Autenticação do Amazon Cognito para o Kibana - Amazon Elasticsearch Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autenticação do Amazon Cognito para o Kibana

O Amazon Elasticsearch Service oferece suporte a Amazon Cognito para autenticação do Kibana. Esse recurso é opcional e disponível apenas para domínios que usam o Elasticsearch 5.1 ou posterior. Se você não configurar a autenticação do Amazon Cognito, ainda poderá proteger o Kibana usando uma política de acesso baseada em IP e um servidor de proxy, autenticação básica HTTP ou SAML.

Grande parte do processo de autenticação ocorre no Amazon Cognito, mas esta seção oferece diretrizes e requisitos para configurar recursos do Amazon Cognito para trabalhar com domínios do Amazon ES. A definição de preço padrão se aplica a todos os recursos do Amazon Cognito.

dica

Na primeira vez que você configurar um domínio para usar a autenticação do Amazon Cognito para o Kibana, recomendamos usar o console. Os recursos do Amazon Cognito são extremamente personalizáveis, e o console pode ajudar você a identificar e compreender os recursos que são importantes para você.

Prerequisites

Antes de configurar a autenticação do Amazon Cognito para o Kibana, você deve atender a vários pré-requisitos. O console do Amazon ES ajuda a simplificar a criação desses recursos, mas compreender a finalidade de cada recurso ajuda na configuração e na solução de problemas. A autenticação do Amazon Cognito para o Kibana requer os seguintes recursos:

nota

Os grupos de usuários e identidades devem estar na mesma região da AWS. Você pode usar o mesmo grupo de usuários, grupo de identidades e a função do IAM para adicionar a autenticação do Amazon Cognito para o Kibana para vários domínios do Amazon ES. Para saber mais, consulte Limits.

Sobre o grupo de usuários

Os grupos de usuários têm dois recursos principais: criar e gerenciar um diretório de usuários e permitir que os usuários se cadastrem e façam login. Para obter instruções sobre como criar um grupo de usuários, consulte Criar um grupo de usuários no Guia do desenvolvedor do Amazon Cognito.

Ao criar um grupo de usuários para usar com o Amazon ES, considere o seguinte:

  • O grupo de usuários do Amazon Cognito deve ter um nome de domínio. O Amazon ES usa esse nome de domínio para redirecionar os usuários para uma página de login para acessar o Kibana. Além de um nome de domínio, o grupo de usuários não exige qualquer configuração não padrão.

  • Você deve especificar os atributos padrão necessários do grupo — como nome, data de nascimento, endereço de e-mail e número de telefone. Você não pode alterar esses atributos depois de criar o grupo de usuários. Portanto, escolha os atributos importantes para você neste momento.

  • Ao criar seu grupo de usuários, escolha se os usuários podem criar suas próprias contas, a segurança mínima da senha para contas e se deseja habilitar a autenticação multifator. Se você planeja usar um provedor de identidade externo, essas configurações são não têm qualquer consequência. Tecnicamente, você pode habilitar o grupo de usuários como um provedor de identidade e habilitar um provedor de identidade externo, mas a maioria das pessoas prefere um ou o outro.

O grupo de usuários IDs assume a forma de region_ID. Se você planeja usar a CLI da AWS ou um SDK da AWS para configurar o Amazon ES, anote o ID.

Sobre o grupo de identidades

Os grupos de identidades permitem que você atribua funções temporárias e de privilégio limitado a usuários depois que eles fazem login. Para obter instruções sobre como criar um grupo de identidades, consulte Grupos de identidades no Guia do desenvolvedor do Amazon Cognito. Ao criar um grupo de identidades para usar com o Amazon ES, considere o seguinte:

  • Se você usar o console do Amazon Cognito, deve marcar a caixa de seleção Enable access to unauthenticated identities (Permitir acesso a identidades não autenticadas) para criar o grupo de identidades. Depois que você criar o grupo de identidades e configurar o domínio do Amazon ES, o Amazon Cognito desabilitará essa configuração.

  • Você não precisa adicionar provedores de identidade externos ao grupo de identidades. Quando você configurar o Amazon ES para usar a autenticação do Amazon Cognito, ele configurará o grupo de identidades para usar o grupo de usuários que você acabou de criar.

  • Depois de criar o grupo de identidades, você deve escolher as funções do IAM autenticadas e não autenticadas. Essas funções especificam as políticas de acesso que os usuários têm antes e depois de fazer login. Se você usar o console do Amazon Cognito ele poderá criar essas funções para você. Depois de criar a função autenticada, anote o nome de recurso da Amazon (ARN), que tem o formato de arn:aws:iam::123456789012:role/Cognito_identitypoolAuth_Role.

O grupo de identidades IDs assume a forma de region:ID-ID-ID-ID-ID. Se você planeja usar a CLI da AWS ou um SDK da AWS para configurar o Amazon ES, anote o ID.

Sobre a função doCognitoAccessForAmazonES

O Amazon ES precisa de permissões para configurar os usuários do Amazon Cognito e os grupos de identidades e usá-los para autenticação. Você pode usar a política AmazonESCognitoAccess, que é uma política gerenciada pela AWS para essa finalidade. Se você usar o console para criar ou configurar o domínio do Amazon ES, ele criará uma função do IAM para você e anexará essa política à função. O nome padrão desta função é CognitoAccessForAmazonES.

Se você usar a AWS CLI ou uma das SDKs da AWS, deverá criar sua própria função, anexar a política e especificar o ARN dessa função ao configurar o domínio do Amazon ES. A função deve ter a seguinte relação de confiança:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "es.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Para obter instruções, consulte Como criar uma função para delegar permissões a um serviço da AWS e Como anexar e desanexar políticas do IAM no Guia do usuário do IAM.

Configuração de um domínio do Amazon ES

Depois de concluir os pré-requisitos, você pode configurar um domínio do Amazon ES para usar o Amazon Cognito para o Kibana.

nota

O Amazon Cognito não está disponível em todas as regiões da AWS. Para obter uma lista de regiões compatíveis, consulte Regiões e endpoints da AWS. Não é necessário usar a mesma região que você usa para o Amazon ES para o Amazon Cognito.

Como configurar a autenticação do Amazon Cognito (console)

Como ele cria a função CognitoAccessForAmazonES para você, o console oferece a experiência de configuração mais simples. Além das permissões padrão do Amazon ES, você precisa do seguinte conjunto mínimo de permissões para usar o console para criar um domínio que usa a autenticação do Amazon Cognito para o Kibana:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole", "iam:CreateRole", "iam:AttachRolePolicy", "ec2:DescribeVpcs", "cognito-identity:ListIdentityPools", "cognito-idp:ListUserPools" ], "Resource": "*" } ] }

Se CognitoAccessForAmazonES já existir, você precisará de menos permissões:

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "cognito-identity:ListIdentityPools", "cognito-idp:ListUserPools" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/CognitoAccessForAmazonES" } ] }

Para configurar a autenticação do Amazon Cognito para o Kibana (console)

  1. Acesse https://aws.amazon.com e escolha Sign In to the Console (Faça login no console).

  2. Em Analytics, escolha Elasticsearch Service.

  3. No painel de navegação, em My domains, escolha o domínio que você deseja configurar.

  4. Selecione Edit domain (Editar domínio).

  5. Em Amazon Cognito authentication (Autenticação do Amazon Cognito), escolha Enable Amazon Cognito authentication (Habilitar autenticação do Amazon Cognito).

  6. Em Region (Região), selecione a região que contenha o grupo de usuários e o grupo de identidades do Amazon Cognito.

  7. Em Cognito User Pool (Grupo de usuários do Cognito), selecione um grupo de usuários ou crie um. Para obter orientações, consulte Sobre o grupo de usuários.

  8. Em Cognito Identity Pool (Grupo de identidades do Cognito), selecione um grupo de identidades ou crie um. Para obter orientações, consulte Sobre o grupo de identidades.

    nota

    Os links Create new user pool (Criar grupo de usuários) e Create new identity pool (Criar grupo de identidades) direcionam você para o console do Amazon Cognito e exigem que você crie esses recursos manualmente. O processo não é automático. Para saber mais, consulte Prerequisites.

  9. Em IAM Role (Função do IAM), use o valor padrão de CognitoAccessForAmazonES (recomendado) ou insira um novo nome. Para saber mais sobre o propósito desta função, consulte Sobre a função doCognitoAccessForAmazonES.

  10. Selecione Submit (Enviar).

Depois que o seu domínio concluir o processamento, consulte Permitir a função autenticada e Configurar provedores de identidade para ver as etapas de configuração adicionais.

Como configurar a autenticação do Amazon Cognito (AWS CLI)

Use o parâmetro --cognito-options para configurar o domínio do Amazon ES. A sintaxe a seguir é usada pelos comandos create-elasticsearch-domain e update-elasticsearch-domain-config:

--cognito-options Enabled=true,UserPoolId="user-pool-id",IdentityPoolId="identity-pool-id",RoleArn="arn:aws:iam::123456789012:role/CognitoAccessForAmazonES"

Exemplo

O exemplo a seguir cria um domínio na região us-east-1 que habilita a autenticação do Amazon Cognito para o Kibana usando a função CognitoAccessForAmazonES e fornece acesso ao domínio para Cognito_Auth_Role:

aws es create-elasticsearch-domain --domain-name my-domain --region us-east-1 --access-policies '{ "Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS": ["arn:aws:iam::123456789012:role/Cognito_Auth_Role"]},"Action":"es:ESHttp*","Resource":"arn:aws:es:us-east-1:123456789012:domain/*" }]}' --elasticsearch-version "6.0" --elasticsearch-cluster-config InstanceType=m4.xlarge.elasticsearch,InstanceCount=1 --ebs-options EBSEnabled=true,VolumeSize=10 --cognito-options Enabled=true,UserPoolId="us-east-1_123456789",IdentityPoolId="us-east-1:12345678-1234-1234-1234-123456789012",RoleArn="arn:aws:iam::123456789012:role/CognitoAccessForAmazonES"

Depois que o seu domínio concluir o processamento, consulte Permitir a função autenticada e Configurar provedores de identidade para ver as etapas de configuração adicionais.

Como configurar a autenticação do Amazon Cognito (AWS SDKs)

O AWS SDKs (exceto as SDKs para Android e iOS) é compatível com todas as operações definidas em Referência sobre a API de configuração do Amazon Elasticsearch Service, incluindo o parâmetro CognitoOptions para as operações CreateElasticsearchDomain e UpdateElasticsearchDomainConfig. Para obter mais informações sobre como instalar e usar o AWS SDKs, consulte Kits de desenvolvimento de software da AWS.

Depois que o seu domínio concluir o processamento, consulte Permitir a função autenticada e Configurar provedores de identidade para ver as etapas de configuração adicionais.

Permitir a função autenticada

Por padrão, a função do IAM autenticada que você configurou seguindo as diretrizes em Sobre o grupo de identidades não tem os privilégios necessários para acessar o Kibana. Você deve fornecer permissões adicionais à função.

Importante

Se tiver configurado o controle de acesso minucioso e usar uma política de acesso "aberta" ou baseada em IP, poderá ignorar esta etapa.

É possível incluir essas permissões em uma política baseada em identidade, mas, a menos que você queira que os usuários autenticados tenham acesso a todos os domínios do Amazon ES, a melhor abordagem é uma política baseada em recurso anexada a um único domínio.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:role/Cognito_identitypoolAuth_Role" ] }, "Action": [ "es:ESHttp*" ], "Resource": "arn:aws:es:region:123456789012:domain/domain-name/*" } ] }

Para obter instruções sobre como adicionar uma política baseada em recurso para um domínio do Amazon ES, consulte Configuração de políticas de acesso.

Configurar provedores de identidade

Quando você configura um domínio para usar a autenticação do Amazon Cognito para o Kibana, o Amazon ES adiciona um cliente do aplicativo ao grupo de usuários e adiciona o grupo de usuários ao grupo de identidades como um provedor de autenticação. A captura de tela a seguir mostra a página App client settings (Configurações do cliente do aplicativo) no console do Amazon Cognito.


                Console do Amazon Cognito mostrando as configurações do cliente do aplicativo
Atenção

Não renomeie nem exclua o cliente do aplicativo.

Dependendo de como você configurou o grupo de usuários, talvez precise criar contas de usuário manualmente ou os usuários podem ser capazes de criar suas próprias contas. Se essas configurações forem aceitáveis, você não precisará realizar ações adicionais. No entanto, muitas pessoas preferem usar provedores de identidade externos.

Para habilitar um provedor de identidade SAML 2.0, você deve fornecer um documento de metadados do SAML. Para habilitar provedores de identidades sociais, como o Login with Amazon, o Facebook e o Google, você deve ter um ID e um segredo do aplicativo a partir desses provedores. Você pode habilitar qualquer combinação de provedores de identidade. A página de login adiciona opções conforme você adiciona provedores, como mostrado na captura de tela a seguir.


                Página de login com várias opções

A maneira mais fácil de configurar seu grupo de usuários é usar o console do Amazon Cognito. Use a página Identity Providers (Provedores de identidade) para adicionar provedores de identidade externos e a página App client settings (Configurações do cliente do aplicativo) para habilitar e desabilitar provedores de identidade para o cliente de aplicativo do domínio do Amazon ES. Por exemplo, talvez você queira habilitar o seu próprio provedor de identidade SAML e desabilitar Cognito User Pool (Grupo de usuários do Cognito) como um provedor de identidade.

Para obter instruções, consulte Uso da federação a partir de um grupo de usuários e Especificação das configurações do provedor de identidade para seu aplicativo de grupo de usuários no Guia do desenvolvedor do Amazon Cognito.

(Opcional) Configuração de acesso granular

Talvez você tenha notado que as configurações padrão do grupo de identidades atribui todos os usuário que fazem log in na mesma função do IAM (Cognito_identitypoolAuth_Role). Isso significa que todos os usuários podem acessar os mesmos recursos da AWS. Se quiser usar o controle de acesso minucioso com o Amazon Cognito — por exemplo, se quiser que os analistas da sua organização tenham acesso somente leitura a vários índices, mas que os desenvolvedores tenham acesso de gravação a todos os índices — você terá duas opções:

  • Criar grupos de usuários e configurar seu provedor de identidade para escolher a função do IAM com base no token de autenticação do usuário (recomendado).

  • Configurar o provedor de identidade para escolher a função do IAM com base em uma ou mais regras.

Você configura essas opções usando a página Edit identity pool (Editar grupo de identidades) do console do Amazon Cognito, como mostrado na captura de tela a seguir. Para obter um passo a passo que inclui controle de acesso minucioso, consulte Tutorial: Usuário mestre do IAM e Amazon Cognito.


                Opções de função para um provedor de autenticação
Importante

Assim como a função padrão, o Amazon Cognito deve fazer parte da relação de confiança de cada função adicional. Para obter detalhes, consulte Criar funções para o mapeamento de funções no Guia do desenvolvedor do Amazon Cognito.

Grupos de usuários e tokens

Quando você cria um grupo de usuários, escolhe uma função do IAM para os membros do grupo. Para obter informações sobre a criação de grupos, consulte Grupos de usuários no Guia do desenvolvedor do Amazon Cognito.

Depois de criar um ou mais grupos de usuários, você pode configurar o provedor de autenticação para atribuir aos usuários suas funções de grupo em vez da função padrão do grupo de identidades. Escolha a opção Choose role from token (Escolher função a partir do token). Em seguida, escolha Use default Authenticated role (Usar função autenticada padrão) ou DENY (NEGAR) para especificar como o grupo de identidades deve lidar com usuários que não fazem parte de um grupo.

Rules

As regras são essencialmente uma série de instruções if que o Amazon Cognito avalia em sequência. Por exemplo, se um endereço de e-mail do usuário contém @corporate, o Amazon Cognito atribui Role_A a esse usuário. Se um endereço de e-mail do usuário contém @subsidiary, ele atribui Role_B a esse usuário. Caso contrário, ele atribui ao usuário a função autenticada padrão.

Para saber mais, consulte Uso do mapeamento com base em regra para atribuir funções a usuários no Guia do desenvolvedor do Amazon Cognito.

(Opcional) Personalizar a página de login

A página UI customization (Personalização da interface do usuário) do console do Amazon Cognito permite que você faça upload de um logotipo personalizado e faça alterações do CSS na página de login. Para obter instruções e uma lista completa das propriedades do CSS, consulte Especificação das configurações de personalização de interface do usuário do aplicativo para seu grupo de usuários no Guia do desenvolvedor do Amazon Cognito.

(Opcional) Configurar recursos de segurança avançada

Os grupos de usuários do Amazon Cognito são compatíveis com recursos de segurança avançada, como a autenticação multifator, a verificação de credenciais comprometidas e a autenticação adaptável. Para saber mais, consulte Gerenciar segurança no Guia do desenvolvedor do Amazon Cognito.

Testing

Depois que você estiver satisfeito com sua configuração, verifique se a experiência do usuário atende às suas expectativas.

Para acessar o Kibana

  1. Vá para https://elasticsearch-domain/_plugin/kibana/ em um navegador.

  2. Faça login usando suas credenciais preferenciais.

  3. Depois que o Kibana for carregado, configure pelo menos um padrão de índice. O Kibana usa esses padrões para identificar quais índices você deseja analisar. Digite *, escolha Next step (Próxima etapa) e, em seguida, Create index pattern (Criar padrão de índice).

  4. Para pesquisar ou explorar seus dados, escolha Discover (Descobrir).

Se qualquer etapa desse processo falhar, consulte Problemas de configuração comuns para obter informações sobre soluções de problemas.

Limits

O Amazon Cognito tem limites flexíveis em muitos dos seus recursos. Se você quiser habilitar a autenticação do Kibana para um grande número de domínios do Amazon ES, revise Limites do Amazon Cognito e solicitar aumentos de limite, conforme necessário.

Cada domínio do Amazon ES adiciona um cliente de aplicativo ao grupo de usuários, que adiciona um provedor de autenticação ao grupo de identidades. Se você habilitar a autenticação do Kibana para mais de 10 domínios, poderá encontrar o limite "máximo de provedores do grupo de usuários do Amazon Cognito por grupo de identidades". Se você exceder um limite, qualquer domínio do Amazon ES que tentar configurar para usar a autenticação do Amazon Cognito para o Kibana pode ficar preso em um estado de configuração de processamento.

Problemas de configuração comuns

As tabelas a seguir listam os problemas de configuração comuns e as soluções.

Configuração do Amazon ES
Problema Solução

Amazon ES can't create the role (console)

Você não tem as permissões corretas do IAM. Adicione as permissões especificadas em Como configurar a autenticação do Amazon Cognito (console).

User is not authorized to perform: iam:PassRole on resource CognitoAccessForAmazonES (console)

Você não tem permissões iam:PassRole para a função CognitoAccessForAmazonES. Anexe a política a seguir à sua conta:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonES" } ] }

Como alternativa, você pode anexar a política IAMFullAccess.

User is not authorized to perform: cognito-identity:ListIdentityPools on resource

Você não tem permissões de leitura para o Amazon Cognito. Anexe a política AmazonCognitoReadOnly à sua conta.

An error occurred (ValidationException) when calling the CreateElasticsearchDomain operation: Amazon Elasticsearch must be allowed to use the passed role

O Amazon ES não está especificado na relação de confiança da função CognitoAccessForAmazonES. Verifique se a sua função usa a relação de confiança especificada em Sobre a função doCognitoAccessForAmazonES. Como alternativa, use o console para configurar a autenticação do Amazon Cognito. O console cria uma função para você.

An error occurred (ValidationException) when calling the CreateElasticsearchDomain operation: User is not authorized to perform: cognito-idp:action on resource: user pool

A função especificada em --cognito-options não tem permissões para acessar o Amazon Cognito. Verifique se a função tem a política AmazonESCognitoAccess gerenciada pela AWS anexada. Como alternativa, use o console para configurar a autenticação do Amazon Cognito. O console cria uma função para você.
An error occurred (ValidationException) when calling the CreateElasticsearchDomain operation: User pool does not exist

O Amazon ES não consegue encontrar o grupo de usuários. Confirme se você criou um e se tem o ID correto. Para encontrar o ID, você pode usar o console do Amazon Cognito ou o seguinte comando da AWS CLI:

aws cognito-idp list-user-pools --max-results 60 --region region

An error occurred (ValidationException) when calling the CreateElasticsearchDomain operation: IdentityPool not found

O Amazon ES não consegue encontrar o grupo de identidades. Confirme se você criou um e se tem o ID correto. Para encontrar o ID, você pode usar o console do Amazon Cognito ou o seguinte comando da AWS CLI:

aws cognito-identity list-identity-pools --max-results 60 --region region

An error occurred (ValidationException) when calling the CreateElasticsearchDomain operation: Domain needs to be specified for user pool

O grupo de usuários não tem um nome de domínio. Você pode configurar um usando o console do Amazon Cognito ou o seguinte comando da AWS CLI:
aws cognito-idp create-user-pool-domain --domain name --user-pool-id id
Acesso ao Kibana
Problema Solução
A página de login não mostra meus provedores de identidade preferenciais.

Verifique se você habilitou o provedor de identidade para o cliente de aplicativo do Amazon ES, conforme especificado em Configurar provedores de identidade.

A página de login não parece estar associada à minha organização.

Consulte (Opcional) Personalizar a página de login.

Minhas credenciais de login não funcionam.

Verifique se você configurou o provedor de identidade conforme especificado em Configurar provedores de identidade.

Se você usar o grupo de usuários como seu provedor de identidade, verifique se a conta existe e está confirmada na página User and groups (Usuários e grupos) do console do Amazon Cognito.

O Kibana não está carregando ou não está funcionando corretamente.

A função autenticada do Amazon Cognito precisa de permissões es:ESHttp* para o domínio (/*) a fim de acessar e usar o Kibana. Verifique se você adicionou uma política de acesso conforme especificado em Permitir a função autenticada.

Invalid identity pool configuration. Check assigned IAM roles for this pool. O Amazon Cognito não tem permissões para assumir a função do IAM em nome do usuário autenticado. Modifique a relação de confiança da função para incluir:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Federated": "cognito-identity.amazonaws.com" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "cognito-identity.amazonaws.com:aud": "identity-pool-id" }, "ForAnyValue:StringLike": { "cognito-identity.amazonaws.com:amr": "authenticated" } } }] }
Token is not from a supported provider of this identity pool. Este erro incomum pode ocorrer quando você remover o cliente do aplicativo a partir do grupo de usuários. Tente abrir o Kibana em uma nova sessão do navegador.

Desabilitar a autenticação do Amazon Cognito para o Kibana

Use o procedimento a seguir para desabilitar a autenticação do Amazon Cognito para o Kibana.

Para desabilitar a autenticação do Amazon Cognito para o Kibana (console)

  1. Acesse https://aws.amazon.com e escolha Sign In to the Console (Faça login no console).

  2. Em Analytics, escolha Elasticsearch Service.

  3. No painel de navegação, em My domains, escolha o domínio que você deseja configurar.

  4. Selecione Edit domain (Editar domínio).

  5. Em Amazon Cognito authentication (Autenticação do Amazon Cognito), desmarque a caixa de seleção Enable Amazon Cognito authentication (Habilitar autenticação do Amazon Cognito).

  6. Selecione Submit (Enviar).

Importante

Se você não precisar mais do grupo de usuários do Amazon Cognito e do grupo de identidades, exclua-os. Do contrário, você pode continuar a ser cobrado.

Excluir domínios que usam a autenticação do Amazon Cognito para o Kibana

Para evitar que domínios que usem a autenticação do Amazon Cognito para o Kibana fiquem presos em um estado de configuração de Processing (Processamento), exclua domínios do Amazon ES antes de excluir os grupos de usuários e identidades do Amazon Cognito associados.