Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

E-Mail-Einstellungen für Amazon-Cognito-Benutzerpools

PDF
Fokusmodus
E-Mail-Einstellungen für Amazon-Cognito-Benutzerpools - Amazon Cognito
Standard-E-Mail-KonfigurationE-Mail-Konfiguration von Amazon SESKonfigurieren des E-Mail-Kontos

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bestimmte Ereignisse in Ihrer Anwendung können dazu führen, dass Amazon Cognito Ihren Benutzern E-Mails sendet. Wenn Sie beispielsweise Ihren Benutzerpool so konfigurieren, dass eine E-Mail-Verifizierung erforderlich ist, erhält der Benutzer eine E-Mail von Amazon Cognito, wenn er in Ihrer App ein neues Konto für sich anmeldet oder sein Passwort zurücksetzt. Abhängig von der Aktion, die die E-Mail initiiert, enthält die E-Mail einen Verifizierungscode oder ein temporäres Passwort.

Für die E-Mail-Zustellung können Sie eine der folgenden Optionen verwenden:

Sie können Ihre Zustelloption ändern, nachdem Sie Ihren Benutzerpool erstellt haben.

Amazon Cognito sendet Ihren Benutzern E-Mail-Nachrichten entweder mit einem Code, den sie eingeben können, oder mit einem URL-Link, den sie auswählen können. Die folgende Tabelle zeigt die Ereignisse, die eine E-Mail-Nachricht generieren können.

Nachrichtenoptionen

Aktivität API-Operation Zustelloptionen Formatierungsoptionen Anpassbar Nachrichtenvorlage
Passwort vergessen ForgotPassword, AdminResetUserPassword E-Mail, SMS Code Nein N/A
Einladung AdminCreateUser E-Mail, SMS Code Ja Einladungsnachricht
Selbstregistrierung SignUp, ResendConfirmationCode E-Mail, SMS Code, Link Ja Bestätigungsnachricht
Bestätigung der E-Mail-Adresse oder Telefonnummer UpdateUserAttributes, AdminUpdateUserAttributes, GetUserAttributeVerificationCode E-Mail, SMS Code Ja Bestätigungsnachricht
Multi-Faktor-Authentifizierung (MFA) AdminInitiateAuth, InitiateAuth E-Mail¹, SMS, Authentifizierungs-App Code Ja² MFA-Nachricht

¹ Erfordert erweiterte Sicherheitsfunktionen und eine Amazon SES SES-E-Mail-Konfiguration.

² Für SMS- und E-Mail-Nachrichten.

Amazon SES berechnet Gebühren für E-Mail-Nachrichten. Weitere Informationen finden Sie unter Amazon SES – Preise.

Weitere Informationen zu E-Mail-MFA finden Sie unter SMS- und E-Mail-Nachricht MFA.

Standard-E-Mail-Konfiguration

Amazon Cognito kann seine Standard-E-Mail-Konfiguration verwenden, um E-Mail-Lieferungen für Sie abzuwickeln. Mit der Standardoption begrenzt Amazon Cognito die Anzahl der pro Tag zugestellten E-Mails an Ihren Benutzerpool. Weitere Informationen zu Service Limits finden Sie unter Kontingente in Amazon Cognito. In den meisten Produktionsumgebungen liegt das Limit der Standard-E-Mail-Funktionalität unter dem erforderlichen Zustellungsvolumen. Wenn Sie das Zustellungsvolumen erhöhen möchten, können Sie Ihre E-Mail-Konfiguration von Amazon SES verwenden.

Wenn Sie die Standardkonfiguration verwenden, verwenden Sie Amazon SES SES-Ressourcen, die von verwaltet werden, AWS um E-Mail-Nachrichten zu senden. Amazon SES fügt E-Mail-Adressen hinzu, die permanente Unzustellbarkeit an eine Unterdrückungsliste auf Kontoebene oder eine globale Unterdrückungsliste zurückgeben. Wenn eine E-Mail-Adresse, die nicht zugestellt werden kann, später zustellbar wird, können Sie nicht kontrollieren, ob sie aus der Unterdrückungsliste entfernt wird, solange Ihr Benutzerpool so konfiguriert ist, dass er die Standardkonfiguration verwendet. Eine E-Mail-Adresse kann auf unbestimmte Zeit auf der Liste mit AWS verwalteter Sperrung verbleiben. Verwenden Sie zum Verwalten nicht zustellbarer E-Mail-Adressen Ihre Amazon-SES-E-Mail-Konfiguration mit einer Unterdrückungsliste auf Kontoebene, wie im nächsten Abschnitt beschrieben.

Wenn Sie die Standard-E-Mail-Konfiguration verwenden, können Sie als Absenderadresse eine der folgenden E-Mail-Adressen verwenden:

  • Die Standard-E-Mail-Adresse no-reply@verificationemail.com.

  • Eine benutzerdefinierte E-Mail-Adresse. Bevor Sie Ihre eigene E-Mail-Adresse verwenden können, müssen Sie sie mit Amazon SES verifizieren und Amazon Cognito die Berechtigung zur Verwendung dieser Adresse erteilen.

E-Mail-Konfiguration von Amazon SES

Ihre Anwendung erfordert möglicherweise ein höheres Zustellungsvolumen als es die Standardoption zulässt. Um das zulässige Zustellungsvolumen zu erhöhen, verwenden Sie Ihre Amazon SES-Ressourcen mit Ihrem Benutzerpool, um Ihren Benutzern eine E-Mail zu senden. Sie können auch Ihre E-Mail-Versandaktivitäten überwachen, wenn Sie E-Mail-Nachrichten mit Ihrer eigenen Amazon-SES-Konfiguration senden.

Bevor Sie Ihre Konfiguration für Amazon SES verwenden können, müssen Sie eine oder mehrere E-Mail-Adressen oder eine Domäne mit Amazon SES verifizieren. Verwenden Sie als Absender eine verifizierte E-Mail-Adresse oder eine Adresse aus einer verifizierten Domäne, die Sie Ihrem Benutzerpool zuweisen. Wenn Amazon Cognito E-Mails an einen Benutzer sendet, ruft es Amazon SES für Sie auf und verwendet Ihre E-Mail-Adresse.

Wenn Sie Ihre Amazon-SES-Konfiguration verwenden, gelten die folgenden Bedingungen:

  • Das E-Mail-Zustellungslimit für Ihren Benutzerpool entspricht dem Zustellungslimit Ihrer Amazon-SES-verifizierten E-Mail-Adresse in Ihrem AWS-Konto.

  • Sie können Ihre Nachrichten an nicht zustellbare E-Mail-Adressen mit einer Unterdrückungsliste auf Kontoebene in Amazon SES verwalten, die die globale Unterdrückungsliste außer Kraft setzt. Wenn Sie eine Unterdrückungsliste auf Kontoebene verwenden, wirkt sich die Unzustellbarkeit von E-Mail-Nachrichten auf die Reputation Ihres Kontos als Absender aus. Weitere Informationen finden Sie unter Verwenden der Unterdrückungsliste auf Kontoebene im Entwicklerhandbuch für Amazon Simple Email Service.

Regionen für die E-Mail-Konfiguration von Amazon SES

Für den AWS-Region Ort, an dem Sie einen Benutzerpool erstellen, gilt eine von drei Anforderungen für die Konfiguration von E-Mail-Nachrichten mit Amazon SES. Sie können E-Mail-Nachrichten von Amazon SES in derselben Region wie Ihr Benutzerpool, in mehreren Regionen, einschließlich derselben Region, oder in einer oder mehreren abgelegenen Regionen senden. Um eine optimale Leistung zu erzielen, senden Sie E-Mail-Nachrichten mit einer von Amazon SES verifizierten Identität in derselben Region wie Ihr Benutzerpool, sofern Sie die Möglichkeit dazu haben.

Kategorien von regionalen Anforderungen für von Amazon SES verifizierte Identitäten
Nur in der Region

Ihre Benutzerpools können genauso AWS-Region wie der Benutzerpool E-Mail-Nachrichten mit verifizierten Identitäten senden. In der Standard-E-Mail-Konfiguration ohne benutzerdefinierte FROM E-Mail-Adresse verwendet Amazon Cognito eine no-reply@verificationemail.com verifizierte Identität in derselben Region.

Abwärtskompatibel

Ihre Benutzerpools können E-Mail-Nachrichten mit verifizierten Identitäten in derselben AWS-Region oder in einer der folgenden alternativen Regionen senden:

  • USA Ost (Nord-Virginia)

  • USA West (Oregon)

  • Europa (Irland)

Diese Funktion unterstützt die Kontinuität von Benutzerpool-Ressourcen, die Sie möglicherweise erstellt haben, um den Anforderungen von Amazon Cognito zu entsprechen, als der Service gestartet wurde. Benutzerpools aus diesem Zeitraum konnten nur E-Mail-Nachrichten mit verifizierten Identitäten in einer begrenzten Anzahl von versenden. AWS-Regionen In der Standard-E-Mail-Konfiguration ohne benutzerdefinierte FROM E-Mail-Adresse verwendet Amazon Cognito eine no-reply@verificationemail.com verifizierte Identität in derselben Region.

Alternative Region

Ihre Benutzerpools können E-Mail-Nachrichten mit verifizierten Identitäten in einer Alternative versenden AWS-Region , die sich außerhalb der Benutzerpoolregion befindet. Diese Konfiguration tritt auf, wenn Amazon SES in einer Region, in der Amazon Cognito verfügbar ist, nicht verfügbar ist.

Die Amazon SES SES-Versandautorisierungsrichtlinie für Ihre verifizierte Identität in der alternativen Region muss dem Amazon Cognito-Service Principal der Ursprungsregion vertrauen. Weitere Informationen finden Sie unter So gewähren Sie Berechtigungen zur Verwendung der Standard-E-Mail-Konfiguration.

In einigen dieser Regionen teilt Amazon Cognito E-Mail-Nachrichten für die Standard-E-Mail-Konfiguration von auf zwei alternative Regionen auf. COGNITO_DEFAULT In diesen Fällen muss die Amazon SES-Versandautorisierungsrichtlinie für Ihre verifizierte Identität in jeder alternativen Region dem Amazon Cognito-Service Principal der Ursprungsregion vertrauen, um eine benutzerdefinierte FROM E-Mail-Adresse verwenden zu können. Weitere Informationen finden Sie unter So gewähren Sie Berechtigungen zur Verwendung der Standard-E-Mail-Konfiguration. Wenn die Amazon SES SES-E-Mail-Konfiguration DEVELOPER in diesen Regionen aktiviert ist, müssen Sie eine verifizierte Identität in der ersten aufgelisteten Region verwenden und diese so konfigurieren, dass sie dem Amazon Cognito-Service Principal in der Benutzerpool-Region vertraut. Konfigurieren Sie beispielsweise in einem Benutzerpool im Mittleren Osten (VAE) eine verifizierte Identität in Europa (Frankfurt), die als vertrauenswürdig cognito-idp.me-central-1.amazonaws.com eingestuft wird. In der Standard-E-Mail-Konfiguration ohne benutzerdefinierte FROM E-Mail-Adresse verwendet Amazon Cognito in jeder Region eine no-reply@verificationemail.com verifizierte Identität.

Anmerkung

Unter der folgenden Kombination von Bedingungen müssen Sie den SourceArn Parameter von EmailConfigurationmit einem Platzhalter im Element Region im Format angeben. arn:${Partition}:ses:*:${Account}:identity/${IdentityName} Auf diese Weise kann Ihr Benutzerpool in beiden Fällen E-Mail-Nachrichten mit identischen verifizierten AWS-Konto Identitäten versenden. AWS-Regionen

  • Dein EmailSendingAccount istCOGNITO_DEFAULT.

  • Sie möchten eine benutzerdefinierte FROM Adresse verwenden.

  • Ihr Benutzerpool versendet E-Mails in einer alternativen Region.

  • Ihr Benutzerpool hat eine zweite 1alternative Region, die in der folgenden Tabelle der von Amazon SES unterstützten Regionen angegeben ist.

Wenn Sie einen Benutzerpool programmgesteuert erstellen — mit einem AWS SDK, der Amazon Cognito Cognito-API oder CLI AWS CDK, dem oder AWS CloudFormation— sendet Ihr Benutzerpool E-Mail-Nachrichten mit der Amazon SES SES-Identität, die der SourceArn Parameter von für Ihren Benutzerpool angibt. EmailConfiguration Die Amazon SES SES-Identität muss einen unterstützten Wert haben AWS-Region. Wenn Ihre EmailSendingAccount COGNITO_DEFAULT ist und Sie keinen SourceArn-Parameter angeben, sendet Amazon Cognito mit den Ressourcen in der Region, in der Sie Ihren Benutzerpool erstellt haben, E-Mail-Nachrichten von no-reply@verificationemail.com.

Die folgende Tabelle zeigt, AWS-Regionen wo Sie Amazon SES SES-Identitäten mit Amazon Cognito verwenden können.

Region des Benutzerpools Option Region Von Amazon SES unterstützte Regionen

USA Ost (Nord-Virginia)

Abwärtskompatibel

USA West (Oregon), USA Ost (Nord-Virginia), Europa (Irland)

USA Ost (Ohio)

Abwärtskompatibel

USA Ost (Ohio), USA Ost (Nord-Virginia), USA West (Oregon), Europa (Irland)

USA West (Nordkalifornien)

Nur in der Region

USA West (Nordkalifornien)

USA West (Oregon)

Abwärtskompatibel

USA West (Oregon), USA Ost (Nord-Virginia), Europa (Irland)

Kanada (Zentral)

Abwärtskompatibel

Kanada (Zentral), USA Ost (Nord-Virginia), USA West (Oregon), Europa (Irland)

Kanada West (Calgary)

Alternative Region

Kanada (Zentral), USA West (Nordkalifornien) 1

Asien-Pazifik (Tokio)

Abwärtskompatibel

Asien-Pazifik (Tokio), USA West (Oregon), USA Ost (Nord-Virginia), Europa (Irland)

Asien-Pazifik (Hongkong)

Alternative Region

Asien-Pazifik (Singapur), Asien-Pazifik (Tokio) 1

Asien-Pazifik (Seoul)

Abwärtskompatibel

Asien-Pazifik (Tokio), USA Ost (Nord-Virginia), USA West (Oregon), Europa (Irland)
Asien-Pazifik (Malaysia) Alternative Region Asien-Pazifik (Sydney), Asien-Pazifik (Singapur) 1

Asien-Pazifik (Mumbai)

Abwärtskompatibel

Asien-Pazifik (Mumbai), USA Ost (Nord-Virginia), USA West (Oregon), Europa (Irland)

Asien-Pazifik (Hyderabad)

Alternative Region

Asien-Pazifik (Mumbai), Asien-Pazifik (Singapur) 1

Asien-Pazifik (Singapur)

Abwärtskompatibel

Asien-Pazifik (Singapur), USA Ost (Nord-Virginia), USA West (Oregon), Europa (Irland)

Asien-Pazifik (Sydney)

Abwärtskompatibel

Asien-Pazifik (Sydney), USA Ost (Nord-Virginia), USA West (Oregon), Europa (Irland)

Asien-Pazifik (Osaka)

Nur in der Region

Asien-Pazifik (Osaka)

Asien-Pazifik (Jakarta)

Nur in der Region

Asien-Pazifik (Jakarta)

Asien-Pazifik (Melbourne)

Alternative Region

Asien-Pazifik (Sydney), Asien-Pazifik (Singapur) 1

Europa (Irland)

Abwärtskompatibel

USA West (Oregon), USA Ost (Nord-Virginia), Europa (Irland)

Europa (London)

Abwärtskompatibel

Europa (London), USA Ost (Nord-Virginia), USA West (Oregon), Europa (Irland)

Europa (Paris)

Nur in der Region

Europa (Paris)

Europa (Frankfurt)

Abwärtskompatibel

Europa (Frankfurt), USA Ost (Nord-Virginia), USA West (Oregon), Europa (Irland)

Europa (Zürich)

Alternative Region

Europa (Frankfurt), Europa (London) 1

Europa (Stockholm)

Nur in der Region

Europa (Stockholm)
Europa (Milan)

Nur in der Region

 Europa (Milan)
Europa (Spain)

Alternative Region

 Europa (Paris), Europa (Stockholm) 1

Naher Osten (Bahrain)

Nur in der Region

Naher Osten (Bahrain)

Naher Osten (VAE)

Alternative Region

Europa (Frankfurt), Europa (London) 1

Südamerika (São Paulo)

Nur in der Region

Südamerika (São Paulo)

Israel (Tel Aviv)

Nur in der Region

Israel (Tel Aviv)

Afrika (Kapstadt)

Nur in der Region

Afrika (Kapstadt)

1 Wird in Benutzerpools mit der Standard-E-Mail-Konfiguration verwendet. Amazon Cognito verteilt E-Mail-Nachrichten an verifizierte Identitäten mit derselben E-Mail-Adresse in jeder Region. Um eine benutzerdefinierte FROM Adresse zu verwenden, konfigurieren Sie sie EmailConfiguration mit einem SourceArn Parameter im Format. arn:${Partition}:ses:*:${Account}:identity/${IdentityName}

Konfigurieren von E-Mail-Einstellungen für Ihren Benutzerpool

Führen Sie die folgenden Schritte aus, um die E-Mail-Einstellungen für Ihren Benutzerpool zu konfigurieren. Abhängig von den Einstellungen, die Sie verwenden, benötigen Sie möglicherweise IAM-Berechtigungen in Amazon SES, AWS Identity and Access Management (IAM) und Amazon Cognito.

Anmerkung

Sie können die Ressourcen, die Sie in den Schritten in AWS-Konten erstellen, nicht teilen. Sie können beispielsweise keinen Benutzerpool in einem Konto konfigurieren und ihn dann mit einer E-Mail-Adresse für Amazon SES in einem anderen Konto verwenden. Wenn Sie Amazon Cognito in mehreren Konten verwenden, müssen Sie diese Schritte für jedes Konto wiederholen.

Schritt 1: Verifizieren Ihrer E-Mail-Adresse oder Domäne mit Amazon SES

Bevor Sie Ihren Benutzerpool konfigurieren, müssen Sie in folgenden Fällen eine oder mehrere Domänen oder E-Mail-Adressen mit Amazon SES verifizieren:

  • Sie möchten Ihre eigene E-Mail-Adresse als Absenderadresse verwenden

  • Sie möchten für die E-Mail-Zustellung Ihre Amazon-SES-Konfiguration verwenden

Durch Verifizierung Ihrer E-Mail-Adresse oder Domäne bestätigen Sie, dass diese Ihnen gehört, und verhindern somit eine unbefugte Nutzung.

Informationen zum Verifizieren einer E-Mail-Adresse mit Amazon SES finden Sie unter Verifizieren einer E-Mail-Adresse im Entwicklerhandbuch zu Amazon Simple Email Service. Weitere Informationen zum Verifizieren einer Domäne mit Amazon SES finden Sie unter Verifying domains (Domänen verifizieren).

Schritt 2: Verschieben Ihres Kontos aus der Amazon-SES-Sandbox

Lassen Sie diesen Schritt aus, wenn Sie die standardmäßige E-Mail-Konfiguration von Amazon Cognito verwenden.

Wenn Sie Amazon SES zum ersten Mal in einer beliebigen Region verwenden AWS-Region, wird Ihr System AWS-Konto in der Amazon SES SES-Sandbox für diese Region platziert. Amazon SES verwendet die Sandbox zur Betrugs- und Missbrauchsbekämpfung. Wenn die Amazon-SES-Konfiguration Ihre E-Mail-Zustellung übernimmt, müssen Sie Ihr AWS-Konto aus der Sandbox verschieben. Erst dann kann Amazon Cognito E-Mails an Ihre Benutzer senden.

In der Sandbox werden die Anzahl der E-Mails, die Sie versenden können, sowie die Empfängeradressen durch Amazon SES beschränkt. Sie können E-Mails nur an Adressen und Domänen senden, die Sie mit Amazon SES verifiziert haben, oder an Adressen, die dem Amazon-SES-Postfachsimulator zugeordnet sind. Solange Sie in der Sandbox AWS-Konto bleiben, sollten Sie Ihre Amazon SES SES-Konfiguration nicht für Anwendungen verwenden, die sich in der Produktion befinden. Ansonsten könnte Amazon Cognito keine Nachrichten an die E-Mail-Adressen Ihrer Benutzer senden.

Informationen zum Entfernen AWS-Konto aus der Sandbox finden Sie unter Verlassen der Amazon SES SES-Sandbox im Amazon Simple Email Service Developer Guide.

Schritt 3: Erteilen von Berechtigungen für den E-Mail-Versand an Amazon Cognito

Möglicherweise müssen Sie Amazon Cognito bestimmte Berechtigungen erteilen, bevor es Ihren Benutzern E-Mails senden kann. Die Berechtigungen, die Sie gewähren, und das Verfahren, mit dem Sie sie gewähren, hängen davon ab, ob Sie die Standard-E-Mail-Konfiguration oder Ihre Amazon SES SES-Konfiguration verwenden.

Führen Sie diesen Schritt nur aus, wenn Sie Ihren Benutzerpool auf E-Mail mit Cognito senden konfiguriert oder EmailSendingAccount auf COGNITO_DEFAULT eingestellt haben.

Mit der Standard-E-Mail-Konfiguration kann Ihr Benutzerpool E-Mail-Nachrichten mit einer der folgenden Adressen senden.

  • Die Standardadresseno-reply@verificationemail.com.

  • Eine benutzerdefinierte Absenderadresse von Ihren verifizierten E-Mail-Adressen oder Domains in Amazon SES.

Wenn Sie eine benutzerdefinierte Adresse verwenden, benötigt Amazon Cognito zusätzliche Berechtigungen, um Benutzern von dieser Adresse aus E-Mails zu senden. Diese Berechtigungen werden durch eine Versandautorisierungsrichtlinie für die Adresse oder Domain in Amazon SES gewährt. Wenn Sie die Amazon-Cognito-Konsole verwenden, um eine benutzerdefinierte Adresse zu Ihrem Benutzerpool hinzuzufügen, wird die Richtlinie automatisch an die mit Amazon SES verifizierte E-Mail-Adresse angehängt. Wenn Sie Ihren Benutzerpool jedoch außerhalb der Konsole konfigurieren, z. B. mithilfe der AWS CLI oder der Amazon Cognito Cognito-API, müssen Sie die Richtlinie über die Amazon SES SES-Konsole oder die PutIdentityPolicyAPI anhängen.

Anmerkung

Sie können eine Absenderadresse in einer verifizierten Domäne nur mit der AWS CLI oder der Amazon-Cognito-API konfigurieren.

Eine Versandautorisierungsrichtlinie ermöglicht oder verweigert den Zugriff basierend auf den Kontoressourcen, die Amazon Cognito zum Aufrufen von Amazon SES verwenden. Weitere Informationen zu ressourcenbasierten Richtlinien finden Sie im IAM-Benutzerhandbuch. Beispiele für ressourcenbasierte Richtlinien finden Sie auch im Entwicklerhandbuch zu Amazon SES.

Beispiel Sendeautorisierungsrichtlinie

Das folgende Beispiel für eine Sendeautorisierungsrichtlinie gewährt Amazon Cognito die eingeschränkte Möglichkeit, eine von Amazon SES verifizierte Identität zu verwenden. Amazon Cognito kann nur dann E-Mail-Nachrichten senden, wenn es diese Funktion für den Benutzerpool in der aws:SourceArn-Bedingung als auch für das Konto in der aws:SourceAccount-Bedingung übernimmt.

Regions with Amazon SES

Ihre Versandautorisierungsrichtlinie in der Benutzerpool-Region oder alternativen Region muss dem Amazon Cognito-Service Principal das Senden von E-Mail-Nachrichten ermöglichen. Weitere Informationen finden Sie in der Tabelle mit den Regionen. Wenn Ihre Benutzerpool-Region mindestens einem Wert in der Amazon SES SES-Region entspricht, konfigurieren Sie im folgenden Beispiel Ihre Versandautorisierungsrichtlinie mit dem Global Service Principal.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "stmnt1234567891234",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "email.cognito-idp.amazonaws.com"
                ]
            },
            "Action": [
                "SES:SendEmail",
                "SES:SendRawEmail"
            ],
            "Resource": "<your SES identity ARN>",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<your account number>"
                },
                "ArnLike": {
                    "aws:SourceArn": "<your user pool ARN>"
                }
            }
        }
    ]
}
Opt-in Regions without Amazon SES

Amazon SES ist nicht in allen Opt-ins verfügbar, in AWS-Regionen denen Amazon Cognito verfügbar ist. Der Nahe Osten (VAE) ist ein Beispiel. Dort können nur E-Mails mit verifizierten Identitäten in Europa (Frankfurt) () versendet werden. eu-central-1 In Benutzerpools mit der Standard-E-Mail-Konfiguration sendet Amazon Cognito auch E-Mail-Nachrichten mit einer verifizierten Identität in jeder von zwei Regionen. Im Fall des Nahen Ostens (VAE) ist die zusätzliche Region Europa (London). Sie müssen die Richtlinien zur Versandautorisierung in beiden Regionen aktualisieren.

Ihre Richtlinien zur Sendeautorisierung in jeder der alternativen Regionen müssen dem Amazon Cognito-Service Principal in der Benutzerpool-Opt-in-Region das Senden von E-Mail-Nachrichten gestatten. Weitere Informationen finden Sie in der Tabelle mit den Regionen. Wenn Ihre Region als Alternative Region markiert ist, konfigurieren Sie Ihre Richtlinien zur Versandautorisierung mit dem regionalen Service Principal wie im folgenden Beispiel. Ersetzen Sie die me-central-1 Beispiel-Regionskennung nach Bedarf durch die erforderliche Regions-ID.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cognito-idp.me-central-1.amazonaws.com"
                ]
            },
            "Action": [
                "SES:SendEmail",
                "SES:SendRawEmail"
            ],
            "Resource": "<your SES identity ARN>",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<your account number>"
                },
                "ArnLike": {
                    "aws:SourceArn": "<your user pool ARN>"
                }
            }
        }
    ]
}

Weitere Informationen zur Richtliniensyntax finden Sie unter Amazon-SES-Sendeautorisierungsrichtlinien im Entwicklerhandbuch für Amazon Simple Email Service.

Weitere Beispiele finden Sie unter Beispiele von Amazon-SES-Sendeautorisierungsrichtlinien im Entwicklerhandbuch für Amazon Simple Email Service.

Führen Sie diesen Schritt nur aus, wenn Sie Ihren Benutzerpool auf E-Mail mit Cognito senden konfiguriert oder EmailSendingAccount auf COGNITO_DEFAULT eingestellt haben.

Mit der Standard-E-Mail-Konfiguration kann Ihr Benutzerpool E-Mail-Nachrichten mit einer der folgenden Adressen senden.

  • Die Standardadresseno-reply@verificationemail.com.

  • Eine benutzerdefinierte Absenderadresse von Ihren verifizierten E-Mail-Adressen oder Domains in Amazon SES.

Wenn Sie eine benutzerdefinierte Adresse verwenden, benötigt Amazon Cognito zusätzliche Berechtigungen, um Benutzern von dieser Adresse aus E-Mails zu senden. Diese Berechtigungen werden durch eine Versandautorisierungsrichtlinie für die Adresse oder Domain in Amazon SES gewährt. Wenn Sie die Amazon-Cognito-Konsole verwenden, um eine benutzerdefinierte Adresse zu Ihrem Benutzerpool hinzuzufügen, wird die Richtlinie automatisch an die mit Amazon SES verifizierte E-Mail-Adresse angehängt. Wenn Sie Ihren Benutzerpool jedoch außerhalb der Konsole konfigurieren, z. B. mithilfe der AWS CLI oder der Amazon Cognito Cognito-API, müssen Sie die Richtlinie über die Amazon SES SES-Konsole oder die PutIdentityPolicyAPI anhängen.

Anmerkung

Sie können eine Absenderadresse in einer verifizierten Domäne nur mit der AWS CLI oder der Amazon-Cognito-API konfigurieren.

Eine Versandautorisierungsrichtlinie ermöglicht oder verweigert den Zugriff basierend auf den Kontoressourcen, die Amazon Cognito zum Aufrufen von Amazon SES verwenden. Weitere Informationen zu ressourcenbasierten Richtlinien finden Sie im IAM-Benutzerhandbuch. Beispiele für ressourcenbasierte Richtlinien finden Sie auch im Entwicklerhandbuch zu Amazon SES.

Beispiel Sendeautorisierungsrichtlinie

Das folgende Beispiel für eine Sendeautorisierungsrichtlinie gewährt Amazon Cognito die eingeschränkte Möglichkeit, eine von Amazon SES verifizierte Identität zu verwenden. Amazon Cognito kann nur dann E-Mail-Nachrichten senden, wenn es diese Funktion für den Benutzerpool in der aws:SourceArn-Bedingung als auch für das Konto in der aws:SourceAccount-Bedingung übernimmt.

Regions with Amazon SES

Ihre Versandautorisierungsrichtlinie in der Benutzerpool-Region oder alternativen Region muss dem Amazon Cognito-Service Principal das Senden von E-Mail-Nachrichten ermöglichen. Weitere Informationen finden Sie in der Tabelle mit den Regionen. Wenn Ihre Benutzerpool-Region mindestens einem Wert in der Amazon SES SES-Region entspricht, konfigurieren Sie im folgenden Beispiel Ihre Versandautorisierungsrichtlinie mit dem Global Service Principal.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "stmnt1234567891234",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "email.cognito-idp.amazonaws.com"
                ]
            },
            "Action": [
                "SES:SendEmail",
                "SES:SendRawEmail"
            ],
            "Resource": "<your SES identity ARN>",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<your account number>"
                },
                "ArnLike": {
                    "aws:SourceArn": "<your user pool ARN>"
                }
            }
        }
    ]
}
Opt-in Regions without Amazon SES

Amazon SES ist nicht in allen Opt-ins verfügbar, in AWS-Regionen denen Amazon Cognito verfügbar ist. Der Nahe Osten (VAE) ist ein Beispiel. Dort können nur E-Mails mit verifizierten Identitäten in Europa (Frankfurt) () versendet werden. eu-central-1 In Benutzerpools mit der Standard-E-Mail-Konfiguration sendet Amazon Cognito auch E-Mail-Nachrichten mit einer verifizierten Identität in jeder von zwei Regionen. Im Fall des Nahen Ostens (VAE) ist die zusätzliche Region Europa (London). Sie müssen die Richtlinien zur Versandautorisierung in beiden Regionen aktualisieren.

Ihre Richtlinien zur Sendeautorisierung in jeder der alternativen Regionen müssen dem Amazon Cognito-Service Principal in der Benutzerpool-Opt-in-Region das Senden von E-Mail-Nachrichten gestatten. Weitere Informationen finden Sie in der Tabelle mit den Regionen. Wenn Ihre Region als Alternative Region markiert ist, konfigurieren Sie Ihre Richtlinien zur Versandautorisierung mit dem regionalen Service Principal wie im folgenden Beispiel. Ersetzen Sie die me-central-1 Beispiel-Regionskennung nach Bedarf durch die erforderliche Regions-ID.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cognito-idp.me-central-1.amazonaws.com"
                ]
            },
            "Action": [
                "SES:SendEmail",
                "SES:SendRawEmail"
            ],
            "Resource": "<your SES identity ARN>",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<your account number>"
                },
                "ArnLike": {
                    "aws:SourceArn": "<your user pool ARN>"
                }
            }
        }
    ]
}
anchoranchor

Ihre Versandautorisierungsrichtlinie in der Benutzerpool-Region oder alternativen Region muss dem Amazon Cognito-Service Principal das Senden von E-Mail-Nachrichten ermöglichen. Weitere Informationen finden Sie in der Tabelle mit den Regionen. Wenn Ihre Benutzerpool-Region mindestens einem Wert in der Amazon SES SES-Region entspricht, konfigurieren Sie im folgenden Beispiel Ihre Versandautorisierungsrichtlinie mit dem Global Service Principal.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "stmnt1234567891234",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "email.cognito-idp.amazonaws.com"
                ]
            },
            "Action": [
                "SES:SendEmail",
                "SES:SendRawEmail"
            ],
            "Resource": "<your SES identity ARN>",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<your account number>"
                },
                "ArnLike": {
                    "aws:SourceArn": "<your user pool ARN>"
                }
            }
        }
    ]
}

Weitere Informationen zur Richtliniensyntax finden Sie unter Amazon-SES-Sendeautorisierungsrichtlinien im Entwicklerhandbuch für Amazon Simple Email Service.

Weitere Beispiele finden Sie unter Beispiele von Amazon-SES-Sendeautorisierungsrichtlinien im Entwicklerhandbuch für Amazon Simple Email Service.

Wenn Sie Ihren Benutzerpool so konfigurieren, dass Ihre Amazon-SES-Konfiguration verwendet wird, benötigt Amazon Cognito eine zusätzliche Berechtigung, um in Ihrem Namen Amazon SES aufzurufen und E-Mails an Ihre Benutzer zu senden. Diese Autorisierung mit dem IAM-Service erteilt.

Wenn Sie Ihren Benutzerpool mit dieser Option konfigurieren, erstellt Amazon Cognito eine serviceverknüpfte Rolle. Dabei handelt es sich um eine Art der IAM-Rolle in Ihrem AWS-Konto. Diese Rolle enthält die Berechtigungen, mit denen Amazon Cognito auf Amazon SES zugreifen und E-Mails mit Ihrer Adresse senden kann.

Amazon Cognito erstellt Ihre serviceverknüpfte Rolle mit den AWS Anmeldeinformationen der Benutzersitzung, die die Konfiguration festlegt. Die IAM-Berechtigungen dieser Sitzung müssen die iam:CreateServiceLinkedRole-Aktion enthalten. Weitere Informationen zu Berechtigungen in IAM finden Sie unter Zugriffsverwaltung für AWS Ressourcen im IAM-Benutzerhandbuch.

Weitere Informationen zur serviceverknüpften Rolle, die Amazon Cognito erstellt, finden Sie unter Verwendung von serviceverknüpften Rollen für Amazon Cognito.

Wenn Sie Ihren Benutzerpool so konfigurieren, dass Ihre Amazon-SES-Konfiguration verwendet wird, benötigt Amazon Cognito eine zusätzliche Berechtigung, um in Ihrem Namen Amazon SES aufzurufen und E-Mails an Ihre Benutzer zu senden. Diese Autorisierung mit dem IAM-Service erteilt.

Wenn Sie Ihren Benutzerpool mit dieser Option konfigurieren, erstellt Amazon Cognito eine serviceverknüpfte Rolle. Dabei handelt es sich um eine Art der IAM-Rolle in Ihrem AWS-Konto. Diese Rolle enthält die Berechtigungen, mit denen Amazon Cognito auf Amazon SES zugreifen und E-Mails mit Ihrer Adresse senden kann.

Amazon Cognito erstellt Ihre serviceverknüpfte Rolle mit den AWS Anmeldeinformationen der Benutzersitzung, die die Konfiguration festlegt. Die IAM-Berechtigungen dieser Sitzung müssen die iam:CreateServiceLinkedRole-Aktion enthalten. Weitere Informationen zu Berechtigungen in IAM finden Sie unter Zugriffsverwaltung für AWS Ressourcen im IAM-Benutzerhandbuch.

Weitere Informationen zur serviceverknüpften Rolle, die Amazon Cognito erstellt, finden Sie unter Verwendung von serviceverknüpften Rollen für Amazon Cognito.

Schritt 4: Konfigurieren des Benutzerpools

Führen Sie die folgenden Schritte aus, wenn Sie Ihren Benutzerpool folgendermaßen konfigurieren möchten:

  • Mit einer benutzerdefinierten Absenderadresse, die als solche angezeigt wird

  • Mit einer benutzerdefinierten Antwortadresse, bei der die Nachrichten eingehen, die Ihre Benutzer an die Absenderadresse senden

  • Ihre Amazon-SES-Konfiguration

Anmerkung

Wenn es sich bei Ihrer verifizierten Identität um eine E-Mail-Adresse handelt, legt Amazon Cognito diese E-Mail-Adresse standardmäßig als Absender- und Empfänger-E-Mail-Adresse fest. Wenn es sich bei Ihrer verifizierten Identität jedoch um eine Domäne handelt, müssen Sie einen Wert für die FROM-E-Mail-Adresse angeben.

Lassen Sie dieses Verfahren aus, wenn Sie die standardmäßige E-Mail-Konfiguration und -Adresse von Amazon Cognito verwenden möchten.

So konfigurieren Sie den Benutzerpool für die Verwendung einer benutzerdefinierten E-Mail-Adresse

  1. Melden Sie sich bei der Amazon-Cognito-Konsole an. Wenn Sie dazu aufgefordert werden, geben Sie Ihre AWS Anmeldedaten ein.

  2. Wählen Sie User Pools (Benutzerpools) aus.

  3. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus.

  4. Wählen Sie das Menü Authentifizierungsmethoden, suchen Sie nach E-Mail-Konfiguration und wählen Sie Bearbeiten.

  5. Wählen Sie auf der Seite Edit email configuration (E-Mail-Konfiguration bearbeiten) Send email from Amazon SES (E-Mail von Amazon SES senden) oder Send email with Amazon Cognito (E-Mail mit Amazon Cognito senden) aus. Sie können die SES-Region, das Konfigurations-Set und den Absendernamen nur anpassen, wenn Sie Send email from Amazon SES (E-Mail von Amazon SES senden) auswählen.

  6. Zum Verwenden einer benutzerdefinierten Absenderadresse folgende Schritte ausführen:

    1. Wählen Sie unter SES-Region die Region mit Ihrer verifizierten E-Mail-Adresse aus.

    2. Wählen Sie unter FROM email address (Absenderadresse) Ihre E-Mail-Adresse aus. Verwenden Sie eine E-Mail-Adresse, die mit Amazon SES verifiziert wurde.

    3. (Optional) Wählen Sie unter Configuration set (Konfigurations-Set) ein Konfigurations-Set für die Verwendung mit Amazon SES aus. Wenn Sie diese Änderung vornehmen und speichern, wird eine serviceverknüpfte Rolle erstellt.

    4. (Optional) Geben Sie unter FROM sender address (Absenderadresse) eine E-Mail-Adresse ein. Sie können nur eine E-Mail-Adresse oder eine E-Mail-Adresse und einen Namen in folgendem Format angeben: Jane Doe <janedoe@example.com>.

    5. (Optional) Geben Sie unter REPLY-TO email address (Empfänger-E-Mail-Adresse) die E-Mail-Adresse ein, an die Sie Nachrichten erhalten möchten, die Benutzer an Ihre Absenderadresse senden.

  7. Wählen Sie Save Changes.

Verwandte Themen

Auf dieser Seite

Related resources

Amazon Cognito-Benutzerpools API-Referenz
AWS CLI Befehle für Amazon Cognito-Benutzerpools
SDKs und Werkzeuge 

Related resources

Amazon Cognito-Benutzerpools API-Referenz
AWS CLI Befehle für Amazon Cognito-Benutzerpools
SDKs und Werkzeuge 
DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.