Configuración de la autenticación de Amazon Cognito para OpenSearch Dashboards

Puede autenticar y proteger la instalación predeterminada de Amazon OpenSearch Service para OpenSearch Dashboards mediante Amazon Cognito. La autenticación de Amazon Cognito es opcional y solo está disponible para dominios que utilicen OpenSearch o Elasticsearch 5.1 o una versión posterior. Si no configura la autenticación de Amazon Cognito, puede seguir protegiendo Dashboards con una política de acceso basada en IP y un servidor proxy, una autenticación básica de HTTP o SAML.

Gran parte del proceso de autenticación se produce en Amazon Cognito, pero esta sección ofrece instrucciones y requisitos para configurar los recursos de Amazon Cognito para trabajar con dominios de OpenSearch Service. Se aplican precios estándar a todos los recursos de Amazon Cognito.

sugerencia

Recomendamos utilizar la consola la primera vez que configure un dominio para utilizar la autenticación de Amazon Cognito para OpenSeach Dashboards. Los recursos de Amazon Cognito se pueden personalizar en gran medida y la consola puede ayudar a identificar y comprender las funciones importantes.

Requisitos previos

Antes de poder configurar la autenticación de Amazon Cognito para OpenSearch Dashboards, debe cumplir varios requisitos previos. La consola de OpenSearch Service ayuda a simplificar la creación de estos recursos, pero comprender la finalidad de cada recurso ayuda a la hora de configurar y resolver problemas. La autenticación de Amazon Cognito para Dashboards requiere los siguientes recursos:

• Grupo de usuarios de Amazon Cognito

• Grupo de identidades de Amazon Cognito

• Rol de IAM que tiene la política de AmazonOpenSearchServiceCognitoAccess adjunta (CognitoAccessForAmazonOpenSearch)

nota

El grupo de usuarios y el grupo de identidades deben estar en la misma Región de AWS. Puede utilizar el mismo grupo de usuarios, el mismo grupo de identidades y el mismo rol de IAM para agregar la autenticación de Amazon Cognito para Dashboards a varios dominios de OpenSearch Service. Para obtener más información, consulte Cuotas.

Acerca del grupo de usuarios

Los grupos de usuarios tiene dos características principales: crear y administrar un directorio de usuarios y permitir que los usuarios se inscriban e inicien sesión. Para obtener instrucciones acerca de cómo crear un grupo de usuarios, consulte Creación de un grupo de usuarios en la Guía para desarrolladores de Amazon Cognito.

Al crear un grupo de usuarios que se va a utilizar con OpenSearch Service, tenga en cuenta lo siguiente:

• El grupo de usuarios de Amazon Cognito debe tener un nombre de dominio. OpenSearch Service utiliza este nombre de dominio para redirigir a los usuarios a una página de inicio de sesión para acceder a Dashboards. Aparte de un nombre de dominio, el grupo de usuarios no requiere ninguna configuración no predeterminada.

• Debe especificar los atributos estándar necesarios del grupo como nombre, fecha de nacimiento, dirección de email y número de teléfono. No se pueden cambiar estos atributos después de crear el grupo de usuarios, por lo que debe elegir los que considere importantes en este momento.

• Al crear el grupo de usuarios, elija si los usuarios pueden crear sus propias cuentas, el nivel mínimo de seguridad de la contraseña para las cuentas y si se va a habilitar la autenticación multifactor. Si tiene previsto utilizar un proveedor de identidades externo, estos ajustes no tienen importancia. Técnicamente puede habilitar el grupo de usuarios como un proveedor de identidades y habilitar un proveedor de identidades externo, pero la mayoría de las personas prefieren uno u otro.

Los ID de grupos de usuarios adoptan la forma de region_ID. Si tiene previsto utilizar la CLI de AWS o un SDK de AWS para configurar OpenSearch Service, anote el ID.

Acerca del grupo de identidades

Los grupos de identidades permiten asignar funciones temporales con privilegios limitados a los usuarios después de que inicien sesión. Para obtener instrucciones sobre la creación de un grupo de identidades, consulte Grupos de usuarios en la Guía para desarrolladores de Amazon Cognito. Al crear un grupo de identidades que se va a utilizar con OpenSearch Service, tenga en cuenta lo siguiente:

• Si utiliza la consola de Amazon Cognito, debe seleccionar la casilla de verificación Habilitar el acceso a identidades sin autenticar para crear el grupo de identidades. Después de crear el grupo de identidades y de configurar el dominio de OpenSearch Service, Amazon Cognito deshabilita esta configuración.

• No es necesario agregar proveedores de identidades externos al grupo de identidades. Cuando se configura OpenSearch Service para utilizar la autenticación de Amazon Cognito, configura el grupo de identidades para utilizar el grupo de usuarios que acaba de crear.

• Después de crear el grupo de identidades, debe elegir funciones de IAM autenticadas y sin autenticar. Estos roles especifican las políticas de acceso que los usuarios tienen antes y después de que inicien sesión. Si utiliza la consola de Amazon Cognito, puede crear estas funciones para usted. Una vez creado el rol autenticado, anote el ARN, que adopta la forma de arn:aws:iam::123456789012:role/Cognito_identitypoolnameAuth_Role.

Los ID de grupos de identidades adoptan la forma de region:ID-ID-ID-ID-ID. Si tiene previsto utilizar la CLI de AWS o un SDK de AWS para configurar OpenSearch Service, anote el ID.

Acerca del rol CognitoAccessForAmazonOpenSearch

OpenSearch Service necesita permisos para configurar los grupos de usuarios y de identidades de Amazon Cognito y utilizarlos para la autenticación. Para esto, puede utilizar AmazonOpenSearchServiceCognitoAccess, que es una política administrada por AWS. AmazonESCognitoAccess es una política heredada que fue reemplazada por AmazonOpenSearchServiceCognitoAccess cuando el servicio fue renombrado a Amazon OpenSearch Service. Ambas políticas proporcionan los permisos mínimos de Amazon Cognito necesarios para habilitar la autenticación de Cognito. Para ver la política JSON, consulte la consola de IAM.

Si utiliza la consola para crear o configurar el dominio de OpenSearch Service, se crea un rol de IAM para usted y se adjunta a dicho rol la política AmazonOpenSearchServiceCognitoAccess (o la política AmazonESCognitoAccess si es un dominio de Elasticsearch). El nombre predeterminado del rol es CognitoAccessForAmazonOpenSearch.

Las políticas de permisos de rol AmazonOpenSearchServiceCognitoAccess y AmazonESCognitoAccess permiten a OpenSearch Service completar las siguientes acciones en todos los grupos de identidades y usuarios:

• Acción: cognito-idp:DescribeUserPool

• Acción: cognito-idp:CreateUserPoolClient

• Acción: cognito-idp:DeleteUserPoolClient

• Acción: cognito-idp:UpdateUserPoolClient

• Acción: cognito-idp:DescribeUserPoolClient

• Acción: cognito-idp:AdminInitiateAuth

• Acción: cognito-idp:AdminUserGlobalSignOut

• Acción: cognito-idp:ListUserPoolClients

• Acción: cognito-identity:DescribeIdentityPool

• Acción: cognito-identity:SetIdentityPoolRoles

• Acción: cognito-identity:GetIdentityPoolRoles

Si utiliza la AWS CLI o uno de los SDK de AWS, debe crear un rol propio, adjuntar la política y especificar el ARN para este rol al configurar el dominio de OpenSearch Service. El rol debe tener la siguiente relación de confianza:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "opensearchservice.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Para obtener instrucciones, consulte Creación de un rol para delegar permisos a un servicio de AWS y Adjuntar y desconectar políticas de IAM en la Guía del usuario de IAM.

Configuración de un dominio para utilizar la autenticación de Amazon Cognito

Después de completar los requisitos previos, puede configurar un dominio de OpenSearch Service para que utilice Amazon Cognito para Dashboards.

nota

Amazon Cognito no está disponible en todas las Regiones de AWS. Para consultar una lista de las regiones y los puntos de enlace compatibles, visite Regiones de AWS y puntos de enlace. No es necesario utilizar la misma región para Amazon Cognito que utiliza para OpenSearch Service.

Configuración de la autenticación de Amazon Cognito (consola)

La consola ofrece la experiencia de configuración más sencilla, ya que crea automáticamente el rol CognitoAccessForAmazonOpenSearch. Además de los permisos de OpenSearch Service estándar, se necesita el siguiente conjunto de permisos para utilizar la consola con el fin de crear un dominio que emplee la autenticación de Amazon Cognito para OpenSearch Dashboards.

{
  "Version": "2012-10-17",
  "Statement": [{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeVpcs",
        "cognito-identity:ListIdentityPools",
        "cognito-idp:ListUserPools",
        "iam:CreateRole",
        "iam:AttachRolePolicy"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonOpenSearch"
    }
  ]
}

Para obtener instrucciones sobre cómo agregar permisos a una identidad (usuario, grupo de usuarios o rol), consulteAdición de permisos de identidad de IAM (consola).

Si el CognitoAccessForAmazonOpenSearch ya existe, necesita menos permisos:

{
  "Version": "2012-10-17",
  "Statement": [{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeVpcs",
        "cognito-identity:ListIdentityPools",
        "cognito-idp:ListUserPools"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonOpenSearch"
    }
  ]
}

Para configurar la autenticación de Amazon Cognito para Dashboards (consola)

1. Abra la consola de Amazon OpenSearch Service enhttps://console.aws.amazon.com/aos/home/.

2. En Dominios, seleccione el dominio que desea configurar.

3. Elija Acciones y Editar la configuración de seguridad.

4. Elija Habilitar la autenticación de Amazon Cognito.

5. En Región, seleccione la Región de AWS que contiene el grupo de usuarios y de identidades de Amazon Cognito.

6. En Grupo de usuarios de Cognito, seleccione un grupo de usuarios o cree uno. Para obtener instrucciones, consulte Acerca del grupo de usuarios.

7. En Grupo de identidades de Cognito, seleccione un grupo de identidades o cree uno. Para obtener instrucciones, consulte Acerca del grupo de identidades.

   nota

   Los enlaces Crear grupo de usuarios y Crear grupo de identidades dirigen a la consola de Amazon Cognito y requieren crear estos recursos de forma manual. El proceso no es automático. Para obtener más información, consulte Requisitos previos.

8. Para INombre de rol de IAM, utilice el valor de CognitoAccessForAmazonOpenSearch predeterminado (recomendado) o ingrese un nombre nuevo. Para obtener más información acerca de la finalidad de este rol, consulte Acerca del rol CognitoAccessForAmazonOpenSearch.

9. Elija Guardar cambios.

Después de que el dominio termine de procesarse, consulte Permitir el rol autenticado y Configuración de proveedores de identidades para conocer los pasos adicionales de configuración.

Configuración de la autenticación de Amazon Cognito (AWS CLI)

Utilice el parámetro --cognito-options para configurar el dominio de OpenSearch Service. Los comandos create-domain y update-domain-config emplean la siguiente sintaxis:

--cognito-options Enabled=true,UserPoolId="user-pool-id",IdentityPoolId="identity-pool-id",RoleArn="arn:aws:iam::123456789012:role/CognitoAccessForAmazonOpenSearch"

Ejemplo

En el siguiente ejemplo se crea un dominio en la región us-east-1 que habilita la autenticación de Amazon Cognito para Dashboards mediante el rol CognitoAccessForAmazonOpenSearch y proporciona acceso al dominio a Cognito_Auth_Role:

aws opensearch create-domain --domain-name my-domain --region us-east-1 --access-policies '{ "Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS": ["arn:aws:iam::123456789012:role/Cognito_Auth_Role"]},"Action":"es:ESHttp*","Resource":"arn:aws:es:us-east-1:123456789012:domain/*" }]}' --engine-version "OpenSearch_1.0" --cluster-config InstanceType=m4.xlarge.search,InstanceCount=1 --ebs-options EBSEnabled=true,VolumeSize=10 --cognito-options Enabled=true,UserPoolId="us-east-1_123456789",IdentityPoolId="us-east-1:12345678-1234-1234-1234-123456789012",RoleArn="arn:aws:iam::123456789012:role/CognitoAccessForAmazonOpenSearch"

Después de que el dominio termine de procesarse, consulte Permitir el rol autenticado y Configuración de proveedores de identidades para conocer los pasos adicionales de configuración.

Configuración de la autenticación de Amazon Cognito (SDK de AWS)

Los AWS SDK (excepto los SDK de Android e iOS) admiten todas las operaciones definidas en la referencia de API de Amazon OpenSearch Service, incluido el parámetro CognitoOptions para las operaciones CreateDomain y UpdateDomainConfig. Para obtener más información acerca de cómo instalar y utilizar los SDK de AWS, consulte los Kits de desarrollo de software de AWS.

Después de que el dominio termine de procesarse, consulte Permitir el rol autenticado y Configuración de proveedores de identidades para conocer los pasos adicionales de configuración.

Permitir el rol autenticado

De forma predeterminada, el rol de IAM autenticado que configuró de acuerdo con las instrucciones de Acerca del grupo de identidades no cuenta con los privilegios necesarios para obtener acceso a OpenSearch Dashboards. Debe proporcionar permisos adicionales al rol.

nota

Si configuró el control de acceso detallado y utiliza una política de acceso abierta o basada en IP, puede omitir este paso.

Puede incluir estos permisos en una política basada en identidades, pero, a menos que quiera que los usuarios autenticados obtengan acceso a todos los dominios de OpenSearch Service, el mejor enfoque es una política basada en recursos adjunta a un solo dominio.

Para el Principal, especifique el ARN del rol autenticado de Cognito que configuró con las pautas que figuran en Acerca del grupo de identidades.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":[
               "arn:aws:iam::123456789012:role/Cognito_identitypoolnameAuth_Role"
            ]
         },
         "Action":[
            "es:ESHttp*"
         ],
         "Resource":"arn:aws:es:region:123456789012:domain/domain-name/*"
      }
   ]
}

Para obtener instrucciones sobre cómo agregar una política basada en recursos a un dominio de OpenSearch Service, consulte Configurar políticas de acceso.

Configuración de proveedores de identidades

Al configurar un dominio para que utilice la autenticación de Amazon Cognito para Dashboards, OpenSearch Service agrega un cliente de aplicación al grupo de usuarios y agrega el grupo de usuarios al grupo de identidades como proveedor de autenticación.

aviso

No cambie el nombre ni elimine el cliente de aplicación.

En función de cómo configure el grupo de usuarios, puede que necesite crear cuentas de usuarios de forma manual, o bien los usuarios podrían crear sus propias cuentas. Si estos ajustes son aceptables, no es necesario realizar más acciones. Sin embargo, muchas personas prefieren usar proveedores de identidades externos.

Para habilitar un proveedor de identidades SAML 2.0, debe proporcionar un documento de metadatos de SAML. Para habilitar proveedores de identidades sociales como Login with Amazon, Facebook y Google, debe disponer de un ID de aplicación y de la clave secreta de la aplicación de esos proveedores. Puede habilitar cualquier combinación de proveedores de identidades.

La forma más sencilla de configurar el grupo de usuarios consiste en utilizar la consola de Amazon Cognito. Para obtener instrucciones, consulte Utilización de la federación desde un grupo de usuarios y Especificación de la configuración del proveedor de identidad para la aplicación de grupo de usuarios en la Guía para desarrolladores de Amazon Cognito.

(Opcional) Configuración de acceso pormenorizado

Es posible que haya observado que la configuración del grupo de identidades predeterminado asigna el mismo rol de IAM (Cognito_identitypoolAuth_Role) a cada usuario que inicia sesión, lo cual significa que todos los usuarios pueden obtener acceso a los mismos recursos de AWS. Si desea utilizar el control de acceso detallado con Amazon Cognito, por ejemplo, si desea que los analistas de la organización tengan acceso de solo lectura a varios índices, pero que los desarrolladores tengan acceso de escritura a todos los índices, tiene dos opciones:

• Cree grupos de usuarios y configure su proveedor de identidades de tal forma que elija el rol de IAM en función del token de autenticación del usuario (recomendado).

• Configure su proveedor de identidades para que elija el rol de IAM en función de una o varias reglas.

Para obtener un tutorial que incluya el control de acceso detallado, consulte Tutorial: Configurar un dominio con un usuario maestro de IAM y la autenticación de Amazon Cognito.

importante

Al igual que sucede con el rol predeterminado, Amazon Cognito debe formar parte de la relación de confianza de cada rol adicional. Para obtener más información, consulte Creación de roles para el mapeo de roles en la Guía para desarrolladores de Amazon Cognito.

Grupos de usuarios y tokens

Al crear un grupo de usuarios, elige un rol de IAM para los miembros del grupo. Para obtener información sobre cómo crear grupos, consulte Grupos de usuarios en la Guía para desarrolladores de Amazon Cognito.

Después de crear uno o más grupos de usuarios, puede configurar su proveedor de autenticación para asignar a los usuarios las funciones de sus grupos en lugar del rol predeterminado del grupo de identidades. Seleccione Elegir rol a partir de un token, luego elija Utilizar rol autenticado predeterminado o DENEGAR para especificar de qué manera el grupo de identidades se encargará de los usuarios que no forman parte del grupo.

Reglas

Las reglas son básicamente una serie de instrucciones if que Amazon Cognito evalúa de forma secuencial. Por ejemplo, si una dirección de email del usuario contiene @corporate, Amazon Cognito asigna Role_A a ese usuario. Si la dirección de correo electrónico de un usuario contiene @subsidiary, asigna a ese usuario Role_B. De lo contrario, asigna al usuario el rol autenticado predeterminado.

Para obtener más información, consulte Utilización del mapeo basado en reglas para la asignación de roles a los usuarios en la Guía para desarrolladores de Amazon Cognito.

(Opcional) Personalización de la página de inicio de sesión

Puede usar la consola de Amazon Cognito para cargar un logotipo personalizado y realizar cambios de CSS en la página de inicio de sesión. Para obtener instrucciones y una lista completa de propiedades CSS, consulte Especificación de la configuración de personalización de la interfaz de usuario de la aplicación para el grupo de usuarios en la Guía para desarrolladores de Amazon Cognito.

(Opcional) Configuración de seguridad avanzada

Los grupos de usuarios de Amazon Cognito admiten características de seguridad avanzadas como la autenticación multifactor, la verificación de credenciales comprometidas y la autenticación flexible. Para obtener más información, consulte Administración de seguridad en la Guía para desarrolladores de Amazon Cognito.

Pruebas

Una vez que esté satisfecho con la configuración, verifique que la experiencia del usuario cumpla sus expectativas.

Para acceder a OpenSearch Dashboards

1. Vaya a https://opensearch-domain/_dashboards en un navegador Web. Para iniciar sesión directamente en un inquilino específico, agregue ?security_tenant=tenant-name a la URL.

2. Inicie sesión con las credenciales que prefiera.

3. Una vez que se carga OpenSearch Dashboards, configure al menos un patrón de índice. Dashboards utiliza estos patrones para identificar los índices que desea analizar. Escriba *, elija Siguiente paso y, a continuación, elija Crear patrón de índice.

4. Para buscar datos o explorar en ellos, elija Detección.

Si cualquier paso de este proceso da error, consulte Problemas habituales de configuración para obtener información sobre resolución de problemas.

Cuotas

Amazon Cognito cuenta con límites flexibles en muchos de los recursos. Si desea habilitar la autenticación de Dashboards para una gran cantidad de dominios de OpenSearch Service, consulte Cuotas en Amazon Cognito y solicite un aumento de los límites si es necesario.

Cada dominio de OpenSearch Service agrega un cliente de aplicación al grupo de usuarios, lo cual agrega un proveedor de autenticación al grupo de identidades. Si habilita la autenticación de OpenSearch Dashboards para más de 10 dominios, puede que llegue al límite de “máximo de proveedores de grupo de usuarios de Amazon Cognito por grupo de identidades”. Si supera un límite, cualquier dominio de OpenSearch Service que intente configurar para que utilice la autenticación de Amazon Cognito para Dashboards puede bloquearse en un estado de configuración o En proceso.

Problemas habituales de configuración

En las tablas siguientes se muestran los problemas habituales de configuración y las soluciones.

Configuración de OpenSearch Service
Problema	Solución
OpenSearch Service can't create the role (consola)	No dispone de los permisos de IAM correctos. Añada los permisos especificados en Configuración de la autenticación de Amazon Cognito (consola).
User is not authorized to perform: iam:PassRole on resource CognitoAccessForAmazonOpenSearch (consola)	No cuenta con permisos iam:PassRole para el rol CognitoAccessForAmazonOpenSearch. Asocie la siguiente política a su cuenta: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonOpenSearch" } ] } Como alternativa, puede adjuntar la política IAMFullAccess.
User is not authorized to perform: cognito-identity:ListIdentityPools on resource	No tiene permisos de lectura para Amazon Cognito. Adjunte la política AmazonCognitoReadOnly a su cuenta.
An error occurred (ValidationException) when calling the CreateDomain operation: OpenSearch Service must be allowed to use the passed role	OpenSearch Service no se especifica en la relación de confianza del rol CognitoAccessForAmazonOpenSearch. Verifique si el rol utiliza la relación de confianza que se especifica en Acerca del rol CognitoAccessForAmazonOpenSearch. De manera alternativa, utilice la consola para configurar la autenticación de Amazon Cognito. La consola crea un rol para usted.
An error occurred (ValidationException) when calling the CreateDomain operation: User is not authorized to perform: cognito-idp:action on resource: user pool	El rol especificado en --cognito-options no cuenta con permisos para acceder a Amazon Cognito. Verifique que el rol tenga adjunta la política administrada AWS de AmazonOpenSearchServiceCognitoAccess. De manera alternativa, utilice la consola para configurar la autenticación de Amazon Cognito. La consola crea un rol para usted.
An error occurred (ValidationException) when calling the CreateDomain operation: User pool does not exist	OpenSearch Service no encuentra el grupo de usuarios. Verifique que creó uno y que tiene el ID correcto. Para encontrar el ID, puede utilizar la consola de Amazon Cognito o el siguiente comando de la AWS CLI: aws cognito-idp list-user-pools --max-results 60 --region region
An error occurred (ValidationException) when calling the CreateDomain operation: IdentityPool not found	OpenSearch Service no encuentra el grupo de identidades. Verifique que creó uno y que tiene el ID correcto. Para encontrar el ID, puede utilizar la consola de Amazon Cognito o el siguiente comando de la AWS CLI: aws cognito-identity list-identity-pools --max-results 60 --region region
An error occurred (ValidationException) when calling the CreateDomain operation: Domain needs to be specified for user pool	El grupo de usuarios no tiene un nombre de dominio. Puede configurar uno con la consola de Amazon Cognito o el siguiente comando de la AWS CLI: aws cognito-idp create-user-pool-domain --domain name --user-pool-id id

Acceso a OpenSearch Dashboards
Problema	Solución
La página de inicio de sesión no muestra mis proveedores de identidades preferidos.	Verifique que habilitó el proveedor de identidades del cliente de la aplicación de OpenSearch Service tal y como se especifica en Configuración de proveedores de identidades.
La página de inicio de sesión no parece estar asociada a mi organización.	Consulte (Opcional) Personalización de la página de inicio de sesión.
Mis credenciales de inicio de sesión no funcionan.	Verifique que configuró el proveedor de identidades tal y como se especifica en Configuración de proveedores de identidades. Si utiliza el grupo de usuarios como proveedor de identidades, verifique que la cuenta exista en la consola de Amazon Cognito.
OpenSearch Dashboards no se carga en absoluto o no funciona correctamente.	El rol autenticado de Amazon Cognito necesita permisos es:ESHttp* para el dominio (/*) a fin de obtener acceso y utilizar Dashboards. Verifique que agregó una política de acceso tal y como se especifica en Permitir el rol autenticado.
Cuando cierro sesión en OpenSearch Dashboard desde una pestaña, las pestañas restantes muestran un mensaje que indica que se ha revocado el token de actualización.	Al cerrar sesión en una sesión de OpenSearch Dashboards con la autenticación de Amazon Cognito, OpenSearch Service ejecuta la operación AdminUserGlobalSignOut, que cierra sesión en todas las sesiones activas de OpenSearch Dashboards.
Invalid identity pool configuration. Check assigned IAM roles for this pool.	Amazon Cognito no cuenta con permisos para asumir el rol de IAM en nombre del usuario autenticado. Modifique la relación de confianza para el rol de tal forma que incluya: { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Federated": "cognito-identity.amazonaws.com" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "cognito-identity.amazonaws.com:aud": "identity-pool-id" }, "ForAnyValue:StringLike": { "cognito-identity.amazonaws.com:amr": "authenticated" } } }] }
Token is not from a supported provider of this identity pool.	Este error poco habitual se puede producir al eliminar el cliente de aplicación del grupo de usuarios. Intente abrir Dashboards en una nueva sesión del navegador.

Deshabilitar la autenticación de Amazon Cognito para OpenSearch Dashboards

Utilice el siguiente procedimiento para deshabilitar la autenticación de Amazon Cognito para Dashboards.

Para deshabilitar la autenticación de Amazon Cognito para Dashboards (consola)

1. Abra la consola de Amazon OpenSearch Service enhttps://console.aws.amazon.com/aos/home/.

2. En Dominios, elija el dominio que desea configurar.

3. Elija Acciones y Editar la configuración de seguridad.

4. Desactive Habilitar la autenticación de Amazon Cognito.

5. Elija Guardar cambios.

importante

Si ya no necesita el grupo de usuarios y de identidades de Amazon Cognito, elimínelos. De lo contrario, seguirá incurriendo en costos.

Eliminación de dominios que utilizan la autenticación de Amazon Cognito para OpenSearch Dashboards

Para evitar que los dominios que utilizan la autenticación de Amazon Cognito para Dashboards se bloqueen en un estado de configuración En proceso, elimine los dominios de OpenSearch Service antes de eliminar los grupos de identidades y de usuarios de Amazon Cognito asociados.