En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post

Comment résoudre les erreurs lorsque je crée un domaine personnalisé dans Amazon Cognito ?

Lecture de 6 minute(s)
0

Je dois apprendre à résoudre les erreurs courantes lors de la configuration de domaines personnalisés dans Amazon Cognito.

Brève description

Lors de la configuration de noms de domaines personnalisés dans Amazon Cognito, les erreurs suivantes se produisent fréquemment  :

  • « Le domaine personnalisé n'est pas un sous-domaine valide : impossible de résoudre le domaine racine, veuillez vous assurer qu'il existe un enregistrement A pour le domaine racine. »
  • « Domaine déjà associé à un autre groupe d'utilisateurs. »
  • « Un ou plusieurs CNAME que vous avez fournis sont déjà associés à une autre ressource. »
  • « Le certificat SSL spécifié n'existe pas, n'est pas dans la région us-east-1, n'est pas valide ou n'inclut pas de chaîne de certificats valide. »
  • « Le nom de domaine contient un caractère non valide. Les noms de domaine ne peuvent contenir que des lettres minuscules, des chiffres et des traits d'union. Entrez un nom différent au format suivant : ^ [a-z0-9] (? : [a-z0-9 \ \ -] {0,61} [a-z0-9]) ? $ »

Solution

Le domaine personnalisé n'est pas une erreur de sous-domaine valide

Pour éviter toute modification accidentelle de l'infrastructure, Amazon Cognito ne prend pas en charge les domaines de premier niveau (TLD) pour les domaines personnalisés. Pour créer un domaine personnalisé Amazon Cognito, le domaine parent doit disposer d'un enregistrement DNS (système de nom de domaine) A.

Le parent peut être la racine du domaine ou un domaine enfant qui se situe à un échelon supérieur dans la hiérarchie des domaines. Par exemple, si votre domaine personnalisé est auth.xyz.yourdomain.com, Amazon Cognito doit résoudre xyz. yourdomain.com à une adresse IP. De même, pour configurer xyz.yourdomain.com en tant que domaine personnalisé, configurez un enregistrement A pour yourdomain.com.

Vous devez créer un enregistrement A pour le domaine parent dans votre configuration DNS. Lorsque le domaine parent obtient un enregistrement A valide, Amazon Cognito n'effectue aucune vérification supplémentaire. Si le domaine parent ne pointe pas vers une adresse IP réelle, vous pouvez ajouter une adresse IP fictive, telle que « 8.8.8.8 », dans votre configuration DNS.

Votre fournisseur DNS peut mettre du temps à propager les modifications que vous avez apportées à votre configuration DNS. Pour vous assurer que votre fournisseur DNS a bien propagé la modification, exécutez l'une des commandes suivantes :

En utilisant auth.xyz.yourdomain.com comme domaine personnalisé :

$ dig A xyz.yourdomain.com +short

-ou-

En utilisant xyz.yourdomain.com comme domaine personnalisé :

$ dig A yourdomain.com +short

Remarque : Les exemples de commandes précédents concernent un environnement Linux.

Si la modification de configuration DNS se propage, la commande précédente renvoie l'adresse IP que vous avez configurée. Si la recherche DNS ne renvoie pas l'adresse IP configurée, attendez que la modification soit propagée. Sinon, vous continuez à recevoir l'erreur « Le domaine personnalisé n'est pas un sous-domaine valide ».

Une fois le domaine personnalisé créé dans Amazon Cognito, vous pouvez supprimer le mappage d'enregistrements du domaine parent A que vous avez configuré précédemment.

Domaine déjà associé à une autre erreur de groupe d'utilisateurs

Les noms de domaine personnalisés doivent être uniques pour tous les comptes AWS de toutes les régions AWS. Lorsque vous utilisez un nom de domaine personnalisé pour un groupe d'utilisateurs, le même nom de domaine ne peut pas être utilisé pour un autre groupe d'utilisateurs. Vous devez supprimer le domaine personnalisé associé au premier groupe d'utilisateurs si vous souhaitez utiliser le nom de domaine d'un autre groupe d'utilisateurs.

Après avoir supprimé un domaine personnalisé, il faut du temps pour dissocier complètement le domaine personnalisé du groupe d'utilisateurs. Si vous essayez de configurer le nom de domaine avec un autre groupe d'utilisateurs immédiatement après sa suppression, vous risquez de rencontrer l'erreur d'association de domaines. Si vous recevez le message d'erreur d'association de domaines, attendez 15 à 20 minutes avant de configurer le nom de domaine avec le nouveau groupe d'utilisateurs.

Un ou plusieurs CNAME que vous avez fournis sont déjà associés à une autre ressource

Après avoir créé un domaine personnalisé, Amazon Cognito crée une distribution Amazon CloudFront gérée par AWS en utilisant le même nom de domaine personnalisé. Vous ne pouvez utiliser un nom de domaine qu'avec une seule distribution CloudFront. Si vous utilisez un nom de domaine comme domaine secondaire dans CloudFront, vous ne pouvez pas utiliser un nom de domaine existant pour créer un domaine personnalisé. Si vous essayez de créer un domaine personnalisé déjà associé à une distribution CloudFront, l'erreur d'association CNAME s'affiche.

Vous pouvez résoudre cette erreur de l'une des deux manières suivantes :

  • Utilisez un nom de domaine différent pour le domaine personnalisé Amazon Cognito.
  • Lorsque vous utilisez le domaine en tant que domaine personnalisé Amazon Cognito, arrêtez d'utiliser le nom de domaine avec une autre distribution CloudFront.

Le certificat SSL spécifié n'existe pas (erreur)

  1. Pour créer un domaine personnalisé Amazon Cognito, vous avez besoin d'un certificat AWS Certificate Manager (ACM) dans la région AWS us-east-1. Lorsque vous créez le domaine personnalisé, Amazon Cognito crée en interne une distribution CloudFront. CloudFront prend en charge les certificats ACM uniquement dans la région us-east-1.
  2. Lorsque vous configurez le domaine personnalisé, assurez-vous que le certificat que vous sélectionnez n'a pas expiré.
  3. Si vous importez un certificat dans ACM, assurez-vous qu'il est émis par une autorité de certification (CA) publique. Le certificat doit également comporter la chaîne de certificats appropriée. Pour plus d'informations, consultez la section Importation de certificats dans AWS Certificate Manager.
  4. Le certificat doit être de 2 048 bits maximum. Le certificat ne doit pas être protégé par un mot de passe.
  5. Lorsqu'une évaluation de la politique d'AWS Key Management Service (AWS KMS) aboutit à une déclaration de refus explicite, vous pouvez recevoir une erreur de certificat SSL . Cette erreur se produit lorsque certaines actions AWS KMS sont explicitement refusées pour l'utilisateur IAM ou le rôle IAM qui crée le domaine personnalisé Amazon Cognito. L'erreur se produit le plus souvent pour les actions AWS KMS suivantes explicitement refusées : kms:DescribeKey, kms:CreateGrant ou kms :*.

Le nom de domaine contient une erreur de caractère non valide

Si un nom de domaine contient autre chose que des lettres minuscules, des chiffres et des traits d'union, alors il ne sera pas accepté. Vous ne pouvez pas utiliser de tiret pour le premier ou le dernier caractère. La longueur maximale du nom de domaine complet, points compris, est de 63 caractères.

Informations connexes

Utilisation de votre propre domaine pour l'interface utilisateur hôte

Sujets
Sécurité, identité et conformité
Balises
Amazon Cognito
Langue
Français
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an
Aucun commentaire

Contenus pertinents