Configurazione dell'autenticazione Amazon Cognito per dashboard OpenSearch

Puoi autenticare e proteggere l'installazione predefinita di OpenSearch dashboard di Amazon OpenSearch Service utilizzando Amazon Cognito. L'autenticazione Amazon Cognito è facoltativa e disponibile solo per i domini che utilizzano Elasticsearch 5.1 OpenSearch o versione successiva. Se non si configura l'autenticazione Amazon Cognito, è comunque possibile proteggere Dashboards usando una policy di accesso basata su IP e un server proxy, autenticazione di base HTTP o SAML.

Gran parte del processo di autenticazione avviene in Amazon Cognito, ma questa sezione offre linee guida e requisiti per configurare le risorse di Amazon Cognito in modo che funzionino con i domini di servizio. OpenSearch A tutte le risorse Amazon Cognito si applicano i prezzi standard.

Suggerimento

La prima volta che configuri un dominio per utilizzare l'autenticazione Amazon Cognito per le OpenSearch dashboard, ti consigliamo di utilizzare la console. Le risorse Amazon Cognito sono estremamente personalizzabili e la console può aiutare a identificare e comprendere le funzionalità importanti più adatte al proprio caso specifico.

Prerequisiti

Prima di poter configurare l'autenticazione Amazon Cognito per le OpenSearch dashboard, devi soddisfare diversi prerequisiti. La console OpenSearch di servizio aiuta a semplificare la creazione di queste risorse, ma la comprensione dello scopo di ciascuna risorsa aiuta nella configurazione e nella risoluzione dei problemi. L'autenticazione Amazon Cognito per Dashboards richiede le risorse seguenti:

• Bacino d'utenza di Amazon Cognito

• Pool di identità di Amazon Cognito

• Ruolo IAM a cui è collegata la policy AmazonOpenSearchServiceCognitoAccess (CognitoAccessForAmazonOpenSearch)

Nota

Il bacino d'utenza e il pool di identità devono trovarsi nella stessa Regione AWS. Puoi utilizzare lo stesso pool di utenti, pool di identità e ruolo IAM per aggiungere l'autenticazione Amazon Cognito per dashboard a più OpenSearch domini di servizio. Per ulteriori informazioni, consulta Quote.

Informazioni sul bacino d'utenza

I pool di utenti hanno due caratteristiche principali: creano e gestiscono una directory di utenti e permettono agli utenti di registrarsi e accedere. Per istruzioni su come creare un bacino d'utenza, consulta Creazione di un bacino d'utenza nella Guida per gli sviluppatori di Amazon Cognito.

Quando crei un pool di utenti da utilizzare con OpenSearch Service, considera quanto segue:

• Il bacino d'utenza di Amazon Cognito deve avere un nome di dominio. OpenSearch Il servizio utilizza questo nome di dominio per reindirizzare gli utenti a una pagina di accesso per accedere alle dashboard. Oltre a un nome di dominio, il pool di utenti non richiede altre configurazioni non predefinite.

• È necessario specificare gli attributi standard obbligatori del pool, ovvero attributi come nome, data di nascita, indirizzo e-mail e numero di telefono. Poiché non puoi modificare questi attributi dopo che crei il pool di utenti, scegli quelli più importanti a questo punto.

• Durante la creazione del pool di utenti, scegli se gli utenti possono creare i propri account, la complessità minima delle password per gli account e se abilitare l'autenticazione a più fattori. Se prevedi di usare un provider di identità esterno, queste impostazioni non si escludono a vicenda. Tecnicamente, puoi abilitare il pool di utenti come provider di identità e abilitare un provider di identità esterno, ma la maggior parte degli utenti preferisce scegliere solo uno dei due approcci.

Gli ID pool di utenti hanno il formato region_ID. Se prevedi di utilizzare la AWS CLI o un AWS SDK per configurare il OpenSearch servizio, prendi nota dell'ID.

Informazioni sul pool di identità

I pool di identità permettono di assegnare ruoli temporanei con privilegi limitati agli utenti dopo che questi accedono. Per istruzioni su come creare un pool di identità, consultare Pool di identità nella Guida per gli sviluppatori di Amazon Cognito. Quando crei un pool di identità da utilizzare con OpenSearch Service, considera quanto segue:

• Se si utilizza la console Amazon Cognito, è necessario selezionare la casella di controllo Consenti l'accesso a identità non autenticate per creare il pool di identità. Dopo aver creato il pool di identità e configurato il dominio del OpenSearch servizio, Amazon Cognito disabilita questa impostazione.

• Non devi aggiungere provider di identità esterni al pool di identità. Quando configuri OpenSearch Service per utilizzare l'autenticazione Amazon Cognito, configura il pool di identità per utilizzare il pool di utenti che hai appena creato.

• Dopo aver creato il pool di identità, devi scegliere i ruoli IAM non autenticati e autenticati. Questi ruoli specificano le policy d'accesso associate agli utenti prima e dopo l'accesso. Se si utilizza la console Amazon Cognito, questa può creare i ruoli per conto dell'utente. Dopo aver creato il ruolo autenticato, annota l'ARN, che usa il formato arn:aws:iam::123456789012:role/Cognito_identitypoolnameAuth_Role.

Gli ID pool di identità hanno il formato region:ID-ID-ID-ID-ID. Se prevedi di utilizzare la AWS CLI o un AWS SDK per configurare il OpenSearch servizio, prendi nota dell'ID.

Informazioni sul ruolo CognitoAccessForAmazonOpenSearch

OpenSearch Il servizio richiede le autorizzazioni per configurare i pool di utenti e identità di Amazon Cognito e utilizzarli per l'autenticazione. È possibile utilizzareAmazonOpenSearchServiceCognitoAccess, che è una politica AWS gestita, per questo scopo. AmazonESCognitoAccessè una politica precedente che è stata sostituita da AmazonOpenSearchServiceCognitoAccess quando il servizio è stato rinominato Amazon OpenSearch Service. Entrambe le policy forniscono le autorizzazioni minime di Amazon Cognito necessarie per abilitare l'autenticazione Cognito. Per la policy JSON, consultare Console IAM.

Se utilizzi la console per creare o configurare il tuo dominio di OpenSearch servizio, questa crea per te un ruolo IAM e allega la AmazonOpenSearchServiceCognitoAccess policy (o la AmazonESCognitoAccess policy se si tratta di un dominio Elasticsearch) al ruolo. Il nome predefinito per questo ruolo è CognitoAccessForAmazonOpenSearch.

AmazonESCognitoAccessEntrambe le politiche AmazonOpenSearchServiceCognitoAccess relative alle autorizzazioni dei ruoli consentono a OpenSearch Service di completare le seguenti azioni su tutti i pool di identità e utenti:

• Operazione: cognito-idp:DescribeUserPool

• Operazione: cognito-idp:CreateUserPoolClient

• Operazione: cognito-idp:DeleteUserPoolClient

• Operazione: cognito-idp:UpdateUserPoolClient

• Operazione: cognito-idp:DescribeUserPoolClient

• Operazione: cognito-idp:AdminInitiateAuth

• Operazione: cognito-idp:AdminUserGlobalSignOut

• Operazione: cognito-idp:ListUserPoolClients

• Operazione: cognito-identity:DescribeIdentityPool

• Operazione: cognito-identity:SetIdentityPoolRoles

• Operazione: cognito-identity:GetIdentityPoolRoles

Se utilizzi lo AWS CLI o uno degli AWS SDK, devi creare il tuo ruolo, allegare la policy e specificare l'ARN per questo ruolo quando configuri il OpenSearch tuo dominio di servizio. Il ruolo deve avere la relazione di trust seguente:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "opensearchservice.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Per le istruzioni, consultare Creazione di un ruolo per delegare autorizzazioni a un servizio AWS e Collegamento e scollegamento di policy IAM nella Guida per l'utente di IAM.

Configurazione di un dominio per l'uso dell'autenticazione Amazon Cognito

Dopo aver completato i prerequisiti, puoi configurare un dominio di OpenSearch servizio per utilizzare Amazon Cognito for Dashboards.

Nota

Amazon Cognito non è disponibile in tutte le Regioni AWS. Per un elenco delle regioni e degli endpoint supportati, consultare Regioni AWS ed endpoint. Non è necessario utilizzare la stessa regione per Amazon Cognito utilizzata per OpenSearch Service.

Configurazione dell'autenticazione Amazon Cognito (console)

Poiché crea il CognitoAccessForAmazonOpenSearchruolo per te, la console offre l'esperienza di configurazione più semplice. Oltre alle autorizzazioni standard del OpenSearch Servizio, è necessario il seguente set di autorizzazioni per utilizzare la console per creare un dominio che utilizza l'autenticazione Amazon Cognito per le dashboard. OpenSearch

{
  "Version": "2012-10-17",
  "Statement": [{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeVpcs",
        "cognito-identity:ListIdentityPools",
        "cognito-idp:ListUserPools",
        "iam:CreateRole",
        "iam:AttachRolePolicy"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonOpenSearch"
    }
  ]
}

Per istruzioni per aggiungere autorizzazioni per un'identità (utente, gruppo di utenti o ruolo), consulta Aggiunta di autorizzazioni per identità IAM (console).

Se CognitoAccessForAmazonOpenSearch esiste già, è necessario un numero minore di autorizzazioni:

{
  "Version": "2012-10-17",
  "Statement": [{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeVpcs",
        "cognito-identity:ListIdentityPools",
        "cognito-idp:ListUserPools"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonOpenSearch"
    }
  ]
}

Come configurare l'autenticazione Amazon Cognito per Dashboards (console)

1. Apri la console di Amazon OpenSearch Service all'indirizzo https://console.aws.amazon.com/aos/home/.

2. In Domini, seleziona il dominio che desideri configurare.

3. Scegli Operazioni, quindi Modifica configurazione di sicurezza.

4. SelezionaAbilitare l'autenticazione Amazon Cognito.

5. Per Regione selezionare la Regione AWS che contiene il pool di utenti e il pool di identità di Amazon Cognito.

6. Per Bacino d'utenza Cognito, seleziona un pool di utenti o creane uno. Per le linee guida, consulta Informazioni sul bacino d'utenza.

7. Per Pool di identità Cognito, seleziona un pool di identità o creane uno. Per le linee guida, consulta Informazioni sul pool di identità.

   Nota

   I link Crea bacino d'utenza e Crea pool di identità reindirizzano alla console Amazon Cognito e richiedono la creazione manuale di queste risorse. Il processo non è automatico. Per ulteriori informazioni, consulta Prerequisiti.

8. Per Nome ruolo IAM, utilizza il valore di default CognitoAccessForAmazonOpenSearch (consigliato) o specifica un nuovo nome. Per ulteriori informazioni sullo scopo di questo ruolo, consultare Informazioni sul ruolo CognitoAccessForAmazonOpenSearch.

9. Sceglie Save changes (Salva modifiche).

Al termine dell'elaborazione del dominio, consulta Concessione del ruolo autenticato e Configurazione dei provider di identità per informazioni sulle altre fasi di configurazione.

Configurazione dell'autenticazione Amazon Cognito (AWS CLI)

Usa il --cognito-options parametro per configurare il tuo dominio OpenSearch di servizio. La sintassi seguente viene usata dai comandi create-domain e update-domain-config:

--cognito-options Enabled=true,UserPoolId="user-pool-id",IdentityPoolId="identity-pool-id",RoleArn="arn:aws:iam::123456789012:role/CognitoAccessForAmazonOpenSearch"

Esempio

Nell'esempio seguente viene creato un dominio nella regione us-east-1 che abilita l'autenticazione Amazon Cognito per Dashboards tramite il ruolo CognitoAccessForAmazonOpenSearch e fornisce a Cognito_Auth_Role l'accesso al dominio:

aws opensearch create-domain --domain-name my-domain --region us-east-1 --access-policies '{ "Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS": ["arn:aws:iam::123456789012:role/Cognito_Auth_Role"]},"Action":"es:ESHttp*","Resource":"arn:aws:es:us-east-1:123456789012:domain/*" }]}' --engine-version "OpenSearch_1.0" --cluster-config InstanceType=m4.xlarge.search,InstanceCount=1 --ebs-options EBSEnabled=true,VolumeSize=10 --cognito-options Enabled=true,UserPoolId="us-east-1_123456789",IdentityPoolId="us-east-1:12345678-1234-1234-1234-123456789012",RoleArn="arn:aws:iam::123456789012:role/CognitoAccessForAmazonOpenSearch"

Al termine dell'elaborazione del dominio, consulta Concessione del ruolo autenticato e Configurazione dei provider di identità per informazioni sulle altre fasi di configurazione.

Configurazione dell'autenticazione Amazon Cognito (SDK AWS)

Gli AWS SDK (eccetto gli SDK per Android e iOS) supportano tutte le operazioni definite nell'Amazon OpenSearch Service API Reference, incluso il CognitoOptions parametro per le operazioni CreateDomain andUpdateDomainConfig. Per ulteriori informazioni sull'installazione e sull'uso degli SDK AWS, consultare Software Development Kit AWS.

Al termine dell'elaborazione del dominio, consulta Concessione del ruolo autenticato e Configurazione dei provider di identità per informazioni sulle altre fasi di configurazione.

Concessione del ruolo autenticato

Per impostazione predefinita, il ruolo IAM autenticato che hai configurato seguendo le linee guida contenute Informazioni sul pool di identità non dispone dei privilegi necessari per accedere alle dashboard. OpenSearch Devi fornire al ruolo autorizzazioni aggiuntive.

Nota

Se hai configurato un controllo granulare degli accessi e utilizzi una policy di accesso aperta o basata su IP, puoi saltare questo passaggio.

È possibile includere queste autorizzazioni in una policy basata sull'identità, ma a meno che non si desideri che gli utenti autenticati abbiano accesso a tutti i domini di OpenSearch servizio, una policy basata sulle risorse collegata a un singolo dominio è l'approccio migliore.

Per Principal, specifica l'ARN del ruolo autenticato di Cognito che hai configurato con le linee guida in Informazioni sul pool di identità.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":[
               "arn:aws:iam::123456789012:role/Cognito_identitypoolnameAuth_Role"
            ]
         },
         "Action":[
            "es:ESHttp*"
         ],
         "Resource":"arn:aws:es:region:123456789012:domain/domain-name/*"
      }
   ]
}

Per istruzioni sull'aggiunta di una politica basata sulle risorse a un dominio di servizio, consulta. OpenSearch Configurazione delle policy di accesso

Configurazione dei provider di identità

Quando configuri un dominio per utilizzare l'autenticazione Amazon Cognito per dashboard, OpenSearch Service aggiunge un client di app al pool di utenti e aggiunge il pool di utenti al pool di identità come provider di autenticazione.

avvertimento

Non rinominare o eliminare il client app.

A seconda di come hai configurato il pool di utenti, potresti dover creare gli account utente manualmente oppure gli utenti potrebbero essere in grado di creare i propri account. Se queste impostazioni sono accettabili, non devi eseguire altre operazioni. Molte persone, tuttavia, preferiscono usare provider di identità esterni.

Per abilitare un provider di identità SAML 2.0, devi fornire un documento di metadati SAML. Per abilitare provider di identità social come Login with Amazon, Facebook e Google, devi ottenere un ID app e un segreto dell'app da questi provider. Puoi abilitare qualsiasi combinazione di provider di identità.

Il metodo più semplice per configurare il bacino d'utenza è usare la console Amazon Cognito. Per istruzioni, consultare Utilizzo della federazione da un bacino d'utenza e Specifica delle impostazioni del provider di identità per l'app del bacino d'utenza nella Guida per gli sviluppatori di Amazon Cognito.

(Facoltativo) Configurazione dell'accesso granulare

Le impostazioni di default del pool di identità assegnano a ogni utente che accede lo stesso ruolo IAM (Cognito_identitypoolAuth_Role) e questo significa che ogni utente può accedere alle stesse risorse AWS. Se, ad esempio, si desidera utilizzare il controllo granulare degli accessi con Amazon Cognito, ad esempio se si desidera che gli analisti dell'organizzazione abbiano accesso in sola lettura a diversi indici, ma gli sviluppatori abbiano accesso in scrittura a tutti gli indici, sono disponibili due opzioni:

• Puoi creare gruppi di utenti e configurare il provider di identità in modo da scegliere il ruolo IAM in base al token di autenticazione dell'utente (consigliato).

• Puoi configurare il provider di identità in modo da scegliere il ruolo IAM in base a uno o più ruoli.

Per una procedura dettagliata che include il controllo granulare degli accessi, consultare Tutorial: configurazione di un dominio con un utente master IAM e autenticazione Amazon Cognito.

Importante

Proprio come il ruolo di default, Amazon Cognito deve far parte della relazione di trust di ogni ruolo aggiuntivo. Per maggiori dettagli, consultare Creazione dei ruoli per la mappatura dei ruoli nella Guida per gli sviluppatori di Amazon Cognito.

Gruppi di utenti e token

Quando crei un gruppo di utenti, devi scegliere un ruolo IAM per i membri del gruppo. Per informazioni su come creare i gruppi, consultare Gruppi di utenti nella Guida per gli sviluppatori di Amazon Cognito.

Dopo aver creato uno o più gruppi di utenti, puoi configurare il provider di autenticazione in modo da assegnare agli utenti i ruoli dei rispettivi gruppi anziché il ruolo predefinito del pool di identità. Selezionare Scegli ruolo da token, quindi selezionare Usa ruolo autenticato predefinito o DENY per specificare il modo in cui il pool di identità gestisce gli utenti che non fanno parte di un gruppo.

Regolamento

Le regole sono essenzialmente una serie di istruzioni if che Amazon Cognito valuta in sequenza. Ad esempio, se l'indirizzo e-mail di un utente contiene @corporate, Amazon Cognito assegna all'utente il ruolo Role_A. Se l'indirizzo e-mail di un utente contiene @subsidiary, assegna all'utente il ruolo Role_B. In caso contrario, assegna all'utente il ruolo autenticato predefinito.

Per ulteriori informazioni, consultare Utilizzo della mappatura basata su regole per assegnare ruoli agli utenti nella Guida per gli sviluppatori di Amazon Cognito.

(Facoltativo) Personalizzazione della pagina di accesso

Puoi utilizzare la console Amazon Cognito per caricare un logo personalizzato e apportare modifiche CSS alla pagina di accesso. Per istruzioni e un elenco completo delle proprietà CSS, consultare Configurazione delle impostazioni di personalizzazione dell'interfaccia utente dell'app per il bacino d'utenza nella Guida per gli sviluppatori di Amazon Cognito.

(Facoltativo) Configurazione della sicurezza avanzata

I bacini d'utenza di Amazon Cognito supportano funzionalità di sicurezza avanzate quali l'autenticazione a più fattori, la verifica di credenziali compromesse e l'autenticazione adattiva. Per ulteriori informazioni, consultare Gestione della sicurezza nella Guida per gli sviluppatori di Amazon Cognito.

Test

Quando la configurazione sembra soddisfacente, verificare che l'esperienza utente soddisfi le aspettative.

Per accedere alle dashboard OpenSearch

1. Passare https://opensearch-domain/_dashboards in un Web browser. Per accedere direttamente a un tenant specifico, aggiungere ?security_tenant=tenant-name all'URL.

2. Accedere usando le credenziali preferite.

3. Dopo il caricamento di OpenSearch Dashboards, configura almeno un modello di indice. Dashboards usa questi modelli per identificare gli indici da analizzare. Immettere *, scegliere Next step (Fase successiva) e quindi Create index pattern (Crea modello di indice).

4. Per cercare o esplorare i dati, scegliere Discover (Individua).

Se qualsiasi fase di questo processo non riesce, consulta Problemi di configurazione comuni per informazioni sulla risoluzione dei problemi.

Quote

Amazon Cognito applica limiti flessibili a molte delle risorse. Se desideri abilitare l'autenticazione delle dashboard per un gran numero di domini di OpenSearch servizio, consulta Quotas in Amazon Cognito e richiedi l'aumento dei limiti, se necessario.

Ogni dominio OpenSearch di servizio aggiunge un client di app al pool di utenti, che aggiunge un provider di autenticazione al pool di identità. Se OpenSearch abiliti l'autenticazione Dashboards per più di 10 domini, potresti incontrare il limite del «numero massimo di provider del pool di utenti di Amazon Cognito per pool di identità». Se superi un limite, tutti i domini di OpenSearch servizio che tenti di configurare per utilizzare l'autenticazione Amazon Cognito per dashboard possono rimanere bloccati in uno stato di configurazione di Elaborazione.

Problemi di configurazione comuni

La tabella seguente elenca i problemi di configurazione più comuni e le relative soluzioni.

Servizio di configurazione OpenSearch
Problema	Soluzione
OpenSearch Service can't create the role (console)	Non devi avere le autorizzazioni IAM corrette. Aggiungi le autorizzazioni specificate in Configurazione dell'autenticazione Amazon Cognito (console).
User is not authorized to perform: iam:PassRole on resource CognitoAccessForAmazonOpenSearch (console)	Non disponi iam:PassRole delle autorizzazioni per il CognitoAccessForAmazonOpenSearchruolo. Collega la policy seguente al tuo account: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonOpenSearch" } ] } In alternativa, puoi collegare la policy IAMFullAccess.
User is not authorized to perform: cognito-identity:ListIdentityPools on resource	Non è necessario disporre di autorizzazioni di lettura per Amazon Cognito. Collega la policy AmazonCognitoReadOnly al tuo account.
An error occurred (ValidationException) when calling the CreateDomain operation: OpenSearch Service must be allowed to use the passed role	OpenSearch Il servizio non è specificato nella relazione di fiducia del CognitoAccessForAmazonOpenSearch ruolo. Controlla che il ruolo usi la relazione di trust specificata in Informazioni sul ruolo CognitoAccessForAmazonOpenSearch. In alternativa, per configurare l'autenticazione Amazon Cognito utilizzare la console. La console crea un ruolo per te.
An error occurred (ValidationException) when calling the CreateDomain operation: User is not authorized to perform: cognito-idp:action on resource: user pool	Il ruolo specificato in --cognito-options non ha le autorizzazioni per accedere ad Amazon Cognito. Verificare che al ruolo sia collegata la policy AmazonOpenSearchServiceCognitoAccess gestita da AWS. In alternativa, per configurare l'autenticazione Amazon Cognito utilizzare la console. La console crea un ruolo per te.
An error occurred (ValidationException) when calling the CreateDomain operation: User pool does not exist	OpenSearch Il servizio non riesce a trovare il pool di utenti. Conferma di averne creato uno e di avere l'ID corretto. Per trovare l'ID, è possibile usare la console Amazon Cognito o il seguente comando della AWS CLI: aws cognito-idp list-user-pools --max-results 60 --region region
An error occurred (ValidationException) when calling the CreateDomain operation: IdentityPool not found	OpenSearch Il servizio non riesce a trovare il pool di identità. Conferma di averne creato uno e di avere l'ID corretto. Per trovare l'ID, è possibile usare la console Amazon Cognito o il seguente comando della AWS CLI: aws cognito-identity list-identity-pools --max-results 60 --region region
An error occurred (ValidationException) when calling the CreateDomain operation: Domain needs to be specified for user pool	Il pool di utenti non ha un nome di dominio. È possibile configurarne uno tramite la console Amazon Cognito o con il seguente comando della AWS CLI: aws cognito-idp create-user-pool-domain --domain name --user-pool-id id

Accesso ai OpenSearch pannelli di controllo
Problema	Soluzione
La pagina di accesso non mostra i provider di identità preferiti.	Verifica di aver abilitato il provider di identità per il client dell'app OpenSearch Service come specificato inConfigurazione dei provider di identità.
La pagina di accesso non sembra associata all'organizzazione.	Consultare (Facoltativo) Personalizzazione della pagina di accesso.
Le credenziali di accesso non funzionano.	Verifica di aver configurato il provider di identità come indicato in Configurazione dei provider di identità. Se utilizzi il pool di utenti come provider di identità, verifica che l'account esista nella console Amazon Cognito.
OpenSearch Le dashboard non si caricano affatto o non funzionano correttamente.	Il ruolo autenticato con Amazon Cognito deve disporre delle autorizzazioni es:ESHttp* per il dominio (/*) per poter accedere e utilizzare Dashboards. Verifica di aver aggiungo una policy d'accesso come indicato in Concessione del ruolo autenticato.
Quando esco dai OpenSearch dashboard da una scheda, nelle schede rimanenti viene visualizzato un messaggio che indica che il token di aggiornamento è stato revocato.	Quando esci da una sessione di OpenSearch Dashboards mentre utilizzi l'autenticazione Amazon Cognito OpenSearch , Service esegue AdminUserGlobalSignOutun'operazione che ti disconnette da tutte le sessioni di Dashboards OpenSearch attive.
Invalid identity pool configuration. Check assigned IAM roles for this pool.	Amazon Cognito non dispone delle autorizzazioni per assumere il ruolo IAM per conto dell'utente autenticato. Modificare la relazione di trust per il ruolo per includere: { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Federated": "cognito-identity.amazonaws.com" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "cognito-identity.amazonaws.com:aud": "identity-pool-id" }, "ForAnyValue:StringLike": { "cognito-identity.amazonaws.com:amr": "authenticated" } } }] }
Token is not from a supported provider of this identity pool.	Questo errore poco comune può verificarsi quando rimuovi il client app dal pool di utenti. Provare ad aprire Dashboards in una nuova sessione del browser.

Disattivazione dell'autenticazione Amazon Cognito per dashboard OpenSearch

Usa la procedura seguente per disabilitare l'autenticazione Amazon Cognito per Dashboards.

Come disabilitare l'autenticazione Amazon Cognito per Dashboards (console)

1. Apri la console di Amazon OpenSearch Service all'indirizzo https://console.aws.amazon.com/aos/home/.

2. In Domini, scegli il dominio che desideri configurare.

3. Scegli Operazioni, quindi Modifica configurazione di sicurezza.

4. Deselezionare Abilita autenticazione Amazon Cognito.

5. Sceglie Save changes (Salva modifiche).

Importante

Se il bacino d'utenza e il pool di identità di Amazon Cognito non sono più necessari, è possibile eliminarli. Altrimenti, continuano a esserti addebitati i costi.

Eliminazione di domini che utilizzano l'autenticazione Amazon Cognito per dashboard OpenSearch

Per evitare che i domini che utilizzano l'autenticazione Amazon Cognito per dashboard rimangano bloccati in uno stato di configurazione di Elaborazione, OpenSearch elimina i domini di servizio prima di eliminare i pool di utenti e identità di Amazon Cognito associati.