Mengonfigurasi otentikasi Amazon Cognito untuk Dasbor OpenSearch - OpenSearch Layanan Amazon
PrasyaratMengonfigurasi domain untuk menggunakan otentikasi Amazon CognitoMengizinkan peran terautentikasiMengonfigurasi penyedia identitas(Opsional) Mengonfigurasi akses terperinci(Opsional) Menyesuaikan halaman masuk(Opsional) Mengonfigurasi keamanan tingkat lanjutPengujianQuotasMasalah konfigurasi umumMenonaktifkan otentikasi Amazon Cognito untuk Dasbor OpenSearch Menghapus domain yang menggunakan autentikasi Amazon Cognito untuk Dasbor OpenSearch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasi otentikasi Amazon Cognito untuk Dasbor OpenSearch

Anda dapat mengautentikasi dan melindungi instalasi OpenSearch Dasbor default OpenSearch Layanan Amazon Anda menggunakan Amazon Cognito. Otentikasi Amazon Cognito bersifat opsional dan hanya tersedia untuk domain yang menggunakan OpenSearch atau Elasticsearch 5.1 atau yang lebih baru. Jika Anda tidak mengonfigurasi autentikasi Amazon Cognito, Anda masih dapat melindungi Dasbor menggunakan kebijakan akses berbasis IP dan server proxy, otentikasi dasar HTTP, atau SALL.

Sebagian besar proses otentikasi terjadi di Amazon Cognito, tetapi bagian ini menawarkan pedoman dan persyaratan untuk mengonfigurasi sumber daya Amazon Cognito agar berfungsi dengan domain Layanan. OpenSearch Harga standar berlaku untuk semua sumber daya Amazon Cognito.

Tip

Pertama kali Anda mengonfigurasi domain untuk menggunakan otentikasi Amazon Cognito untuk OpenSearch Dasbor, sebaiknya gunakan konsol. Sumber daya Amazon Cognito sangat disesuaikan, dan konsol dapat membantu Anda mengidentifikasi dan memahami fitur yang penting bagi Anda.

Prasyarat

Sebelum Anda dapat mengonfigurasi otentikasi Amazon Cognito untuk OpenSearch Dasbor, Anda harus memenuhi beberapa prasyarat. Konsol OpenSearch Layanan membantu merampingkan pembuatan sumber daya ini, tetapi memahami tujuan setiap sumber daya membantu konfigurasi dan pemecahan masalah. Autentikasi Amazon Cognito untuk Dasbor memerlukan sumber daya berikut:

  • Kolam pengguna Amazon Cognito

  • Kolam identitas Amazon Cognito

  • IAM role yang memiliki kebijakan AmazonOpenSearchServiceCognitoAccess dilampirkan (CognitoAccessForAmazonOpenSearch)

catatan

Kumpulan pengguna dan kumpulan identitas harus samaWilayah AWS. Anda dapat menggunakan kumpulan pengguna, kumpulan identitas, dan peran IAM yang sama untuk menambahkan autentikasi Amazon Cognito untuk Dasbor ke beberapa domain Layanan. OpenSearch Untuk mempelajari selengkapnya, lihat Quotas.

Tentang kolam pengguna

Kolam pengguna memiliki dua fitur utama: membuat dan mengelola direktori pengguna, dan memungkinkan pengguna untuk mendaftar dan masuk. Untuk petunjuk cara membuat kumpulan pengguna, lihat Membuat Kumpulan Pengguna di Panduan Pengembang Amazon Cognito.

Saat Anda membuat kumpulan pengguna untuk digunakan dengan OpenSearch Layanan, pertimbangkan hal berikut:

  • Kolam pengguna Amazon Cognito Anda harus memiliki nama domain. OpenSearch Layanan menggunakan nama domain ini untuk mengarahkan pengguna ke halaman login untuk mengakses Dasbor. Selain nama domain, kolam pengguna tidak memerlukan konfigurasi non-default.

  • Anda harus menentukan atribut standar kolam yang diperlukan—atribut seperti nama, tanggal lahir, alamat email, dan nomor telepon. Anda tidak dapat mengubah atribut ini setelah membuat kolam pengguna, jadi pilih atribut yang penting bagi Anda saat ini.

  • Saat membuat kolam pengguna Anda, pilih apakah pengguna dapat membuat akun mereka sendiri, kekuatan sandi minimum untuk akun, dan apakah akan mengaktifkan autentikasi multi-faktor. Jika Anda berencana untuk menggunakan penyedia identitas eksternal, pengaturan ini tidak penting. Secara teknis, Anda dapat mengaktifkan kolam pengguna sebagai penyedia identitas dan mengaktifkan penyedia identitas eksternal, tetapi kebanyakan orang lebih memilih satu atau yang lain.

ID kolam pengguna mengambil bentuk region_ID. Jika Anda berencana untuk menggunakan AWS CLI atau AWS SDK untuk mengkonfigurasi OpenSearch Layanan, catat ID.

Tentang kolam identitas

Kolam identitas memungkinkan Anda menetapkan peran hak istimewa sementara dan terbatas kepada pengguna setelah mereka masuk. Untuk petunjuk tentang cara membuat kolam identitas, lihat Kumpulan Pengguna di Panduan Developer Amazon Cognito. Saat Anda membuat kumpulan identitas untuk digunakan dengan OpenSearch Layanan, pertimbangkan hal berikut:

  • Jika Anda menggunakan konsol Amazon Cognito, Anda harus memilih Aktifkan akses ke identitas yang tidak terautentikasi kotak centang untuk membuat kolam identitas. Setelah Anda membuat kumpulan identitas dan mengonfigurasi domain OpenSearch Layanan, Amazon Cognito menonaktifkan setelan ini.

  • Anda tidak perlu menambahkan Penyedia identitas eksternal ke kolam identitas. Saat Anda mengonfigurasi OpenSearch Layanan untuk menggunakan autentikasi Amazon Cognito, layanan akan mengonfigurasi kumpulan identitas untuk menggunakan kumpulan pengguna yang baru saja Anda buat.

  • Setelah Anda membuat kolam identitas, Anda harus memilih IAM role yang tidak terautentikasi dan dikonfirmasi. Peran ini menentukan kebijakan akses yang dimiliki pengguna sebelum dan sesudah mereka masuk. Jika Anda menggunakan konsol Amazon Cognito, maka dapat membuat peran ini untuk Anda. Setelah Anda membuat peran yang diautentikasi, membuat catatan dari ARN, yang mengambil bentuk arn:aws:iam::123456789012:role/Cognito_identitypoolnameAuth_Role.

ID kolam identitas mengambil bentuk region:ID-ID-ID-ID-ID. Jika Anda berencana untuk menggunakan AWS CLI atau AWS SDK untuk mengkonfigurasi OpenSearch Layanan, catat ID.

Tentang peran CognitoAccessForAmazonOpenSearch

OpenSearch Layanan memerlukan izin untuk mengonfigurasi pengguna Amazon Cognito dan kumpulan identitas dan menggunakannya untuk otentikasi. Anda dapat menggunakanAmazonOpenSearchServiceCognitoAccess, yang merupakan kebijakan AWS -managed, untuk tujuan ini. AmazonESCognitoAccessadalah kebijakan warisan yang digantikan oleh AmazonOpenSearchServiceCognitoAccess ketika layanan diubah namanya menjadi Amazon OpenSearch Service. Kedua kebijakan memberikan izin Amazon Cognito minimum yang diperlukan untuk mengaktifkan otentikasi Cognito. Untuk kebijakan JSON, lihat konsol IAM.

Jika Anda menggunakan konsol untuk membuat atau mengonfigurasi domain OpenSearch Layanan, itu akan membuat peran IAM untuk Anda dan melampirkan AmazonOpenSearchServiceCognitoAccess kebijakan (atau AmazonESCognitoAccess kebijakan jika itu adalah domain Elasticsearch) ke peran tersebut. Nama default untuk peran ini adalah CognitoAccessForAmazonOpenSearch.

Kebijakan izin peran AmazonOpenSearchServiceCognitoAccess dan AmazonESCognitoAccess keduanya memungkinkan OpenSearch Layanan untuk menyelesaikan tindakan berikut pada semua identitas dan kumpulan pengguna:

  • Tindakan: cognito-idp:DescribeUserPool

  • Tindakan: cognito-idp:CreateUserPoolClient

  • Tindakan: cognito-idp:DeleteUserPoolClient

  • Tindakan: cognito-idp:UpdateUserPoolClient

  • Tindakan: cognito-idp:DescribeUserPoolClient

  • Tindakan: cognito-idp:AdminInitiateAuth

  • Tindakan: cognito-idp:AdminUserGlobalSignOut

  • Tindakan: cognito-idp:ListUserPoolClients

  • Tindakan: cognito-identity:DescribeIdentityPool

  • Tindakan: cognito-identity:SetIdentityPoolRoles

  • Tindakan: cognito-identity:GetIdentityPoolRoles

Jika Anda menggunakan AWS CLI atau salah satu AWS SDK, Anda harus membuat peran Anda sendiri, melampirkan kebijakan, dan menentukan ARN untuk peran ini ketika OpenSearch Anda mengonfigurasi domain Layanan. Peran harus memiliki hubungan kepercayaan berikut:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "opensearchservice.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Untuk instruksi, lihat Membuat Peran untuk Mendelegasikan izin ke sebuah Layanan AWS dan Melampirkan dan Melepaskan Kebijakan IAM di Panduan Pengguna IAM.

Mengonfigurasi domain untuk menggunakan otentikasi Amazon Cognito

Setelah menyelesaikan prasyarat, Anda dapat mengonfigurasi domain OpenSearch Layanan untuk menggunakan Amazon Cognito untuk Dasbor.

catatan

Amazon Cognito tidak tersedia di semua. Wilayah AWS Untuk daftar Wilayah yang didukung, lihat Wilayah AWSdan Titik Akhir. Anda tidak perlu menggunakan Wilayah yang sama untuk Amazon Cognito yang Anda gunakan untuk OpenSearch Layanan.

Mengonfigurasi autentikasi Amazon Cognito (konsol)

Karena menciptakan CognitoAccessForAmazonOpenSearchperan untuk Anda, konsol menawarkan pengalaman konfigurasi paling sederhana. Selain izin OpenSearch Layanan standar, Anda memerlukan kumpulan izin berikut untuk menggunakan konsol guna membuat domain yang menggunakan autentikasi Amazon Cognito untuk Dasbor. OpenSearch 

{
  "Version": "2012-10-17",
  "Statement": [{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeVpcs",
        "cognito-identity:ListIdentityPools",
        "cognito-idp:ListUserPools",
        "iam:CreateRole",
        "iam:AttachRolePolicy"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonOpenSearch"
    }
  ]
}

Untuk petunjuk menambahkan izin ke identitas (pengguna, grup pengguna, atau peran), lihat Menambahkan izin identitas IAM (konsol).

Jika CognitoAccessForAmazonOpenSearch sudah ada, Anda memerlukan lebih sedikit izin:

{
  "Version": "2012-10-17",
  "Statement": [{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeVpcs",
        "cognito-identity:ListIdentityPools",
        "cognito-idp:ListUserPools"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonOpenSearch"
    }
  ]
}
Untuk mengonfigurasi otentikasi Amazon Cognito untuk Dasbor (konsol)

  1. Buka konsol OpenSearch Layanan Amazon di https://console.aws.amazon.com/aos/home/.

  2. Di bawah Domain, pilih domain yang ingin Anda konfigurasikan.

  3. Pilih Tindakan, Edit konfigurasi keamanan.

  4. Pilih Aktifkan otentikasi Amazon Cognito.

  5. Untuk Wilayah, pilih Wilayah AWS yang berisi kumpulan pengguna Amazon Cognito dan kumpulan identitas.

  6. Untuk kumpulan pengguna Cognito, pilih kumpulan pengguna atau buat satu. Untuk panduan, lihat Tentang kolam pengguna.

  7. Untuk kumpulan identitas Cognito, pilih kumpulan identitas atau buat. Untuk panduan, lihat Tentang kolam identitas.

    catatan

    Tautan Buat kumpulan pengguna dan Buat kumpulan identitas mengarahkan Anda ke konsol Amazon Cognito dan mengharuskan Anda membuat sumber daya ini secara manual. Prosesnya tidak otomatis. Untuk mempelajari selengkapnya, lihat Prasyarat.

  8. Untuk nama peran IAM, gunakan nilai default CognitoAccessForAmazonOpenSearch (disarankan) atau masukkan nama baru. Untuk mempelajari selengkapnya tentang tujuan peran ini, lihat Tentang peran CognitoAccessForAmazonOpenSearch.

  9. Pilih Save changes (Simpan perubahan).

Setelah domain selesai diproses, lihat Mengizinkan peran terautentikasi dan Mengonfigurasi penyedia identitas untuk langkah-langkah konfigurasi tambahan.

Mengonfigurasi autentikasi Amazon Cognito (AWS CLI)

Gunakan --cognito-options parameter untuk mengonfigurasi domain OpenSearch Layanan Anda. Sintaks berikut digunakan oleh perintah create-domain dan update-domain-config:

--cognito-options Enabled=true,UserPoolId="user-pool-id",IdentityPoolId="identity-pool-id",RoleArn="arn:aws:iam::123456789012:role/CognitoAccessForAmazonOpenSearch"

Contoh

Contoh berikut membuat domain di us-east-1 Wilayah yang memungkinkan otentikasi Amazon Cognito untuk Dasbor menggunakan CognitoAccessForAmazonOpenSearch peran dan menyediakan akses domain ke: Cognito_Auth_Role

aws opensearch create-domain --domain-name my-domain --region us-east-1 --access-policies '{ "Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS": ["arn:aws:iam::123456789012:role/Cognito_Auth_Role"]},"Action":"es:ESHttp*","Resource":"arn:aws:es:us-east-1:123456789012:domain/*" }]}' --engine-version "OpenSearch_1.0" --cluster-config InstanceType=m4.xlarge.search,InstanceCount=1 --ebs-options EBSEnabled=true,VolumeSize=10 --cognito-options Enabled=true,UserPoolId="us-east-1_123456789",IdentityPoolId="us-east-1:12345678-1234-1234-1234-123456789012",RoleArn="arn:aws:iam::123456789012:role/CognitoAccessForAmazonOpenSearch"

Setelah domain selesai diproses, lihat Mengizinkan peran terautentikasi dan Mengonfigurasi penyedia identitas untuk langkah-langkah konfigurasi tambahan.

Mengonfigurasi Autentikasi Amazon Cognito (SDK AWS)

AWSSDK (kecuali SDK Android dan iOS) mendukung semua operasi yang ditentukan dalam Referensi API OpenSearch Layanan Amazon, termasuk CognitoOptions parameter untuk CreateDomain dan UpdateDomainConfig operasi. Untuk informasi selengkapnya tentang menginstal dan menggunakan SDK AWS, lihat AWSKit Pengembangan Perangkat Lunak.

Setelah domain selesai diproses, lihat Mengizinkan peran terautentikasi dan Mengonfigurasi penyedia identitas untuk langkah-langkah konfigurasi tambahan.

Mengizinkan peran terautentikasi

Secara default, peran IAM terautentikasi yang Anda konfigurasikan dengan mengikuti pedoman di Tentang kolam identitas tidak memiliki hak istimewa yang diperlukan untuk mengakses Dasbor. OpenSearch Anda harus memberikan peran dengan izin tambahan.

catatan

Jika Anda mengonfigurasi kontrol akses berbutir halus dan menggunakan kebijakan akses terbuka atau berbasis IP, Anda dapat melewati langkah ini.

Anda dapat menyertakan izin ini dalam kebijakan berbasis identitas, tetapi kecuali Anda ingin pengguna yang diautentikasi memiliki akses ke semua domain OpenSearch Layanan, kebijakan berbasis sumber daya yang dilampirkan ke satu domain adalah pendekatan yang lebih baik.

UntukPrincipal, tentukan ARN dari peran terautentikasi Cognito yang Anda konfigurasikan dengan pedoman. Tentang kolam identitas

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":[
               "arn:aws:iam::123456789012:role/Cognito_identitypoolnameAuth_Role"
            ]
         },
         "Action":[
            "es:ESHttp*"
         ],
         "Resource":"arn:aws:es:region:123456789012:domain/domain-name/*"
      }
   ]
}

Untuk petunjuk tentang menambahkan kebijakan berbasis sumber daya ke domain OpenSearch Layanan, lihat. Mengonfigurasi kebijakan akses

Mengonfigurasi penyedia identitas

Saat Anda mengonfigurasi domain untuk menggunakan autentikasi Amazon Cognito untuk Dasbor, OpenSearch Layanan menambahkan klien aplikasi ke kumpulan pengguna dan menambahkan kumpulan pengguna ke kumpulan identitas sebagai penyedia autentikasi.

Awas

Jangan mengganti nama atau menghapus klien aplikasi.

Tergantung pada bagaimana Anda mengonfigurasi kolam pengguna, Anda mungkin perlu membuat akun pengguna secara manual, atau pengguna mungkin dapat membuatnya sendiri. Jika pengaturan ini dapat diterima, Anda tidak perlu melakukan tindakan lebih lanjut. Banyak orang, bagaimanapun, lebih memilih untuk menggunakan penyedia identitas eksternal.

Untuk mengaktifkan penyedia identitas SAML 2.0, Anda harus menyediakan dokumen metadata SAML. Untuk mengaktifkan penyedia identitas sosial seperti Login with Amazon, Facebook, dan Google, Anda harus memiliki ID aplikasi dan rahasia aplikasi dari penyedia layanan tersebut. Anda dapat mengaktifkan kombinasi penyedia identitas.

Cara termudah untuk mengonfigurasi kolam pengguna Anda adalah dengan menggunakan konsol Amazon Cognito. Untuk instruksi, lihat Menggunakan Federasi dari Kolam Pengguna dan Menentukan Pengaturan Penyedia Identitas untuk Aplikasi Kolam Pengguna Anda di Panduan Developer Amazon Cognito.

(Opsional) Mengonfigurasi akses terperinci

Anda mungkin telah memperhatikan bahwa pengaturan kolam identitas default menetapkan setiap pengguna yang mencatat dalam IAM role yang sama (Cognito_identitypoolAuth_Role), yang berarti bahwa setiap pengguna dapat mengakses sumber daya AWS yang sama. Jika Anda ingin menggunakan kontrol akses detail dengan Amazon Cognito—misalnya, jika Anda ingin analis organisasi Anda memiliki akses hanya-baca ke beberapa indeks, tetapi developer memiliki akses tulis ke semua indeks—Anda memiliki dua opsi:

  • Buat grup pengguna dan konfigurasikan penyedia identitas Anda untuk memilih IAM role berdasarkan token autentikasi pengguna (disarankan).

  • Konfigurasikan penyedia identitas Anda untuk memilih IAM role berdasarkan satu atau beberapa aturan.

Untuk panduan yang mencakup kontrol akses detail, lihat Tutorial: Konfigurasikan domain dengan pengguna master IAM dan otentikasi Amazon Cognito.

penting

Sama seperti peran default, Amazon Cognito harus menjadi bagian dari hubungan kepercayaan setiap peran tambahan ini. Untuk detailnya, lihat Membuat Peran untuk Pemetaan Peran di Panduan Developer Amazon Cognito.

Kelompok pengguna dan token

Bila Anda membuat grup pengguna, Anda memilih IAM role untuk anggota grup. Untuk informasi tentang membuat grup, lihat Grup Pengguna di Panduan Developer Amazon Cognito.

Setelah Anda membuat satu grup pengguna atau lebih, Anda dapat mengonfigurasi penyedia autentikasi Anda untuk menetapkan peran pengguna grup mereka daripada peran default kolam identitas. Pilih Pilih peran dari token, lalu pilih Gunakan peran default yang Diautentikasi atau DENY untuk menentukan cara kumpulan identitas menangani pengguna yang bukan bagian dari grup.

Aturan

Aturan pada dasarnya adalah serangkaian pernyataan if bahwa Amazon Cognito mengevaluasi secara berurutan. Misalnya, jika alamat email pengguna berisi @corporate, Amazon Cognito menetapkan pengguna tersebut Role_A. Jika alamat email pengguna berisi @subsidiary, maka menetapkan pengguna tersebut Role_B. Jika tidak, maka menetapkan pengguna menjadi peran terautentikasi default.

Untuk mempelajari selengkapnya, lihat Menggunakan Pemetaan Berbasis Aturan untuk Menetapkan Peran untuk Pengguna di Panduan Developer Amazon Cognito.

(Opsional) Menyesuaikan halaman masuk

Anda dapat menggunakan konsol Amazon Cognito untuk mengunggah logo khusus dan membuat perubahan CSS ke halaman masuk. Untuk petunjuk dan daftar lengkap properti CSS, lihat Menentukan Pengaturan Kustomisasi UI Aplikasi untuk Kolam Pengguna Anda di Panduan Developer Amazon Cognito.

(Opsional) Mengonfigurasi keamanan tingkat lanjut

Kolam pengguna Amazon Cognito mendukung fitur keamanan canggih seperti autentikasi multi-faktor, pemeriksaan kredensial yang dikompromikan, dan autentikasi adaptif. Untuk mempelajari selengkapnya, lihat Mengelola Keamanan di Panduan Developer Amazon Cognito.

Pengujian

Setelah Anda puas dengan konfigurasi Anda, verifikasi bahwa pengalaman pengguna memenuhi harapan Anda.

Untuk mengakses OpenSearch Dasbor

  1. Arahkan ke https://opensearch-domain/_dashboards di browser web. Untuk masuk ke penyewa tertentu secara langsung, tambahkan ?security_tenant=tenant-name ke URL.

  2. Masuk menggunakan kredensial pilihan Anda.

  3. Setelah OpenSearch Dasbor dimuat, konfigurasikan setidaknya satu pola indeks. Dasbor menggunakan pola-pola ini untuk mengidentifikasi indeks mana yang ingin Anda analisis. Masukkan *, pilih Langkah selanjutnya, lalu pilih Buat pola indeks.

  4. Untuk mencari atau menjelajahi data Anda, pilih Temukan.

Jika ada langkah dari proses ini yang gagal, lihat Masalah konfigurasi umum untuk informasi pemecahan masalah.

Quotas

Amazon Cognito memiliki batas lunak pada banyak sumber dayanya. Jika Anda ingin mengaktifkan otentikasi Dasbor untuk sejumlah besar domain OpenSearch Layanan, tinjau Kuota di Amazon Cognito dan minta kenaikan batas seperlunya.

Setiap domain OpenSearch Layanan menambahkan klien aplikasi ke kumpulan pengguna, yang menambahkan penyedia autentikasi ke kumpulan identitas. Jika Anda mengaktifkan autentikasi OpenSearch Dasbor untuk lebih dari 10 domain, Anda mungkin menemukan batas “penyedia kumpulan pengguna Amazon Cognito maksimum per kumpulan identitas”. Jika Anda melebihi batas, domain OpenSearch Layanan apa pun yang Anda coba konfigurasikan untuk menggunakan autentikasi Amazon Cognito untuk Dasbor dapat macet dalam status konfigurasi Pemrosesan.

Masalah konfigurasi umum

Tabel berikut mencantumkan masalah konfigurasi umum dan solusinya.

Konfigurasi Layanan OpenSearch
Isu Solusi

OpenSearch Service can't create the role (konsol)

 Anda tidak memiliki izin IAM yang benar. Tambahkan izin yang ditentukan di Mengonfigurasi autentikasi Amazon Cognito (konsol).

User is not authorized to perform: iam:PassRole on resource CognitoAccessForAmazonOpenSearch (konsol)

 Anda tidak memiliki iam:PassRole izin untuk CognitoAccessForAmazonOpenSearchperan tersebut. Lampirkan kebijakan berikut ke akun Anda:
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/service-role/CognitoAccessForAmazonOpenSearch"
    }
  ]
}

Cara lainnya, Anda dapat melampirkan kebijakan IAMFullAccess.

User is not authorized to perform: cognito-identity:ListIdentityPools on resource

Anda tidak memiliki izin baca untuk Amazon Cognito. Lampirkan kebijakan AmazonCognitoReadOnly untuk akun Anda.

An error occurred (ValidationException) when calling the CreateDomain operation: OpenSearch Service must be allowed to use the passed role

OpenSearch Layanan tidak ditentukan dalam hubungan kepercayaan CognitoAccessForAmazonOpenSearch peran. Periksa apakah peran Anda menggunakan hubungan kepercayaan yang ditentukan dalam Tentang peran CognitoAccessForAmazonOpenSearch. Cara lainnya, gunakan konsol untuk mengonfigurasi autentikasi Amazon Cognito. Konsol membuat peran untuk Anda.

An error occurred (ValidationException) when calling the CreateDomain operation: User is not authorized to perform: cognito-idp:action on resource: user pool

 Peran yang ditentukan di --cognito-options tidak memiliki izin untuk mengakses Amazon Cognito. Periksa bahwa peran memiliki kebijakan AWS yang dikelola AmazonOpenSearchServiceCognitoAccess yang dilampirkan. Cara lainnya, gunakan konsol untuk mengonfigurasi autentikasi Amazon Cognito. Konsol membuat peran untuk Anda.
An error occurred (ValidationException) when calling the CreateDomain operation: User pool does not exist

OpenSearch Layanan tidak dapat menemukan kumpulan pengguna. Konfirmasi bahwa Anda membuat satu dan memiliki ID yang benar. Untuk menemukan ID, Anda dapat menggunakan konsol Amazon Cognito atau perintah AWS CLI berikut:

aws cognito-idp list-user-pools --max-results 60 --region region

An error occurred (ValidationException) when calling the CreateDomain operation: IdentityPool not found

OpenSearch Layanan tidak dapat menemukan kumpulan identitas. Konfirmasi bahwa Anda membuat satu dan memiliki ID yang benar. Untuk menemukan ID, Anda dapat menggunakan konsol Amazon Cognito atau perintah AWS CLI berikut:

aws cognito-identity list-identity-pools --max-results 60 --region region

An error occurred (ValidationException) when calling the CreateDomain operation: Domain needs to be specified for user pool

 Kolam pengguna tidak memiliki nama domain. Anda dapat mengonfigurasi satu menggunakan konsol Amazon Cognito atau perintah AWS CLI berikut:
aws cognito-idp create-user-pool-domain --domain name --user-pool-id id
Mengakses Dasbor OpenSearch
Isu Solusi
Halaman masuk tidak menampilkan penyedia identitas pilihan saya.

Periksa apakah Anda mengaktifkan penyedia identitas untuk klien aplikasi OpenSearch Layanan seperti yang ditentukan dalamMengonfigurasi penyedia identitas.

Halaman masuk tidak terlihat seolah-olah terkait dengan organisasi saya.

Lihat (Opsional) Menyesuaikan halaman masuk.
Kredensial masuk saya tidak bekerja.

Periksa bahwa Anda telah mengonfigurasi penyedia identitas sebagaimana ditentukan dalam Mengonfigurasi penyedia identitas.

Jika Anda menggunakan kumpulan pengguna sebagai penyedia identitas, periksa apakah akun tersebut ada di konsol Amazon Cognito.

OpenSearch Dasbor tidak memuat sama sekali atau tidak berfungsi dengan baik.

Peran yang diautentikasi Amazon Cognito memerlukan es:ESHttp* izin untuk domain (/*) untuk mengakses dan menggunakan Dasbor. Periksa bahwa Anda menambahkan kebijakan akses sebagaimana ditentukan dalam Mengizinkan peran terautentikasi.

Ketika saya keluar dari OpenSearch Dasbor dari satu tab, tab yang tersisa menampilkan pesan yang menyatakan bahwa token penyegaran telah dicabut.

Saat Anda keluar dari sesi OpenSearch Dasbor saat menggunakan autentikasi Amazon Cognito OpenSearch , Layanan menjalankan operasi, AdminUserGlobalSignOutyang membuat Anda keluar dari semua OpenSearch sesi Dasbor aktif.

Invalid identity pool configuration. Check assigned IAM roles for this pool. Amazon Cognito tidak memiliki izin untuk menganggap IAM role atas nama pengguna terautentikasi. Memodifikasi hubungan kepercayaan untuk peran guna menyertakan:
{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "Federated": "cognito-identity.amazonaws.com"
    },
    "Action": "sts:AssumeRoleWithWebIdentity",
    "Condition": {
      "StringEquals": {
        "cognito-identity.amazonaws.com:aud": "identity-pool-id"
      },
      "ForAnyValue:StringLike": {
        "cognito-identity.amazonaws.com:amr": "authenticated"
      }
    }
  }]
}
Token is not from a supported provider of this identity pool. Kesalahan ini jarang terjadi saat Anda menghapus klien aplikasi dari kolam pengguna. Coba buka Dasbor di sesi browser baru.

Menonaktifkan otentikasi Amazon Cognito untuk Dasbor OpenSearch

Gunakan prosedur berikut untuk menonaktifkan otentikasi Amazon Cognito untuk Dasbor.

Untuk menonaktifkan otentikasi Amazon Cognito untuk Dasbor (konsol)

  1. Buka konsol OpenSearch Layanan Amazon di https://console.aws.amazon.com/aos/home/.

  2. Di bawah Domain, pilih domain yang ingin Anda konfigurasikan.

  3. Pilih Tindakan, Edit konfigurasi keamanan.

  4. Hapus pilihan Aktifkan otentikasi Amazon Cognito.

  5. Pilih Save changes (Simpan perubahan).

penting

Jika Anda tidak lagi membutuhkan kolam pengguna Amazon Cognito dan kolam identitas, hapus kolam tersebut. Jika tidak, Anda terus dikenakan biaya.

Menghapus domain yang menggunakan autentikasi Amazon Cognito untuk Dasbor OpenSearch

Untuk mencegah domain yang menggunakan autentikasi Amazon Cognito untuk Dasbor macet dalam status konfigurasi Pemrosesan, OpenSearch hapus domain Layanan sebelum menghapus kumpulan pengguna dan identitas Amazon Cognito terkait.