SMSNachrichteneinstellungen für Amazon Cognito Cognito-Benutzerpools - Amazon Cognito

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SMSNachrichteneinstellungen für Amazon Cognito Cognito-Benutzerpools

Einige Amazon Cognito-Ereignisse für Ihren Benutzerpool können dazu führen, dass Amazon Cognito SMS Textnachrichten an Ihre Benutzer sendet. Wenn Sie Ihren Benutzerpool beispielsweise so konfigurieren, dass eine telefonische Bestätigung erforderlich ist, sendet Amazon Cognito eine SMS Textnachricht, wenn sich ein Benutzer für ein neues Konto in Ihrer App anmeldet oder sein Passwort zurücksetzt. Abhängig von der Aktion, die die SMS Textnachricht auslöst, enthält die Nachricht einen Bestätigungscode, ein temporäres Passwort oder eine Willkommensnachricht.

Amazon Cognito verwendet Amazon Simple Notification Service (AmazonSNS) für die Zustellung von SMS Textnachrichten. Wenn Sie zum ersten Mal eine Textnachricht über Amazon Cognito oder Amazon SNS senden, SNS versetzt Amazon Sie in eine Sandbox-Umgebung. In der Sandbox-Umgebung können Sie Ihre Anwendungen auf Textnachrichten testen. SMS In der Sandbox können Nachrichten nur an verifizierte Telefonnummern gesendet werden.

Amazon SNS berechnet Gebühren für SMS Textnachrichten. Weitere Informationen finden Sie unter SNSAmazon-Preise.

Anmerkung

Aufgrund des weltweiten Umfangs unerbetenen SMS Datenverkehrs errichten einige Regierungen Barrieren zwischen Absendern und Empfängern von Nachrichten. SMS Wenn Sie SMS Nachrichten für MFA und Benutzeraktualisierungen verwenden, müssen Sie zusätzliche Maßnahmen ergreifen, um sicherzustellen, dass Ihre Nachrichten zugestellt werden. Sie müssen auch die SMS-message-related Vorschriften in Ländern, in denen Ihre Benutzer möglicherweise leben, im Auge behalten und Ihre SMS Nachrichtenkonfiguration auf dem neuesten Stand halten. Weitere Informationen finden Sie unter Mobile Textnachrichten (SMS) im Amazon Simple Notification Service Developer Guide.

Die Verwendung von SMS Nachrichten zur Authentifizierung und Verifizierung von Benutzern ist keine bewährte Sicherheitsmethode. Telefonnummern können den Besitzer wechseln und stellen MFA für Ihre Benutzer möglicherweise nicht zuverlässig einen Faktor dar, den Sie haben. Implementieren Sie es stattdessen TOTP MFA in Ihrer App oder mit Ihrem Drittanbieter-IdP. Es ist auch möglich, zusätzliche benutzerdefinierte Authentifizierungsfaktoren mit Lambda-Auslöser für benutzerdefinierte Authentifizierungsaufforderungen zu erstellen.

Amazon Cognito sendet SMS Nachrichten an Ihre Benutzer mit einem Code, den sie eingeben können. Die folgende Tabelle zeigt die Ereignisse, die eine SMS Nachricht generieren können.

Nachrichtenoptionen

Aktivität APIBetrieb Zustelloptionen Formatierungsoptionen Anpassbar Nachrichtenvorlage
Passwort vergessen ForgotPassword, AdminResetUserPassword E-Mail, SMS Code Nein N/A
Einladung AdminCreateUser E-Mail, SMS Code Ja Einladungsnachricht
Selbstregistrierung SignUp, ResendConfirmationCode E-Mail, SMS Code, Link Ja Bestätigungsnachricht
Bestätigung der E-Mail-Adresse oder Telefonnummer UpdateUserAttributes, AdminUpdateUserAttributes, GetUserAttributeVerificationCode E-Mail, SMS Code Ja Bestätigungsnachricht
Multi-Faktor-Authentifizierung () MFA AdminInitiateAuth, InitiateAuth SMS, Authentifikator-App Code Ja¹ MFANachricht

¹ Für SMS Nachrichten.

Erstmaliges Einrichten von SMS Messaging in Amazon Cognito Cognito-Benutzerpools

Amazon Cognito verwendet AmazonSNS, um SMS Nachrichten an Ihre Benutzerpools zu senden. Sie können a auch verwendenLambda-Trigger mit benutzerdefiniertem SMS Absender, um Ihre eigenen Ressourcen zum Senden von SMS Nachrichten zu verwenden. Wenn Sie Amazon SNS zum ersten Mal für den Versand von SMS Textnachrichten in einer bestimmten Region einrichten AWS-Region, SNS platziert Amazon Ihre Nachrichten AWS-Konto in der SMS Sandbox für diese Region. Amazon SNS verwendet die Sandbox, um Betrug und Missbrauch zu verhindern und Compliance-Anforderungen zu erfüllen. Wenn Sie AWS-Konto sich in der Sandbox befinden, SNS legt Amazon einige Einschränkungen fest. Sie können beispielsweise Textnachrichten an maximal 10 Telefonnummern senden, die Sie bei Amazon verifiziert habenSNS. Solange Sie in der Sandbox AWS-Konto bleiben, verwenden Sie Ihre SNS Amazon-Konfiguration nicht für Anwendungen, die sich in der Produktion befinden. Wenn Sie sich in der Sandbox befinden, kann Amazon Cognito keine Nachrichten an die Telefonnummern Ihrer Benutzer senden.

Bereiten Sie eine IAM Rolle vor, die Amazon Cognito zum Senden von SMS Nachrichten mit Amazon verwenden kann SNS

Wenn Sie eine SMS Nachricht aus Ihrem Benutzerpool senden, nimmt Amazon Cognito eine IAM Rolle in Ihrem Konto ein. Amazon Cognito verwendet die dieser Rolle zugewiesene sns:Publish Berechtigung, um SMS Nachrichten an Ihre Benutzer zu senden. In der Amazon Cognito Cognito-Konsole können Sie auf der Registerkarte Messaging Ihres Benutzerpools eine IAMRollenauswahl festlegen SMSoder diese Auswahl während des Assistenten zur Erstellung des Benutzerpools treffen.

Das folgende Beispiel für IAM eine Rollenvertrauensrichtlinie gewährt Amazon Cognito Cognito-Benutzerpools eine eingeschränkte Möglichkeit, die Rolle zu übernehmen. Amazon Cognito kann die Rolle nur übernehmen, wenn es die folgenden Bedingungen erfüllt:

  • Der Vorgang „Rolle übernehmen“ erfolgt im Namen des Benutzerpools in dieser Bedingung. aws:SourceArn

  • Der Vorgang zur Rollenübernahme erfolgt im Namen eines Benutzerpools, der in der Bedingung AWS-Konto festgelegt ist. aws:SourceAccount

  • Der Vorgang „Rolle übernehmen“ schließt die externe ID in die Bedingung ein. sts:externalId

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "cognito-idp.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:cognito-idp:us-west-2:111122223333:userpool/us-west-2_EXAMPLE" } } } ] }

Sie können einen exakten Benutzerpool ARN oder einen Platzhalter ARN im Wert der Bedingung angeben. aws:SourceArn Suchen Sie im AWS Management Console oder mit einer DescribeUserPoolAPIAnfrage nach Ihren Benutzerpools. ARNs

Um SMS Nachrichten für die Multi-Faktor-Authentifizierung zu senden, muss Ihre IAM Rollenvertrauensrichtlinie eine sts:ExternalId Bedingung erfüllen. Der Wert dieser Bedingung muss mit der ExternalId Eigenschaft SmsConfigurationIhres Benutzerpools übereinstimmen. Wenn Sie während der Erstellung des Benutzerpools in der Amazon Cognito-Konsole eine IAM Rolle erstellen, konfiguriert Amazon Cognito die externe ID für Sie in der Rolle und in den Benutzerpooleinstellungen. Dies ist nicht der Fall, wenn Sie eine vorhandene Rolle verwenden. IAM

Sie müssen den ExternalId Benutzerpoolparameter in einer UpdateUserPoolAPIAnfrage aktualisieren und die IAM Rollenvertrauensrichtlinie mit einer sts:externalId Bedingung mit demselben Wert aktualisieren. Informationen zur Verwendung von API zum Aktualisieren eines Benutzerpools unter Beibehaltung der ursprünglichen Konfiguration finden Sie unterAktualisierung der Benutzerpool- und App-Client-Konfiguration.

Weitere Informationen zu IAM Rollen und Vertrauensrichtlinien finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Begriffe und Konzepte für Rollen.

Wählen Sie AWS-Region für SNS SMS Amazon-Nachrichten

In einigen AWS-Regionen Fällen können Sie die Region auswählen, die die SNS Amazon-Ressourcen enthält, die Sie für Amazon SMS Cognito-Nachrichten verwenden möchten. In allen Ländern, in AWS-Region denen Amazon Cognito verfügbar ist, außer im asiatisch-pazifischen Raum (Seoul), können Sie SNS Amazon-Ressourcen dort verwenden, AWS-Region wo Sie Ihren Benutzerpool erstellt haben. Um Ihre SMS Nachrichten schneller und zuverlässiger zu gestalten, wenn Sie zwischen verschiedenen Regionen wählen können, verwenden Sie SNS Amazon-Ressourcen in derselben Region wie Ihr Benutzerpool.

Anmerkung

In der können Sie die Region für SMS Ressourcen erst ändern AWS Management Console, nachdem Sie auf die neue Amazon Cognito Cognito-Konsolenoberfläche umgestellt haben.

Wählen Sie im Schritt Nachrichtenzustellung konfigurieren des Assistenten für neue Benutzerpools eine Region für SMS Ressourcen aus. Sie können SMSin einem vorhandenen Benutzerpool auch auf der Registerkarte Nachrichten die Option Bearbeiten auswählen.

Bei der Markteinführung sendete Amazon Cognito für einige AWS-Regionen Benutzer SMS Nachrichten mit SNS Amazon-Ressourcen in einer anderen Region. Um Ihre bevorzugte Region festzulegen, verwenden Sie den SnsRegion Parameter des SmsConfigurationTypeObjekts für Ihren Benutzerpool. Wenn Sie anhand der folgenden Tabelle programmgesteuert eine Amazon Cognito Cognito-Benutzerpool-Ressource in einer Amazon Cognito Cognito-Region erstellen und keinen SnsRegion Parameter angeben, kann Ihr Benutzerpool SMS Nachrichten mit SNS Amazon-Ressourcen in einer älteren Amazon-Region senden. SNS

Amazon Cognito Cognito-Benutzerpools im asiatisch-pazifischen Raum (Seoul) AWS-Region müssen Ihre SNS Amazon-Konfiguration in der Region Asien-Pazifik (Tokio) verwenden.

Amazon SNS legt das Ausgabenkontingent für alle neuen Konten auf 1,00$ (USD) pro Monat fest. Möglicherweise haben Sie Ihr Ausgabenlimit in einer AWS-Region , die Sie mit Amazon Cognito verwenden, erhöht. Bevor Sie die AWS-Region für SNS SMS Amazon-Nachrichten ändern, öffnen Sie im AWS Support Center einen Fall zur Erhöhung des Kontingents, um Ihr Limit in der neuen Region zu erhöhen. Weitere Informationen finden Sie unter Beantragung einer Erhöhung Ihres monatlichen SMS Ausgabenkontingents für Amazon SNS im Amazon Simple Notification Service Developer Guide.

Sie können SMS Nachrichten für jede Amazon Cognito Cognito-Region in der folgenden Tabelle mit SNS Amazon-Ressourcen in der entsprechenden SNSAmazon-Region senden.

Amazon-Cognito-Region SNSAmazonas-Region

USA Ost (Ohio)

USA Ost (Ohio), USA Ost (Nord-Virginia)

USA Ost (Nord-Virginia)

USA Ost (Nord-Virginia)

USA West (Nordkalifornien)

USA West (Nordkalifornien)

USA West (Oregon)

USA West (Oregon)

Kanada (Zentral)

Kanada (Zentral), USA Ost (Nord-Virginia)

Kanada West (Calgary)

Kanada West (Calgary)

Europa (Frankfurt)

Europa (Frankfurt), Europa (Irland)

Europa (London)

Europa (London), Europa (Irland)

Europa (Irland)

Europa (Irland)

Europa (Paris)

Europa (Paris)

Europa (Stockholm)

Europa (Stockholm)

Europa (Milan)

Europa (Milan)

Europa (Spain)

Europa (Spain)

Europa (Zürich)

Europa (Zürich)

Asien-Pazifik (Mumbai)

Asien-Pazifik (Mumbai), Asien-Pazifik (Singapur)

Asien-Pazifik (Hyderabad)

Asien-Pazifik (Hyderabad)

Asien-Pazifik (Hongkong)

Asien-Pazifik (Singapur)

Asia Pacific (Seoul)

Asien-Pazifik (Tokio)

Asien-Pazifik (Singapur)

Asien-Pazifik (Singapur)

Asien-Pazifik (Sydney)

Asien-Pazifik (Sydney)

Asien-Pazifik (Tokio)

Asien-Pazifik (Tokio)

Asien-Pazifik (Jakarta)

Asien-Pazifik (Jakarta)

Asien-Pazifik (Osaka)

Asien-Pazifik (Osaka)

Asien-Pazifik (Melbourne)

Asien-Pazifik (Melbourne)

Naher Osten (Bahrain)

Naher Osten (Bahrain)

Naher Osten (UAE)

Naher Osten (UAE)

Südamerika (São Paulo)

Südamerika (São Paulo)

Israel (Tel Aviv)

Israel (Tel Aviv)

Afrika (Kapstadt)

Afrika (Kapstadt)

Besorgen Sie sich eine Absenderidentität, um SMS Nachrichten an US-Telefonnummern zu senden

Wenn Sie SMS Textnachrichten an US-amerikanische Telefonnummern senden möchten, müssen Sie sich eine Absenderidentität besorgen, unabhängig davon, ob Sie eine SMS Sandbox-Testumgebung oder eine Produktionsumgebung einrichten.

Ab dem 1. Juni 2021 benötigen US-Anbieter eine Ursprungsidentität, um Nachrichten an US-Telefonnummern zu senden. Wenn Sie noch keine Ursprungsidentität besitzen, müssen Sie eine anfordern. Informationen zum Erhalten einer Ursprungsidentität finden Sie unter Anfordern einer Nummer im Benutzerhandbuch für Amazon Pinpoint.

Wenn Sie in einer der folgenden Umgebungen tätig sind AWS-Regionen, müssen Sie ein AWS Support Ticket öffnen, um eine Absenderidentität zu erhalten. Anweisungen finden Sie unter Support für SMS Nachrichten anfordern im Amazon Simple Notification Service Developer Guide.

  • USA Ost (Ohio)

  • Europa (Stockholm)

  • Europa (Paris)

  • Europa (Milan)

  • Naher Osten (Bahrain)

  • Südamerika (São Paulo)

  • USA West (Nordkalifornien)

Wenn Sie mehr als eine Originalidentität in derselben Person haben AWS-Region, SNS wählt Amazon einen Originalidentitätstyp in der folgenden Prioritätsreihenfolge: Kurzwahlnummer, 10DLC, gebührenfreie Nummer. Sie können diese Prioritätsreihenfolge nicht ändern. Weitere Informationen finden Sie auf Amazon SNS FAQs.

Vergewissern Sie sich, dass Sie sich in der SMS Sandbox befinden

Gehen Sie wie folgt vor, um zu bestätigen, dass Sie sich in der SMS Sandbox befinden. Wiederholen Sie den Vorgang für jeden AWS-Region , in dem Sie Amazon Cognito Cognito-Produktions-Benutzerpools haben.

Um zu bestätigen, dass Sie sich in der Sandbox befinden SMS
  1. Melden Sie sich bei der Amazon-Cognito-Konsole an. Geben Sie bei Aufforderung Ihre AWS -Anmeldeinformationen ein.

  2. Wählen Sie User Pools (Benutzerpools) aus.

  3. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus.

  4. Wählen Sie die Registerkarte Messaging aus.

  5. Erweitern Sie im Abschnitt SMSKonfiguration die Option Zur SNS Amazon-Produktionsumgebung wechseln. Wenn sich Ihr Konto in der SMS Sandbox befindet, wird Ihnen die folgende Meldung angezeigt:

    You are currently in the SMS Sandbox and cannot send SMS messages to unverified numbers.

    Wenn du diese Nachricht nicht siehst, hat jemand bereits SMS Nachrichten in deinem Konto eingerichtet. Fahren Sie mit Die Benutzerpool-Einrichtung in Amazon Cognito abschließen fort.

  6. Wählen Sie den SNSAmazon-Link in der Nachricht. Dadurch wird die SNS Amazon-Konsole in einem neuen Tab geöffnet.

  7. Stellen Sie sicher, dass Sie sich in der Sandbox-Umgebung befinden. Die Konsolenmeldung gibt Ihren Sandbox-Status und AWS-Region wie folgt an:

    This account is in the SMS sandbox in US East (N. Virginia).

Verschieben Sie Ihr Konto aus Amazon SNS Sandbox

Wenn Sie Ihre App testen und nur SMS Nachrichten an Telefonnummern senden müssen, die Ihre Administratoren überprüfen können, überspringen Sie diesen Schritt.

Um Ihre App in der Produktion zu verwenden, verschieben Sie Ihr Konto aus der SMS Sandbox in die Produktion. Nachdem Sie eine Originationsidentität konfiguriert haben AWS-Region , die die SNS Amazon-Ressourcen enthält, die Amazon Cognito verwenden soll, können Sie US-Telefonnummern verifizieren, während Ihre in der AWS-Konto SMS Sandbox verbleiben. Wenn Ihre SNS Amazon-Umgebung in Produktion ist, müssen Sie die Telefonnummern der Benutzer in Amazon nicht verifizierenSNS, um SMS Nachrichten an Ihre Benutzer zu senden.

Eine ausführliche Anleitung finden Sie unter Moving Out of the SMS Sandbox im Amazon Simple Notification Service Developer Guide.

Überprüfen Sie die Telefonnummern für Amazon Cognito in Amazon SNS

Wenn Sie Ihr Konto aus der SMS Sandbox verschoben haben, überspringen Sie diesen Schritt.

Wenn Sie sich in der SMS Sandbox befinden, können Sie Nachrichten an jede Telefonnummer senden, die Sie bei Amazon SNS verifiziert haben.

Gehen Sie wie folgt vor, um eine Telefonnummer zu verifizieren:

  1. Fügen Sie im Bereich Textnachrichten (SMS) der SNS Amazon-Konsole eine Sandbox-Zieltelefonnummer hinzu.

  2. Sie erhalten eine SMS Nachricht mit einem Code an die von Ihnen angegebene Telefonnummer.

  3. Geben Sie den Bestätigungscode aus der SMS Nachricht in der SNS Amazon-Konsole ein.

Eine ausführliche Anleitung finden Sie unter Hinzufügen und Überprüfen von Telefonnummern in der SMS Sandbox im Amazon Simple Notification Service Developer Guide.

Anmerkung

Amazon SNS begrenzt die Anzahl der Zieltelefonnummern, die Sie überprüfen können, während Sie sich in der SMS Sandbox befinden. Weitere Informationen finden Sie unter SMSSandbox im Amazon Simple Notification Service Developer Guide.

Die Benutzerpool-Einrichtung in Amazon Cognito abschließen

Kehren Sie zur Browser-Registerkarte zurück, auf der Sie Ihren Benutzerpool erstellt oder bearbeitet haben. Schließen Sie das Verfahren ab. Wenn Sie Ihrem Benutzerpool erfolgreich eine SMS Konfiguration hinzugefügt haben, sendet Amazon Cognito eine Testnachricht an eine interne Telefonnummer, um zu überprüfen, ob Ihre Konfiguration funktioniert. Amazon SNS berechnet für jede SMS Testnachricht Gebühren.