che accede lo stesso ruolo IAM (Cognito_identitypoolAuth_Role), il che significa che ogni utente può accedere alle stesse risorse. AWS Se, ad esempio, si desidera utilizzare il controllo granulare degli accessi con Amazon Cognito, ad esempio se si desidera che gli analisti dell'organizzazione abbiano accesso in sola lettura a diversi indici, ma gli sviluppatori abbiano accesso in scrittura a tutti gli indici, sono disponibili due opzioni:

  • Puoi creare gruppi di utenti e configurare il provider di identità in modo da scegliere il ruolo IAM in base al token di autenticazione dell'utente (consigliato).

  • Puoi configurare il provider di identità in modo da scegliere il ruolo IAM in base a uno o più ruoli.

Per una procedura dettagliata che include il controllo granulare degli accessi, consultare Tutorial: configurazione di un dominio con un utente master IAM e autenticazione Amazon Cognito.

Importante

Proprio come il ruolo di default, Amazon Cognito deve far parte della relazione di trust di ogni ruolo aggiuntivo. Per i dettagli, consulta Creazione di ruoli per la mappatura dei ruoli nella Amazon Cognito Developer Guide.

Gruppi di utenti e token

Quando crei un gruppo di utenti, devi scegliere un ruolo IAM per i membri del gruppo. Per informazioni sulla creazione di gruppi, consulta Aggiungere gruppi a un pool di utenti nella Amazon Cognito Developer Guide.

Dopo aver creato uno o più gruppi di utenti, puoi configurare il provider di autenticazione in modo da assegnare agli utenti i ruoli dei rispettivi gruppi anziché il ruolo predefinito del pool di identità. Selezionare Scegli ruolo da token, quindi selezionare Usa ruolo autenticato predefinito o DENY per specificare il modo in cui il pool di identità gestisce gli utenti che non fanno parte di un gruppo.

Regolamento

Le regole sono essenzialmente una serie di istruzioni if che Amazon Cognito valuta in sequenza. Ad esempio, se l'indirizzo e-mail di un utente contiene @corporate, Amazon Cognito assegna all'utente il ruolo Role_A. Se l'indirizzo e-mail di un utente contiene @subsidiary, assegna all'utente il ruolo Role_B. In caso contrario, assegna all'utente il ruolo autenticato predefinito.

Per ulteriori informazioni, consulta Usare la mappatura basata su regole per assegnare ruoli agli utenti nella Amazon Cognito Developer Guide.

(Facoltativo) Personalizzazione della pagina di accesso

Puoi utilizzare la console Amazon Cognito per caricare un logo personalizzato e apportare modifiche CSS alla pagina di accesso. Per istruzioni e un elenco completo delle proprietà CSS, consulta Personalizzazione del marchio dell'interfaccia utente ospitata (classica) nella Amazon Cognito Developer Guide.

(Facoltativo) Configurazione della sicurezza avanzata

I bacini d'utenza di Amazon Cognito supportano funzionalità di sicurezza avanzate quali l'autenticazione a più fattori, la verifica di credenziali compromesse e l'autenticazione adattiva. Per ulteriori informazioni, consulta la sezione Utilizzo delle funzionalità di sicurezza dei pool di utenti di Amazon Cognito nella Amazon Cognito Developer Guide.

Test in corso

Quando la configurazione sembra soddisfacente, verificare che l'esperienza utente soddisfi le aspettative.

Per accedere alle dashboard OpenSearch

  1. Passare https://opensearch-domain/_dashboards in un Web browser. Per accedere direttamente a un tenant specifico, aggiungere ?security_tenant=tenant-name all'URL.

  2. Accedere usando le credenziali preferite.

  3. Dopo il caricamento di OpenSearch Dashboards, configura almeno un modello di indice. Dashboards usa questi modelli per identificare gli indici da analizzare. Immettere *, scegliere Next step (Fase successiva) e quindi Create index pattern (Crea modello di indice).

  4. Per cercare o esplorare i dati, scegliere Discover (Individua).

Se qualsiasi fase di questo processo non riesce, consulta Problemi di configurazione comuni per informazioni sulla risoluzione dei problemi.

Quote

Amazon Cognito applica limiti flessibili a molte delle risorse. Se desideri abilitare l'autenticazione delle dashboard per un gran numero di domini di OpenSearch servizio, consulta Quotas in Amazon Cognito e richiedi l'aumento dei limiti, se necessario.

Ogni dominio OpenSearch di servizio aggiunge un client di app al pool di utenti, che aggiunge un provider di autenticazione al pool di identità. Se OpenSearch abiliti l'autenticazione Dashboards per più di 10 domini, potresti incontrare il limite del «numero massimo di provider del pool di utenti di Amazon Cognito per pool di identità». Se superi un limite, tutti i domini di OpenSearch servizio che tenti di configurare per utilizzare l'autenticazione Amazon Cognito per dashboard possono rimanere bloccati in uno stato di configurazione di Elaborazione.

Problemi di configurazione comuni

La tabella seguente elenca i problemi di configurazione più comuni e le relative soluzioni.

Servizio di configurazione OpenSearch
Problema Soluzione

OpenSearch Service can't create the role (console)

 Non devi avere le autorizzazioni IAM corrette. Aggiungi le autorizzazioni specificate in Configurazione dell'autenticazione Amazon Cognito (console).

User is not authorized to perform: iam:PassRole on resource CognitoAccessForAmazonOpenSearch (console)

 Non disponi iam:PassRole delle autorizzazioni per il CognitoAccessForAmazonOpenSearchruolo. Collega la policy seguente al tuo account:
JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonOpenSearch"
    }
  ]
}

In alternativa, puoi collegare la policy IAMFullAccess.

User is not authorized to perform: cognito-identity:ListIdentityPools on resource

Non è necessario disporre di autorizzazioni di lettura per Amazon Cognito. Collega la policy AmazonCognitoReadOnly al tuo account.

An error occurred (ValidationException) when calling the CreateDomain operation: OpenSearch Service must be allowed to use the passed role

OpenSearch Il servizio non è specificato nella relazione di fiducia del CognitoAccessForAmazonOpenSearch ruolo. Controlla che il ruolo usi la relazione di trust specificata in Informazioni sul ruolo CognitoAccessForAmazonOpenSearch. In alternativa, per configurare l'autenticazione Amazon Cognito utilizzare la console. La console crea un ruolo per te.

An error occurred (ValidationException) when calling the CreateDomain operation: User is not authorized to perform: cognito-idp:action on resource: user pool

 Il ruolo specificato in --cognito-options non ha le autorizzazioni per accedere ad Amazon Cognito. Verifica che al ruolo sia allegata la AmazonOpenSearchServiceCognitoAccess policy AWS gestita. In alternativa, per configurare l'autenticazione Amazon Cognito utilizzare la console. La console crea un ruolo per te.
An error occurred (ValidationException) when calling the CreateDomain operation: User pool does not exist

OpenSearch Il servizio non riesce a trovare il pool di utenti. Conferma di averne creato uno e di avere l'ID corretto. Per trovare l'ID, puoi utilizzare la console Amazon Cognito o il seguente AWS CLI comando:

aws cognito-idp list-user-pools --max-results 60 --region region

An error occurred (ValidationException) when calling the CreateDomain operation: IdentityPool not found

OpenSearch Il servizio non riesce a trovare il pool di identità. Conferma di averne creato uno e di avere l'ID corretto. Per trovare l'ID, puoi utilizzare la console Amazon Cognito o il seguente AWS CLI comando:

aws cognito-identity list-identity-pools --max-results 60 --region region

An error occurred (ValidationException) when calling the CreateDomain operation: Domain needs to be specified for user pool

 Il pool di utenti non ha un nome di dominio. È possibile configurarne uno tramite la console Amazon Cognito o con il seguente comando della AWS CLI :
aws cognito-idp create-user-pool-domain --domain name --user-pool-id id
Accesso alle dashboard OpenSearch
Problema Soluzione
La pagina di accesso non mostra i provider di identità preferiti.

Verifica di aver abilitato il provider di identità per il client dell'app OpenSearch Service come specificato inConfigurazione dei provider di identità.

La pagina di accesso non sembra associata all'organizzazione.

Consultare (Facoltativo) Personalizzazione della pagina di accesso.
Le credenziali di accesso non funzionano.

Verifica di aver configurato il provider di identità come indicato in Configurazione dei provider di identità.

Se utilizzi il pool di utenti come provider di identità, verifica che l'account esista nella console Amazon Cognito.

OpenSearch Le dashboard non si caricano affatto o non funzionano correttamente.

Il ruolo autenticato con Amazon Cognito deve disporre delle autorizzazioni es:ESHttp* per il dominio (/*) per poter accedere e utilizzare Dashboards. Verifica di aver aggiungo una policy d'accesso come indicato in Concessione del ruolo autenticato.

Quando esco dai OpenSearch dashboard da una scheda, nelle schede rimanenti viene visualizzato un messaggio che indica che il token di aggiornamento è stato revocato.

Quando esci da una sessione di OpenSearch Dashboards mentre utilizzi l'autenticazione Amazon Cognito OpenSearch , Service esegue AdminUserGlobalSignOutun'operazione che ti disconnette da tutte le sessioni di Dashboards OpenSearch attive.

Invalid identity pool configuration. Check assigned IAM roles for this pool. Amazon Cognito non dispone delle autorizzazioni per assumere il ruolo IAM per conto dell'utente autenticato. Modificare la relazione di trust per il ruolo per includere:
JSON
{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "Federated": "cognito-identity.amazonaws.com"
    },
    "Action": "sts:AssumeRoleWithWebIdentity",
    "Condition": {
      "StringEquals": {
        "cognito-identity.amazonaws.com:aud": "identity-pool-id"
      },
      "ForAnyValue:StringLike": {
        "cognito-identity.amazonaws.com:amr": "authenticated"
      }
    }
  }]
}
Token is not from a supported provider of this identity pool. Questo errore poco comune può verificarsi quando rimuovi il client app dal pool di utenti. Provare ad aprire Dashboards in una nuova sessione del browser.

Disattivazione dell'autenticazione Amazon Cognito per dashboard OpenSearch

Usa la procedura seguente per disabilitare l'autenticazione Amazon Cognito per Dashboards.

Come disabilitare l'autenticazione Amazon Cognito per Dashboards (console)

  1. Apri la console Amazon OpenSearch Service.

  2. In Domini, scegli il dominio che desideri configurare.

  3. Scegli Operazioni, quindi Modifica configurazione di sicurezza.

  4. Deselezionare Abilita autenticazione Amazon Cognito.

  5. Scegli Save changes (Salva modifiche).

Importante

Se il bacino d'utenza e il pool di identità di Amazon Cognito non sono più necessari, è possibile eliminarli. Altrimenti, continuano a esserti addebitati i costi.

Eliminazione di domini che utilizzano l'autenticazione Amazon Cognito per dashboard OpenSearch

Per evitare che i domini che utilizzano l'autenticazione Amazon Cognito per dashboard rimangano bloccati in uno stato di configurazione di Elaborazione, OpenSearch elimina i domini di servizio prima di eliminare i pool di utenti e identità di Amazon Cognito associati.