Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Problembehandlung bei Amazon Cognito
Dieses Kapitel bietet Lösungen für häufig auftretende Probleme, die bei der Arbeit mit Amazon Cognito auftreten können. Amazon Cognito Cognito-Implementierungen können in Bezug auf Authentifizierungsabläufe, Benutzerpoolkonfigurationen und Identitätsverbundeinrichtungen mit verschiedenen Herausforderungen konfrontiert sein. Ganz gleich, ob Sie eine neue Anwendung entwickeln oder eine bestehende verwalten, dieser Leitfaden zur Fehlerbehebung hilft Ihnen dabei, häufig auftretende Probleme schnell zu identifizieren und zu lösen.
## Fehler bei der Konfiguration benutzerdefinierter Domänen
Bei der Konfiguration benutzerdefinierter Domainnamen in Amazon Cognito erhalten Sie möglicherweise Fehlermeldungen. Zu den häufigsten Fehlern gehören Validierungsprobleme, Zertifikatsprobleme oder Domainkonflikte.
### `Custom domain is not a valid subdomain`
Dieser Fehler weist auf ein Problem mit der DNS-Auflösung für die übergeordnete Domain hin. Amazon Cognito unterstützt keine Top-Level-Domains und verlangt, dass die übergeordnete Domain zur Validierung über einen DNS-A-Eintrag verfügt.
**Problem**
Dieser Fehler weist auf ein Problem mit der DNS-Auflösung für die übergeordnete Domain hin. Amazon Cognito unterstützt keine Top-Level-Domains und verlangt, dass die übergeordnete Domain zur Validierung über einen DNS-A-Eintrag verfügt.
**Lösung**
+ **Erstellen Sie einen A-Eintrag für die übergeordnete Domain:** Sie müssen in Ihrer DNS-Konfiguration einen A-Eintrag für die übergeordnete Domain Ihrer benutzerdefinierten Domain erstellen.
+ **Beispiel:** Wenn Ihre benutzerdefinierte Domain ist`auth.xyz.yourdomain.com`, ist es die übergeordnete Domain`xyz.yourdomain.com`. Wenn Sie die Domain `xyz.yourdomain.com` als benutzerdefinierte Domain konfigurieren möchten, ist dies die übergeordnete Domain`yourdomain.com`.
+ Die übergeordnete Domäne muss zu einer gültigen IP-Adresse aufgelöst werden. Wenn sie nicht auf eine echte IP-Adresse verweist, können Sie eine Schein-IP-Adresse verwenden, z. B. `8.8.8.8`
+ **Überprüfen Sie die DNS-Weitergabe (optional, aber empfohlen):** Um sicherzustellen, dass Ihr DNS-Anbieter die Änderung weitergegeben hat, können Sie einen `dig` Befehl ausführen.
+ Bei Verwendung `auth.xyz.yourdomain.com` als benutzerdefinierte Domain: `dig A xyz.yourdomain.com +short`
+ Bei Verwendung `xyz.yourdomain.com` als benutzerdefinierte Domain: `dig A yourdomain.com +short`
+ Der Befehl sollte die von Ihnen konfigurierte IP-Adresse zurückgeben. Ist dies nicht der Fall, warten Sie, bis sich die Änderung vollständig verbreitet hat.
+ **A-Eintrag der übergeordneten Domain entfernen:** Nachdem Sie die benutzerdefinierte Domain erfolgreich in Amazon Cognito erstellt haben, können Sie den A-Eintrag entfernen, den Sie für die übergeordnete Domain erstellt haben, falls es sich um einen Dummy-Eintrag handelt.
Weitere Informationen finden Sie unter [Verwenden Ihrer eigenen Domain für die gehostete Benutzeroberfläche](cognito-user-pools-add-custom-domain.md).
### `Domain already associated with another user pool`
Benutzerdefinierte Domainnamen müssen in allen AWS-Konten Regionen eindeutig sein.
**Problem**
Benutzerdefinierte Domainnamen müssen in allen AWS-Konten Regionen einzigartig sein.
**Lösung**
+ Um den Domainnamen für einen neuen Benutzerpool zu verwenden, müssen Sie die benutzerdefinierte Domäne aus dem Benutzerpool löschen, dem sie derzeit zugeordnet ist.
+ **Warten Sie nach dem Löschen:** Es dauert einige Zeit, bis die benutzerdefinierte Domäne vollständig aus dem ersten Benutzerpool gelöscht ist. Das Erstellen einer neuen benutzerdefinierten Domain mit demselben Namen unmittelbar nach dem Löschen kann immer noch zu diesem Fehler führen. Warten Sie ein paar Minuten, bevor Sie es erneut versuchen.
### `One or more of the CNAMEs that you provided are already associated with a different resource`
Wenn Sie eine benutzerdefinierte Domain erstellen, erstellt Amazon Cognito eine AWS-verwaltete CloudFront Amazon-Distribution. Ein Domainname kann nur mit einer CloudFront Amazon-Distribution verwendet werden. Dieser Fehler tritt auf, wenn der Domainname bereits als alternative Domain für eine andere CloudFront Amazon-Distribution verwendet wird.
**Problem**
Wenn Sie eine benutzerdefinierte Domain erstellen, erstellt Amazon Cognito eine AWS-verwaltete CloudFront Amazon-Distribution. Ein Domainname kann nur mit einer CloudFront Amazon-Distribution verwendet werden. Dieser Fehler tritt auf, wenn der Domainname bereits als alternative Domain für eine andere CloudFront Amazon-Distribution verwendet wird.
**Lösung**
+ **Option 1:** Verwenden Sie einen anderen Domainnamen für Ihre benutzerdefinierte Amazon Cognito Cognito-Domain.
+ **Option 2:** Wenn Sie den Domainnamen für Amazon Cognito verwenden, verwenden Sie ihn nicht mit einer anderen CloudFront Amazon-Distribution.
### `The specified SSL certificate doesn't exist`
Amazon Cognito verwendet Amazon CloudFront, was erfordert, dass sich das AWS Certificate Manager (ACM) -Zertifikat in `us-east-1` (Nord-Virginia) befindet AWS-Region, unabhängig von der Region des Benutzerpools.
**Problem**
Amazon Cognito verwendet Amazon CloudFront, was erfordert, dass sich das AWS Certificate Manager (ACM) -Zertifikat in `us-east-1` (Nord-Virginia) befindet AWS-Region, unabhängig von der Region des Benutzerpools.
**Lösung**
+ **Stellen Sie sicher, dass sich das Zertifikat in der Region befindet:** Stellen Sie sicher, dass sich das ACM-Zertifikat in der Region befindet. `us-east-1`
+ **Überprüfen Sie die Gültigkeit des Zertifikats:** Stellen Sie sicher, dass das ausgewählte Zertifikat nicht abgelaufen ist.
+ **Importierte Zertifikate:** Wenn Sie das Zertifikat in ACM importiert haben, stellen Sie Folgendes sicher:
+ Es wurde von einer öffentlichen Zertifizierungsstelle ausgestellt.
+ Es enthält die richtige Zertifikatskette.
+ **AWS KMS Richtlinienüberprüfung:** Eine ausdrückliche `deny` Aussage in einer AWS Key Management Service (AWS KMS) -Richtlinie für den IAM-Benutzer oder die IAM-Rolle, die die Domäne erstellt, kann diesen Fehler verursachen. Suchen Sie insbesondere nach expliziten Ablehnungen von `kms:DescribeKey``kms:CreateGrant`, oder Aktionen. `kms:*`
## `Invalid refresh token`-Fehler
**Problem**
Sie erhalten eine `Invalid refresh token` Fehlermeldung, wenn Sie versuchen, ein Aktualisierungstoken zu verwenden, um mithilfe der `InitiateAuth` API-Operation `AdminInitiateAuth` oder neue Zugriffs- und ID-Token aus Ihrem Amazon Cognito Cognito-Benutzerpool abzurufen.
**Lösung**
Implementieren Sie die folgenden Schritte zur Fehlerbehebung auf der Grundlage Ihrer Benutzerpool-Konfiguration und API-Nutzung:
+ Stellen Sie **sicher, dass die App-Client-ID einheitlich ist:** Wenn Sie die `InitiateAuth` API `AdminInitiateAuth` oder für die Token-Aktualisierung aufrufen, müssen Sie genau dieselbe App-Client-ID verwenden, die bei der ersten Authentifizierung verwendet wurde, die das Aktualisierungstoken generiert hat.
+ **Bestätigen Sie das Gerät:** Wenn Sie die [Geräteverfolgung](amazon-cognito-user-pools-device-tracking.md) in Ihrem Benutzerpool aktiviert haben, das Gerät des Benutzers jedoch nicht bestätigt wurde, müssen Sie zuerst die [ConfirmDevice](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmDevice.html)API aufrufen. Nachdem der Benutzer sein Gerät bestätigt hat, können Sie das Aktualisierungstoken austauschen.
+ **Geräteschlüssel in Aktualisierungsanfrage einbeziehen:** Wenn die Geräteverfolgung aktiviert ist, geben Sie den eindeutigen Geräteschlüssel an`AuthParameter`, wenn Sie den `REFRESH_TOKEN_AUTH` Flow verwenden:
```
{
"AuthFlow": "REFRESH_TOKEN_AUTH",
"AuthParameters": {
"REFRESH_TOKEN": "example_refresh_token",
"SECRET_HASH": "example_secret_hash", // Required if your app client uses a client secret
"DEVICE_KEY": "example_device_key"
}
}
```
+ **`USER_SRP_AUTH`Für Geräte-Tracking verwenden:** Wenn Sie Geräte-Tracking verwenden, muss der anfängliche Authentifizierungsablauf aktiviert sein`USER_SRP_AUTH`.
Weitere Informationen finden Sie unter [Verwendung von Benutzergeräten in Ihrem Benutzerpool](amazon-cognito-user-pools-device-tracking.md).
## Ungültige SAML-Antwortfehler im Verbund
Benutzern werden verschiedene `Invalid SAML response` und ähnliche Fehler angezeigt, wenn sie versuchen, mithilfe von SAML 2.0 eine Verbindung zu Amazon Cognito herzustellen. Diese Fehler können aufgrund von Problemen mit der Attributzuweisung, Zertifikatsproblemen oder nicht übereinstimmenden Konfigurationen auftreten.
### `Invalid user attributes: Required attribute`
**Problem**
Einem Benutzer fehlt ein Wert für ein Attribut, das in Ihrem Benutzerpool erforderlich ist, oder der IdP versucht, ein unveränderliches Attribut zu entfernen oder zu aktualisieren.
**Lösung**
+ Überprüfen Sie die [erforderlichen Attribute](user-pool-settings-attributes.md#how-to-edit-standard-attributes), die in Ihrer Benutzerpool-Konfiguration definiert sind.
+ Rufen Sie die SAML-Antwort mithilfe der Netzwerkerfassungstools in Ihrem Browser ab. Möglicherweise müssen Sie eine URL- und Base64-Dekodierung durchführen. Stellen Sie sicher, dass das Attribut in der SAML-Assertion vorhanden ist.
+ Melden Sie sich bei Ihrem Identitätsanbieter an und überprüfen Sie die Attribute, die er an Amazon Cognito sendet. Stellen Sie sicher, dass der IdP so konfiguriert ist, dass er das erforderliche Attribut mit dem richtigen Namen sendet.
+ Führen Sie für unveränderliche Attribute den folgenden AWS CLI Befehl aus, um sie zu identifizieren:. `aws cognito-idp describe-user-pool --user-pool-id USER-POOL-ID --query 'UserPool.SchemaAttributes[?Mutable==`false`].Name'`
+ Löschen Sie in den SAML-Attributzuordnungen Ihres IdP alle Zuordnungen, die auf ein unveränderliches Amazon Cognito-Attribut abzielen. Alternativ können Sie das Zielattribut auf ein anderes, veränderbares Attribut aktualisieren.
### `Invalid SAML response received: SAML Response signature is invalid`
**Problem**
Ihr IdP hat sein SAML-Signaturzertifikat aktualisiert, was zu einer Nichtübereinstimmung zwischen dem Zertifikat in der SAML-Antwort und der in Amazon Cognito gespeicherten Metadatendatei geführt hat.
**Lösung**
1. Laden Sie die neueste Metadatendatei von Ihrem IdP herunter.
1. Navigieren Sie in der Amazon Cognito Cognito-Konsole zu **Social und externen Anbietern** für Ihren Benutzerpool, bearbeiten Sie Ihren SAML-Anbieter und ersetzen Sie die vorhandene Metadatendatei durch die neu heruntergeladene Datei.
### `Audience restriction` oder `Application with identifier not found`
**Problem**
In Ihrem IdP ist eine falsche Entitäts-ID konfiguriert, oder die Assertion verwendet den Uniform Resource Name (URN) eines anderen Benutzerpools.
**Lösung**
1. Rufen Sie Ihre Amazon Cognito Cognito-Benutzerpool-ID im Abschnitt **Übersicht** in der Konsole ab.
1. Aktualisieren Sie in der Managementkonsole für Ihren IdP die Entitäts-ID in der SAML-Anwendung für Ihren Benutzerpool. Konfigurieren Sie die Entitäts-ID so, dass sie dem Format entspricht. `urn:amazon:cognito:sp:USER_POOL_ID` `USER_POOL_ID`Ersetzen Sie durch die Benutzerpool-ID aus dem vorherigen Schritt.
### `An error was encountered with the requested page`
**Problem**
Die bei Ihrem IdP registrierte URL des Assertion Consumer Service (ACS) ist falsch konfiguriert, oder der IdP sendet die SAML-Antwort nicht mit der erforderlichen POST-Bindung.
**Lösung**
+ Aktualisieren Sie die Anwendung in der Verwaltungskonsole für Ihren IdP mit dem richtigen ACS-URL-Format und stellen Sie sicher, dass sie die `HTTP POST` Bindung verwendet.
+ **Standard-Domänenformat:** `https://cognito-idp.Region.amazonaws.com/your user pool ID/saml2/idpresponse`
+ **Benutzerdefiniertes Domain-Format:** `https://auth.example.com/saml2/idpresponse`
### `Invalid relayState from identity provider`
**Problem**
Der `RelayState` Parameter fehlt oder ist ungültig, oder die URL stimmt nicht zwischen dem IdP und Amazon Cognito überein.
**Lösung**
+ **Für vom [Service Provider initiierte (SP-initiierte)](cognito-user-pools-SAML-session-initiation.md#cognito-user-pools-saml-idp-authentication) Abläufe:** Starten Sie die Authentifizierung immer an Ihrem Benutzerpool-Endpunkt. `/oauth2/authorize` SAML-Assertionen, die keine `RelayState` Parameter vom ersten Besuch des Benutzers bei Amazon Cognito zurückgeben, sind keine gültigen SP-initiierten Anfragen.
+ **Für vom [Identitätsanbieter initiierte (vom IdP initiierte)](cognito-user-pools-SAML-session-initiation.md#cognito-user-pools-SAML-session-initiation-idp-initiation) Datenflüsse:** Der IdP muss den `RelayState` Parameter mit der SAML-Assertion an den `/saml2/idpresponse` Endpunkt hinzufügen und dabei das erforderliche Format verwenden:. `redirect_uri=REDIRECT_URI&state=STATE`
Weitere Informationen finden Sie unter [Verwendung von SAML-Identitätsanbietern mit einem Benutzerpool](cognito-user-pools-saml-idp.md).
## Benutzer mit verwalteter Anmeldung können keinen MFA-Faktor auswählen
**Problem**
Benutzer können ihre bevorzugte MFA-Methode nicht wählen, wenn sie sich über die verwaltete Anmeldung anmelden, oder sie werden nicht zur Eingabe der erwarteten MFA-Methode aufgefordert.
**Lösung**
Amazon Cognito folgt einer bestimmten Logik, um anhand von Benutzerpooleinstellungen, Benutzerattributen und der Konfiguration der Kontowiederherstellung zu bestimmen, welche MFA-Faktoren Benutzern zur Verfügung stehen. Beispielsweise können Benutzer E-Mail-MFA nicht verwenden, wenn E-Mail als primäre Methode zur Kontowiederherstellung konfiguriert ist.
Um die standardmäßige MFA-Faktorauswahl zu überschreiben, können Sie einen der folgenden Ansätze implementieren:
+ Für öffentliche Anwendungen: [SetUserMFAPreference](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetUserMFAPreference.html)Mit einem gültigen Zugriffstoken verwenden, damit Benutzer ihre eigenen MFA-Einstellungen festlegen können
+ Für vom Administrator verwaltete Anwendungen: [AdminSetUserMFAPreference](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminSetUserMFAPreference.html)Mit AWS Anmeldeinformationen verwenden, um Benutzer-MFA-Einstellungen zu konfigurieren
Mit beiden Vorgängen können Sie SMS-, E-Mail- und TOTP-MFA-Methoden für einzelne Benutzer aktivieren oder deaktivieren und eine Methode als bevorzugt festlegen.
Weitere Informationen finden Sie unter [Hinzufügen der MFA zu einem Benutzerpool](user-pool-settings-mfa.md).
### Benutzer ohne Passwort und Passkey können MFA nicht verwenden
**Problem**
Benutzer, die sich mit Einmalkennwort-Authentifizierungsmethoden (OTP) anmelden, können keine Multi-Faktor-Authentifizierung hinzufügen oder verwenden.
**Lösung**
OTP-Anmeldeabläufe unterstützen MFA nicht. Die Passkey-Authentifizierung mit Benutzerverifizierung kann jedoch die MFA-Anforderungen erfüllen. Stellen `FactorConfiguration` Sie `MULTI_FACTOR_WITH_USER_VERIFICATION` in Ihrem Benutzerpool auf ein`WebAuthnConfiguration`, damit Hauptschlüssel als Multi-Faktor-Authentifizierung gelten können.
Weitere Informationen finden Sie unter [Authentifizierung mit Benutzerpools](getting-started-identity-pools-application.md#user-pool-authentication).
## Der Code zum Zurücksetzen des Passworts konnte nicht per E-Mail/SMS empfangen werden
**Problem**
Benutzer können während des Workflows „Passwort vergessen“ keine Bestätigungscodes per E-Mail oder SMS erhalten.
**Lösung**
Es gibt verschiedene Gründe, warum Bestätigungscodes möglicherweise nicht empfangen werden. Folgen Sie dieser Checkliste, um das Problem zu beheben:
+ Überprüfen Sie die Spam- und Junk-E-Mail-Ordner des Benutzers.
+ Vergewissern Sie sich, dass der Benutzer im Benutzerpool vorhanden ist.
+ Stellen Sie sicher, dass der Status des Benutzers nicht lautet`FORCE_CHANGE_PASSWORD`. In diesem Fall wurde der Benutzer von einem Administrator erstellt und Amazon Cognito fordert ihn auf, ein Passwort festzulegen, wenn er sich mit seinem temporären Passwort anmeldet.
+ Vergewissern Sie sich, dass der Benutzer über ein verifiziertes E-Mail- oder Telefonnummernattribut verfügt.
+ Überprüfe das Ausgabenlimit deines Kontos für SMS-Nachrichten
+ Überprüfen Sie Ihr Kontingent für den Versand von Nachrichten mit Amazon Simple Email Service (Amazon SES).
+ Prüfen Sie, ob sowohl SMS als auch Amazon SES (wenn Ihr Benutzerpool für das **Senden von E-Mails mit Amazon SES** konfiguriert ist) aus der Sandbox verschoben wurden. Wenn sie nicht aus der Sandbox entfernt wurden, E-Mail-Adressen oder Telefonnummern, die nicht von Amazon SES verifiziert wurden oder AWS End User Messaging SMS keine Codes zum Zurücksetzen von Passwörtern erhalten können.
+ Wenn der Benutzer einen aktiven MFA-Faktor hat, überprüfen Sie, ob er nicht versucht, eine Nachricht für denselben Faktor zu generieren. Beispielsweise können Benutzer mit aktiviertem E-Mail-MFA keine Codes zum Zurücksetzen des Passworts per E-Mail senden.
Weitere Informationen erhalten Sie unter [E-Mail-Einstellungen für Amazon-Cognito-Benutzerpools](user-pool-email.md) und [Einstellungen für SMS-Nachrichten für Amazon-Cognito-Benutzerpools](user-pool-sms-settings.md).
## Das Zurücksetzen des Passworts schlägt bei nicht verifizierten Wiederherstellungsattributen fehl: `Could not reset password for the account, please contact support or try again`
**Problem**
Benutzer erhalten diesen Fehler, wenn sie versuchen, ihr Passwort aufgrund von unbestätigten Wiederherstellungsmethoden oder MFA-Konfigurationskonflikten zurückzusetzen. Der Fehler tritt auf, wenn das E-Mail- oder Telefonnummernattribut des Benutzers nicht verifiziert ist oder wenn seine MFA-Einstellungen die Verwendung der konfigurierten Wiederherstellungsmethode verhindern.
**Lösung**
Überprüfen Sie die Konfiguration Ihres Benutzerpools für die Kontowiederherstellung und den Bestätigungsstatus des betroffenen Benutzers:
+ **Überprüfen Sie die Wiederherstellungseinstellungen:** Navigieren Sie in Ihrem Benutzerpool zu **Anmelden** > **Benutzerkontowiederherstellung**. Vergewissern Sie **sich, dass die Self-Service-Kontowiederherstellung** aktiviert ist, und überprüfen Sie Ihre Einstellung für die **Methode zur Übermittlung von Wiederherstellungsnachrichten**.
+ **Überprüfen Sie die Überprüfung der Benutzerattribute:** Stellen Sie sicher, dass der Benutzer über eine verifizierte E-Mail-Adresse oder Telefonnummer verfügt, die Ihrer Konfiguration für die Wiederherstellungsmethode entspricht. Rufen Sie in der Konsole das Benutzerprofil auf, wählen Sie **Benutzerattribute** > **Bearbeiten** aus und markieren Sie das entsprechende Attribut als verifiziert.
+ **MFA-Konflikte lösen:** Benutzer, deren bevorzugte MFA-Methode E-Mail ist, können keine Codes zum Zurücksetzen von Passwörtern per E-Mail erhalten, und Benutzer mit SMS-MFA können keine Codes per SMS erhalten. Aktualisieren Sie Ihre **Methode für die Übermittlung von Wiederherstellungsnachrichten**, um alternative Optionen wie **SMS, falls verfügbar, andernfalls E-Mail oder **E-Mail**, falls verfügbar, andernfalls** SMS bereitzustellen.
+ **Administrative Überprüfung:** Verwenden Sie den API-Vorgang [AdminUpdateUserAttributes](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminUpdateUserAttributes.html), um Benutzerattribute programmgesteuert zu überprüfen, wenn kein Konsolenzugriff verfügbar ist.
Weitere Informationen finden Sie unter [Passwörter, Kontowiederherstellung und Passwortrichtlinien](managing-users-passwords.md).
## `SECRET_HASH`-Fehler
**Problem**
API-Authentifizierungsanfragen an App-Clients mit Client-Geheimnissen geben Fehler zurück wie `An error occurred (NotAuthorizedException) when calling the ForgotPassword operation: Client 1example23456789 is configured with secret but SECRET_HASH was not received.`
**Lösung**
Ihre Anwendung muss das Geheimnis `SECRET_HASH` für den aktuellen Benutzer, den App-Client und den aktuellen Client berechnen. Die Berechnungsmethode ist:
```
Base64 ( HMAC_SHA256 ( "client secret", "Username" + "Client Id" ) )
```
Um das Client-Geheimnis zu erhalten, können Sie:
1. Öffnen Sie die Amazon Cognito Cognito-Konsole und navigieren Sie über das App-Client-Menü zu Ihrem **App-Client**. Suchen Sie im Abschnitt **App-Client-Informationen** nach **Client Secret**. Wählen Sie **Geheimen Client anzeigen** aus und Ihr App-Client-Geheimnis wird angezeigt.
1. Generieren Sie eine [DescribeUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DescribeUserPoolClient.html)Anfrage. Das Client-Geheimnis ist in der Antwort enthalten.
Weitere Informationen finden Sie unter [Berechnen von Werten für geheime Hashes](signing-up-users-in-your-app.md#cognito-user-pools-computing-secret-hash).
## Die Amazon Cognito Cognito-Konsole wählt eine Standardkonfiguration für einen neuen Benutzerpool.
**Problem**
Wenn Sie einen neuen Benutzerpool in der Konsole einrichten, wählt Amazon Cognito mehrere Standardeinstellungen für Sie aus. Einige Einstellungen können nach der Erstellung des Benutzerpools nicht geändert werden. Wie können Sie fundierte Entscheidungen treffen und verstehen, was Amazon Cognito automatisch ausgewählt hat?
**Lösung**
Das neue Benutzerpool-Setup in der Amazon Cognito Cognito-Konsole ist für schnelles Testen und Prototyping konzipiert. Die Konsole bietet Ihnen nur die wichtigsten Konfigurationsoptionen — diejenigen, die nach der Erstellung des Benutzerpools nicht geändert werden können. Alle anderen Einstellungen, die Amazon Cognito automatisch konfiguriert, können später geändert werden.
Wir empfehlen folgende Vorgehensweise:
1. Verwenden Sie die Konsole, um Testbenutzerpools zu erstellen, während Sie Ihre Implementierung verfeinern.
1. Nachdem Sie Ihre Produktionskonfiguration festgelegt haben, wenden Sie diese Einstellungen auf Ihre Testbenutzerpools an.
1. Verwenden Sie [DescribeUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DescribeUserPool.html)und [DescribeUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DescribeUserPoolClient.html)API-Operationen, um JSON-Vorlagen Ihrer getesteten Konfiguration zu generieren.
1. Verwenden Sie diese Vorlagen mit Bereitstellungstools wie CDK, REST-API oder CloudFormation zur Erstellung Ihrer Produktionsressourcen. AWS SDKs
Weitere Informationen finden Sie unter [Erste Schritte mit Benutzerpools](getting-started-user-pools.md).
## Weitere Ressourcen zur Fehlerbehebung
Weitere Anleitungen zur Fehlerbehebung und von der Community bereitgestellte Lösungen finden Sie auch in den folgenden externen Ressourcen:
+ [AWS re:post Amazon Cognito Community](https://repost.aws/tags/TAkhAE7QaGSoKZwd6utGhGDA/amazon-cognito) — Fragen und Lösungen aus der Community durchsuchen
+ [AWS Knowledge Center-Artikel zu Amazon Cognito — Ausgewählte Artikel](https://aws.amazon.com/premiumsupport/knowledge-center/cognito/) zur Fehlerbehebung