Amazon CognitoKibana の 認証 - Amazon Elasticsearch Service

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Amazon CognitoKibana の 認証

Amazon Elasticsearch Service は、Amazon Cognito for Kibana 認証をサポートしています。この機能はオプションであり、Elasticsearch 5.1 以降を使用しているドメインでのみ使用できます。認証を設定しない場合でも、Amazon CognitoIP ベースのアクセスポリシープロキシサーバー、HTTP 基本認証、または SAML を使用して Kibana を保護することができます。

認証プロセスの多くは Amazon Cognito で発生しますが、このセクションでは、Amazon Cognito リソースを Amazon ES ドメインで使用するように設定するためのガイドラインと要件を示します。すべての リソースに標準の料金Amazon Cognitoが適用されます。

ヒント

Kibana の Amazon Cognito 認証を使用するようにドメインを初めて設定するときは、コンソールを使用することをお勧めします。Amazon Cognito​ リソースは高度にカスタマイズ可能であり、コンソールにより、該当する機能を識別して理解しやすくなります。

Prerequisites

Kibana の Amazon Cognito 認証を設定する前に、いくつかの前提条件を満たす必要があります。Amazon ES コンソールは、これらのリソースの作成の効率化を支援しますが、各リソースの目的を理解すると、設定およびトラブルシューティングに役立ちます。Kibana の Amazon Cognito​ 認証では、次のリソースが必要になります。

  • Amazon Cognito ユーザープール

  • Amazon Cognito ID プール

  • IAM ポリシーがアタッチされた AmazonESCognitoAccess ロール (CognitoAccessForAmazonES)

注記

ユーザープールと ID プールは、同じ AWS リージョンに存在している必要があります。同じユーザープール、ID プール、および IAM ロールを使用して、Kibana の Amazon Cognito 認証を複数の Amazon ES ドメインに追加できます。詳細については、「」を参照してください。Limits.

ユーザープールについて

ユーザープールには、次の 2 つの主要な機能があります。それらは、ユーザーのディレクトリを作成および管理する機能と、ユーザーによるサインアップとログインを許可する機能です。ユーザープールを作成する手順については、https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.htmlの「Amazon Cognito 開発者ガイドユーザープールを作成する.」を参照してください。

Amazon ES で使用するユーザープールを作成するときは、以下の点を考慮します。

  • ユーザープールにはAmazon Cognitoドメイン名が必要です。 はこのドメイン名を使用して、Kibana にアクセスするためのログインページにユーザーをリダイレクトします。Amazon ESユーザープールには、ドメイン名以外に、デフォルト以外の設定は必要ありません。

  • プールの必須の標準属性 — 名前、生年月日、E メールアドレス、電話番号などの属性を指定する必要があります。ユーザープールの作成後にこれらの属性を変更することはできないため、この時点で関連するものを選択します。

  • ユーザープールを作成する際に、ユーザーが自分のアカウントを作成できるかどうか、アカウントのパスワードの最低強度、多要素認証を有効にするかどうかを選択します。外部 ID プロバイダを使用する予定がある場合、これらの設定は重要ではありません。技術的には、ユーザープールを ID プロバイダーとして有効にし、さらに外部 ID プロバイダーを有効にすることができますが、ほとんどのユーザーはどちらか一方を希望します。

ユーザープール IDs の形式は region_ID です。 AWS CLI または AWS SDK を使用して Amazon ES を設定する計画の場合は、ID をメモしておきます。

ID プールについて

ID プールにより、ユーザーのログイン後に、権限の制限された一時的なロールをユーザーに割り当てることができます。ID プールを作成する手順については、https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.htmlの「Amazon Cognito 開発者ガイドID プール.」を参照してください。Amazon ES で使用する ID プールを作成するときは、以下の点を考慮します。

  • コンソールを使用する場合は、[Amazon Cognito認証されていない ID に対してアクセスを有効にする] チェックボックスをオンにして、ID プールを作成する必要があります。ID プールを作成し、 ドメインを設定Amazon ESすると、 によりこの設定は無効になります。Amazon Cognito

  • ID プールに外部 ID プロバイダを追加する必要はありません。Amazon ES 認証を使用するように Amazon Cognito を設定すると、先ほど作成したユーザープールを使用するように ID プールが設定されます。

  • ID プールを作成した後、認証されていない IAM ロールと認証された IAM ロールを選択する必要があります。これらのロールにより、ログイン前およびログイン後にユーザーに与えられるアクセスポリシーが指定されます。Amazon Cognito コンソールを使用する場合は、これらのロールを自動的に作成できます。認証されたロールを作成した後に、ARN を書き留めます。この形式は です。arn:aws:iam::123456789012:role/Cognito_identitypoolAuth_Role.

ID プール IDs の形式は region:ID-ID-ID-ID-ID です。 AWS CLI または AWS SDK を使用して Amazon ES を設定する計画の場合は、ID をメモしておきます。

ロールについてCognitoAccessForAmazonES

Amazon ES には、Amazon Cognito ユーザーおよび ID プールを設定し、認証のためにそれらを使用するためのアクセス権限が必要です。AmazonESCognitoAccess を使用できます。これは、この目的のための AWS 管理ポリシーです。コンソールを使用して Amazon ES ドメインを作成または設定する場合、IAM ロールが作成され、このポリシーがロールにアタッチされます。このロールのデフォルト名は です。CognitoAccessForAmazonES.

またはいずれかの AWS AWS CLI を使用する場合は、独自のロールを作成し、ポリシーをアタッチして、SDKs ドメインを設定するときに、このロールの ARN を指定する必要があります。Amazon ESロールには、次の信頼関係が必要です。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "es.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

手順については、https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.htmlの「AWS のサービスにアクセス許可を委任するロールの作成」および「IAM ユーザーガイドIAM ポリシーをアタッチおよびデタッチする.」を参照してください。

Amazon ES ドメインの設定

前提条件を完了したら、Kibana に Amazon ES を使用するように Amazon Cognito ドメインを設定できます。

注記

Amazon Cognito は、一部の AWS リージョンでは使用できません。サポートされるリージョンのリストについては、「AWS のリージョンとエンドポイント.」を参照してください。Amazon Cognito に使用する Amazon ES. に対して異なるリージョンを使用してもかまいません。

Amazon Cognito 認証の設定 (コンソール)

コンソールによって CognitoAccessForAmazonES ロールが作成されるため、コンソールの設定は最もシンプルになっています。コンソールを使用して、Kibana で Amazon ES 認証を使用するドメインを作成するには、標準の Amazon Cognito アクセス許可に加えて、次のアクセス許可セットが必要です。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole", "iam:CreateRole", "iam:AttachRolePolicy", "ec2:DescribeVpcs", "cognito-identity:ListIdentityPools", "cognito-idp:ListUserPools" ], "Resource": "*" } ] }

CognitoAccessForAmazonES がすでに存在する場合、必要なアクセス許可は少なくなります。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "cognito-identity:ListIdentityPools", "cognito-idp:ListUserPools" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/CognitoAccessForAmazonES" } ] }

Kibana の Amazon Cognito 認証を設定するには (コンソール)

  1. https://aws.amazon.com にアクセスし、[Sign In to the Console.] を選択します。

  2. 分析] で、[Elasticsearch Service.] を選択します。

  3. ナビゲーションペインの [My domains (マイドメイン)] で、設定するドメインを選択します。

  4. [Actions]、[Modify authentication] の順に選択します。

  5. Amazon Cognito authentication (Amazon Cognito 認証)] で、[Enable Amazon Cognito authentication (Amazon Cognito 認証の有効化).] を選択します。

  6. [リージョン] で、Amazon Cognito ユーザープールと ID プールが含まれているリージョンを選択します。

  7. [Cognito ユーザープール] で、ユーザープールを選択または作成します。ガイダンスについては、「」を参照してください。ユーザープールについて.

  8. [Cognito ID プール] で、ID プールを選択するか、ID プールを作成します。ガイダンスについては、「」を参照してください。ID プールについて.

    注記

    [Create new user pool] および [Create new identity pool] リンクから Amazon Cognito コンソールに移動したら、これらのリソースを手動で作成する必要があります。このプロセスは自動的には行われません。詳細については、「」を参照してください。Prerequisites.

  9. [IAM ロール] で、デフォルト値の CognitoAccessForAmazonES を使用するか (推奨)、新しい名前を入力します。このロールの目的の詳細については、「」を参照してください。ロールについてCognitoAccessForAmazonES.

  10. Submit.] を選択します。

ドメインによる処理が終了したら、追加の設定ステップについて「認証されたロールの許可」および「ID プロバイダの設定」を参照してください。

Amazon Cognito 認証の設定 (AWS CLI)

--cognito-options パラメータを使用して、Amazon ES ドメインを設定します。create-elasticsearch-domain コマンドと update-elasticsearch-domain-config コマンドの両方で次の構文が使用されます。

--cognito-options Enabled=true,UserPoolId="user-pool-id",IdentityPoolId="identity-pool-id",RoleArn="arn:aws:iam::123456789012:role/CognitoAccessForAmazonES"

次の例では、us-east-1 ロールを使用して、Kibana で Amazon Cognito 認証を有効にするドメインを CognitoAccessForAmazonES リージョンで作成し、Cognito_Auth_Role: へのドメインアクセスを提供します。

aws es create-elasticsearch-domain --domain-name my-domain --region us-east-1 --access-policies '{ "Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS": ["arn:aws:iam::123456789012:role/Cognito_Auth_Role"]},"Action":"es:ESHttp*","Resource":"arn:aws:es:us-east-1:123456789012:domain/*" }]}' --elasticsearch-version "6.0" --elasticsearch-cluster-config InstanceType=m4.xlarge.elasticsearch,InstanceCount=1 --ebs-options EBSEnabled=true,VolumeSize=10 --cognito-options Enabled=true,UserPoolId="us-east-1_123456789",IdentityPoolId="us-east-1:12345678-1234-1234-1234-123456789012",RoleArn="arn:aws:iam::123456789012:role/CognitoAccessForAmazonES"

ドメインによる処理が終了したら、追加の設定ステップについて「認証されたロールの許可」および「ID プロバイダの設定」を参照してください。

認証の設定 (AWS Amazon Cognito)SDKs

AWS SDKs (Android および iOS SDKs を除く) は、Amazon Elasticsearch Service 設定 API リファレンス および CognitoOptions オペレーションの CreateElasticsearchDomain パラメータを含む、UpdateElasticsearchDomainConfig で定義されたすべてのオペレーションをサポートします。AWS SDKs のインストールと使用の詳細については、「AWS Software Development Kits」を参照してください。

ドメインによる処理が終了したら、追加の設定ステップについて「認証されたロールの許可」および「ID プロバイダの設定」を参照してください。

認証されたロールの許可

デフォルトでは、「ID プールについて」のガイドラインに従って設定された、認証された IAM ロールには、Kibana にアクセスするために必要な権限がありません。追加のアクセス権限を持つロールを提供する必要があります。

これらのアクセス許可はアイデンティティベースのポリシーに含めることができますが、認証されたユーザーによるすべての Amazon ES ドメインへのアクセスを許可する場合を除いて、リソースベースのポリシーを 1 つのドメインにアタッチすることをお勧めします。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:role/Cognito_identitypoolAuth_Role" ] }, "Action": [ "es:ESHttp*" ], "Resource": "arn:aws:es:region:123456789012:domain/domain-name/*" } ] }

リソースベースのポリシーを Amazon ES ドメインに追加する手順については、「アクセス ポリシーの設定.」を参照してください。

ID プロバイダの設定

Kibana で Amazon Cognito 認証を使用するようにドメインを設定すると、Amazon ES はユーザープールにアプリクライアントを追加し、認証プロバイダーとして ID プールにユーザープールを追加します。次のスクリーンショットは、 コンソールの [アプリクライアントの設定Amazon Cognito] ページを示しています。


                Amazon Cognitoアプリクライアントの設定が表示された  コンソール
警告

アプリクライアントを名前変更または削除しないでください。

ユーザープールの設定方法に応じて、ユーザーアカウントを手動で作成する必要がある場合や、ユーザーが自分のアカウントを作成できる場合があります。これらの設定で問題ない場合は、それ以上アクションを実行する必要はありません。ただし、多くのユーザーが、外部 ID プロバイダの使用を希望します。

SAML 2.0 ID プロバイダを有効にするには、SAML メタデータドキュメントを提供する必要があります。Login with Amazon、Facebook、Google などのソーシャル ID プロバイダを有効にするには、これらのプロバイダからのアプリ ID とアプリシークレットが必要です。ID プロバイダの任意の組み合わせを有効にすることができます。以下のスクリーンショットに示すように、サインインページでは、プロバイダを追加するためのオプションが表示されます。


                複数のオプションがあるサインインページ

ユーザープールを設定する最も簡単な方法は、Amazon Cognito コンソールを使用することです。[ID プロバイダー] ページを使用して外部 ID プロバイダーを追加し、[アプリクライアントの設定] ページを使用して Amazon ES ドメインのアプリクライアントの ID プロバイダーを有効または無効にします。たとえば、独自の SAML ID プロバイダーを有効にし、ID プロバイダーとして [Cognito ユーザープール] を無効にすることができます。

手順については、https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-identity-federation.htmlの「ユーザープールのフェデレーションを使用する」および「Amazon Cognito 開発者ガイドユーザープールアプリの ID プロバイダ設定を指定する.」を参照してください。

(オプション) きめ細かなアクセスの設定

デフォルトの ID プール設定により、同じ IAM ロール (Cognito_identitypoolAuth_Role) が、ログインするすべてのユーザーが割り当てられることにお気づきかもしれません。これは、すべてのユーザーが同じ AWS リソースにアクセスできることを意味します。できめ細かなアクセスコントロールを使用する場合、たとえば、組織のアナリストに複数のインデックスへの読み取り専用アクセスを許可し、開発者にはすべてのインデックスへの書き込みアクセスを許可する場合Amazon Cognitoに 2 つのオプションがあります。——

  • ユーザーグループを作成し、ユーザーの認証トークンに基づいて IAM ロールを選択するように ID プロバイダを設定する (推奨)。

  • 1 つ以上のルールに基づいて IAM ロールを選択するように ID プロバイダを設定する。

これらのオプションを設定するには、次のスクリーンショットに示すように、 コンソールの [ID プールの編集Amazon Cognito] ページを使用します。きめ細かなアクセスコントロールを含むチュートリアルについては、「」を参照してください。チュートリアル: IAM マスターユーザーと Amazon Cognito.


                認証プロバイダのロールオプション
重要

デフォルトロールと同様に、Amazon Cognito は追加の各ロールの信頼関係に含まれている必要があります。詳細については、https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html#creating-roles-for-role-mapping の「ロールマッピング用のロールの作成Amazon Cognito 開発者ガイド」を参照してください。

ユーザーグループとトークン

ユーザーグループを作成するときは、グループのメンバー用の IAM ロールを選択します。グループ作成の詳細については、https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-user-groups.htmlの「Amazon Cognito 開発者ガイドユーザーグループ.」を参照してください。

1 つ以上のユーザーグループを作成した後、ID プールのデフォルトロールではなく、グループのロールをユーザーに割り当てるように認証プロバイダを設定できます。[トークンからロールを選択する] オプションを選択します。次に、[デフォルトの認証されたロールを使用する] または [拒否] を選択して、ID プールでのグループの一部ではないユーザーの処理方法を指定します。

Rules

基本的に、ルールは if が順番に評価する一連の Amazon Cognito ステートメントです。たとえば、ユーザーの E メールアドレスに @corporate が含まれる場合、Amazon Cognito はそのユーザーに Role_A を割り当てます。 ユーザーの E メールアドレスに @subsidiary が含まれる場合、そのユーザーに Role_B が割り当てられます。 それ以外の場合は、デフォルトの認証されたロールがユーザーに割り当てられます。

詳細については、https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html#using-rules-to-assign-roles-to-usersの「Amazon Cognito 開発者ガイドルールベースのマッピングを使用してユーザーにロールを割り当てる.」を参照してください。

(オプション) サインインページのカスタマイズ

コンソールの [UI のカスタマイズ] ページでは、カスタムロゴをアップロードし、サインインページで CSS の変更を行うことができます。Amazon Cognito手順および CSS プロパティの一覧については、https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-app-ui-customization.htmlの「Amazon Cognito 開発者ガイドユーザープールのアプリ UI カスタマイズ設定の指定.」を参照してください。

(省略可能) アドバンスドセキュリティを設定する

Amazon Cognito ユーザープールでは、多要素認証、侵害された認証情報の確認、およびアダプティブ認証などの高度なセキュリティ機能がサポートされています。詳細については、https://docs.aws.amazon.com/cognito/latest/developerguide/managing-security.htmlの「Amazon Cognito 開発者ガイドセキュリティの管理.」を参照してください。

Testing

設定に問題がなければ、ユーザーエクスペリエンスが期待どおりであることを確認します。

Kibana にアクセスするには

  1. ウェブブラウザで https://elasticsearch-domain/_plugin/kibana/ にアクセスします。

  2. 任意の認証情報を使用してサインインします。

  3. Kibana がロードされたら、少なくとも 1 つのインデックスパターンを設定します。Kibana は、そのパターンを使用して、どのインデックスを分析するかを特定します。*」と入力し、[次のステップ]、[Create index pattern (インデックスパターンの作成).] の順に選択します。

  4. データを検索または調査するには、[検出.] を選択します。

このプロセスのいずれかのステップが失敗した場合は、トラブルシューティング情報について、「一般的な設定の問題」を参照してください。

Limits

Amazon Cognito には、そのリソースの多くでソフト制限があります。多数の Amazon ES ドメインに対して Kibana 認証を有効にする場合は、必要に応じて における制限Amazon Cognitoと制限の引き上げのリクエストについて確認してください。

各 Amazon ES ドメインでは、アプリクライアントがユーザープールに追加されます。これにより、認証プロバイダが ID プールに追加されます。10 を超えるドメインに対して Kibana 認証を有効にすると、「ID プールあたりの Amazon Cognito の最大ユーザープールプロバイダ数」の制限が適用されることがあります。制限を超えた場合、Kibana の Amazon ES 認証を使用する設定を試みている Amazon Cognito ドメインが、[処理中.] の設定状態でスタックする可能性があります。

一般的な設定の問題

一般的な設定の問題と解決策を、以下の表に示します。

の設定Amazon ES
問題 ソリューション

Amazon ES can't create the role (コンソール)

適切な IAM アクセス許可がありません。」で指定されたアクセス許可を追加します。Amazon Cognito 認証の設定 (コンソール).

User is not authorized to perform: iam:PassRole on resource CognitoAccessForAmazonES (コンソール)

ロールの iam:PassRole アクセス許可がありません。CognitoAccessForAmazonES次のポリシーをアカウントにアタッチします:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonES" } ] }

または、IAMFullAccess ポリシーをアタッチできます。

User is not authorized to perform: cognito-identity:ListIdentityPools on resource

の読み取りアクセス許可がありません。Amazon Cognito. AmazonCognitoReadOnly ポリシーをアカウントにアタッチします。

An error occurred (ValidationException) when calling the CreateElasticsearchDomain operation: Amazon Elasticsearch must be allowed to use the passed role

Amazon ES が CognitoAccessForAmazonES ロールの信頼関係で指定されていません。ロールで、「」で指定された信頼関係が使用されていることを確認します。ロールについてCognitoAccessForAmazonES. または、コンソールを使用して Amazon Cognito 認証を設定します。コンソールによってロールが作成されます。

An error occurred (ValidationException) when calling the CreateElasticsearchDomain operation: User is not authorized to perform: cognito-idp:action on resource: user pool

--cognito-options で指定されたロールに、Amazon Cognito. にアクセスする権限がありません。このロールに、AWS が管理する AmazonESCognitoAccess ポリシーがアタッチされていることを確認します。または、コンソールを使用して Amazon Cognito 認証を設定します。コンソールによってロールが作成されます。
An error occurred (ValidationException) when calling the CreateElasticsearchDomain operation: User pool does not exist

Amazon ES はユーザープールを見つけることができません。ユーザープールを作成し、正しい ID が設定されていることを確認します。ID を見つけるには、Amazon Cognito コンソールまたは次の AWS CLI コマンドを使用できます。

aws cognito-idp list-user-pools --max-results 60 --region region

An error occurred (ValidationException) when calling the CreateElasticsearchDomain operation: IdentityPool not found

Amazon ES は ID プールを見つけることができません。ユーザープールを作成し、正しい ID が設定されていることを確認します。ID を見つけるには、Amazon Cognito コンソールまたは次の AWS CLI コマンドを使用できます。

aws cognito-identity list-identity-pools --max-results 60 --region region

An error occurred (ValidationException) when calling the CreateElasticsearchDomain operation: Domain needs to be specified for user pool

ユーザープールにドメイン名がありません。Amazon Cognito コンソールまたは次の AWS CLI コマンドを使用して、ドメイン名を設定できます。
aws cognito-idp create-user-pool-domain --domain name --user-pool-id id
Kibana へのアクセス
問題 ソリューション
目的の ID プロバイダがログインページに表示されない。

Amazon ES」で指定したように、ID プロバイダの設定. アプリクライアントで ID プロバイダが有効になっていることを確認します。

ログインページが、組織に関連付けられているように見えない。

」を参照してください。(オプション) サインインページのカスタマイズ.

ログイン認証情報が受け入れられない。

」で指定したように ID プロバイダを設定したことを確認します。ID プロバイダの設定.

ID プロバイダとしてユーザープールを使用している場合は、アカウントが存在していること、および コンソールの [User and groups (ユーザーとグループ)Amazon Cognito] ページで確認されていることを確かめます。

Kibana がまったくロードされないか、正しく動作しない。

Amazon Cognito の認証されたロールでは、ドメイン (es:ESHttp*) が Kibana にアクセスして使用するためには、/* アクセス権限が必要です。」で指定したように、アクセスポリシーを追加したことを確認します。認証されたロールの許可.

Invalid identity pool configuration. Check assigned IAM roles for this pool. Amazon Cognito には、認証されたユーザーに代わって IAM ロールを引き受けるアクセス許可がありません。ロールの信頼関係を変更して、以下を含めます。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Federated": "cognito-identity.amazonaws.com" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "cognito-identity.amazonaws.com:aud": "identity-pool-id" }, "ForAnyValue:StringLike": { "cognito-identity.amazonaws.com:amr": "authenticated" } } }] }
Token is not from a supported provider of this identity pool. ユーザープールからアプリクライアントを削除すると、この一般的でないエラーが発生する可能性があります。新しいブラウザセッションで Kibana を開いてみます。

Kibana の Amazon Cognito 認証の無効化

Kibana の Amazon Cognito 認証を無効にするには、次の手順を使用します。

Kibana の Amazon Cognito 認証を無効にするには (コンソール)

  1. https://aws.amazon.com にアクセスし、[Sign In to the Console.] を選択します。

  2. 分析] で、[Elasticsearch Service.] を選択します。

  3. ナビゲーションペインの [My domains (マイドメイン)] で、設定するドメインを選択します。

  4. [Actions]、[Modify authentication] の順に選択します。

  5. [Amazon Cognito Amazon Cognito] で、[Enable Amazon Cognito Amazon Cognito] チェックボックスをオフにします。

  6. Submit.] を選択します。

重要

Amazon Cognito ユーザープールと ID プールが不要になった場合は、それらを削除します。削除しなかった場合は、利用料金が引き続き発生します。

Kibana に Amazon Cognito 認証を使用するドメインの削除

Kibana に Amazon Cognito 認証を使用するドメインが設定状態 [Processing (処理中)] で止まらないようにするには、関連する Amazon ES ユーザープールと ID プールを削除する前に ドメインを削除します。Amazon Cognito