Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
En algunos eventos de su aplicación, es posible que Amazon Cognito deba enviar un correo electrónico a los usuarios. Por ejemplo, si configura su grupo de usuarios para que se exija la verificación de correo electrónico, Amazon Cognito envía un correo electrónico cuando un usuario se registra con una cuenta nueva en su aplicación o cuando restablece su contraseña. En función de la acción que inicie el correo electrónico, el correo electrónico contendrá un código de verificación o una contraseña temporal.
Para administrar la entrega de correo electrónico, puede utilizar cualquiera de las siguientes opciones:
-
La configuración de correo electrónico predeterminada que está integrada en el servicio de Amazon Cognito.
-
Su configuración de Amazon Simple Email Service (Amazon SES).
Puede cambiar la opción de entrega después de crear el grupo de usuarios.
Amazon Cognito envía mensajes de correo electrónico a los usuarios con un código que pueden ingresar o un enlace URL que pueden seleccionar. En la siguiente tabla se muestran los eventos que pueden generar un mensaje de correo electrónico.
Opciones de mensajes
Actividad | Operación de la API | Opciones de entrega | Opciones de formato | Personalizable | Plantilla de mensaje |
---|---|---|---|---|---|
Contraseña olvidada | ForgotPassword, AdminResetUserPassword | Correo electrónico, SMS | code | No | N/A |
Invitación | AdminCreateUser | Correo electrónico, SMS | code | Sí | Mensaje de invitación |
Autorregistro | SignUp, ResendConfirmationCode | Correo electrónico, SMS | código, enlace | Sí | Mensaje de verificación |
Verificación de dirección de correo electrónico o número de teléfono | UpdateUserAttributes, AdminUpdateUserAttributes, GetUserAttributeVerificationCode | Correo electrónico, SMS | code | Sí | Mensaje de verificación |
Autenticación multifactor (MFA) | AdminInitiateAuth, InitiateAuth | Correo electrónico¹, SMS, aplicación de autenticación | code | Sí² | Mensaje de MFA |
¹ Requiere características de seguridad avanzada y una configuración de correo electrónico de Amazon SES.
² Para mensajes SMS y de correo electrónico.
Amazon SES cobra por los mensajes de correo electrónico. Para obtener más información, consulte Precios de Amazon SES
Para obtener más información sobre la MFA en los correos electrónicos, consulte MFA con mensajes SMS y correo electrónico.
Configuración predeterminada del correo electrónico
Amazon Cognito puede usar su propia configuración de correo electrónico predeterminada para gestionar las entregas de correo electrónico en su nombre. Si utiliza la opción predeterminada, Amazon Cognito solo permite una cantidad limitada de correos electrónicos al día para su grupo de usuarios. Para obtener más información sobre Service Limits, consulte Cuotas en Amazon Cognito. En el caso de entornos de producción típicos, el límite de correo electrónico predeterminado está por debajo del volumen de entrega requerido. Para habilitar un mayor volumen de envíos, debe utilizar la configuración de email de Amazon SES.
Cuando se utiliza la configuración predeterminada, se usan recursos de Amazon SES administrados por AWS para enviar mensajes de correo electrónico. Amazon SES agrega direcciones de correo electrónico que devuelven un rechazo permanente a una lista de supresión de nivel de cuenta o una lista de supresión global. Si una dirección de correo electrónico que no se puede entregar pasa a poder entregarse posteriormente, no se puede controlar su eliminación de la lista de supresión mientras el grupo de usuarios esté configurado para utilizar la configuración predeterminada. Una dirección de correo electrónico puede permanecer indefinidamente en la lista AWS de supresión gestionada. Para administrar las direcciones de correo electrónico que no se pueden entregar, utilice la configuración de correo electrónico de Amazon SES con una lista de supresión en el nivel de cuenta, tal y como se describe en la siguiente sección.
Con la opción predeterminada, puede utilizar cualquiera de las siguientes direcciones de correo electrónico como dirección del remitente:
-
La dirección de correo electrónico predeterminada, no-reply@verificationemail.com.
-
Una dirección de correo electrónico personalizada. Para poder utilizar su propia dirección de correo electrónico, debe verificarla con Amazon SES y conceder permiso a Amazon Cognito para utilizarla.
Configuración de email de Amazon SES
Es posible que su aplicación requiera un volumen de entregas superior al disponible con la opción predeterminada. Para aumentar el posible volumen de envíos, use los recursos de Amazon SES con su grupo de usuarios para enviar un correo electrónico a los usuarios. También puede supervisar la actividad de envío de correo electrónicocuando envía mensajes de correo electrónico con su propia configuración de Amazon SES.
Para poder usar la configuración de Amazon SES, debe verificar una o más direcciones de email con Amazon SES. Use una dirección de correo electrónico verificada, o una dirección de un dominio verificado, como la dirección de correo electrónico del remitente que asigne a su grupo de usuarios. Cuando Amazon Cognito envía un mensaje de correo electrónico, llama a Amazon SES por usted y utiliza su dirección de correo electrónico.
Cuando utilice la configuración de Amazon SES, se aplicarán las siguientes condiciones:
-
Los límites de envío de correo electrónico para su grupo de usuarios son los mismos que se aplican a su dirección de correo electrónico verificada de Amazon SES en su cuenta de Cuenta de AWS.
-
Puede administrar sus mensajes a direcciones de correo electrónico que no se pueden entregar con una lista de supresión en el nivel de cuenta en Amazon SES, la cual anula la lista de supresión global. Cuando utilizas una lista de supresión en el nivel de cuenta, los rechazos de mensajes de correo electrónico afectan a la reputación de su cuenta como remitente. Para obtener más información, consulte Uso de la lista de supresión de nivel de cuenta de Amazon SES en la guía para desarrolladores de Amazon Simple Email Service.
Regiones de configuración de correo electrónico de Amazon SES
El Región de AWS lugar donde cree un grupo de usuarios tendrá uno de los tres requisitos para la configuración de los mensajes de correo electrónico con Amazon SES. Puede enviar mensajes de correo electrónico desde Amazon SES desde la misma región que su grupo de usuarios, desde varias regiones, incluida la misma región, o desde una o varias regiones remotas. Para obtener el mejor rendimiento y, si tiene la opción, envíe mensajes de correo electrónico con una identidad verificada de Amazon SES en la misma región que su grupo de usuarios.
Categorías de requisitos regionales para las identidades verificadas de Amazon SES
- Solo en la región
-
Sus grupos de usuarios pueden enviar mensajes de correo electrónico con identidades verificadas al Región de AWS igual que el grupo de usuarios. En la configuración de correo electrónico predeterminada sin una dirección de correo electrónico
FROM
personalizada, Amazon Cognito utiliza una identidad verificadano-reply@verificationemail.com
en la misma región. - Compatible con versiones anteriores
-
Sus grupos de usuarios pueden enviar mensajes de correo electrónico con identidades verificadas en la misma región Región de AWS o en una de las siguientes regiones alternativas:
-
Este de EE. UU. (Norte de Virginia)
-
Oeste de EE. UU. (Oregón)
-
Europa (Irlanda)
Esta característica aporta continuidad a los recursos del grupo de usuarios que pueda haber creado para cumplir los requisitos de Amazon Cognito al lanzar el servicio. Los grupos de usuarios de ese período solo podían enviar mensajes de correo electrónico con identidades verificadas en un número limitado de Regiones de AWS. En la configuración de correo electrónico predeterminada sin una dirección de correo electrónico
FROM
personalizada, Amazon Cognito utiliza una identidad verificadano-reply@verificationemail.com
en la misma región. -
- Región alternativa
-
Sus grupos de usuarios pueden enviar mensajes de correo electrónico con identidades verificadas en una alternativa Región de AWS que se encuentre fuera de la región del grupo de usuarios. Esta configuración se genera cuando Amazon SES no está disponible en una región en la que Amazon Cognito sí lo está.
La política de autorización de envío de Amazon SES para su identidad verificada en la región alternativa debe confiar en la entidad principal de servicio de Amazon Cognito de la región de origen. Para obtener más información, consulte Concesión de permisos para usar la configuración de correo electrónico predeterminada.
En algunas de estas regiones, Amazon Cognito divide los mensajes de correo electrónico entre dos regiones alternativas para la configuración de correo electrónico predeterminada de
COGNITO_DEFAULT
. En estos casos, para usar una dirección de correo electrónicoFROM
predeterminada, la política de autorización de envío de Amazon SES para su identidad verificada en cada región alternativa debe confiar en la entidad principal de servicio de Amazon Cognito de la región de origen. Para obtener más información, consulte Concesión de permisos para usar la configuración de correo electrónico predeterminada. Con la configuración de correo electrónico de Amazon SES deDEVELOPER
en estas regiones, debe usar una identidad verificada en la primera región de la lista y configurarla para que confíe en la entidad principal del servicio de Amazon Cognito en la región del grupo de usuarios. Por ejemplo, en un grupo de usuarios de Medio Oriente (EAU), configure una identidad verificada en Europa (Fráncfort) para que sea de confianza paracognito-idp.me-central-1.amazonaws.com
. En la configuración de correo electrónico predeterminada sin una dirección de correo electrónicoFROM
personalizada, Amazon Cognito utiliza una identidad verificadano-reply@verificationemail.com
en cada región.
nota
En la siguiente combinación de condiciones, debe especificar el SourceArn
parámetro EmailConfigurationcon un comodín en el elemento Región, en el formatoarn:
. Esto permite a su grupo de usuarios enviar mensajes de correo electrónico con identidades verificadas idénticas a las suyas Cuenta de AWS en ambos Regiones de AWS casos.${Partition}
:ses:*:${Account}
:identity/${IdentityName}
-
EmailSendingAccount El tuyo es
COGNITO_DEFAULT
. -
Quiere usar una dirección
FROM
personalizada. -
El grupo de usuarios envía correos electrónicos a una región alternativa.
-
El grupo de usuarios tiene una segunda1 región alternativa especificada en la siguiente tabla de regiones compatibles con Amazon SES.
Si crea un grupo de usuarios mediante programación (con un AWS SDK, la API o CLI de Amazon Cognito, o AWS CloudFormation), su grupo de usuarios AWS CDK envía mensajes de correo electrónico con la identidad de Amazon SES que el SourceArn
parámetro especifica para su grupo de usuarios. EmailConfiguration La identidad de Amazon SES debe ocupar un espacio compatible Región de AWS. Si su EmailSendingAccount
es COGNITO_DEFAULT
y no especifica un parámetro SourceArn
, Amazon Cognito envía mensajes de correo electrónico desde no-reply@verificationemail.com
utilizando recursos de la región donde creó el grupo de usuarios.
En la siguiente tabla se muestra Regiones de AWS dónde puede utilizar las identidades de Amazon SES con Amazon Cognito.
Región del grupo de usuarios | Opción de región | Regiones admitidas de Amazon SES |
---|---|---|
Este de EE. UU. (Norte de Virginia) |
Compatible con versiones anteriores |
Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda) |
Este de EE. UU. (Ohio) |
Compatible con versiones anteriores |
Este de EE. UU. (Ohio), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda) |
Oeste de EE. UU. (Norte de California) |
Solo en la región |
Oeste de EE. UU. (Norte de California) |
Oeste de EE. UU. (Oregón) |
Compatible con versiones anteriores |
Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda) |
Canadá (centro) |
Compatible con versiones anteriores |
Canadá (centro), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda) |
Oeste de Canadá (Calgary) |
Región alternativa |
Canadá (centro), Oeste de EE. UU. (Norte de California)1 |
Asia-Pacífico (Tokio) |
Compatible con versiones anteriores |
Asia-Pacífico (Tokio), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda) |
Asia-Pacífico (Hong Kong) |
Región alternativa |
Asia-Pacífico (Singapur), Asia-Pacífico (Tokio)1 |
Asia-Pacífico (Seúl) |
Compatible con versiones anteriores |
Asia-Pacífico (Seúl), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda) |
Asia-Pacífico (Bombay) |
Compatible con versiones anteriores |
Asia-Pacífico (Bombay), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda) |
Asia-Pacífico (Hyderabad) |
Región alternativa |
Asia-Pacífico (Bombay), Asia-Pacífico (Singapur)1 |
Asia-Pacífico (Singapur) |
Compatible con versiones anteriores |
Asia-Pacífico (Singapur), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda) |
Asia-Pacífico (Sídney) |
Compatible con versiones anteriores |
Asia-Pacífico (Sídney), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda) |
Asia-Pacífico (Osaka) |
Solo en la región |
Asia-Pacífico (Osaka) |
Asia-Pacífico (Yakarta) |
Solo en la región |
Asia-Pacífico (Yakarta) |
Asia-Pacífico (Melbourne) |
Región alternativa |
Asia-Pacífico (Sídney), Asia-Pacífico (Singapur)1 |
Europa (Irlanda) |
Compatible con versiones anteriores |
Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda) |
Europa (Londres) |
Compatible con versiones anteriores |
Europa (Londres), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda) |
Europa (París) |
Solo en la región |
Europa (París) |
Europa (Fráncfort) |
Compatible con versiones anteriores |
Europa (Londres), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda) |
Europa (Zúrich) |
Región alternativa |
Europa (Fráncfort), Europa (Londres)1 |
Europa (Estocolmo) |
Solo en la región |
Europa (Estocolmo) |
Europa (Milán) |
Solo en la región |
Europa (Milán) |
Europa (España) |
Región alternativa |
Europa (París), Europa (Estocolmo)1 |
Medio Oriente (Baréin) |
Solo en la región |
Medio Oriente (Baréin) |
Medio Oriente (EAU) |
Región alternativa |
Europa (Fráncfort), Europa (Londres)1 |
América del Sur (São Paulo) |
Solo en la región |
América del Sur (São Paulo) |
Israel (Tel Aviv) |
Solo en la región |
Israel (Tel Aviv) |
África (Ciudad del Cabo) |
Solo en la región |
África (Ciudad del Cabo) |
1 Se utiliza en grupos de usuarios con la configuración de correo electrónico predeterminada. Amazon Cognito distribuye los mensajes de correo electrónico entre identidades verificadas con la misma dirección de correo electrónico en cada región. Para usar una dirección FROM
personalizada, configure EmailConfiguration
con un parámetro SourceArn
con el formato arn:
.${Partition}
:ses:*:${Account}
:identity/${IdentityName}
Configuración de correo electrónico para el grupo de usuarios
Siga los pasos que se indican a continuación para configurar las opciones de correo electrónico para el grupo de usuarios. Según la configuración que desee utilizar, es posible que deba completar los pasos con Amazon SES, AWS Identity and Access Management (IAM) y Amazon Cognito.
nota
Los recursos que cree en estos pasos no se pueden compartir entre Cuentas de AWS. Por ejemplo, no se puede configurar un grupo de usuarios en una cuenta con una dirección de email de Amazon SES que esté en otra cuenta. Por lo tanto, si utiliza Amazon Cognito en varias cuentas, recuerde repetir estos pasos en cada una de ellas.
Paso 1: Verificar su dirección de correo electrónico con Amazon SES
Antes de configurar su grupo de usuarios, debe verificar una o más direcciones de correo electrónico con Amazon SES si desea realizar alguna de las siguientes acciones:
-
Usar su propia dirección de correo electrónico como dirección de remitente
-
Uso de la configuración de Amazon SES para controlar el envío de correos electrónicos
Al verificar su dirección de correo electrónico, confirma que es la suya, lo que ayuda a evitar el uso no autorizado.
Para obtener más información sobre la verificación de email de Amazon SES, consulte Verificación de direcciones de email en la Guía para desarrolladores de Amazon Simple Email Service. Para obtener más información sobre cómo verificar un dominio con Amazon SES, consulte la sección Verificación de un dominio.
Paso 2: Quitar la cuenta del entorno de pruebas de Amazon SES
Omita este paso si utiliza la configuración de correo electrónico predeterminada de Amazon Cognito.
La primera vez que utilice Amazon SES en una región Región de AWS, estará Cuenta de AWS en el entorno limitado de Amazon SES de esa región. Amazon SES utiliza el entorno aislado para evitar el fraude y el abuso. Si utiliza su configuración de Amazon SES para administrar el envío de correos electrónicos, debe quitar su Cuenta de AWS del entorno aislado para que Amazon Cognito pueda enviar un correo electrónico a sus usuarios.
En el entorno de pruebas, Amazon SES impone restricciones sobre cuántos correos electrónicos puede enviar y a dónde puede enviarlos. Puede enviar correos electrónicos solo a direcciones y dominios que haya verificado con Amazon SES o puede enviarlos a direcciones del simulador de buzón de correo de Amazon SES. Mientras Cuenta de AWS permanezca en la zona de pruebas, no utilice su configuración de Amazon SES para aplicaciones que estén en producción. En esta situación, Amazon Cognito no puede enviar mensajes a las direcciones de correo electrónico de sus usuarios.
Para sacarte Cuenta de AWS del entorno limitado, consulta Cómo salir del entorno limitado de Amazon SES en la Guía para desarrolladores de Amazon Simple Email Service.
Paso 3: Conceder permisos de correo electrónico a Amazon Cognito
Es posible que tenga que conceder permisos específicos a Amazon Cognito para que pueda enviar correos electrónicos a sus usuarios. Los permisos que conceda y el proceso que siga para concederlos dependerán de si usa la configuración predeterminada de correo electrónico o su configuración de Amazon SES.
Ejecute este paso solo si tiene el grupo de usuarios configurado en Enviar correo electrónico con Cognito o ha establecido EmailSendingAccount
en COGNITO_DEFAULT
.
Con la configuración de correo electrónico predeterminada, el grupo de usuarios puede enviar mensajes de correo electrónico con cualquiera de las siguientes direcciones.
-
La dirección
no-reply@verificationemail.com
predeterminada. -
Una dirección FROM personalizada de sus direcciones de correo electrónico o dominios verificados en Amazon SES.
Si utiliza una dirección personalizada, Amazon Cognito necesita otros permisos para poder usar esta dirección con el fin de enviar los email a sus usuarios. Estos permisos se conceden mediante una política de autorización de envío, para la dirección o dominio en Amazon SES. Si utiliza la consola de Amazon Cognito para agregar una dirección personalizada al grupo de usuarios, la política se asoica automáticamente a la dirección de correo electrónico verificada de Amazon SES. Sin embargo, si configura su grupo de usuarios fuera de la consola, por ejemplo, mediante la API AWS CLI o la API de Amazon Cognito, debe adjuntar la política mediante la consola o la PutIdentityPolicyAPI de Amazon SES
nota
Solo puede configurar una dirección FROM en un dominio verificado mediante la AWS CLI o la API de Amazon Cognito.
Una política de autorización de envío permite o deniega el acceso en función de los recursos de la cuenta que utilizan Amazon Cognito para invocar Amazon SES. Para obtener más información sobre las políticas basadas en recursos, consulte la Guía del usuario de IAM. También puede ver ejemplos de políticas basadas en recursos en la Guía para desarrolladores de Amazon SES.
ejemplo Política de autorización de envío
En el siguiente ejemplo, la política de envío de autorización otorga a Amazon Cognito la capacidad limitada de utilizar una identidad verificada de Amazon SES. Amazon Cognito solo puede enviar mensajes de correo electrónico cuando lo hace en nombre del grupo de usuarios en la condición aws:SourceArn
y la cuenta en la condición aws:SourceAccount
.
Para obtener más información sobre la sintaxis de la política, consulte Políticas autorización de envío con Amazon SES en la Guía para desarrolladores de Amazon Simple Email Service.
Para ver más ejemplos, consulte Ejemplos de la política de autorización de envío con Amazon SES en la Guía para desarrolladores de Amazon Simple Email Service.
Si configura su grupo de usuarios para utilizar su configuración de Amazon SES, Amazon Cognito necesita otros permisos para llamar a Amazon SES en su nombre cuando envía un correo electrónico a sus usuarios. Esta autorización se concede con el servicio de IAM.
Al configurar su grupo de usuarios con esta opción, Amazon Cognito crea un rol vinculado al servicio, que es un tipo de rol de IAM, en su Cuenta de AWS. En este rol se incluyen los permisos para que Amazon Cognito acceda a Amazon SES y envíe correos electrónicos con su dirección.
Amazon Cognito crea su función vinculada al servicio con AWS las credenciales de la sesión de usuario que establece la configuración. Los permisos de IAM de esta sesión deben incluir la acción iam:CreateServiceLinkedRole
. Para obtener más información sobre los permisos en IAM, consulte la administración del acceso a AWS los recursos en la Guía del usuario de IAM.
Para obtener más información acerca del rol vinculado al servicio que crea Amazon Cognito, consulte Uso de roles vinculados a servicios para Amazon Cognito.
Paso 4: Configurar el nodo grupo de usuarios
Realice los siguientes pasos si desea configurar el grupo de usuarios con cualquiera de los siguientes elementos:
-
Una dirección de remitente personalizada que aparece como el remitente del correo electrónico
-
Una dirección de destinatario personalizada que recibe los mensajes que sus usuarios envían a su dirección de remitente.
-
Su configuración de Amazon SES
nota
Si su identidad verificada es una dirección de correo electrónico, Amazon Cognito establece esa dirección de correo electrónico como la dirección de correo electrónico DE y RESPUESTA forma predeterminada. Sin embargo, si su identidad verificada es un dominio, debe proporcionar un valor para las direcciones de correo electrónico FROM.
Omita este procedimiento si desea utilizar la configuración y la dirección de correo electrónico predeterminadas de Amazon Cognito.
Para configurar el grupo de usuarios de modo que use una dirección de email personalizada
-
Vaya a la consola de Amazon Cognito
. Si se le solicita, introduzca sus credenciales. AWS -
Elija User Pools (Grupos de usuarios).
-
Elija en la lista un usuario existente.
-
Elija el menú Métodos de autenticación, busque la configuración del correo electrónico y seleccione Editar.
-
En la páginaEditar la configuración de correopágina, seleccioneEnviar correo electrónico desde Amazon SESoEnviar correo electrónico con Amazon Cognito. Puede personalizar laRegión SES,Conjunto de configuración, yFROM remitente namesolo cuando elijasEnviar correo electrónico desde Amazon SES.
-
Para utilizar una dirección FROM personalizada, siga los pasos que se describen a continuación:
-
En SES region (Región de SES), elija la Región que contiene la dirección de email verificada.
-
En FROM email address (Dirección de correo electrónico del remitente) elija su dirección de correo electrónico. Use una dirección de correo electrónico verificada con Amazon SES.
-
(Opcional) En Configuration set (Conjunto de configuración), elija un conjunto de configuración para utilizarlo con Amazon SES. Si realiza y guarda este cambio, se crea un rol vinculado al servicio.
-
(Opcional) EnFROM remitente address, introduzca una dirección de correo electrónico. Puede proporcionar solo la dirección de email o la dirección de email junto con un nombre en el formato
Jane Doe <janedoe@example.com>
. -
(Opcional) En REPLY-TO email address (RESPONER-A dirección de email), ingrese la dirección de email en la que desea recibir los mensajes que sus usuarios envían a la dirección de remitente.
-
-
Elija Guardar cambios.
Temas relacionados