¿Cómo soluciono los errores al crear un dominio personalizado en Amazon Cognito?

Descripción corta

Al configurar nombres de dominio personalizados en Amazon Cognito, es posible que reciba uno de los siguientes mensajes de error:

• «El dominio personalizado no es un subdominio válido: No se pudo resolver el dominio raíz. Asegúrese de que existe un registro A para el dominio raíz».
• «El dominio ya está asociado a otro grupo de usuarios».
• «Uno o varios de los CNAME que ha proporcionado ya están asociados a otro recurso».
• «El certificado SSL especificado no existe, no se encuentra en la región us-east-1, no es válido o no incluye una cadena de certificados válida».
• «El nombre de dominio contiene un carácter no válido. Los nombres de dominio solo pueden contener letras minúsculas, números y guiones. Introduzca un nombre diferente que siga este formato: ^a-z0-9?$».

Resolución

El dominio personalizado no es un subdominio válido

Para evitar cambios accidentales en la infraestructura, Amazon Cognito no admite dominios de nivel superior para dominios personalizados. Para crear un dominio personalizado de Amazon Cognito, el dominio principal debe tener un registro DNS A.

El principal puede ser la raíz del dominio o un dominio secundario que esté un escalón más arriba en la jerarquía de dominios. Por ejemplo, si su dominio personalizado es auth.xyz.yourdomain.com, Amazon Cognito debe convertir xyz.yourdomain.com en una dirección IP. Además, para configurar xyz.yourdomain.com como dominio personalizado, configure un registro A para yourdomain.com.

Debe crear un registro A para el dominio principal en la configuración de DNS. Cuando el dominio principal se convierte en un registro A válido, Amazon Cognito no realiza verificaciones adicionales. Si el dominio principal no apunta a una dirección IP real, coloque una dirección IP ficticia en la configuración de DNS, como «8.8.8.8».

Para asegurarse de que su proveedor de DNS propagó los cambios que realizó en la configuración de DNS, ejecute uno de los siguientes comandos.

Nota: Los comandos de ejemplo son para un entorno Linux.

Para usar auth.xyz.yourdomain.com como dominio personalizado, ejecute el siguiente comando:

dig A xyz.yourdomain.com +short

Para usar xyz.yourdomain.com como dominio personalizado, ejecute el siguiente comando:

dig A yourdomain.com +short

Si el cambio de configuración de DNS se propaga, el comando anterior devuelve la dirección IP que configuró. Si la búsqueda de DNS no devuelve la dirección IP configurada, espere hasta que se propague el cambio.

Después de crear el dominio personalizado en Amazon Cognito, elimine la asignación del registro A del dominio principal.

El dominio ya está asociado a otro grupo de usuarios

Los nombres de dominio personalizados deben ser únicos en todas las cuentas de AWS y en todas las regiones de AWS. Si usa un nombre de dominio personalizado para un grupo de usuarios, no podrá usar el mismo nombre de dominio para ningún otro grupo de usuarios. Para usar el nombre de dominio para otro grupo de usuarios, elimine el dominio personalizado que está asociado al primer grupo de usuarios.

Después de eliminar un dominio personalizado, lleva tiempo desvincularlo por completo del grupo de usuarios. Si configura el nombre de dominio con otro grupo de usuarios inmediatamente después de eliminarlo, es posible que reciba el mensaje de error de asociación de dominios.

Uno de los CNAME que ha proporcionado ya está asociado a otro recurso

Una vez que Amazon Cognito crea un dominio personalizado, Amazon Cognito utiliza el mismo nombre de dominio personalizado para crear una distribución de Amazon CloudFront administrada de AWS. Puede usar un nombre de dominio con una sola distribución de CloudFront. Si usa un nombre de dominio como dominio alternativo en CloudFront, no podrá usar el nombre de dominio existente para crear un dominio personalizado. Si intenta crear un dominio personalizado que ya está asociado a una distribución de CloudFront, aparece el mensaje de error de asociación de CNAME.

Para resolver este problema, utilice otro nombre de dominio para el dominio personalizado de Amazon Cognito. O bien, si utiliza el dominio como un dominio personalizado de Amazon Cognito, no utilice el nombre de dominio con otra distribución de CloudFront.

El certificado SSL especificado no existe

Al crear el dominio personalizado, Amazon Cognito crea internamente una distribución de CloudFront. CloudFront admite los certificados de ACM solo en la región us-east-1. Para crear un dominio personalizado de Amazon Cognito, debe tener un certificado de AWS Certificate Manager (ACM) en la región de AWS us-east-1. 

Al configurar el dominio personalizado, asegúrese de que el certificado que seleccione no esté caducado.

Si importa un certificado a ACM, asegúrese de que una entidad emisora de certificados pública emita el certificado. El certificado también debe tener la cadena de certificados correcta. Para obtener más información, consulte Importación de certificados a AWS Certificate Manager y Requisitos para usar certificados SSL/TLS con CloudFront.

Si la evaluación de una política de AWS Key Management Service (AWS KMS) da como resultado una instrucción de denegación explícita, es posible que reciba un mensaje de error sobre el certificado SSL. Cuando se deniegan de forma explícita determinadas acciones de AWS KMS al usuario o rol de IAM que crea el dominio personalizado de Amazon Cognito, recibirá el mensaje de error del certificado SSL. El problema suele ocurrir con las acciones kms:DescribeKey, kms:CreateGrant o kms:* de AWS KMS.

El nombre de dominio contiene un carácter no válido

Un nombre de dominio sólo puede contener letras minúsculas, números y guiones. No puede usar un guion para como primer o último carácter. La longitud máxima de todo el nombre de dominio es de 63 caracteres.

Información relacionada

Uso de su propio dominio para el inicio de sesión administrado