Cognitoドメインにマネージドログインを選択するとWAFを設定できない

[ikngm]

機能リクエストは何か問題に関連していますか？背景を説明してください

下記2点を利用する場合の問題です。

・EntraIDまたはGoogle WorkSpaceとSAML連携する
・WAFを利用する

下記手順で設定するとエラーが発生します。

1. Cognitoのドメイン設定で「マネージドログイン」を選択する
2. WAFを設定する
3. Cloudformationのデプロイで WAFInvalidParameterException が発生する（エラーメッセージ Error reason: Your request in not valid., field: null, parameter: null）

原因は下記ドキュメントにあるとおりWAFv2が「マネージドログイン」に対応していないことです。

Currently, web ACL rules only apply to requests to user pool domains with the hosted UI (classic) branding version. When you set ManagedLoginVersion to 2, or your Branding version to Managed login, Amazon Cognito doesn't enforce rules on your managed login pages

https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-waf.html

エラーの解消方法としては「ホストされたUI」を利用するだけですが、上記手順でCloudformationのエラーに遭遇した場合、すぐに原因に辿り着くことができない点が問題だと感じました。

ただし、CognitoにWAFがアタッチ済みの状態でドメイン設定をする場合は、下記のように警告画面が出るため、「マネージドログイン」を選択できないことに気づくことができます。

追加 or 改善したい機能について

SAML連携手順のドキュメントに「マネージドログイン」が選択できないことを明記したいです。
Cognito画面のUIも最新化したいです。

[sugusugiaws]

詳細なご報告ありがとうございます！SAML 連携手順で Domain を作成する際に、デフォルトが Managed Login となっており、AWS WAF と連携する際にエラーが発生する原因となる点、理解できました。
デフォルトの選択肢が Managed Login である点と、エラーがわかりにくい点踏まえて、Document の修正を予定します。修正までもう少々おまちください。