Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Configuración de correo electrónico para grupos de usuarios de Amazon Cognito

Modo de enfoque
Configuración de correo electrónico para grupos de usuarios de Amazon Cognito - Amazon Cognito

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

En algunos eventos de su aplicación, es posible que Amazon Cognito deba enviar un correo electrónico a los usuarios. Por ejemplo, si configura su grupo de usuarios para que se exija la verificación de correo electrónico, Amazon Cognito envía un correo electrónico cuando un usuario se registra con una cuenta nueva en su aplicación o cuando restablece su contraseña. En función de la acción que inicie el correo electrónico, el correo electrónico contendrá un código de verificación o una contraseña temporal.

Para administrar la entrega de correo electrónico, puede utilizar cualquiera de las siguientes opciones:

Puede cambiar la opción de entrega después de crear el grupo de usuarios.

Amazon Cognito envía mensajes de correo electrónico a los usuarios con un código que pueden ingresar o un enlace URL que pueden seleccionar. En la siguiente tabla se muestran los eventos que pueden generar un mensaje de correo electrónico.

Opciones de mensajes

Actividad Operación de la API Opciones de entrega Opciones de formato Personalizable Plantilla de mensaje
Contraseña olvidada ForgotPassword, AdminResetUserPassword Correo electrónico, SMS code No N/A
Invitación AdminCreateUser Correo electrónico, SMS code Mensaje de invitación
Autorregistro SignUp, ResendConfirmationCode Correo electrónico, SMS código, enlace Mensaje de verificación
Verificación de dirección de correo electrónico o número de teléfono UpdateUserAttributes, AdminUpdateUserAttributes, GetUserAttributeVerificationCode Correo electrónico, SMS code Mensaje de verificación
Autenticación multifactor (MFA) AdminInitiateAuth, InitiateAuth Correo electrónico¹, SMS, aplicación de autenticación code Sí² Mensaje de MFA

¹ Requiere características de seguridad avanzada y una configuración de correo electrónico de Amazon SES.

² Para mensajes SMS y de correo electrónico.

Amazon SES cobra por los mensajes de correo electrónico. Para obtener más información, consulte Precios de Amazon SES.

Para obtener más información sobre la MFA en los correos electrónicos, consulte MFA con mensajes SMS y correo electrónico.

Configuración predeterminada del correo electrónico

Amazon Cognito puede usar su propia configuración de correo electrónico predeterminada para gestionar las entregas de correo electrónico en su nombre. Si utiliza la opción predeterminada, Amazon Cognito solo permite una cantidad limitada de correos electrónicos al día para su grupo de usuarios. Para obtener más información sobre Service Limits, consulte Cuotas en Amazon Cognito. En el caso de entornos de producción típicos, el límite de correo electrónico predeterminado está por debajo del volumen de entrega requerido. Para habilitar un mayor volumen de envíos, debe utilizar la configuración de email de Amazon SES.

Cuando se utiliza la configuración predeterminada, se usan recursos de Amazon SES administrados por AWS para enviar mensajes de correo electrónico. Amazon SES agrega direcciones de correo electrónico que devuelven un rechazo permanente a una lista de supresión de nivel de cuenta o una lista de supresión global. Si una dirección de correo electrónico que no se puede entregar pasa a poder entregarse posteriormente, no se puede controlar su eliminación de la lista de supresión mientras el grupo de usuarios esté configurado para utilizar la configuración predeterminada. Una dirección de correo electrónico puede permanecer indefinidamente en la lista AWS de supresión gestionada. Para administrar las direcciones de correo electrónico que no se pueden entregar, utilice la configuración de correo electrónico de Amazon SES con una lista de supresión en el nivel de cuenta, tal y como se describe en la siguiente sección.

Con la opción predeterminada, puede utilizar cualquiera de las siguientes direcciones de correo electrónico como dirección del remitente:

  • La dirección de correo electrónico predeterminada, no-reply@verificationemail.com.

  • Una dirección de correo electrónico personalizada. Para poder utilizar su propia dirección de correo electrónico, debe verificarla con Amazon SES y conceder permiso a Amazon Cognito para utilizarla.

Configuración de email de Amazon SES

Es posible que su aplicación requiera un volumen de entregas superior al disponible con la opción predeterminada. Para aumentar el posible volumen de envíos, use los recursos de Amazon SES con su grupo de usuarios para enviar un correo electrónico a los usuarios. También puede supervisar la actividad de envío de correo electrónicocuando envía mensajes de correo electrónico con su propia configuración de Amazon SES.

Para poder usar la configuración de Amazon SES, debe verificar una o más direcciones de email con Amazon SES. Use una dirección de correo electrónico verificada, o una dirección de un dominio verificado, como la dirección de correo electrónico del remitente que asigne a su grupo de usuarios. Cuando Amazon Cognito envía un mensaje de correo electrónico, llama a Amazon SES por usted y utiliza su dirección de correo electrónico.

Cuando utilice la configuración de Amazon SES, se aplicarán las siguientes condiciones:

  • Los límites de envío de correo electrónico para su grupo de usuarios son los mismos que se aplican a su dirección de correo electrónico verificada de Amazon SES en su cuenta de Cuenta de AWS.

  • Puede administrar sus mensajes a direcciones de correo electrónico que no se pueden entregar con una lista de supresión en el nivel de cuenta en Amazon SES, la cual anula la lista de supresión global. Cuando utilizas una lista de supresión en el nivel de cuenta, los rechazos de mensajes de correo electrónico afectan a la reputación de su cuenta como remitente. Para obtener más información, consulte Uso de la lista de supresión de nivel de cuenta de Amazon SES en la guía para desarrolladores de Amazon Simple Email Service.

Regiones de configuración de correo electrónico de Amazon SES

El Región de AWS lugar donde cree un grupo de usuarios tendrá uno de los tres requisitos para la configuración de los mensajes de correo electrónico con Amazon SES. Puede enviar mensajes de correo electrónico desde Amazon SES desde la misma región que su grupo de usuarios, desde varias regiones, incluida la misma región, o desde una o varias regiones remotas. Para obtener el mejor rendimiento y, si tiene la opción, envíe mensajes de correo electrónico con una identidad verificada de Amazon SES en la misma región que su grupo de usuarios.

Categorías de requisitos regionales para las identidades verificadas de Amazon SES
Solo en la región

Sus grupos de usuarios pueden enviar mensajes de correo electrónico con identidades verificadas al Región de AWS igual que el grupo de usuarios. En la configuración de correo electrónico predeterminada sin una dirección de correo electrónico FROM personalizada, Amazon Cognito utiliza una identidad verificada no-reply@verificationemail.com en la misma región.

Compatible con versiones anteriores

Sus grupos de usuarios pueden enviar mensajes de correo electrónico con identidades verificadas en la misma región Región de AWS o en una de las siguientes regiones alternativas:

  • Este de EE. UU. (Norte de Virginia)

  • Oeste de EE. UU. (Oregón)

  • Europa (Irlanda)

Esta característica aporta continuidad a los recursos del grupo de usuarios que pueda haber creado para cumplir los requisitos de Amazon Cognito al lanzar el servicio. Los grupos de usuarios de ese período solo podían enviar mensajes de correo electrónico con identidades verificadas en un número limitado de Regiones de AWS. En la configuración de correo electrónico predeterminada sin una dirección de correo electrónico FROM personalizada, Amazon Cognito utiliza una identidad verificada no-reply@verificationemail.com en la misma región.

Región alternativa

Sus grupos de usuarios pueden enviar mensajes de correo electrónico con identidades verificadas en una alternativa Región de AWS que se encuentre fuera de la región del grupo de usuarios. Esta configuración se genera cuando Amazon SES no está disponible en una región en la que Amazon Cognito sí lo está.

La política de autorización de envío de Amazon SES para su identidad verificada en la región alternativa debe confiar en la entidad principal de servicio de Amazon Cognito de la región de origen. Para obtener más información, consulte Concesión de permisos para usar la configuración de correo electrónico predeterminada.

En algunas de estas regiones, Amazon Cognito divide los mensajes de correo electrónico entre dos regiones alternativas para la configuración de correo electrónico predeterminada de COGNITO_DEFAULT. En estos casos, para usar una dirección de correo electrónico FROM predeterminada, la política de autorización de envío de Amazon SES para su identidad verificada en cada región alternativa debe confiar en la entidad principal de servicio de Amazon Cognito de la región de origen. Para obtener más información, consulte Concesión de permisos para usar la configuración de correo electrónico predeterminada. Con la configuración de correo electrónico de Amazon SES de DEVELOPER en estas regiones, debe usar una identidad verificada en la primera región de la lista y configurarla para que confíe en la entidad principal del servicio de Amazon Cognito en la región del grupo de usuarios. Por ejemplo, en un grupo de usuarios de Medio Oriente (EAU), configure una identidad verificada en Europa (Fráncfort) para que sea de confianza para cognito-idp.me-central-1.amazonaws.com. En la configuración de correo electrónico predeterminada sin una dirección de correo electrónico FROM personalizada, Amazon Cognito utiliza una identidad verificada no-reply@verificationemail.com en cada región.

nota

En la siguiente combinación de condiciones, debe especificar el SourceArn parámetro EmailConfigurationcon un comodín en el elemento Región, en el formatoarn:${Partition}:ses:*:${Account}:identity/${IdentityName}. Esto permite a su grupo de usuarios enviar mensajes de correo electrónico con identidades verificadas idénticas a las suyas Cuenta de AWS en ambos Regiones de AWS casos.

  • EmailSendingAccount El tuyo esCOGNITO_DEFAULT.

  • Quiere usar una dirección FROM personalizada.

  • El grupo de usuarios envía correos electrónicos a una región alternativa.

  • El grupo de usuarios tiene una segunda1 región alternativa especificada en la siguiente tabla de regiones compatibles con Amazon SES.

Si crea un grupo de usuarios mediante programación (con un AWS SDK, la API o CLI de Amazon Cognito, o AWS CloudFormation), su grupo de usuarios AWS CDK envía mensajes de correo electrónico con la identidad de Amazon SES que el SourceArn parámetro especifica para su grupo de usuarios. EmailConfiguration La identidad de Amazon SES debe ocupar un espacio compatible Región de AWS. Si su EmailSendingAccount es COGNITO_DEFAULT y no especifica un parámetro SourceArn, Amazon Cognito envía mensajes de correo electrónico desde no-reply@verificationemail.com utilizando recursos de la región donde creó el grupo de usuarios.

En la siguiente tabla se muestra Regiones de AWS dónde puede utilizar las identidades de Amazon SES con Amazon Cognito.

Región del grupo de usuarios Opción de región Regiones admitidas de Amazon SES

Este de EE. UU. (Norte de Virginia)

Compatible con versiones anteriores

Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Este de EE. UU. (Ohio)

Compatible con versiones anteriores

Este de EE. UU. (Ohio), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Oeste de EE. UU. (Norte de California)

Solo en la región

Oeste de EE. UU. (Norte de California)

Oeste de EE. UU. (Oregón)

Compatible con versiones anteriores

Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Canadá (centro)

Compatible con versiones anteriores

Canadá (centro), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Oeste de Canadá (Calgary)

Región alternativa

Canadá (centro), Oeste de EE. UU. (Norte de California)1

Asia-Pacífico (Tokio)

Compatible con versiones anteriores

Asia-Pacífico (Tokio), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Asia-Pacífico (Hong Kong)

Región alternativa

Asia-Pacífico (Singapur), Asia-Pacífico (Tokio)1

Asia-Pacífico (Seúl)

Compatible con versiones anteriores

Asia-Pacífico (Seúl), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Asia-Pacífico (Bombay)

Compatible con versiones anteriores

Asia-Pacífico (Bombay), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Asia-Pacífico (Hyderabad)

Región alternativa

Asia-Pacífico (Bombay), Asia-Pacífico (Singapur)1

Asia-Pacífico (Singapur)

Compatible con versiones anteriores

Asia-Pacífico (Singapur), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Asia-Pacífico (Sídney)

Compatible con versiones anteriores

Asia-Pacífico (Sídney), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Asia-Pacífico (Osaka)

Solo en la región

Asia-Pacífico (Osaka)

Asia-Pacífico (Yakarta)

Solo en la región

Asia-Pacífico (Yakarta)

Asia-Pacífico (Melbourne)

Región alternativa

Asia-Pacífico (Sídney), Asia-Pacífico (Singapur)1

Europa (Irlanda)

Compatible con versiones anteriores

Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Europa (Londres)

Compatible con versiones anteriores

Europa (Londres), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Europa (París)

Solo en la región

Europa (París)

Europa (Fráncfort)

Compatible con versiones anteriores

Europa (Londres), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Europa (Zúrich)

Región alternativa

Europa (Fráncfort), Europa (Londres)1

Europa (Estocolmo)

Solo en la región

Europa (Estocolmo)

Europa (Milán)

Solo en la región

Europa (Milán)
Europa (España)

Región alternativa

Europa (París), Europa (Estocolmo)1

Medio Oriente (Baréin)

Solo en la región

Medio Oriente (Baréin)

Medio Oriente (EAU)

Región alternativa

Europa (Fráncfort), Europa (Londres)1

América del Sur (São Paulo)

Solo en la región

América del Sur (São Paulo)

Israel (Tel Aviv)

Solo en la región

Israel (Tel Aviv)

África (Ciudad del Cabo)

Solo en la región

África (Ciudad del Cabo)

1 Se utiliza en grupos de usuarios con la configuración de correo electrónico predeterminada. Amazon Cognito distribuye los mensajes de correo electrónico entre identidades verificadas con la misma dirección de correo electrónico en cada región. Para usar una dirección FROM personalizada, configure EmailConfiguration con un parámetro SourceArn con el formato arn:${Partition}:ses:*:${Account}:identity/${IdentityName}.

Configuración de correo electrónico para el grupo de usuarios

Siga los pasos que se indican a continuación para configurar las opciones de correo electrónico para el grupo de usuarios. Según la configuración que desee utilizar, es posible que deba completar los pasos con Amazon SES, AWS Identity and Access Management (IAM) y Amazon Cognito.

nota

Los recursos que cree en estos pasos no se pueden compartir entre Cuentas de AWS. Por ejemplo, no se puede configurar un grupo de usuarios en una cuenta con una dirección de email de Amazon SES que esté en otra cuenta. Por lo tanto, si utiliza Amazon Cognito en varias cuentas, recuerde repetir estos pasos en cada una de ellas.

Paso 1: Verificar su dirección de correo electrónico con Amazon SES

Antes de configurar su grupo de usuarios, debe verificar una o más direcciones de correo electrónico con Amazon SES si desea realizar alguna de las siguientes acciones:

  • Usar su propia dirección de correo electrónico como dirección de remitente

  • Uso de la configuración de Amazon SES para controlar el envío de correos electrónicos

Al verificar su dirección de correo electrónico, confirma que es la suya, lo que ayuda a evitar el uso no autorizado.

Para obtener más información sobre la verificación de email de Amazon SES, consulte Verificación de direcciones de email en la Guía para desarrolladores de Amazon Simple Email Service. Para obtener más información sobre cómo verificar un dominio con Amazon SES, consulte la sección Verificación de un dominio.

Paso 2: Quitar la cuenta del entorno de pruebas de Amazon SES

Omita este paso si utiliza la configuración de correo electrónico predeterminada de Amazon Cognito.

La primera vez que utilice Amazon SES en una región Región de AWS, estará Cuenta de AWS en el entorno limitado de Amazon SES de esa región. Amazon SES utiliza el entorno aislado para evitar el fraude y el abuso. Si utiliza su configuración de Amazon SES para administrar el envío de correos electrónicos, debe quitar su Cuenta de AWS del entorno aislado para que Amazon Cognito pueda enviar un correo electrónico a sus usuarios.

En el entorno de pruebas, Amazon SES impone restricciones sobre cuántos correos electrónicos puede enviar y a dónde puede enviarlos. Puede enviar correos electrónicos solo a direcciones y dominios que haya verificado con Amazon SES o puede enviarlos a direcciones del simulador de buzón de correo de Amazon SES. Mientras Cuenta de AWS permanezca en la zona de pruebas, no utilice su configuración de Amazon SES para aplicaciones que estén en producción. En esta situación, Amazon Cognito no puede enviar mensajes a las direcciones de correo electrónico de sus usuarios.

Para sacarte Cuenta de AWS del entorno limitado, consulta Cómo salir del entorno limitado de Amazon SES en la Guía para desarrolladores de Amazon Simple Email Service.

Paso 3: Conceder permisos de correo electrónico a Amazon Cognito

Es posible que tenga que conceder permisos específicos a Amazon Cognito para que pueda enviar correos electrónicos a sus usuarios. Los permisos que conceda y el proceso que siga para concederlos dependerán de si usa la configuración predeterminada de correo electrónico o su configuración de Amazon SES.

Ejecute este paso solo si tiene el grupo de usuarios configurado en Enviar correo electrónico con Cognito o ha establecido EmailSendingAccount en COGNITO_DEFAULT.

Con la configuración de correo electrónico predeterminada, el grupo de usuarios puede enviar mensajes de correo electrónico con cualquiera de las siguientes direcciones.

  • La dirección no-reply@verificationemail.com predeterminada.

  • Una dirección FROM personalizada de sus direcciones de correo electrónico o dominios verificados en Amazon SES.

Si utiliza una dirección personalizada, Amazon Cognito necesita otros permisos para poder usar esta dirección con el fin de enviar los email a sus usuarios. Estos permisos se conceden mediante una política de autorización de envío, para la dirección o dominio en Amazon SES. Si utiliza la consola de Amazon Cognito para agregar una dirección personalizada al grupo de usuarios, la política se asoica automáticamente a la dirección de correo electrónico verificada de Amazon SES. Sin embargo, si configura su grupo de usuarios fuera de la consola, por ejemplo, mediante la API AWS CLI o la API de Amazon Cognito, debe adjuntar la política mediante la consola o la PutIdentityPolicyAPI de Amazon SES.

nota

Solo puede configurar una dirección FROM en un dominio verificado mediante la AWS CLI o la API de Amazon Cognito.

Una política de autorización de envío permite o deniega el acceso en función de los recursos de la cuenta que utilizan Amazon Cognito para invocar Amazon SES. Para obtener más información sobre las políticas basadas en recursos, consulte la Guía del usuario de IAM. También puede ver ejemplos de políticas basadas en recursos en la Guía para desarrolladores de Amazon SES.

ejemplo Política de autorización de envío

En el siguiente ejemplo, la política de envío de autorización otorga a Amazon Cognito la capacidad limitada de utilizar una identidad verificada de Amazon SES. Amazon Cognito solo puede enviar mensajes de correo electrónico cuando lo hace en nombre del grupo de usuarios en la condición aws:SourceArn y la cuenta en la condición aws:SourceAccount.

Regions with Amazon SES

Su política de autorización de envío de la región del grupo de usuarios o de una región alternativa debe permitir a la entidad principal del servicio de Amazon Cognito enviar mensajes de correo electrónico. Para obtener más información, consulte la tabla de regiones. Si la región de su grupo de usuarios coincide con al menos un valor de la región de Amazon SES, configure su política de autorización de envío con la entidad principal del servicio global en el siguiente ejemplo.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "stmnt1234567891234", "Effect": "Allow", "Principal": { "Service": [ "email.cognito-idp.amazonaws.com" ] }, "Action": [ "SES:SendEmail", "SES:SendRawEmail" ], "Resource": "<your SES identity ARN>", "Condition": { "StringEquals": { "aws:SourceAccount": "<your account number>" }, "ArnLike": { "aws:SourceArn": "<your user pool ARN>" } } } ] }
Opt-in Regions without Amazon SES

Amazon SES no está disponible en todas las suscripciones en las Regiones de AWS que Amazon Cognito sí lo está. Este es el caso, por ejemplo, de Medio Oriente (EAU) y solo puede enviar correos electrónicos con identidades verificadas en Europa (Fráncfort) (eu-central-1). En los grupos de usuarios con la configuración de correo electrónico predeterminada, Amazon Cognito también envía mensajes de correo electrónico con una identidad verificada en cada una de las dos regiones. En el caso de Medio Oriente (EAU), la región adicional es Europa (Londres). Debe actualizar la política de autorización de envío en ambas regiones.

Su política de autorización de envío en cada una de las regiones alternativas debe permitir a la entidad principal del servicio de Amazon Cognito en la región de suscripción del grupo de usuarios enviar mensajes de correo electrónico. Para obtener más información, consulte la tabla de regiones. Si la región está marcada como región alternativa, configure las políticas de autorización de envío con la entidad principal del servicio regional, como se muestra en el siguiente ejemplo. Sustituya el identificador me-central-1 de región del ejemplo por el ID de región requerido, según sea necesario.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "cognito-idp.me-central-1.amazonaws.com" ] }, "Action": [ "SES:SendEmail", "SES:SendRawEmail" ], "Resource": "<your SES identity ARN>", "Condition": { "StringEquals": { "aws:SourceAccount": "<your account number>" }, "ArnLike": { "aws:SourceArn": "<your user pool ARN>" } } } ] }

Para obtener más información sobre la sintaxis de la política, consulte Políticas autorización de envío con Amazon SES en la Guía para desarrolladores de Amazon Simple Email Service.

Para ver más ejemplos, consulte Ejemplos de la política de autorización de envío con Amazon SES en la Guía para desarrolladores de Amazon Simple Email Service.

Ejecute este paso solo si tiene el grupo de usuarios configurado en Enviar correo electrónico con Cognito o ha establecido EmailSendingAccount en COGNITO_DEFAULT.

Con la configuración de correo electrónico predeterminada, el grupo de usuarios puede enviar mensajes de correo electrónico con cualquiera de las siguientes direcciones.

  • La dirección no-reply@verificationemail.com predeterminada.

  • Una dirección FROM personalizada de sus direcciones de correo electrónico o dominios verificados en Amazon SES.

Si utiliza una dirección personalizada, Amazon Cognito necesita otros permisos para poder usar esta dirección con el fin de enviar los email a sus usuarios. Estos permisos se conceden mediante una política de autorización de envío, para la dirección o dominio en Amazon SES. Si utiliza la consola de Amazon Cognito para agregar una dirección personalizada al grupo de usuarios, la política se asoica automáticamente a la dirección de correo electrónico verificada de Amazon SES. Sin embargo, si configura su grupo de usuarios fuera de la consola, por ejemplo, mediante la API AWS CLI o la API de Amazon Cognito, debe adjuntar la política mediante la consola o la PutIdentityPolicyAPI de Amazon SES.

nota

Solo puede configurar una dirección FROM en un dominio verificado mediante la AWS CLI o la API de Amazon Cognito.

Una política de autorización de envío permite o deniega el acceso en función de los recursos de la cuenta que utilizan Amazon Cognito para invocar Amazon SES. Para obtener más información sobre las políticas basadas en recursos, consulte la Guía del usuario de IAM. También puede ver ejemplos de políticas basadas en recursos en la Guía para desarrolladores de Amazon SES.

ejemplo Política de autorización de envío

En el siguiente ejemplo, la política de envío de autorización otorga a Amazon Cognito la capacidad limitada de utilizar una identidad verificada de Amazon SES. Amazon Cognito solo puede enviar mensajes de correo electrónico cuando lo hace en nombre del grupo de usuarios en la condición aws:SourceArn y la cuenta en la condición aws:SourceAccount.

Regions with Amazon SES

Su política de autorización de envío de la región del grupo de usuarios o de una región alternativa debe permitir a la entidad principal del servicio de Amazon Cognito enviar mensajes de correo electrónico. Para obtener más información, consulte la tabla de regiones. Si la región de su grupo de usuarios coincide con al menos un valor de la región de Amazon SES, configure su política de autorización de envío con la entidad principal del servicio global en el siguiente ejemplo.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "stmnt1234567891234", "Effect": "Allow", "Principal": { "Service": [ "email.cognito-idp.amazonaws.com" ] }, "Action": [ "SES:SendEmail", "SES:SendRawEmail" ], "Resource": "<your SES identity ARN>", "Condition": { "StringEquals": { "aws:SourceAccount": "<your account number>" }, "ArnLike": { "aws:SourceArn": "<your user pool ARN>" } } } ] }
Opt-in Regions without Amazon SES

Amazon SES no está disponible en todas las suscripciones en las Regiones de AWS que Amazon Cognito sí lo está. Este es el caso, por ejemplo, de Medio Oriente (EAU) y solo puede enviar correos electrónicos con identidades verificadas en Europa (Fráncfort) (eu-central-1). En los grupos de usuarios con la configuración de correo electrónico predeterminada, Amazon Cognito también envía mensajes de correo electrónico con una identidad verificada en cada una de las dos regiones. En el caso de Medio Oriente (EAU), la región adicional es Europa (Londres). Debe actualizar la política de autorización de envío en ambas regiones.

Su política de autorización de envío en cada una de las regiones alternativas debe permitir a la entidad principal del servicio de Amazon Cognito en la región de suscripción del grupo de usuarios enviar mensajes de correo electrónico. Para obtener más información, consulte la tabla de regiones. Si la región está marcada como región alternativa, configure las políticas de autorización de envío con la entidad principal del servicio regional, como se muestra en el siguiente ejemplo. Sustituya el identificador me-central-1 de región del ejemplo por el ID de región requerido, según sea necesario.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "cognito-idp.me-central-1.amazonaws.com" ] }, "Action": [ "SES:SendEmail", "SES:SendRawEmail" ], "Resource": "<your SES identity ARN>", "Condition": { "StringEquals": { "aws:SourceAccount": "<your account number>" }, "ArnLike": { "aws:SourceArn": "<your user pool ARN>" } } } ] }

Su política de autorización de envío de la región del grupo de usuarios o de una región alternativa debe permitir a la entidad principal del servicio de Amazon Cognito enviar mensajes de correo electrónico. Para obtener más información, consulte la tabla de regiones. Si la región de su grupo de usuarios coincide con al menos un valor de la región de Amazon SES, configure su política de autorización de envío con la entidad principal del servicio global en el siguiente ejemplo.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "stmnt1234567891234", "Effect": "Allow", "Principal": { "Service": [ "email.cognito-idp.amazonaws.com" ] }, "Action": [ "SES:SendEmail", "SES:SendRawEmail" ], "Resource": "<your SES identity ARN>", "Condition": { "StringEquals": { "aws:SourceAccount": "<your account number>" }, "ArnLike": { "aws:SourceArn": "<your user pool ARN>" } } } ] }

Para obtener más información sobre la sintaxis de la política, consulte Políticas autorización de envío con Amazon SES en la Guía para desarrolladores de Amazon Simple Email Service.

Para ver más ejemplos, consulte Ejemplos de la política de autorización de envío con Amazon SES en la Guía para desarrolladores de Amazon Simple Email Service.

Si configura su grupo de usuarios para utilizar su configuración de Amazon SES, Amazon Cognito necesita otros permisos para llamar a Amazon SES en su nombre cuando envía un correo electrónico a sus usuarios. Esta autorización se concede con el servicio de IAM.

Al configurar su grupo de usuarios con esta opción, Amazon Cognito crea un rol vinculado al servicio, que es un tipo de rol de IAM, en su Cuenta de AWS. En este rol se incluyen los permisos para que Amazon Cognito acceda a Amazon SES y envíe correos electrónicos con su dirección.

Amazon Cognito crea su función vinculada al servicio con AWS las credenciales de la sesión de usuario que establece la configuración. Los permisos de IAM de esta sesión deben incluir la acción iam:CreateServiceLinkedRole. Para obtener más información sobre los permisos en IAM, consulte la administración del acceso a AWS los recursos en la Guía del usuario de IAM.

Para obtener más información acerca del rol vinculado al servicio que crea Amazon Cognito, consulte Uso de roles vinculados a servicios para Amazon Cognito.

Si configura su grupo de usuarios para utilizar su configuración de Amazon SES, Amazon Cognito necesita otros permisos para llamar a Amazon SES en su nombre cuando envía un correo electrónico a sus usuarios. Esta autorización se concede con el servicio de IAM.

Al configurar su grupo de usuarios con esta opción, Amazon Cognito crea un rol vinculado al servicio, que es un tipo de rol de IAM, en su Cuenta de AWS. En este rol se incluyen los permisos para que Amazon Cognito acceda a Amazon SES y envíe correos electrónicos con su dirección.

Amazon Cognito crea su función vinculada al servicio con AWS las credenciales de la sesión de usuario que establece la configuración. Los permisos de IAM de esta sesión deben incluir la acción iam:CreateServiceLinkedRole. Para obtener más información sobre los permisos en IAM, consulte la administración del acceso a AWS los recursos en la Guía del usuario de IAM.

Para obtener más información acerca del rol vinculado al servicio que crea Amazon Cognito, consulte Uso de roles vinculados a servicios para Amazon Cognito.

Paso 4: Configurar el nodo grupo de usuarios

Realice los siguientes pasos si desea configurar el grupo de usuarios con cualquiera de los siguientes elementos:

  • Una dirección de remitente personalizada que aparece como el remitente del correo electrónico

  • Una dirección de destinatario personalizada que recibe los mensajes que sus usuarios envían a su dirección de remitente.

  • Su configuración de Amazon SES

nota

Si su identidad verificada es una dirección de correo electrónico, Amazon Cognito establece esa dirección de correo electrónico como la dirección de correo electrónico DE y RESPUESTA forma predeterminada. Sin embargo, si su identidad verificada es un dominio, debe proporcionar un valor para las direcciones de correo electrónico FROM.

Omita este procedimiento si desea utilizar la configuración y la dirección de correo electrónico predeterminadas de Amazon Cognito.

Para configurar el grupo de usuarios de modo que use una dirección de email personalizada
  1. Vaya a la consola de Amazon Cognito. Si se le solicita, introduzca sus credenciales. AWS

  2. Elija User Pools (Grupos de usuarios).

  3. Elija en la lista un usuario existente.

  4. Elija el menú Métodos de autenticación, busque la configuración del correo electrónico y seleccione Editar.

  5. En la páginaEditar la configuración de correopágina, seleccioneEnviar correo electrónico desde Amazon SESoEnviar correo electrónico con Amazon Cognito. Puede personalizar laRegión SES,Conjunto de configuración, yFROM remitente namesolo cuando elijasEnviar correo electrónico desde Amazon SES.

  6. Para utilizar una dirección FROM personalizada, siga los pasos que se describen a continuación:

    1. En SES region (Región de SES), elija la Región que contiene la dirección de email verificada.

    2. En FROM email address (Dirección de correo electrónico del remitente) elija su dirección de correo electrónico. Use una dirección de correo electrónico verificada con Amazon SES.

    3. (Opcional) En Configuration set (Conjunto de configuración), elija un conjunto de configuración para utilizarlo con Amazon SES. Si realiza y guarda este cambio, se crea un rol vinculado al servicio.

    4. (Opcional) EnFROM remitente address, introduzca una dirección de correo electrónico. Puede proporcionar solo la dirección de email o la dirección de email junto con un nombre en el formato Jane Doe <janedoe@example.com>.

    5. (Opcional) En REPLY-TO email address (RESPONER-A dirección de email), ingrese la dirección de email en la que desea recibir los mensajes que sus usuarios envían a la dirección de remitente.

  7. Elija Guardar cambios.

Temas relacionados

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.