Configuração da autenticação do Amazon Cognito para OpenSearch Dashboards
Você pode autenticar e proteger sua instalação padrão do Amazon OpenSearch Service do OpenSearch Dashboards usando o Amazon Cognito. A autenticação do Amazon Cognito é opcional e está disponível apenas para domínios que usam o OpenSearch ou o Elasticsearch 5.1 ou posterior. Se você não configurar a autenticação do Amazon Cognito, ainda poderá proteger o Dashboards usando uma política de acesso baseada em IP e um servidor de proxy, autenticação básica HTTP ou SAML.
Grande parte do processo de autenticação ocorre no Amazon Cognito, mas esta seção oferece diretrizes e requisitos para configurar recursos do Amazon Cognito para trabalhar com domínios do OpenSearch Service. Preços padrão
dica
Na primeira vez que você configurar um domínio para usar a autenticação do Amazon Cognito para o OpenSearch Dashboards, recomendamos usar o console. Os recursos do Amazon Cognito são extremamente personalizáveis, e o console pode ajudar você a identificar e compreender os recursos que são importantes para você.
Tópicos
- Pré-requisitos
- Configuração de um domínio para uso da autenticação do Amazon Cognito
- Como permitir a função autenticada
- Configuração de provedores de identidade
- (Opcional) Configuração de acesso granular
- (Opcional) Personalização da página de login
- (Opcional) Configuração da segurança avançada
- Testar
- Cotas
- Problemas de configuração comuns
- Desabilitação da autenticação do Amazon Cognito para OpenSearch Dashboards
- Exclusão de domínios que usam a autenticação do Amazon Cognito para OpenSearch Dashboards
Pré-requisitos
Antes de configurar a autenticação do Amazon Cognito para o Kibana, você deverá atender a vários pré-requisitos. O console do OpenSearch Service ajuda a simplificar a criação desses recursos, mas compreender a finalidade de cada recurso ajuda na configuração e na solução de problemas. A autenticação do Amazon Cognito para Dashboards requer os seguintes recursos:
-
Conjunto de usuários do Amazon Cognito
-
Grupo de identidades do Amazon Cognito
-
Função do IAM com a política
AmazonOpenSearchServiceCognitoAccess
anexada (CognitoAccessForAmazonOpenSearch
)
nota
Os grupos de usuários e identidades devem estar na mesma Região da AWS. Você pode usar o mesmos grupo de usuários, grupo de identidades e função do IAM para adicionar a autenticação do Amazon Cognito para o Dashboards para vários domínios do OpenSearch Service. Para saber mais, consulte Cotas.
Sobre o grupo de usuários
Os grupos de usuários têm dois recursos principais: criar e gerenciar um diretório de usuários e permitir que os usuários se cadastrem e façam login. Para obter instruções sobre como criar um grupo de usuários, consulte Criar um grupo de usuários no Guia do desenvolvedor do Amazon Cognito.
Ao criar um grupo de usuários para usar com o OpenSearch Service, considere o seguinte:
-
O grupo de usuários do Amazon Cognito deve ter um nome de domínio. O OpenSearch Service usa esse nome de domínio para redirecionar os usuários para uma página de login para acessar o Dashboards. Além de um nome de domínio, o grupo de usuários não exige qualquer configuração não padrão.
-
Você deve especificar os atributos padrão necessários do grupo, como nome, data de nascimento, endereço de e-mail e número de telefone. Você não pode alterar esses atributos depois de criar o grupo de usuários. Portanto, escolha os atributos importantes para você neste momento.
-
Ao criar seu grupo de usuários, escolha se os usuários podem criar suas próprias contas, a segurança mínima da senha para contas e se deseja habilitar a autenticação multifator. Se você planeja usar um provedor de identidade externo, essas configurações são não têm qualquer consequência. Tecnicamente, você pode habilitar o grupo de usuários como um provedor de identidade e habilitar um provedor de identidade externo, mas a maioria das pessoas prefere um ou o outro.
Os IDs de grupo de usuários assumem a forma de
. Se você planeja usar a AWS CLI ou um AWS SDK para configurar o OpenSearch Service, anote o ID.region
_ID
Sobre o grupo de identidades
Os grupos de identidades permitem que você atribua funções temporárias e de privilégio limitado a usuários depois que eles fazem login. Para obter instruções sobre como criar um grupo de identidades, consulte Grupos de identidades no Guia do desenvolvedor do Amazon Cognito. Ao criar um grupo de identidades para usar com o OpenSearch Service, considere o seguinte:
-
Se você usar o console do Amazon Cognito, deverá marcar a caixa de seleção EPermitir acesso a identidades não autenticadas para criar o grupo de identidades. Após você criar o grupo de identidades e configurar o domínio do OpenSearch Service, o Amazon Cognito desabilitará essa configuração.
-
Você não precisa adicionar provedores de identidade externos ao grupo de identidades. Quando você configurar o OpenSearch Service para usar a autenticação do Amazon Cognito, ele configurará o grupo de identidades para usar o grupo de usuários que você acabou de criar.
-
Depois de criar o grupo de identidades, você deve escolher as funções do IAM autenticadas e não autenticadas. Essas funções especificam as políticas de acesso que os usuários têm antes e depois de fazer login. Se você usar o console do Amazon Cognito ele poderá criar essas funções para você. Depois de criar a função autenticada, anote o nome do recurso da Amazon (ARN), que tem o formato de
arn:aws:iam::
.123456789012
:role/Cognito_identitypoolname
Auth_Role
Os IDs de grupo de identidades assumem a forma de
. Se você planeja usar a AWS CLI ou um AWS SDK para configurar o OpenSearch Service, anote o ID.region
:ID
-ID
-ID
-ID
-ID
Sobre a função CognitoAccessForAmazonOpenSearch
O OpenSearch Service precisa de permissões para configurar os usuários e os grupos de identidades do Amazon Cognito e usá-los para autenticação. É possível usar AmazonOpenSearchServiceCognitoAccess
, que é uma política gerenciada pela AWS para essa finalidade. AmazonESCognitoAccess
é uma política legada que foi substituída por AmazonOpenSearchServiceCognitoAccess
quando o serviço foi renomeado para Amazon OpenSearch Service. Ambas as políticas fornecem as permissões mínimas do Amazon Cognito necessárias para ativar a autenticação Cognito. Para ver a política JSON, consulte o console do IAM
Se você usar o console para criar ou configurar o domínio do OpenSearch Service, ele criará uma função do IAM para você e anexará a política da AmazonOpenSearchServiceCognitoAccess
à função (ou à política AmazonESCognitoAccess
se for um domínio do Elasticsearch) à função. O nome padrão desta função é CognitoAccessForAmazonOpenSearch
.
As políticas de permissões da função AmazonOpenSearchServiceCognitoAccess
e AmazonESCognitoAccess
permitem que o OpenSearch Service conclua as seguintes ações em todos os grupos usuários e de identidade:
-
Ação:
cognito-idp:DescribeUserPool
-
Ação:
cognito-idp:CreateUserPoolClient
-
Ação:
cognito-idp:DeleteUserPoolClient
-
Ação:
cognito-idp:UpdateUserPoolClient
-
Ação:
cognito-idp:DescribeUserPoolClient
-
Ação:
cognito-idp:AdminInitiateAuth
-
Ação:
cognito-idp:AdminUserGlobalSignOut
-
Ação:
cognito-idp:ListUserPoolClients
-
Ação:
cognito-identity:DescribeIdentityPool
-
Ação:
cognito-identity:SetIdentityPoolRoles
-
Ação:
cognito-identity:GetIdentityPoolRoles
Se você usar a AWS CLI ou um dos AWS SDKs, deverá criar sua própria função, anexar a política e especificar o nome do recurso da Amazon (ARN) para essa função ao configurar o domínio do OpenSearch Service. A função deve ter a seguinte relação de confiança:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "opensearchservice.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Para obter instruções, consulte Criação de uma função para delegar permissões a um serviço da AWS e Anexação e desanexação de políticas do IAM no Manual do usuário do IAM.
Configuração de um domínio para uso da autenticação do Amazon Cognito
Depois de concluir os pré-requisitos, você poderá configurar um domínio do OpenSearch Service para usar o Amazon Cognito para o Dashboards.
nota
O Amazon Cognito não está disponível em todas as Regiões da AWS. Para obter uma lista de regiões e endpoints compatíveis, consulte Regiões da AWS e endpoints. Não é necessário usar a mesma região para o Amazon Cognito e para o OpenSearch Service.
Configuração da autenticação do Amazon Cognito (console)
Como ele cria a função CognitoAccessForAmazonOpenSearch para você, o console oferece a experiência de configuração mais simples. Além das permissões padrão do OpenSearch Service, você precisa do seguinte conjunto mínimo de permissões para usar o console para criar um domínio que usa a autenticação do Amazon Cognito para o Dashboards.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "cognito-identity:ListIdentityPools", "cognito-idp:ListUserPools", "iam:CreateRole", "iam:AttachRolePolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::
123456789012
:role/service-role/CognitoAccessForAmazonOpenSearch
" } ] }
Para obter instruções sobre como adicionar permissões a uma identidade (usuário, grupo de usuários ou função), consulte Adicionar permissões de identidade do IAM (console).
Se CognitoAccessForAmazonOpenSearch
já existir, você precisará de um número menor de permissões:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "cognito-identity:ListIdentityPools", "cognito-idp:ListUserPools" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::
123456789012
:role/service-role/CognitoAccessForAmazonOpenSearch
" } ] }
Para configurar a autenticação do Amazon Cognito para Dashboards (console)
-
Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/home/
. -
Em Domínios, selecione o domínio que deseja configurar.
-
Escolha Ações, Editar configuração de segurança.
-
Selecione Habilitar autenticação do Amazon Cognito.
-
Em Região, selecione a Região da AWS que contém o grupo de usuários e o grupo de identidades do Amazon Cognito.
-
Em Grupo de usuários do Cognito, selecione um grupo de usuários ou crie um. Para obter orientações, consulte Sobre o grupo de usuários.
-
Em Grupo de identidades do Cognito, selecione um grupo de identidades ou crie um. Para obter orientações, consulte Sobre o grupo de identidades.
nota
Os links Criar grupo de usuários e Criar grupo de identidades direcionam você para o console do Amazon Cognito e exigem que você crie esses recursos manualmente. O processo não é automático. Para saber mais, consulte Pré-requisitos.
-
Em Nome da função do IAM, use o valor padrão de
CognitoAccessForAmazonOpenSearch
(recomendado) ou insira um novo nome. Para saber mais sobre o propósito desta função, consulte Sobre a função CognitoAccessForAmazonOpenSearch. -
Escolha Salvar alterações.
Depois que o seu domínio concluir o processamento, consulte Como permitir a função autenticada e Configuração de provedores de identidade para ver as etapas de configuração adicionais.
Configuração da autenticação do Amazon Cognito (AWS CLI)
Use o parâmetro --cognito-options
para configurar o domínio do OpenSearch Service. A sintaxe a seguir é usada pelos comandos create-domain
e update-domain-config
:
--cognito-options Enabled=true,UserPoolId="
user-pool-id
",IdentityPoolId="identity-pool-id
",RoleArn="arn:aws:iam::123456789012:role/CognitoAccessForAmazonOpenSearch
"
Exemplo
O exemplo a seguir cria um domínio na região us-east-1
que habilita a autenticação do Amazon Cognito para o Dashboards usando a função CognitoAccessForAmazonOpenSearch
e fornece acesso ao domínio para Cognito_Auth_Role
:
aws opensearch create-domain --domain-name
my-domain
--regionus-east-1
--access-policies '{ "Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS": ["arn:aws:iam::123456789012
:role/Cognito_Auth_Role
"]},"Action":"es:ESHttp*","Resource":"arn:aws:es:us-east-1:123456789012
:domain/*" }]}' --engine-version "OpenSearch_1.0" --cluster-config InstanceType=m4.xlarge.search,InstanceCount=1 --ebs-options EBSEnabled=true,VolumeSize=10 --cognito-options Enabled=true,UserPoolId="us-east-1_123456789
",IdentityPoolId="us-east-1:12345678-1234-1234-1234-123456789012
",RoleArn="arn:aws:iam::123456789012
:role/CognitoAccessForAmazonOpenSearch
"
Depois que o seu domínio concluir o processamento, consulte Como permitir a função autenticada e Configuração de provedores de identidade para ver as etapas de configuração adicionais.
Configuração da autenticação do Amazon Cognito (AWS SDKs)
Os SDKs da AWS (exceto os SDKs para Android e iOS) são compatíveis com todas as operações definidas na Amazon OpenSearch Service API Reference (Referência da API do Amazon OpenSearch Service), incluindo o parâmetro CognitoOptions
para as operações CreateDomain
e UpdateDomainConfig
. Para obter mais informações sobre instalação e uso dos AWS SDKs, consulte Kits de desenvolvimento de software da AWS
Depois que o seu domínio concluir o processamento, consulte Como permitir a função autenticada e Configuração de provedores de identidade para ver as etapas de configuração adicionais.
Como permitir a função autenticada
Por padrão, a função do IAM autenticada que você configurou seguindo as diretrizes em Sobre o grupo de identidades não tem os privilégios necessários para acessar o OpenSearch Dashboards. Você deve fornecer permissões adicionais à função.
nota
Se tiver configurado o controle de acesso detalhado e usar uma política de acesso “aberta” ou baseada em IP, poderá ignorar esta etapa.
É possível incluir essas permissões em uma política baseada em identidades, mas, a menos que você queira que os usuários autenticados tenham acesso a todos os domínios do OpenSearch Service, a melhor abordagem é uma política baseada em recursos anexada a um único domínio.
Para o Principal
, especifique o ARN da função autenticada do Cognito que você configurou com as diretrizes em Sobre o grupo de identidades.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":[ "arn:aws:iam::
123456789012
:role/Cognito_identitypoolname
Auth_Role" ] }, "Action":[ "es:ESHttp*" ], "Resource":"arn:aws:es:region
:123456789012
:domain/domain-name
/*" } ] }
Para obter instruções sobre como adicionar uma política baseada em recursos a um domínio do OpenSearch Service, consulte Configuração de políticas de acesso.
Configuração de provedores de identidade
Quando você configura um domínio para usar a autenticação do Amazon Cognito para o Dashboards, o OpenSearch Service adiciona um cliente da aplicação ao grupo de usuários e adiciona o grupo de usuários ao grupo de identidades como um provedor de autenticação.
Atenção
Não renomeie nem exclua o cliente do aplicativo.
Dependendo de como você configurou o grupo de usuários, talvez precise criar contas de usuário manualmente ou os usuários podem ser capazes de criar suas próprias contas. Se essas configurações forem aceitáveis, você não precisará realizar ações adicionais. No entanto, muitas pessoas preferem usar provedores de identidade externos.
Para habilitar um provedor de identidade SAML 2.0, você deve fornecer um documento de metadados do SAML. Para habilitar provedores de identidades sociais, como o Login with Amazon, o Facebook e o Google, você deve ter um ID e um segredo do aplicativo a partir desses provedores. Você pode habilitar qualquer combinação de provedores de identidade.
A maneira mais fácil de configurar seu grupo de usuários é usar o console do Amazon Cognito. Para obter instruções, consulte Uso da federação a partir de um grupo de usuários e Especificação das configurações do provedor de identidade para sua aplicação de grupo de usuários no Guia do desenvolvedor do Amazon Cognito.
(Opcional) Configuração de acesso granular
Talvez você tenha percebido que as configurações padrão do grupo de identidades atribui todos os usuário que fazem log in na mesma função do IAM (Cognito_
). Isso significa que todos os usuários podem acessar os mesmos recursos da AWS. Para usar o controle de acesso refinado com o Amazon Cognito, por exemplo, se desejar que os analistas da sua organização tenham acesso somente leitura a vários índices, mas que os desenvolvedores tenham acesso de gravação a todos os índices, você terá duas opções:identitypool
Auth_Role
-
Criar grupos de usuários e configurar seu provedor de identidade para escolher a função do IAM com base no token de autenticação do usuário (recomendado).
-
Configurar o provedor de identidade para escolher a função do IAM com base em uma ou mais regras.
Para obter um passo a passo que inclui controle de acesso refinado, consulte Tutorial: Configuração de um domínio com um usuário primário do IAM e autenticação do Amazon Cognito.
Importante
Assim como a função padrão, o Amazon Cognito deve fazer parte da relação de confiança de cada função adicional. Para obter mais detalhes, consulte Criação de funções para mapeamento de função no Guia do desenvolvedor do Amazon Cognito.
Grupos de usuários e tokens
Quando você cria um grupo de usuários, escolhe uma função do IAM para os membros do grupo. Para obter informações sobre a criação de grupos, consulte Grupos de usuários no Guia do desenvolvedor do Amazon Cognito.
Depois de criar um ou mais grupos de usuários, você pode configurar o provedor de autenticação para atribuir aos usuários suas funções de grupo em vez da função padrão do grupo de identidades. Selecione Escolher função do token e, em seguida, escolha Usar função autenticada padrão ou NEGAR para especificar como o pool de identidades lidará com os usuários que não fazem parte do grupo.
Regras
As regras são essencialmente uma série de instruções if
que o Amazon Cognito avalia em sequência. Por exemplo, se um endereço de e-mail do usuário contiver @corporate
, o Amazon Cognito atribuirá Role_A
a esse usuário. Se um endereço de e-mail do usuário contém @subsidiary
, esse usuário é atribuído a Role_B
. Caso contrário, ele atribui ao usuário a função autenticada padrão.
Para saber mais, consulte Uso do mapeamento com base em regras para atribuir funções a usuários no Guia do desenvolvedor do Amazon Cognito.
(Opcional) Personalização da página de login
Você pode usar o console do Amazon Cognito para carregar de um logo personalizado e fazer alterações de CSS na página de login. Para obter instruções e uma lista completa das propriedades do CSS, consulte Especificação das configurações de personalização de interface do usuário da aplicação para seu grupo de usuários no Guia do desenvolvedor do Amazon Cognito.
(Opcional) Configuração da segurança avançada
Os grupos de usuários do Amazon Cognito oferecem suporte a recursos de segurança avançada, como a autenticação multifator, a verificação de credenciais comprometidas e a autenticação adaptável. Para saber mais, consulte Gerenciamento da segurança no Guia do desenvolvedor do Amazon Cognito.
Testar
Depois que você estiver satisfeito com sua configuração, verifique se a experiência do usuário atende às suas expectativas.
Para acessar o OpenSearch Dashboards
-
Vá para
https://
em um navegador da Web. Para fazer login diretamente em um inquilino específico, anexeopensearch-domain
/_dashboards?security_tenant=
ao URL.tenant-name
-
Faça login usando suas credenciais preferenciais.
-
Depois que o OpenSearch Dashboards carregar, configure pelo menos um padrão de índice. O Dashboards usa esses padrões para identificar quais índices você deseja analisar. Digite
*
, escolha Próxima etapa e, em seguida, Criar padrão de índice. -
Para pesquisar ou explorar seus dados, escolha Descobrir.
Se qualquer etapa desse processo falhar, consulte Problemas de configuração comuns para obter informações sobre soluções de problemas.
Cotas
O Amazon Cognito tem limites flexíveis em muitos dos seus recursos. Se desejar habilitar a autenticação do Dashboards para um grande número de domínios do OpenSearch Service, revise as Cotas do Amazon Cognito e solicite aumentos de limite conforme necessário.
Cada domínio do OpenSearch Service adiciona um cliente de aplicação ao grupo de usuários, o qual adiciona um provedor de autenticação ao grupo de identidades. Se você habilitar a autenticação do OpenSearch Dashboards para mais de 10 domínios, poderá encontrar o limite "máximo de provedores do grupo de usuários do Amazon Cognito por grupo de identidades". Se você exceder um limite, qualquer domínio do OpenSearch Service que tentar configurar para usar a autenticação do Amazon Cognito para o Dashboards poderá ficar preso em um estado de configuração de PEm processamento.
Problemas de configuração comuns
As tabelas a seguir listam os problemas de configuração comuns e as soluções.
Problema | Solução |
---|---|
|
Você não tem as permissões corretas do IAM. Adicione as permissões especificadas em Configuração da autenticação do Amazon Cognito (console). |
|
Você não tem permissões iam:PassRole para a função CognitoAccessForAmazonOpenSearch. Anexe a política a seguir à sua conta:
Como alternativa, você pode anexar a política |
|
Você não tem permissões de leitura para o Amazon Cognito. Anexe a política |
|
O OpenSearch Service não está especificado na relação de confiança da função |
|
A função especificada em --cognito-options não tem permissões para acessar o Amazon Cognito. Verifique se a função tem a política AmazonOpenSearchServiceCognitoAccess gerenciada pela AWS anexada. Como alternativa, use o console para configurar a autenticação do Amazon Cognito. O console cria uma função para você. |
An error occurred (ValidationException) when calling the
CreateDomain operation: User pool does not exist |
O OpenSearch Service não consegue encontrar o grupo de usuários. Confirme se você criou um e se tem o ID correto. Para encontrar o ID, você pode usar o console do Amazon Cognito ou o seguinte comando da AWS CLI:
|
|
O OpenSearch Service não consegue encontrar o grupo de identidades. Confirme se você criou um e se tem o ID correto. Para encontrar o ID, você pode usar o console do Amazon Cognito ou o seguinte comando da AWS CLI:
|
|
O grupo de usuários não tem um nome de domínio. Você pode configurar um usando o console do Amazon Cognito ou o seguinte comando da AWS CLI:
|
Problema | Solução |
---|---|
A página de login não mostra meus provedores de identidade preferenciais. |
Verifique se você habilitou o provedor de identidade para o cliente da aplicação do OpenSearch Service, conforme especificado em Configuração de provedores de identidade. |
A página de login não parece estar associada à minha organização. |
|
Minhas credenciais de login não funcionam. |
Verifique se você configurou o provedor de identidade conforme especificado em Configuração de provedores de identidade. Se você usa o grupo de usuários como seu provedor de identidade, verifique se a conta existe no console do Amazon Cognito. |
O OpenSearch Dashboards não carrega ou não funciona corretamente. |
A função autenticada do Amazon Cognito precisa de permissões |
Quando eu desconecto do OpenSearch Dashboards em uma guia, as guias restantes exibem uma mensagem informando que o token de atualização foi revogado. |
Quando você desconecta de uma sessão do OpenSearch Dashboards enquanto usa a autenticação do Amazon Cognito, o OpenSearch Service executa uma operação AdminUserGlobalSignout, que desconecta você de todas as sessões ativas do OpenSearch Dashboards. |
Invalid identity pool configuration. Check assigned IAM roles
for this pool. |
O Amazon Cognito não tem permissões para assumir a função do IAM em nome do usuário autenticado. Modifique a relação de confiança da função para incluir:
|
Token is not from a supported provider of this identity
pool. |
Este erro incomum pode ocorrer quando você remover o cliente do aplicativo a partir do grupo de usuários. Tente abrir o Dashboards em uma nova sessão do navegador. |
Desabilitação da autenticação do Amazon Cognito para OpenSearch Dashboards
Use o procedimento a seguir para desabilitar a autenticação do Amazon Cognito para Dashboards.
Para desabilitar a autenticação do Amazon Cognito para Dashboards (console)
-
Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/home/
. -
Em Domínios, escolha o domínio que deseja configurar.
-
Escolha Ações, Editar configuração de segurança.
-
Desmarque a opção Habilitar autenticação do Amazon Cognito.
-
Escolha Salvar alterações.
Importante
Se você não precisar mais do grupo de usuários e do grupo de identidades do Amazon Cognito, exclua-os. Caso contrário, você continuará a ser cobrado.
Exclusão de domínios que usam a autenticação do Amazon Cognito para OpenSearch Dashboards
Para evitar que domínios que usem a autenticação do Amazon Cognito para Dashboards fiquem presos em um estado de configuração Em processamento , exclua domínios do OpenSearch Service antes de excluir os grupos de usuários e grupos de identidades do Amazon Cognito associados.