Come posso risolvere i problemi relativi all'autenticazione Amazon Cognito con OpenSearch Dashboards?

5 minuti di lettura

Desidero accedere a OpenSearch Dashboards e utilizzare l'autenticazione Amazon Cognito sul mio dominio del Servizio OpenSearch di Amazon. Tuttavia, ricevo un errore o riscontro un problema di accesso.

Risoluzione

Quando inserisci l'URL di OpenSearch Dashboards, la pagina di accesso non viene visualizzata

La pagina di accesso potrebbe non essere visualizzata per i seguenti motivi:

Hai utilizzato una policy di accesso al dominio basata sull'IP che consente all'indirizzo IP del computer locale di accedere a Dashboards. Per risolvere il problema, aggiungi il ruolo autenticato di Amazon Cognito nella policy di accesso al dominio.
Hai utilizzato un ruolo AWS Identity and Access Management (AWS IAM) autorizzato a firmare le richieste. Per risolvere il problema, non utilizzare un metodo proxy per firmare le richieste.
Il dominio del Servizio OpenSearch si trova in un cloud privato virtuale (VPC), quindi il dominio ha una policy di accesso aperto. Non ti serve l'autenticazione Amazon Cognito per accedere a Dashboards quando il dominio è in un VPC.
Nota: per richiedere l'autenticazione Amazon Cognito, modifica la policy di accesso al dominio.

Se l'autenticazione Amazon Cognito ti reindirizza alla pagina di accesso di OpenSearch Dashboards ma non riesci ad accedere, hai configurato Amazon Cognito in modo errato. Per risolvere il problema, intraprendi le seguenti azioni:

Assicurati di utilizzare il nome utente e la password corretti.
Verifica di aver configurato correttamente il gestore dell'identità digitale.
Verifica che lo stato dell'account sia CONFERMATO.
Nota: puoi visualizzare lo stato dell'account nella pagina Utenti e gruppi della console Amazon Cognito. Per ulteriori informazioni, consulta Registrazione e conferma degli account utente.

Errore "Missing Role"

Se hai attivato il controllo granulare degli accessi su OpenSearch Dashboards nel dominio del Servizio OpenSearch, potresti ricevere il seguente errore:

"Missing Role No roles available for this user, please contact your system administrator."

Per risolvere il problema, assicurati che il ruolo assunto dal pool di identità di Amazon Cognito corrisponda al ruolo IAM per l'utente principale specificato.

Per abbinare il ruolo IAM dell'utente principale al ruolo Amazon Cognito presunto, completa i seguenti passaggi:

Apri la console del Servizio OpenSearch.
Nel pannello di navigazione, in Cluster gestiti, scegli Domini.
Scegli Operazioni.
Scegli Modifica la configurazione di sicurezza.
Per Controllo granulare degli accessi, scegli Set IAM ARN as your master user (Imposta ARN IAM come utente principale).
In ARN IAM, inserisci l'ARN del ruolo del pool di identità di Amazon Cognito.
(Facoltativo) Se non conosci l'ARN dell'utente principale, modifica l'utente principale per specificare un nuovo ARN IAM.
Scegli Invia.

Errore di configurazione pool di identità non valido

Se Amazon Cognito non dispone dell'autorizzazione per assumere un ruolo IAM per l'utente autenticato, potresti ricevere il seguente errore:

"com.amazonaws.services.cognitoidentity.model.InvalidIdentityPoolConfigurationException: Invalid identity pool configuration. Check assigned IAM roles for this pool. (Service: AmazonCognitoIdentity; Status Code: 400; Error Code: InvalidIdentityPoolConfigurationException; Request ID: #####-####-####-####-#####)"

Per risolvere il problema, modifica la relazione di attendibilità del ruolo IAM.

Completa i seguenti passaggi:

Apri la console Amazon IAM.
Scegli Ruoli.
Seleziona il ruolo IAM.
Scegli la scheda Relazioni di attendibilità.

Scegli Modifica relazione di attendibilità. Assicurati che il pool di identità Amazon Cognito possa assumere il ruolo IAM.

Esempio di policy di attendibilità:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "cognito-identity.amazonaws.com"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "cognito-identity.amazonaws.com:aud": "identity-pool-id"
       },
       "ForAnyValue:StringLike": {
         "cognito-identity.amazonaws.com:amr": "authenticated"
       }
      }
    }
  ]
}

Scegli Aggiorna policy di attendibilità.

Per ulteriori informazioni, consulta Tutorial: configurazione di un dominio con un utente master IAM e autenticazione Amazon Cognito.

Ricevi un errore quando richiedi la pagina

Se configuri in modo errato l'URL di callback o l'endpoint personalizzato nelle impostazioni del client dell'app, potresti ricevere il seguente errore:

"An error was encountered with the requested page"

Per verificare di aver configurato correttamente le impostazioni del client dell'app, completa i seguenti passaggi:

Apri la console Amazon Cognito.
Seleziona Gestisci pool di utenti.
Seleziona il pool di utenti che desideri modificare.
In Integrazione app, seleziona il client dell'app OpenSearch dal menu Client dell'app .

Verifica di aver configurato correttamente gli URL di callback e gli URL di disconnessione.

Esempio di URL:

<dashboards-endpoint>/_dashboards/app/home

Esempio di URL per un dominio con un endpoint personalizzato attivato:

<domain-custom-endpoint>/_dashboards/app/home

Ricevi l'errore "CognitoIdentityCredentials is not authorized to perform"

Se accedi ma non riesci a visualizzare OpenSearch Dashboards, potresti ricevere il seguente errore:

"User: arn:aws:sts:: 123456789012:assumed-role/Cognito_identitypoolAuth_Role/CognitoIdentityCredentials is not authorized to perform: es:ESHttpGet"

Per impostazione predefinita, il ruolo IAM autenticato per i pool di identità non include le autorizzazioni richieste per accedere a Dashboards. Per individuare il nome del ruolo autenticato e aggiungerlo alla policy di accesso al Servizio OpenSearch, completa i seguenti passaggi:

Apri la console Amazon Cognito.
Scegli Gestisci pool di identità.
Scegli Modifica pool di identità.
Aggiungi il ruolo autenticato alla policy di accesso al dominio del Servizio OpenSearch.

Nota: è consigliabile utilizzare una policy basata sulle risorse per gli utenti autenticati. Il ruolo autenticato controlla specificamente l'autenticazione Amazon Cognito per OpenSearch Dashboards.

Informazioni correlate

Problemi di configurazione comuni

Argomenti

Serverless Analisi

Tag

Amazon OpenSearch Service

Lingua

Italiano

AWS UFFICIALEAggiornata un mese fa

Contenuto pertinente

Come posso utilizzare un proxy NGINX per accedere a OpenSearch Dashboards con l'autenticazione di Amazon Cognito dall'esterno di un VPC?
AWS UFFICIALEAggiornata un mese fa
Come posso utilizzare un tunnel SSH per accedere a OpenSearch Dashboards con l'autenticazione di Amazon Cognito dall'esterno di un VPC?
AWS UFFICIALEAggiornata un mese fa
In che modo è possibile accedere a OpenSearch Dashboards dall'esterno di un VPC utilizzando l'autenticazione di Amazon Cognito?
AWS UFFICIALEAggiornata 2 anni fa
Perché OpenSearch Dashboards si trovano nello stato rosso nel mio dominio Amazon OpenSearch Service?
AWS UFFICIALEAggiornata 4 anni fa