Comment résoudre les erreurs lorsque je crée un domaine personnalisé dans Amazon Cognito ?

Lecture de 5 minute(s)

Je souhaite corriger les erreurs qui s’affichent lorsque je configure des domaines personnalisés dans Amazon Cognito.

Brève description

Lorsque vous configurez des noms de domaine personnalisés dans Amazon Cognito, l'un des messages d'erreur suivants peut s'afficher :

« Custom domain is not a valid subdomain: Was not able to resolve the root domain, please ensure an A record exists for the root domain. »
« Domain already associated with another user pool. »
« One or more of the CNAMEs you provided are already associated with a different resource.
« The specified SSL certificate doesn't exist, isn't in us-east-1 region, isn't valid, or doesn't include a valid certificate chain. »
« The domain name contains an invalid character. Domain names can only contain lower-case letters, numbers, and hyphens. Please enter a different name that follows this format: ^a-z0-9?$ »

Résolution

Le domaine personnalisé n'est pas un sous-domaine valide

Pour éviter toute modification accidentelle de l'infrastructure, Amazon Cognito ne prend pas en charge les domaines de premier niveau pour les domaines personnalisés. Pour créer un domaine personnalisé Amazon Cognito, le domaine parent doit disposer d'un enregistrement DNS A.

Le parent peut être la racine du domaine ou un domaine enfant qui se situe un échelon plus haut dans la hiérarchie de domaines. Par exemple, si votre domaine personnalisé est auth.xyz.yourdomain.com, Amazon Cognito doit résoudre xyz.yourdomain.com en adresse IP. De plus, pour configurer xyz.yourdomain.com en tant que domaine personnalisé, configurez un enregistrement A pour yourdomain.com.

Vous devez créer un enregistrement A pour le domaine parent dans votre configuration DNS. Lorsque le domaine parent se résout en enregistrement A valide, Amazon Cognito n'effectue aucune vérification supplémentaire. Si le domaine parent ne pointe pas vers une adresse IP réelle, insérez une adresse IP fictive dans votre configuration DNS, telle que « 8.8.8.8 ».

Pour vous assurer que votre fournisseur DNS a propagé les modifications que vous avez apportées à votre configuration DNS, exécutez l'une des commandes suivantes.

Remarque : Les exemples de commande concernent un environnement Linux.

Pour utiliser auth.xyz.yourdomain.com comme domaine personnalisé, exécutez la commande suivante :

dig A xyz.yourdomain.com +short

Pour utiliser xyz.yourdomain.com comme domaine personnalisé, exécutez la commande suivante :

dig A yourdomain.com +short

Si le changement de configuration DNS se propage, la commande précédente renvoie l'adresse IP que vous avez configurée. Si la recherche DNS ne renvoie pas l'adresse IP configurée, attendez que la modification soit propagée.

Après avoir créé le domaine personnalisé dans Amazon Cognito, supprimez la carte d'enregistrement A du domaine parent.

Le domaine est déjà associé à un autre groupe d'utilisateurs

Les noms de domaine personnalisés doivent être uniques pour tous les comptes AWS et dans toutes les régions AWS. Si vous utilisez un nom de domaine personnalisé pour un groupe d'utilisateurs, vous ne pouvez pas utiliser le même nom de domaine pour un autre groupe d'utilisateurs. Pour utiliser le nom de domaine pour un autre groupe d'utilisateurs, supprimez le domaine personnalisé associé au premier groupe d'utilisateurs.

Une fois que vous avez supprimé un domaine personnalisé, il faut du temps pour le dissocier complètement du groupe d'utilisateurs. Si vous configurez le nom de domaine avec un autre groupe d'utilisateurs immédiatement après la suppression, le message d'erreur d'association de domaine peut s'afficher.

L'un des CNAME que vous avez fournis est déjà associé à une autre ressource

Une fois qu'Amazon Cognito a créé un domaine personnalisé, Amazon Cognito utilise le même nom de domaine personnalisé pour créer une distribution Amazon CloudFront gérée par AWS. Vous pouvez utiliser un nom de domaine avec une seule distribution CloudFront. Si vous utilisez un nom de domaine comme domaine alternatif dans CloudFront, vous ne pouvez pas utiliser le nom de domaine existant pour créer un domaine personnalisé. Si vous essayez de créer un domaine personnalisé déjà associé à une distribution CloudFront, le message d'erreur d'association CNAME s'affiche.

Pour résoudre ce problème, utilisez un autre nom de domaine pour le domaine personnalisé Amazon Cognito. Ou, lorsque vous utilisez le domaine en tant que domaine personnalisé Amazon Cognito, n'utilisez pas le nom de domaine avec une autre distribution CloudFront.

Le certificat SSL spécifié n'existe pas

Lorsque vous créez le domaine personnalisé, Amazon Cognito crée en interne une distribution CloudFront. CloudFront prend en charge les certificats ACM uniquement dans la région us-east-1. Pour créer un domaine personnalisé Amazon Cognito, vous devez disposer d'un certificat AWS Certificate Manager (ACM) dans la région AWS us-east-1.

Lorsque vous configurez le domaine personnalisé, assurez-vous que le certificat que vous sélectionnez n'a pas expiré.

Si vous importez un certificat dans ACM, assurez-vous qu'une autorité de certification publique émet le certificat. Le certificat doit également comporter la chaîne de certificats appropriée. Pour plus d'informations, consultez les sections Importer des certificats dans AWS Certificate Manager et Conditions requises pour utiliser des certificats SSL/TLS avec CloudFront.

Si une évaluation de la politique AWS Key Management Service (AWS KMS) aboutit à une instruction de refus explicite, il est possible que vous receviez un message d'erreur de certificat SSL. Lorsque certaines actions AWS KMS sont explicitement refusées pour l'utilisateur ou le rôle IAM qui crée le domaine personnalisé Amazon Cognito, vous recevez le message d'erreur du certificat SSL. Le problème se produit le plus souvent pour les actions kms:DescribeKey, kms:CreateGrant ou kms:* AWS KMS.

Le nom de domaine contient un caractère non valide

Un nom de domaine ne peut contenir que des lettres minuscules, des chiffres et des tirets. Vous ne pouvez pas utiliser de tiret pour le premier ou le dernier caractère. La longueur maximale de l'ensemble du nom de domaine est de 63 caractères.

Informations connexes

Utilisation de votre propre domaine pour la connexion gérée

Sujets

Sécurité, identité et conformité

Balises

Amazon Cognito

Langue

Français

AWS OFFICIELA mis à jour il y a 2 mois

Aucun commentaire

Contenus pertinents

J'ai un nom de domaine sur un compte fermé et je voudrais le résilier mais je peux pas
nathan
demandé il y a 9 mois
Facturation d'un nom de domain qui n'a pas été tranféré
Mathieu Green
demandé il y a 2 ans
Transfert de domaine [hmagroupe.com]
Hubert MOKET
demandé il y a un an
Créer un enregistrement
Réponse acceptée
Tikki
demandé il y a un an
AWS ACM erreur "le délai de validation a expiré"
Harold
demandé il y a 4 mois
Comment utiliser un runbook SAW pour résoudre les problèmes liés à mon nom de domaine personnalisé dans API Gateway ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je configurer un nom de domaine personnalisé pour mon API Gateway ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment résoudre un nom de domaine personnalisé à partir de ressources dans mon VPC sans modifier le jeu d'options DHCP ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je résoudre l'erreur « CNAMEAlreadyExists » lorsque je crée un nom de domaine personnalisé optimisé pour les périphériques pour mon API API Gateway ?
AWS OFFICIELA mis à jour il y a 4 mois