As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Como configurar um domínio de grupo de usuários
<a name="cognito-user-pools-assign-domain"></a>

Configurar um domínio é opcional na configuração de um grupo de usuários. Um domínio de grupo de usuários hospeda recursos para autenticação de usuários, federação com provedores terceirizados e fluxos do OpenID Connect (OIDC). Ele tem o *login gerenciado*, uma interface pré-criada para operações importantes, como cadastro, login e recuperação de senha. Ele também hospeda os endpoints padrão do OpenID Connect (OIDC), como authorize[, [userInfo](userinfo-endpoint.md) e [token](token-endpoint.md),](authorization-endpoint.md) para autorização machine-to-machine (M2M) e outros fluxos de autenticação e autorização do OIDC e 2.0. OAuth 

Os usuários são autenticados com páginas de login gerenciado no domínio associado ao seu grupo de usuários. Você tem duas opções para configurar esse domínio: usar o domínio hospedado padrão do Amazon Cognito ou configurar um domínio personalizado de sua propriedade.

A opção de domínio personalizado tem mais opções de flexibilidade, segurança e controle. Por exemplo, um domínio familiar de propriedade da organização pode estimular a confiança do usuário e tornar o processo de login mais intuitivo. No entanto, a abordagem de domínio personalizado exige certa sobrecarga adicional, como gerenciar o certificado SSL e a configuração do DNS.

Os endpoints de descoberta do OIDC, `/.well-known/openid-configuration` para endpoints URLs e `/.well-known/jwks.json` chaves de assinatura de token, não estão hospedados em seu domínio. Para obter mais informações, consulte [Provedor de identidades e endpoints de terceiros confiáveis](federation-endpoints.md).

Entender como configurar e gerenciar o domínio para seu grupo de usuários é uma etapa importante para integrar a autenticação na aplicação. Fazer login com a API de grupos de usuários e um AWS SDK pode ser uma alternativa à configuração de um domínio. O modelo baseado em API fornece tokens diretamente em uma resposta de API, mas para implementações que usam os recursos estendidos dos grupos de usuários, como um IdP do OIDC, você deve configurar um domínio. Para obter mais informações sobre modelos de autenticação disponíveis em grupos de usuários, consulte[Noções básicas sobre a autenticação de API, OIDC e páginas de login gerenciado](authentication-flows-public-server-side.md#user-pools-API-operations).

**Topics**
+ [Informações importantes sobre domínios de grupo de usuários](#cognito-user-pools-assign-domain-things-to-know)
+ [Usar o domínio de prefixo do Amazon Cognito para login gerenciado](cognito-user-pools-assign-domain-prefix.md)
+ [Usar o próprio domínio para fazer login gerenciado](cognito-user-pools-add-custom-domain.md)

## Informações importantes sobre domínios de grupo de usuários
<a name="cognito-user-pools-assign-domain-things-to-know"></a>

Os domínios de grupo de usuários são um ponto de serviço para as partes que dependem do OIDC em aplicações e para os elementos da interface do usuário. Considere os detalhes a seguir ao planejar a implementação de um domínio para o grupo de usuários.

**Termos reservados**  
Não é possível usar o texto `aws`, `amazon` ou `cognito` no nome de um domínio com prefixo do Amazon Cognito.

**Os endpoints de descoberta estão em um domínio diferente**  
Os [endpoints de descoberta](federation-endpoints.md) `.well-known/openid-configuration` e `.well-known/jwks.json` do grupo de usuários não estão no domínio personalizado ou do prefixo do grupo de usuários. O caminho para esses endpoints é o apresentado a seguir.
+ `https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/openid-configuration`
+ `https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/jwks.json`

**Tempo efetivo de mudanças de domínio**  
O Amazon Cognito pode levar até 1 minuto para iniciar ou atualizar a versão de marca de um domínio de prefixo. As mudanças em um domínio personalizado podem levar até 5 minutos para serem propagadas. Os novos domínios personalizados podem levar até 1 hora para serem propagados.

**Domínios personalizados e do prefixo ao mesmo tempo**  
Você pode configurar um grupo de usuários com um domínio personalizado e um domínio de prefixo de propriedade AWS da. Como os [endpoints de descoberta](federation-endpoints.md) do grupo de usuários estão hospedados em um domínio diferente, eles atendem apenas ao *domínio personalizado*. Por exemplo, o `openid-configuration` fornecerá um valor único para `"authorization_endpoint"` de `"https://auth.example.com/oauth2/authorize"`.

Quando você tem domínios personalizados e do prefixo em um grupo de usuários, pode usar o domínio personalizado com todos os recursos de um provedor OIDC. O domínio de prefixo em um grupo de usuários com essa configuração não tem descoberta nem token-signing-key endpoints e deve ser usado adequadamente.

**Domínios personalizados preferenciais como ID de parte confiável para chave de acesso**  
Ao configurar a autenticação do grupo de usuários com [chaves de acesso](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passkey), você deve definir uma ID de parte confiável (RP). Quando você tem um domínio personalizado e um domínio de prefixo, pode definir o ID de RP somente como seu domínio personalizado. Para definir um domínio de prefixo como o ID de RP no console do Amazon Cognito, exclua seu domínio personalizado ou insira o nome de domínio totalmente qualificado (FQDN) do domínio de prefixo como um **domínio de terceiros**.

**Não use domínios personalizados em diferentes níveis da sua hierarquia de domínios**  
Você pode configurar grupos de usuários separados para ter domínios personalizados no mesmo domínio de primeiro nível (TLD), por exemplo *auth.example.com* e *auth2.example.com*. O cookie de sessão do login gerenciado é válido para um domínio personalizado e todos os subdomínios, por exemplo, *\$1.auth.example.com*. Por esse motivo, nenhum usuário de suas aplicações deve acessar o login gerenciado de qualquer domínio principal *ou* subdomínio. Quando os domínios personalizados usarem o mesmo TLD, mantenha-os no mesmo nível de subdomínio.

Digamos que você tenha um grupo de usuários com o domínio personalizado *auth.example.com*. E então você cria outro grupo de usuários e atribui o domínio personalizado *uk.auth.example.com*. O usuário faz login com *auth.example.com.* e recebe um cookie que seu navegador apresenta a qualquer site no caminho curinga *\$1.auth.example.com*. Em seguida, ele tenta fazer login em *uk.auth.example.com.*. Ele transmite um cookie inválido para o domínio do grupo de usuários e recebe um erro em vez de uma solicitação de login. Por outro lado, um usuário com um cookie para *\$1.auth.example.com* não tem problemas em iniciar uma sessão de login em *auth2.example.com*.

**Versão de marca**  
Ao criar um domínio, você define uma **Versão de marca**. Suas opções são a nova experiência de login gerenciado e a experiência de IU hospedada clássica. Essa opção se aplica a todos os clientes da aplicação que hospedam serviços em seu domínio.

# Usar o domínio de prefixo do Amazon Cognito para login gerenciado
<a name="cognito-user-pools-assign-domain-prefix"></a>

A experiência padrão para login gerenciado é hospedada em um domínio que AWS possui. Essa abordagem é bem simples de usar: basta um nome de prefixo e a ativação estará feita. Porém, esse domínio não tem recursos que inspiram a confiança de um domínio personalizado. Não há diferença de custo entre a opção de domínio do Amazon Cognito e a opção de domínio personalizado. A única diferença é o domínio no endereço da web para o qual você direciona seus usuários. Para casos de redirecionamentos de IdP de terceiros e fluxos de credenciais de clientes, o domínio hospedado tem pouco efeito aparente. Um domínio personalizado é melhor nos casos em que os usuários fazem login com o login gerenciado e interagem com um domínio de autenticação que não corresponde ao domínio da aplicação.

O domínio hospedado do Amazon Cognito tem um prefixo de sua escolha, mas está hospedado no domínio raiz, `amazoncognito.com`. Este é um exemplo:

```
https://cognitoexample.auth.ap-south-1.amazoncognito.com
```

Todos os domínios de prefixo seguem este formato: `prefix`.`auth`.*`Região da AWS code`*.`amazoncognito`.`com`. Grupos de usuários de [domínio personalizado](cognito-user-pools-add-custom-domain.md) podem hospedar as páginas de IU hospedada e login gerenciado em qualquer domínio que seja de sua propriedade.

**nota**  
Para aumentar a segurança das aplicações do Amazon Cognito, os domínios principais dos endpoints do grupo de usuários são registrados na [Public Suffix List (PSL)](https://publicsuffix.org/). O PSL ajuda os navegadores da web dos usuários a estabelecer uma compreensão consistente dos endpoints do grupo de usuários e dos cookies que eles definem.  
Os domínios principais do grupo de usuários usam os formatos a seguir.  

```
auth.Region.amazoncognito.com
auth-fips.Region.amazoncognito.com
```

Para adicionar um cliente de aplicativo e um domínio de grupo de usuários com o. Console de gerenciamento da AWS, consulte[Criar um cliente de aplicação](user-pool-settings-client-apps.md#cognito-user-pools-app-idp-settings-console-create).

**Topics**
+ [Pré-requisitos](#cognito-user-pools-assign-domain-prefix-prereq)
+ [Como configurar um prefixo de domínio do Amazon Cognito](#cognito-user-pools-assign-domain-prefix-step-1)
+ [Verificar a página de login](#cognito-user-pools-assign-domain-prefix-verify)

## Pré-requisitos
<a name="cognito-user-pools-assign-domain-prefix-prereq"></a>

Antes de começar, você precisa de:
+ Um grupo de usuários com um cliente de aplicativo. Para obter mais informações, consulte [Conceitos básicos dos grupos de usuários](getting-started-user-pools.md).

## Como configurar um prefixo de domínio do Amazon Cognito
<a name="cognito-user-pools-assign-domain-prefix-step-1"></a>

Você pode usar a API Console de gerenciamento da AWS ou a AWS CLI ou para configurar um domínio de grupo de usuários.

------
#### [ Amazon Cognito console ]

**Configurar um domínio**

1. Navegue até o menu **Domínio** em **Identidade visual**.

1. Ao lado de **Domínio**, selecione **Ações** e clique em **Criar domínio do Cognito**. Se já tiver configurado um domínio de prefixo de grupo de usuários, selecione **Excluir domínio do Cognito** antes de criar seu novo domínio personalizado.

1. Insira um prefixo de domínio disponível para usar com um **Domínio do Amazon Cognito**. Para obter mais informações sobre como configurar um **Domínio personalizado**, consulte [Usar o próprio domínio para fazer login gerenciado](cognito-user-pools-add-custom-domain.md).

1. Escolha uma **Versão de marca**. Sua versão de marca se aplica a todas as páginas interativas nesse domínio. Seu grupo de usuários pode hospedar a identidade visual do login gerenciado ou da IU hospedada para todos os clientes da aplicação.
**nota**  
Você pode ter um domínio personalizado e um domínio de prefixo, mas o Amazon Cognito só fornece o endpoint `/.well-known/openid-configuration` para o domínio *personalizado*.

1. Escolha **Criar**.

------
#### [ CLI/API ]

Use os comandos a seguir para criar um prefixo de domínio personalizado e atribuí-lo ao grupo de usuários.

**Para configurar um domínio de grupo de usuários**
+ AWS CLI: `aws cognito-idp create-user-pool-domain`

  **Exemplo**: `aws cognito-idp create-user-pool-domain --user-pool-id <user_pool_id> --domain <domain_name> --managed-login-version 2`
+ Operação da API de grupos de usuários: [CreateUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolDomain.html)

**Para obter informações sobre um domínio**
+ AWS CLI: `aws cognito-idp describe-user-pool-domain`

  **Exemplo**: `aws cognito-idp describe-user-pool-domain --domain <domain_name>`
+ Operação da API de grupos de usuários: [DescribeUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DescribeUserPoolDomain.html)

**Como excluir um domínio**
+ AWS CLI: `aws cognito-idp delete-user-pool-domain`

  **Exemplo**: `aws cognito-idp delete-user-pool-domain --domain <domain_name>`
+ Operação da API de grupos de usuários: [DeleteUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DeleteUserPoolDomain.html)

------

## Verificar a página de login
<a name="cognito-user-pools-assign-domain-prefix-verify"></a>
+ Verifique se a página de login está disponível no seu domínio hospedado do Amazon Cognito.

  ```
  https://<your_domain>/login?response_type=code&client_id=<your_app_client_id>&redirect_uri=<your_callback_url>
  ```

O domínio é exibido na página **Domain name** (Nome do domínio) do console do Amazon Cognito. O ID de cliente do aplicativo e o URL de retorno de chamada são exibidos na página **App client settings** (Configurações do cliente do aplicativo).

# Usar o próprio domínio para fazer login gerenciado
<a name="cognito-user-pools-add-custom-domain"></a>

Após configurar um cliente da aplicação, você poderá configurar o grupo de usuários com um domínio personalizado para os serviços de domínio do [login gerenciado](cognito-user-pools-managed-login.md). Com um domínio personalizado, os usuários podem fazer login na aplicação usando seu próprio endereço da web em vez do [domínio de prefixo](cognito-user-pools-assign-domain-prefix.md) `amazoncognito.com`. Domínios personalizados melhoram a confiança do usuário em sua aplicação com um nome de domínio familiar, especialmente quando o domínio raiz corresponde ao domínio que hospeda a aplicação. Os domínios personalizados podem melhorar a conformidade com os requisitos de segurança da organização.

Um domínio personalizado tem alguns pré-requisitos, incluindo um grupo de usuários, um cliente da aplicação e um domínio da web de sua propriedade. Os domínios personalizados também exigem um certificado SSL para o domínio personalizado, gerenciado com AWS Certificate Manager (ACM) no Leste dos EUA (Norte da Virgínia). O Amazon Cognito cria uma CloudFront distribuição da Amazon, protegida em trânsito com seu certificado ACM. Como você é proprietário do domínio, você deve criar um registro DNS que direcione o tráfego para a CloudFront distribuição do seu domínio personalizado.

Com esses elementos prontos, você pode adicionar o domínio personalizado ao grupo de usuários por meio do console ou da API do Amazon Cognito. Isso envolve especificar o nome de domínio e o certificado SSL e, em seguida, atualizar sua configuração de DNS com o destino de alias fornecido. Depois de fazer essas alterações, você pode verificar se a página de login está acessível no seu domínio personalizado.

A maneira mais simples de criar um domínio personalizado é com uma zona hospedada pública no Amazon Route 53. O console do Amazon Cognito pode criar os registros DNS corretos em algumas etapas. Antes de começar, considere [criar uma zona hospedada do Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html) para um domínio ou subdomínio que você possua.

**Topics**
+ [Como adicionar um domínio personalizado a um grupo de usuários](#cognito-user-pools-add-custom-domain-adding)
+ [Pré-requisitos](#cognito-user-pools-add-custom-domain-prereq)
+ [Etapa 1: insira o nome de domínio personalizado](#cognito-user-pools-add-custom-domain-console-step-1)
+ [Etapa 2: adicionar um destino do alias e subdomínio](#cognito-user-pools-add-custom-domain-console-step-2)
+ [Etapa 3: verificar a página de acesso](#cognito-user-pools-add-custom-domain-console-step-3)
+ [Como alterar o certificado SSL do seu domínio personalizado](#cognito-user-pools-add-custom-domain-changing-certificate)

## Como adicionar um domínio personalizado a um grupo de usuários
<a name="cognito-user-pools-add-custom-domain-adding"></a>

Para adicionar um domínio personalizado para seu grupo de usuários, especifique o nome de domínio no console do Amazon Cognito e forneça um certificado que você gerencia com o [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/) (ACM). Depois de adicionar seu domínio, o Amazon Cognito fornece um destino de alias, que você adiciona à sua configuração de DNS.

## Pré-requisitos
<a name="cognito-user-pools-add-custom-domain-prereq"></a>

Antes de começar, você precisa de:
+ Um grupo de usuários com um cliente de aplicativo. Para obter mais informações, consulte [Conceitos básicos dos grupos de usuários](getting-started-user-pools.md).
+ Um domínio da Web do qual você é proprietário. O *domínio superior* deve ter um **registro A** DNS válido. Você pode atribuir qualquer valor a esse registro. O domínio superior pode ser a raiz do domínio ou um domínio inferior que fica um nível acima na hierarquia do domínio. Por exemplo, se o domínio personalizado for *auth.xyz.exemplo.com*, o Amazon Cognito precisará ser capaz de resolver *xyz.exemplo.com* como um endereço IP. Para evitar um impacto acidental na infraestrutura do cliente, o Amazon Cognito não suporta o uso de domínios de primeiro nível TLDs () para domínios personalizados. Para obter mais informações, consulte [Nomes de domínio](https://tools.ietf.org/html/rfc1035).
+ A capacidade de criar um subdomínio para seu domínio personalizado. Recomendamos **auth** para o nome do subdomínio. Por exemplo: *auth.example.com*.
**nota**  
Poderá ser necessário obter um novo certificado para o subdomínio do domínio personalizado se você não tiver um [certificado curinga](https://en.wikipedia.org/wiki/Wildcard_certificate).
+ Um SSL/TLS certificado público gerenciado pela ACM no Leste dos EUA (Norte da Virgínia). O certificado deve estar em us-east-1 porque será associado a uma distribuição CloudFront em, um serviço global.
+ Clientes de navegador compatíveis com Server Name Indication (SNI). A CloudFront distribuição que o Amazon Cognito atribui aos domínios personalizados requer SNI. Você não pode alterar essa configuração. Para obter mais informações sobre o SNI nas CloudFront distribuições, consulte [Usar o SNI para atender solicitações HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni) no *Amazon CloudFront * Developer Guide.
+ Uma aplicação que permite que o servidor de autorização do grupo de usuários adicione cookies às sessões do usuário. O Amazon Cognito define vários cookies obrigatórios para páginas de login gerenciado. Entre eles estão `cognito`, `cognito-fl` e `XSRF-TOKEN`. Embora cada cookie individual respeite os limites de tamanho do navegador, alterações na configuração do grupo de usuários podem fazer com que os cookies do login gerenciado aumentem de tamanho. Um serviço intermediário, como o Application Load Balancer (ALB), na frente do domínio personalizado pode impor um tamanho máximo de cabeçalho ou tamanho total do cookie. Se a aplicação também definir seus próprios cookies, as sessões dos usuários poderão exceder esses limites. Para evitar conflitos de limite de tamanho, recomendamos que a aplicação não defina cookies no subdomínio que hospeda os serviços de domínio do grupo de usuários.
+ Permissão para atualizar as CloudFront distribuições da Amazon. Você pode fazer isso anexando a declaração de política do IAM a seguir a um usuário em sua Conta da AWS:

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
           {
              "Sid": "AllowCloudFrontUpdateDistribution",
              "Effect": "Allow",
              "Action": [
                  "cloudfront:updateDistribution"
              ],
              "Resource": [
                  "*"
              ]
          }
      ]
  }
  ```

------

  Para obter mais informações sobre como autorizar ações em CloudFront, consulte [Usando políticas baseadas em identidade (políticas do IAM)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/access-control-managing-permissions.html) para. CloudFront

  O Amazon Cognito inicialmente usa suas permissões do IAM para configurar a CloudFront distribuição, mas a distribuição é gerenciada por. AWS Você não pode alterar a configuração da CloudFront distribuição que o Amazon Cognito associou ao seu grupo de usuários. Por exemplo, não é possível atualizar as versões de TLS compatíveis na política de segurança.

## Etapa 1: insira o nome de domínio personalizado
<a name="cognito-user-pools-add-custom-domain-console-step-1"></a>

É possível adicionar seu domínio ao grupo de usuários usando a API ou o console do Amazon Cognito.

------
#### [ Amazon Cognito console ]

**Para adicionar o domínio ao grupo de usuários diretamente do console do Amazon Cognito:**

1. Navegue até o menu **Domínio** em **Identidade visual**.

1. Ao lado de **Domínio**, escolha **Ações** e **Criar domínio personalizado** ou **Criar domínio do Amazon Cognito**. Se já tiver configurado um domínio personalizado de grupo de usuários, clique em **Excluir domínio personalizado** antes de criar seu novo domínio personalizado.

1. Ao lado de **Domínio**, selecione **Ações** e clique em **Criar domínio personalizado**. Se você já configurou um domínio personalizado, clique em **Excluir domínio personalizado** para excluir o domínio existente antes de criar seu novo domínio personalizado.

1. Para o **Custom domain** (Domínio personalizado), insira o URL do domínio que você deseja usar com o Amazon Cognito. Seu nome de domínio pode incluir somente letras minúsculas, números e hífens. Não use um hífen como primeiro ou último caractere. Use pontos para separar nomes de subdomínio.

1. Para o **ACM certificate** (Certificado do ACM), escolha o certificado SSL que você deseja usar para seu domínio. Somente certificados ACM no Leste dos EUA (Norte da Virgínia) estão qualificados para uso com um domínio personalizado do Amazon Cognito, independentemente Região da AWS do seu grupo de usuários.

   Se você não tem um certificado disponível, poderá usar o ACM para implantar um no Leste dos EUA (Norte da Virgínia). Para obter mais informações, consulte [Conceitos básicos](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) no *Guia do usuário do AWS Certificate Manager *.

1. Escolha uma **Versão de marca**. Sua versão de marca se aplica a todas as páginas interativas nesse domínio. Seu grupo de usuários pode hospedar a identidade visual do login gerenciado ou da IU hospedada para todos os clientes da aplicação.
**nota**  
Você pode ter um domínio personalizado e um domínio de prefixo, mas o Amazon Cognito só fornece o endpoint `/.well-known/openid-configuration` para o domínio *personalizado*.

1. Escolha **Criar**.

1. O Amazon Cognito retorna você ao menu **Domínio**. Uma mensagem intitulada **Create an alias record in your domain's DNS** (Criar um registro de alias no DNS do seu domínio) é exibida. Anote o **Domain** (Domínio) e **Alias target** (Destino do alias) exibidos no console. Eles serão usados na próxima etapa para direcionar o tráfego para o seu domínio personalizado.

------
#### [ API ]

O corpo da [CreateUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolDomain.html)solicitação a seguir cria um domínio personalizado.

```
{
   "Domain": "auth.example.com",
   "UserPoolId": "us-east-1_EXAMPLE",
   "ManagedLoginVersion": 2,
   "CustomDomainConfig": {
    "CertificateArn": "arn:aws:acm:us-east-1:111122223333:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
   }
}
```

------

## Etapa 2: adicionar um destino do alias e subdomínio
<a name="cognito-user-pools-add-custom-domain-console-step-2"></a>

Nesta etapa, configure um alias por meio do seu provedor de serviços do servidor de nome de domínio (DNS) que aponta para o destino do alias da etapa anterior. Se você estiver usando o Amazon Route 53 para resolução do endereço DNS, escolha a seção **To add an alias target and subdomain using Route 53** (Para adicionar um destino do alias e subdomínio usando o Route 53).

### Para adicionar um destino do alias e subdomínio à sua configuração atual do DNS
<a name="cognito-user-pools-add-custom-domain-console-step-2a"></a>
+ Se não estiver usando o Route 53 para resolução do endereço DNS, é necessário utilizar as ferramentas de configuração do seu provedor de serviço DNS para adicionar o destino do alias da etapa anterior ao registro DNS do domínio. O provedor DNS também precisará configurar o subdomínio para o seu domínio personalizado.

### Para adicionar um destino do alias e subdomínio usando o Route 53
<a name="cognito-user-pools-add-custom-domain-console-step-2b"></a>

1. Faça login no [console do Route 53](https://console.aws.amazon.com/route53/). Se solicitado, insira suas AWS credenciais.

1. Se não tiver uma zona hospedada pública no Route 53, crie uma com uma raiz que seja pai do seu domínio personalizado. Para obter mais informações, consulte [Criar uma zona hospedada pública](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html) no *Guia do desenvolvedor do Amazon Route 53*.

   1. Escolha **Criar zona hospedada**.

   1. Insira o domínio principal, por exemplo*auth.example.com*, do seu domínio personalizado, por exemplo*myapp.auth.example.com*, na lista de **nomes de domínio**.

   1. Insira uma **Descrição** para a sua zona hospedada.

   1. Selecione um **Type** (Tipo) de zona hospedada de **Public hosted zone** (Zona hospedada pública) para permitir que clientes públicos resolvam seu domínio personalizado. Não há compatibilidade com a seleção de **Private hosted zone** (Zona hospedada privada).

   1. Aplique **Etiquetas** como desejar.

   1. Escolha **Criar zona hospedada**.
**nota**  
Também é possível criar uma nova zona hospedada para o domínio personalizado com um conjunto de delegação na zona hospedada principal que direciona consultas para a zona hospedada do subdomínio. Caso contrário, crie um registro A. Esse método oferece mais flexibilidade e segurança com suas zonas hospedadas. Para mais informações, consulte [Creating a subdomain for a domain hosted through Amazon Route 53](https://aws.amazon.com/premiumsupport/knowledge-center/create-subdomain-route-53/) (Criar um subdomínio para um domínio hospedado por meio do Amazon Route 53).

1. Na página **Hosted Zones (Zonas hospedadas)**, escolha o nome da sua zona hospedada.

1. Adicione um registro DNS ao domínio pai do seu domínio personalizado, caso ainda não tenha um. Crie um registro DNS para o domínio pai com as propriedades a seguir:
   + **Nome do registro**: deixe em branco.
   + **Tipo de registro**: `A`.
   + **Alias**: não ative.
   + **Valor**: insira o valor desejado. Esse registro deve ser resolvido como *algo*, mas o valor do registro não importa para o Amazon Cognito.
   + **TTL**: defina como seu TTL preferido ou deixe o padrão.
   + **Política de roteamento**: escolha **roteamento simples**.

1. Escolha **Criar registros**. Veja a seguir um exemplo de registro para o domínio*example.com*:

   `example.com. 60 IN A 198.51.100.1`
**nota**  
O Amazon Cognito verifica que há um registro DNS para o domínio pai do seu domínio personalizado para proteger contra o sequestro acidental de domínios de produção. Se você não tiver um registro DNS para o domínio pai, o Amazon Cognito retornará um erro quando você tentar definir o domínio personalizado. Um registro de Início de autoridade (SOA) não é um registro DNS suficiente para fins de verificação do domínio pai.

1. Adicione outro registro DNS para seu domínio personalizado com as seguintes propriedades:
   + **Nome do registro**: prefixo do domínio personalizado, por exemplo, `auth` para criar um registro para `auth.example.com`.
   + **Tipo de registro**: `A`.
   + **Alias**: ative.
   + **Rotear tráfego para**: escolha **Alias para distribuição do CloudFront**. Insira o **Destino do alias** que você registrou anteriormente, por exemplo, `123example.cloudfront.net`.
   + **Política de roteamento**: escolha **roteamento simples**.

1. Escolha **Criar registros**.
**nota**  
A propagação de seus novos registros para todos os servidores de DNS do Route 53 pode levar cerca de 60 segundos. Você pode usar o método da [GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)API Route 53 para verificar se suas alterações foram propagadas. 

## Etapa 3: verificar a página de acesso
<a name="cognito-user-pools-add-custom-domain-console-step-3"></a>
+ Verifique se a página de login está disponível no seu domínio personalizado.

  Faça login com o domínio e o subdomínio personalizados inserindo esse endereço no navegador. Este é um exemplo de URL de um domínio personalizado *example.com* com o subdomínio: *auth*

  ```
  https://myapp.auth.example.com/login?response_type=code&client_id=<your_app_client_id>&redirect_uri=<your_callback_url>
  ```

## Como alterar o certificado SSL do seu domínio personalizado
<a name="cognito-user-pools-add-custom-domain-changing-certificate"></a>

Quando necessário, você poderá usar o Amazon Cognito para alterar o certificado aplicado ao seu domínio personalizado.

Geralmente, isso é desnecessário ao ser seguida a rotina de renovação do certificado com o ACM. Quando você renovar seu certificado existente no ACM, o ARN do certificado permanecerá o mesmo, e seu domínio personalizado usará o novo certificado automaticamente.

No entanto, se você substituir o certificado existente por um novo, o ACM dará ao novo certificado um novo ARN. Para aplicar o novo certificado ao seu domínio personalizado, você deve fornecer esse ARN ao Amazon Cognito.

Depois de fornecer o novo certificado, o Amazon Cognito precisará de até uma hora para distribuí-lo ao seu domínio personalizado.

**Antes de começar**  
Antes de alterar seu certificado no Amazon Cognito, você deve adicionar o certificado ao ACM. Para obter mais informações, consulte [Conceitos básicos](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) no *Guia do usuário do AWS Certificate Manager *.  
Ao adicionar seu certificado ao ACM, você deve escolher Leste dos EUA (Norte da Virgínia) como região da AWS .

É possível alterar seu certificado usando a API ou o console do Amazon Cognito.

------
#### [ Console de gerenciamento da AWS ]

**Para renovar um certificado no console do Amazon Cognito:**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Cognito em. [https://console.aws.amazon.com/cognito/home](https://console.aws.amazon.com/cognito/home)

1. Escolha **User Pools** (Grupos de usuários).

1. Escolha o grupo de usuários para o qual deseja atualizar o certificado.

1. Clique no menu **Domínio**.

1. Escolha **Actions** (Ações), **Edit ACM certificate** (Editar certificado do ACM).

1. Selecione o novo certificado que deseja associar ao seu domínio personalizado.

1. Escolha **Salvar alterações**.

------
#### [ API ]

**Para renovar um certificado (API do Amazon Cognito)**
+ Use a ação [UpdateUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPoolDomain.html).

------