Amazon Cognito에서 사용자 지정 도메인을 생성할 때 발생하는 오류를 해결하려면 어떻게 해야 합니까?

간략한 설명

Amazon Cognito에서 사용자 지정 도메인 이름을 구성할 때 다음 오류 메시지 중 하나가 표시될 수 있습니다.

• “Custom domain is not a valid subdomain:(사용자 지정 도메인은 유효한 하위 도메인이 아닙니다.) Was not able to resolve the root domain, please ensure an A record exists for the root domain(루트 도메인을 확인할 수 없습니다. 루트 도메인에 대한 A 레코드가 있는지 확인하십시오).”
• “Domain already associated with another user pool(도메인이 이미 다른 사용자 풀에 연결되어 있습니다).”
• "One or more of the CNAMEs you provided are already associated with a different resource(제공한 CNAME 중 하나 이상이 이미 다른 리소스와 연결되어 있습니다)."
• "The specified SSL certificate doesn't exist, isn't in us-east-1 region, isn't valid, or doesn't include a valid certificate chain(지정한 SSL 인증서가 존재하지 않거나, us-east-1 리전에 없거나, 유효하지 않거나, 유효한 인증서 체인을 포함하지 않습니다)."
• “The domain name contains an invalid character(도메인 이름에 잘못된 문자가 있습니다). Domain names can only contain lower-case letters, numbers, and hyphens(도메인 이름은 소문자, 숫자, 하이픈만 포함할 수 있습니다). Please enter a different name that follows this format: ^a-z0-9?$"(^a-z0-9?$" 형식을 따르는 다른 이름을 입력하십시오.)

해결 방법

사용자 지정 도메인은 유효한 하위 도메인이 아님

우발적인 인프라 변경을 방지하기 위해 Amazon Cognito는 사용자 지정 도메인에 대한 최상위 도메인을 지원하지 않습니다. Amazon Cognito 사용자 지정 도메인을 생성하려면 상위 도메인에 DNS A 레코드가 있어야 합니다.

상위 도메인은 도메인의 루트일 수도 있고 도메인 계층 구조에서 한 단계 위인 하위 도메인일 수도 있습니다. 예를 들어 사용자 지정 도메인이 auth.xyz.yourdomain.com인 경우 Amazon Cognito는 xyz.yourdomain.com을 IP 주소로 확인해야 합니다. 또한 xyz.yourdomain.com을 사용자 지정 도메인으로 구성하려면 yourdomain.com의 A 레코드를 구성하십시오.

DNS 구성에서 상위 도메인에 대한 A 레코드를 생성해야 합니다. 상위 도메인이 유효한 A 레코드로 확인되면 Amazon Cognito는 추가 확인을 수행하지 않습니다. 상위 도메인이 실제 IP 주소를 가리키지 않는 경우 DNS 구성에 더미 IP 주소(예: ‘8.8.8.8’)를 입력하십시오.

DNS 공급자가 DNS 구성에 대한 변경 사항을 전파했는지 확인하려면 다음 명령 중 하나를 실행합니다.

참고: 예제 명령은 Linux 환경용입니다.

auth.xyz.yourdomain.com을 사용자 지정 도메인으로 사용하려면 다음 명령을 실행합니다.

dig A xyz.yourdomain.com +short

xyz.yourdomain.com을 사용자 지정 도메인으로 사용하려면 다음 명령을 실행합니다.

dig A yourdomain.com +short

DNS 구성 변경 사항이 전파되면 이전 명령은 구성한 IP 주소를 반환합니다. DNS 조회가 구성된 IP 주소를 반환하지 않는 경우 변경 사항이 전파될 때까지 기다리십시오.

Amazon Cognito에서 사용자 지정 도메인을 생성한 후 상위 도메인 A 레코드 맵을 제거합니다.

도메인이 이미 다른 사용자 풀과 연결되어 있음

사용자 지정 도메인 이름은 모든 AWS 계정과 모든 AWS 리전에서 고유해야 합니다. 사용자 풀에 사용자 지정 도메인 이름을 사용하는 경우 다른 사용자 풀에 동일한 도메인 이름을 사용할 수 없습니다. 다른 사용자 풀에 도메인 이름을 사용하려면 첫 번째 사용자 풀과 연결된 사용자 지정 도메인을 삭제하십시오.

사용자 지정 도메인을 삭제한 후 사용자 풀에서 사용자 지정 도메인을 완전히 분리하는 데 시간이 걸립니다. 삭제 후 즉시 다른 사용자 풀로 도메인 이름을 구성하면 도메인 연결 오류 메시지가 표시될 수 있습니다.

제공한 CNAME 중 하나가 이미 다른 리소스와 연결되어 있음

Amazon Cognito에서 사용자 지정 도메인을 생성한 후, Amazon Cognito는 동일한 사용자 지정 도메인 이름을 사용하여 AWS 관리형 Amazon CloudFront 배포를 생성합니다. 하나의 CloudFront 배포에만 도메인 이름을 사용할 수 있습니다. CloudFront에서 도메인 이름을 대체 도메인으로 사용하는 경우 기존 도메인 이름을 사용하여 사용자 지정 도메인을 생성할 수 없습니다. CloudFront 배포와 이미 연결된 사용자 지정 도메인을 생성하려고 하면 CNAME 연결 오류 메시지가 나타납니다.

이 문제를 해결하려면 Amazon Cognito 사용자 지정 도메인에 다른 도메인 이름을 사용하십시오. 또는 도메인을 Amazon Cognito 사용자 지정 도메인으로 사용하는 경우 다른 CloudFront 배포와 함께 도메인 이름을 사용하지 마십시오.

지정한 SSL 인증서가 존재하지 않음

사용자 지정 도메인을 생성하면 Amazon Cognito가 내부적으로 CloudFront 배포를 생성합니다. CloudFront는 us-east-1 리전에서만 ACM 인증서를 지원합니다. Amazon Cognito 사용자 지정 도메인을 생성하려면 us-east-1 AWS 리전에 AWS Certificate Manager(ACM) 인증서가 있어야 합니다.

사용자 지정 도메인을 구성할 때 선택한 인증서가 만료되지 않았는지 확인하십시오.

인증서를 ACM으로 가져오는 경우 공인 인증 기관에서 인증서를 발급해야 합니다. 또한 인증서에는 올바른 인증서 체인이 있어야 합니다. 자세한 내용은 AWS Certificate Manager로 인증서 가져오기 및 CloudFront에서 SSL/TLS 인증서를 사용하기 위한 요구 사항을 참조하십시오.

AWS Key Management Service(AWS KMS) 정책 평가에서 명시적 거부 문이 표시되면 SSL 인증서 오류 메시지가 나타날 수 있습니다. Amazon Cognito 사용자 지정 도메인을 생성하는 IAM 사용자 또는 역할에 대해 특정 AWS KMS 작업이 명시적으로 거부되면 SSL 인증서 오류 메시지가 나타납니다. 이 문제는 kms:DescribeKey, kms:CreateGrant 또는 kms:* AWS KMS 작업에서 가장 일반적으로 발생합니다.

도메인 이름에 잘못된 문자가 있음

도메인 이름은 소문자, 숫자, 하이픈 이외의 다른 것을 포함할 수 없습니다. 첫 문자나 마지막 문자에는 하이픈을 사용할 수 없습니다. 전체 도메인 이름의 최대 길이는 63자입니다.

관련 정보

관리형 로그인에 자체 도메인 사용