Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configuración de un dominio del grupo de usuarios
<a name="cognito-user-pools-assign-domain"></a>

La configuración de un dominio es una parte opcional de la configuración de un grupo de usuarios. Un dominio de grupo de usuarios aloja características de autenticación de usuarios, federación con proveedores externos y flujos de OpenID Connect (OIDC). Cuenta con un *inicio de sesión administrado*, una interfaz precompilada para operaciones clave como el registro, el inicio de sesión o la recuperación de contraseñas. También aloja los puntos finales estándar de OpenID Connect (OIDC), como authorize[, [UserInfo](userinfo-endpoint.md) y [token](token-endpoint.md),](authorization-endpoint.md) para la autorización machine-to-machine (M2M) y otros flujos de autenticación y autorización OIDC y 2.0. OAuth 

Los usuarios se autentican con páginas de inicio de sesión administrado en el dominio asociado a su grupo de usuarios. Para configurar este dominio puede elegir entre usar el dominio alojado predeterminado de Amazon Cognito o configurar un dominio personalizado propio.

La opción de dominio personalizado tiene más opciones de flexibilidad, seguridad y control. Por ejemplo, un dominio conocido y propiedad de una organización puede fomentar la confianza de los usuarios y hacer que el proceso de inicio de sesión sea más intuitivo. Sin embargo, el enfoque de dominio personalizado requiere algunos gastos adicionales, como la administración del certificado SSL o la configuración del DNS.

Los puntos de conexión de detección del OIDC, `/.well-known/openid-configuration` para las claves de firma de terminales URLs y de token, no están alojados en `/.well-known/jwks.json` su dominio. Para obtener más información, consulte [Puntos de conexión de los proveedores de identidades y de la relación de confianza](federation-endpoints.md).

Comprender cómo configurar y administrar el dominio del grupo de usuarios es un paso importante para integrar la autenticación en la aplicación. Iniciar sesión con la API de grupos de usuarios y un AWS SDK puede ser una alternativa a la configuración de un dominio. El modelo basado en API entrega los tokens directamente en una respuesta de API, pero para las implementaciones que utilizan las capacidades ampliadas de los grupos de usuarios como un IdP OIDC, debe configurar un dominio. Para obtener más información sobre los modelos de autenticación que están disponibles en los grupos de usuarios, consulte [Descripción de la autenticación mediante API, OIDC y páginas de inicio de sesión administrado](authentication-flows-public-server-side.md#user-pools-API-operations).

**Topics**
+ [Cosas que debe saber acerca de los dominios de grupos de usuarios](#cognito-user-pools-assign-domain-things-to-know)
+ [Uso del dominio de prefijo de Amazon Cognito para el inicio de sesión administrado](cognito-user-pools-assign-domain-prefix.md)
+ [Uso de un dominio propio con el inicio de sesión administrado](cognito-user-pools-add-custom-domain.md)

## Cosas que debe saber acerca de los dominios de grupos de usuarios
<a name="cognito-user-pools-assign-domain-things-to-know"></a>

Los dominios de grupos de usuarios son un punto de servicio para las relaciones de confianza de OIDC en las aplicaciones y para los elementos de la interfaz de usuario. Tenga en cuenta los siguientes detalles cuando planifique la implementación de un dominio para su grupo de usuarios.

**Términos reservados**  
No puede usar el texto `aws`, `amazon` ni `cognito` en el nombre de un dominio con prefijo de Amazon Cognito.

**Los puntos de conexión de detección se encuentran en otro dominio**  
Los [puntos de conexión de detección](federation-endpoints.md) `.well-known/openid-configuration` y `.well-known/jwks.json` no se encuentran en el dominio personalizado o con prefijo del grupo de usuarios. La ruta a estos puntos de conexión es la siguiente.
+ `https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/openid-configuration`
+ `https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/jwks.json`

**Hora de entrada en vigor de los cambios de dominio**  
Amazon Cognito puede tardar hasta un minuto en lanzar o actualizar la versión de marca de un dominio de prefijo. Los cambios realizados en un dominio personalizado pueden tardar hasta cinco minutos en propagarse. Los nuevos dominios personalizados pueden tardar hasta una hora en propagarse.

**Dominios personalizados y con prefijo al mismo tiempo**  
Puedes configurar un grupo de usuarios con un dominio personalizado y un dominio con prefijo que sea propiedad de. AWS Como los [puntos de conexión de detección](federation-endpoints.md) del grupo de usuarios están alojados en otro dominio, solo sirven al *dominio personalizado*. Por ejemplo, `openid-configuration` proporcionará un valor único para `"authorization_endpoint"` de `"https://auth.example.com/oauth2/authorize"`.

Si tiene dominios personalizados y con prefijo en un grupo de usuarios, puede usar el dominio personalizado con todas las características de un proveedor OIDC. El dominio de prefijo de un grupo de usuarios con esta configuración no tiene token-signing-key puntos de conexión ni de detección y debe usarse en consecuencia.

**Es preferible usar dominios personalizados como identificadores de actor de confianza en claves de acceso**  
Al configurar la autenticación del grupo de usuarios con [claves de acceso](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passkey), debe establecer un ID de actor de confianza (RP). Si tiene un dominio personalizado y un dominio de prefijo, puede configurar el ID de RP únicamente como su dominio personalizado. Para configurar un dominio de prefijo como ID de RP en la consola de Amazon Cognito, elimine su dominio personalizado o introduzca el nombre de dominio completo (FQDN) del dominio de prefijo como **dominio de terceros**.

**No utilice dominios personalizados en distintos niveles de la jerarquía de dominios**  
Puede configurar grupos de usuarios distintos para tener dominios personalizados en el mismo dominio de nivel superior (TLD), por ejemplo, *auth.example.com* y *auth2.example.com*. La cookie de sesión del inicio de sesión administrado es válida para un dominio personalizado y todos los subdominios, por ejemplo, *\$1.auth.example.com*. Por este motivo, ningún usuario de las aplicaciones debe acceder al inicio de sesión administrado de ningún dominio *ni* subdominio principal. Cuando los dominios personalizados usen el mismo TLD, manténgalos en el mismo nivel de subdominio.

Supongamos que tiene un grupo de usuarios con el dominio personalizado *auth.example.com*. Luego crea otro grupo de usuarios y le asigna el dominio personalizado *uk.auth.example.com*. Un usuario inicia sesión en *auth.example.com* y obtiene una cookie que su navegador presenta a cualquier sitio web en la ruta comodín *\$1.auth.example.com*. A continuación, intenta iniciar sesión en *uk.auth.example.com*. Envían una cookie no válida a su dominio de grupo de usuarios y reciben un error en lugar de una solicitud de inicio de sesión. Por el contrario, un usuario con una cookie para *\$1.auth.example.com* no tendrá problemas para iniciar sesión en *auth2.example.com*.

**Versión de marca**  
Al crear un dominio, está configurando una **versión de marca**. Sus opciones son la nueva experiencia de inicio de sesión administrado y la clásica experiencia de interfaz de usuario alojada. Esta opción se aplica a todos los clientes de aplicaciones que alojan servicios en su dominio.

# Uso del dominio de prefijo de Amazon Cognito para el inicio de sesión administrado
<a name="cognito-user-pools-assign-domain-prefix"></a>

La experiencia predeterminada para el inicio de sesión gestionado se aloja en un dominio propietario. AWS Este enfoque tiene pocas barreras de entrada (basta con elegir un nombre de prefijo y estará activo), pero no cuenta con las características que inspiran confianza de un dominio personalizado. El costo es el mismo para ambas opciones de dominio. Solo se diferencian por el dominio de la dirección web a la que dirige a los usuarios. En los casos de redireccionamiento de IdP de terceros y flujos de credenciales de cliente, el dominio apenas tiene un efecto visible. Un dominio personalizado es la mejor opción cuando los usuarios inician sesión con la interfaz de usuario alojada e interactúan con un dominio de autenticación que no coincide con el dominio de la aplicación.

El dominio alojado de Amazon Cognito tiene el prefijo que elija, pero está alojado en el dominio raíz `amazoncognito.com`. A continuación, se muestra un ejemplo:

```
https://cognitoexample.auth.ap-south-1.amazoncognito.com
```

Todos los dominios de prefijo tienen el formato `prefix`.`auth`.*`Región de AWS code`*.`amazoncognito`.`com`. Los grupos de usuarios de [dominios personalizados](cognito-user-pools-add-custom-domain.md) pueden alojar la interfaz de usuario alojada o el inicio de sesión administrado en cualquier dominio que sea de su propiedad.

**nota**  
Para aumentar la seguridad de sus aplicaciones de Amazon Cognito, los dominios principales de los puntos de conexión del grupo de usuarios se registran en la [lista pública de sufijos (PSL)](https://publicsuffix.org/). La PSL ayuda a los navegadores web de sus usuarios a establecer una comprensión coherente de los puntos de conexión de su grupo de usuarios y de las cookies que establecen.  
Los dominios principales de los grupo de usuarios adoptan los siguientes formatos.  

```
auth.Region.amazoncognito.com
auth-fips.Region.amazoncognito.com
```

Para añadir un cliente de aplicación y un dominio de grupo de usuarios con el Consola de administración de AWS, consulte[Creación de un cliente de aplicación](user-pool-settings-client-apps.md#cognito-user-pools-app-idp-settings-console-create).

**Topics**
+ [Requisitos previos](#cognito-user-pools-assign-domain-prefix-prereq)
+ [Configuración de un prefijo de dominio de Amazon Cognito](#cognito-user-pools-assign-domain-prefix-step-1)
+ [Verificación de la página de inicio de sesión](#cognito-user-pools-assign-domain-prefix-verify)

## Requisitos previos
<a name="cognito-user-pools-assign-domain-prefix-prereq"></a>

Antes de comenzar, necesitará:
+ Un grupo de usuarios con un cliente de aplicación. Para obtener más información, consulte [Introducción a los grupos de usuarios](getting-started-user-pools.md).

## Configuración de un prefijo de dominio de Amazon Cognito
<a name="cognito-user-pools-assign-domain-prefix-step-1"></a>

Puede usar la API Consola de administración de AWS o la AWS CLI o para configurar un dominio de grupo de usuarios.

------
#### [ Amazon Cognito console ]

**Configuración de un dominio**

1. Vaya al menú **Dominio** en **Creación de marca**.

1. Junto a **Dominio**, elija **Acciones** y seleccione **Crear dominio de Cognito**. Si ya ha configurado un dominio de prefijo del grupo de usuarios, seleccione **Eliminar dominio de Cognito** antes de crear su nuevo dominio personalizado.

1. Ingrese un prefijo de dominio disponible para utilizarlo con un **dominio de Amazon Cognito**. Para obtener más información sobre cómo configurar un **dominio personalizado**, consulte [Uso de un dominio propio con el inicio de sesión administrado](cognito-user-pools-add-custom-domain.md).

1. Elija una **Versión de marca**. Su versión de marca se aplica a todas las páginas interactivas para el usuario de ese dominio. Su grupo de usuarios puede alojar el inicio de sesión administrado o la marca de interfaz de usuario alojada para todos los clientes de aplicación.
**nota**  
Puede tener un dominio personalizado y un dominio de prefijo, pero Amazon Cognito solo servirá el punto de conexión `/.well-known/openid-configuration` para el dominio *personalizado*.

1. Seleccione **Crear**.

------
#### [ CLI/API ]

Utilice los siguientes comandos para crear un prefijo de dominio y asignarlo al grupo de usuarios.

**Para configurar un dominio de grupo de usuarios**
+ AWS CLI: `aws cognito-idp create-user-pool-domain`

  **Ejemplo**: `aws cognito-idp create-user-pool-domain --user-pool-id <user_pool_id> --domain <domain_name> --managed-login-version 2`
+ Funcionamiento de la API de grupos de usuarios: [CreateUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolDomain.html)

**Para obtener información acerca de un dominio**
+ AWS CLI: `aws cognito-idp describe-user-pool-domain`

  **Ejemplo**: `aws cognito-idp describe-user-pool-domain --domain <domain_name>`
+ Funcionamiento de la API de grupos de usuarios: [DescribeUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DescribeUserPoolDomain.html)

**Eliminación de un dominio**
+ AWS CLI: `aws cognito-idp delete-user-pool-domain`

  **Ejemplo**: `aws cognito-idp delete-user-pool-domain --domain <domain_name>`
+ Funcionamiento de la API de grupos de usuarios: [DeleteUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DeleteUserPoolDomain.html)

------

## Verificación de la página de inicio de sesión
<a name="cognito-user-pools-assign-domain-prefix-verify"></a>
+ Compruebe si la página de inicio de sesión está disponible desde el dominio alojado de Amazon Cognito.

  ```
  https://<your_domain>/login?response_type=code&client_id=<your_app_client_id>&redirect_uri=<your_callback_url>
  ```

El dominio aparece en la página **Domain name (Nombre del dominio)** de la consola de Amazon Cognito. El ID del cliente de aplicación y la URL de devolución de llamada se muestran en la página **App client settings** (Configuración del cliente de aplicación).

# Uso de un dominio propio con el inicio de sesión administrado
<a name="cognito-user-pools-add-custom-domain"></a>

Después de configurar un cliente de aplicación, puede configurar su grupo de usuarios con un dominio personalizado para los servicios de dominio del [inicio de sesión administrado](cognito-user-pools-managed-login.md). Con un dominio personalizado, los usuarios pueden iniciar sesión en su aplicación con su propia dirección web en lugar del [dominio de prefijo](cognito-user-pools-assign-domain-prefix.md) de `amazoncognito.com`. Los dominios personalizados mejoran la confianza de los usuarios en una aplicación con un nombre de dominio conocido, especialmente cuando el dominio raíz coincide con el dominio que aloja la aplicación. Los dominios personalizados pueden mejorar el cumplimiento de los requisitos de seguridad de la organización.

Un dominio personalizado tiene algunos requisitos previos, como un grupo de usuarios, un cliente de aplicación y un dominio web de su propiedad. Los dominios personalizados también requieren un certificado SSL para el dominio personalizado, administrado con AWS Certificate Manager (ACM) en EE. UU. Este (Norte de Virginia). Amazon Cognito crea una CloudFront distribución de Amazon, asegurada en tránsito con su certificado ACM. Como usted es el propietario del dominio, debe crear un registro DNS que dirija el tráfico a la CloudFront distribución de su dominio personalizado.

Cuando estos elementos estén listos, puede añadir el dominio personalizado a su grupo de usuarios a través de la API o la consola de Amazon Cognito. Esto implica especificar el nombre de dominio y el certificado SSL y, a continuación, actualizar la configuración de DNS con el alias de destino proporcionado. Después de realizar estos cambios, puede comprobar si se puede acceder a la página de inicio de sesión desde el dominio personalizado.

La forma más sencilla de crear un dominio personalizado es con una zona alojada pública en Amazon Route 53. La consola de Amazon Cognito puede crear los registros DNS correctos en unos pocos pasos. Antes de empezar, valore la posibilidad de [crear una zona alojada de Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html) para un dominio o subdominio de su propiedad.

**Topics**
+ [Adición de un dominio personalizado a un grupo de usuarios](#cognito-user-pools-add-custom-domain-adding)
+ [Requisitos previos](#cognito-user-pools-add-custom-domain-prereq)
+ [Paso 1: Introducir el nombre de dominio personalizado](#cognito-user-pools-add-custom-domain-console-step-1)
+ [Paso 2: Agregar un destino de alias y un subdominio](#cognito-user-pools-add-custom-domain-console-step-2)
+ [Paso 3: Verificar la página de inicio de sesión](#cognito-user-pools-add-custom-domain-console-step-3)
+ [Cambio del certificado SSL en el dominio personalizado](#cognito-user-pools-add-custom-domain-changing-certificate)

## Adición de un dominio personalizado a un grupo de usuarios
<a name="cognito-user-pools-add-custom-domain-adding"></a>

Para agregar un dominio personalizado al grupo de usuarios, debe especificar el nombre de dominio en la consola de Amazon Cognito y proporcionar un certificado que administre con [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/) (ACM). Una vez agregado el dominio, Amazon Cognito ofrece un destino de alias, que debe agregarse a la configuración de DNS.

## Requisitos previos
<a name="cognito-user-pools-add-custom-domain-prereq"></a>

Antes de comenzar, necesitará:
+ Un grupo de usuarios con un cliente de aplicación. Para obtener más información, consulte [Introducción a los grupos de usuarios](getting-started-user-pools.md).
+ Un dominio web de su propiedad. Su *dominio principal* debe tener un **registro DNS A** válido. Puede asignar cualquier valor a este registro. El elemento principal puede ser la raíz del dominio o un dominio secundario que esté un paso más arriba en la jerarquía de dominios. Por ejemplo, si el dominio personalizado es *auth.xyz.example.com*, Amazon Cognito debe poder resolver *xyz.example.com* a una dirección IP. Para evitar un impacto accidental en la infraestructura del cliente, Amazon Cognito no admite el uso de dominios de nivel superior (TLDs) para dominios personalizados. Para obtener más información, consulte [Nombres de dominio](https://tools.ietf.org/html/rfc1035).
+ Tener la capacidad para crear un subdominio en el dominio personalizado. Le recomendamos **auth** para el nombre de su subdominio. Por ejemplo: *auth.example.com*.
**nota**  
Si no dispone de un [certificado comodín](https://en.wikipedia.org/wiki/Wildcard_certificate), es posible que tenga que obtener un nuevo certificado para el subdominio del dominio personalizado.
+ Un SSL/TLS certificado público gestionado por ACM en el este de EE. UU. (Virginia del Norte). El certificado debe estar en us-east-1 porque se asociará a una distribución CloudFront en un servicio global.
+ Clientes de navegador compatibles con la indicación del nombre de servidor (SNI). La CloudFront distribución que Amazon Cognito asigna a los dominios personalizados requiere el SNI. No se puede cambiar esta configuración. Para obtener más información sobre el SNI en CloudFront las distribuciones, consulte [Usar el SNI para atender solicitudes HTTPS en la Guía](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni) para desarrolladores de *Amazon CloudFront *.
+ Una aplicación que permite al servidor de autorización del grupo de usuarios añadir cookies a las sesiones de los usuarios. Amazon Cognito establece varias cookies obligatorias para las páginas del inicio de sesión administrado. Entre ellos se encuentran `cognito`, `cognito-fl` y `XSRF-TOKEN`. Si bien cada cookie individual se ajusta a los límites de tamaño del navegador, los cambios en la configuración del grupo de usuarios pueden provocar que las cookies del inicio de sesión administrado aumenten de tamaño. Un servicio intermedio, como un equilibrador de carga de aplicación (ALB), delante del dominio personalizado puede imponer un tamaño máximo de encabezado o un tamaño total de cookies. Si la aplicación también establece sus propias cookies, es posible que las sesiones de los usuarios superen estos límites. Le recomendamos que, para evitar conflictos con los límites de tamaño, su aplicación no establezca cookies en el subdominio que aloja los servicios de dominio de su grupo de usuarios.
+ Permiso para actualizar las CloudFront distribuciones de Amazon. Puede hacerlo adjuntando la siguiente declaración de política de IAM a un usuario en su Cuenta de AWS:

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
           {
              "Sid": "AllowCloudFrontUpdateDistribution",
              "Effect": "Allow",
              "Action": [
                  "cloudfront:updateDistribution"
              ],
              "Resource": [
                  "*"
              ]
          }
      ]
  }
  ```

------

  Para obtener más información sobre cómo autorizar acciones en CloudFront, consulte [Uso de políticas basadas en la identidad (políticas de IAM](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/access-control-managing-permissions.html)) para. CloudFront

  Amazon Cognito utiliza inicialmente sus permisos de IAM para configurar la CloudFront distribución, pero la gestión de la distribución corre a cargo de. AWS No puede cambiar la configuración de la CloudFront distribución que Amazon Cognito asoció a su grupo de usuarios. Por ejemplo, puede actualizar las versiones de TLS compatibles en la política de seguridad.

## Paso 1: Introducir el nombre de dominio personalizado
<a name="cognito-user-pools-add-custom-domain-console-step-1"></a>

Puede agregar el dominio al grupo de usuarios con una API o la consola de Amazon Cognito.

------
#### [ Amazon Cognito console ]

**Para agregar un dominio al grupo de usuarios mediante la consola de Amazon Cognito:**

1. Vaya al menú **Dominio** en **Creación de marca**.

1. Junto a **Dominio**, elija **Acciones** y seleccione **Crear dominio personalizado** o **Crear dominio de Amazon Cognito**. Si ya ha configurado un dominio personalizado del grupo de usuarios, seleccione **Eliminar dominio personalizado** antes de crear su nuevo dominio personalizado.

1. Junto a **Dominio**, elija **Acciones** y seleccione **Crear dominio personalizado**. Si ya ha configurado un dominio personalizado, elija **Eliminar dominio personalizado** para eliminar el dominio existente antes de crear el nuevo dominio personalizado.

1. Para **Custom domain (Dominio personalizado)**, introduzca la URL del dominio que desea utilizar con Amazon Cognito. El nombre de dominio solo puede incluir letras minúsculas, números y guiones. No utilice un guion en el primer carácter ni en el último. Utilice puntos para separar los nombres de los subdominios.

1. En **ACM certificate (Certificado de ACM)**, elija el certificado SSL que desee utilizar con el dominio. Solo los certificados ACM de EE. UU. Este (Virginia del Norte) son aptos para su uso con un dominio personalizado de Amazon Cognito, independientemente Región de AWS del grupo de usuarios.

   Si no dispone de un certificado disponible, puede utilizar ACM para aprovisionar uno en EE. UU. Este (Norte de Virginia). Para obtener más información, consulte la [introducción](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) de la *Guía del usuario de AWS Certificate Manager *.

1. Elija una **Versión de marca**. Su versión de marca se aplica a todas las páginas interactivas para el usuario de ese dominio. Su grupo de usuarios puede alojar el inicio de sesión administrado o la marca de interfaz de usuario alojada para todos los clientes de aplicación.
**nota**  
Puede tener un dominio personalizado y un dominio de prefijo, pero Amazon Cognito solo servirá el punto de conexión `/.well-known/openid-configuration` para el dominio *personalizado*.

1. Seleccione **Crear**.

1. Amazon Cognito lo devuelve al menú **Dominio**. Se muestra un mensaje titulado **Create an alias record in your domain's DNS (Cree un registro de alias en el DNS de su dominio)**. Anote el **Domain (Dominio)** y el **Alias Target (Destino de alias)** que se muestra en la consola. Se utilizarán en el paso siguiente para dirigir el tráfico a su dominio personalizado.

------
#### [ API ]

El siguiente cuerpo de [CreateUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolDomain.html)solicitud crea un dominio personalizado.

```
{
   "Domain": "auth.example.com",
   "UserPoolId": "us-east-1_EXAMPLE",
   "ManagedLoginVersion": 2,
   "CustomDomainConfig": {
    "CertificateArn": "arn:aws:acm:us-east-1:111122223333:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
   }
}
```

------

## Paso 2: Agregar un destino de alias y un subdominio
<a name="cognito-user-pools-add-custom-domain-console-step-2"></a>

En este paso, configurará un alias mediante el proveedor de servicios de servidor de nombres de dominio (DNS) que apunta al destino de alias del paso anterior. Si utiliza Amazon Route 53 para la resolución de direcciones DNS, elija la sección **To add an alias target and subdomain using Route 53 (Para agregar un destino de alias y un subdominio con Route 53).**

### Para añadir un destino de alias y un subdominio a la configuración de DNS actual
<a name="cognito-user-pools-add-custom-domain-console-step-2a"></a>
+ Si no utiliza Route 53 para la resolución de direcciones de DNS, entonces debe usar las herramientas de configuración del proveedor de servicios de DNS para agregar el destino de alias del paso anterior al registro del DNS del dominio. El proveedor de DNS también deberá configurar el subdominio para el dominio personalizado.

### Para agregar un destino de alias y un subdominio con Route 53, siga estos pasos:
<a name="cognito-user-pools-add-custom-domain-console-step-2b"></a>

1. Inicie sesión en la [consola de Route 53](https://console.aws.amazon.com/route53/). Si se le solicita, introduzca sus AWS credenciales.

1. Si no dispone de una zona alojada pública en Route 53, cree una con una raíz que sea la principal de su dominio personalizado. Para obtener más información, consulte [Creating a public hosted zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html) en la *Guía para desarrolladores de Amazon Route 53*.

   1. Elija **Create Hosted Zone (Crear zona alojada)**.

   1. Introduzca el dominio principal, por ejemplo*auth.example.com*, de su dominio personalizado, por ejemplo*myapp.auth.example.com*, de la lista de **nombres de dominio**.

   1. Introduzca una **Descripción** para su zona alojada.

   1. Elija una zona alojada **Type (Tipo)** de **Public hosted zone (Zona alojada pública)** para permitir que los clientes públicos resuelvan su dominio personalizado. Elegir una **Private hosted zone (Zona alojada privada)** no es compatible.

   1. Aplique **Tags (Etiquetas)** como desee.

   1. Elija **Crear zona alojada**.
**nota**  
También puede crear una nueva zona alojada para su dominio personalizado con una delegación establecida en la zona alojada principal que dirija las consultas a la zona alojada del subdominio. De lo contrario, cree un registro A. Este método ofrece más flexibilidad y seguridad con las zonas alojadas. Para obtener más información, consulte [Creating a subdomain for a domain hosted through Amazon Route 53 (Creación de un subdominio para un dominio alojado mediante Amazon Route 53)](https://aws.amazon.com/premiumsupport/knowledge-center/create-subdomain-route-53/).

1. En la página **Hosted Zones** (Zonas alojadas), elija el nombre de la zona alojada.

1. Agregue un registro DNS para el dominio principal de su dominio personalizado, si aún no dispone de uno. Cree un registro de DNS para el dominio principal con las siguientes propiedades:
   + **Nombre del registro**: déjelo en blanco.
   + **Tipo de registro**: `A`.
   + **Alias**: no lo habilite.
   + **Valor**: introduzca un objetivo de su elección. Este registro debe convertirse en *algo*, pero el valor del registro no le importa a Amazon Cognito.
   + **TTL**: configúrelo en el TTL que prefiera o déjelo como predeterminado.
   + **Política de direccionamiento**: elija **Direccionamiento sencillo**.

1. Elija **Crear registros**. El siguiente es un ejemplo de registro para el dominio*example.com*:

   `example.com. 60 IN A 198.51.100.1`
**nota**  
Amazon Cognito verifica que haya un registro DNS para el dominio principal de su dominio personalizado para protegerlo contra la apropiación accidental de dominios de producción. Si no tiene un registro DNS para el dominio principal, Amazon Cognito devolverá un error cuando intente establecer el dominio personalizado. Un registro de inicio de autoridad (SOA) no es un registro de DNS suficiente para la verificación del dominio principal.

1. Agregue otro registro de DNS para el dominio personalizado con las siguientes propiedades:
   + **Nombre de registro**: el prefijo de dominio personalizado; por ejemplo, `auth` para crear un registro para `auth.example.com`.
   + **Tipo de registro**: `A`.
   + **Alias**: habilítelo.
   + **Dirigir el tráfico a**: elija **Alias de la distribución de CloudFront**. Introduzca el **Destino de alias** registrado anteriormente, por ejemplo, `123example.cloudfront.net`.
   + **Política de direccionamiento**: elija **Direccionamiento sencillo**.

1. Elija **Crear registros**.
**nota**  
Los nuevos registros pueden tardar unos 60 segundos en propagarse a todos los servidores DNS de Route 53. Puede usar el método de la [GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)API de Route 53 para comprobar que los cambios se han propagado. 

## Paso 3: Verificar la página de inicio de sesión
<a name="cognito-user-pools-add-custom-domain-console-step-3"></a>
+ Compruebe que la página de inicio de sesión está disponible desde el dominio personalizado.

  Inicie sesión con el dominio personalizado y el subdominio; para ello, introduzca esta dirección en el navegador. Esta es una URL de ejemplo de un dominio personalizado *example.com* con el *auth* subdominio:

  ```
  https://myapp.auth.example.com/login?response_type=code&client_id=<your_app_client_id>&redirect_uri=<your_callback_url>
  ```

## Cambio del certificado SSL en el dominio personalizado
<a name="cognito-user-pools-add-custom-domain-changing-certificate"></a>

Si es necesario, puede utilizar Amazon Cognito para cambiar el certificado que se ha aplicado al dominio personalizado.

Esta operación no suele ser necesaria si se mantiene una renovación rutinaria de certificados con ACM. Cuando se renueva el certificado actual en ACM, el ARN del certificado sigue siendo el mismo, y el nombre de dominio personalizado utiliza el nuevo certificado de manera automática.

Sin embargo, si el certificado actual se sustituye por otro nuevo, ACM proporciona otro ARN al nuevo certificado. Para aplicar el nuevo certificado al dominio personalizado, debe proporcionar este ARN a Amazon Cognito.

Una vez proporcionado el certificado, Amazon Cognito puede necesitar hasta una hora para distribuirlo en el dominio personalizado.

**Antes de empezar**  
Para poder cambiar el certificado en Amazon Cognito, debe agregarlo a ACM. Para obtener más información, consulte la [introducción](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) de la *Guía del usuario de AWS Certificate Manager *.  
Cuando añada el certificado a ACM, debe seleccionar US East (N. Virginia) [Este de EE. UU. (Norte de Virginia)] como región de AWS .

Puede cambiar el certificado con una API o la consola de Amazon Cognito.

------
#### [ Consola de administración de AWS ]

**Para renovar un certificado mediante la consola de Amazon Cognito:**

1. Inicie sesión en la consola de Amazon Cognito Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/cognito/home](https://console.aws.amazon.com/cognito/home)

1. Elija **User Pools (Grupos de usuarios)**.

1. Elija el grupo de usuarios para el que desea actualizar el certificado.

1. Elija el menú **Dominio**.

1. Elija **Actions (Acciones)**, **Edit ACM certificate (Editar certificado de ACM)**.

1. Seleccione el nuevo certificado que desea asociar a su dominio personalizado.

1. Seleccione **Save changes (Guardar cambios)**.

------
#### [ API ]

**Para renovar un certificado (API de Amazon Cognito)**
+ Utilice la acción [UpdateUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPoolDomain.html).

------