SMSconfiguración de mensajes para grupos de usuarios de Amazon Cognito - Amazon Cognito

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

SMSconfiguración de mensajes para grupos de usuarios de Amazon Cognito

Algunos eventos de Amazon Cognito para su grupo de usuarios pueden provocar que Amazon Cognito SMS envíe mensajes de texto a sus usuarios. Por ejemplo, si configuras tu grupo de usuarios para que requiera la verificación por teléfono, Amazon Cognito enviará un mensaje de SMS texto cuando un usuario registre una nueva cuenta en tu aplicación o restablezca su contraseña. Según la acción que inicie el mensaje de SMS texto, el mensaje contiene un código de verificación, una contraseña temporal o un mensaje de bienvenida.

Amazon Cognito utiliza Amazon Simple Notification Service SNS (Amazon) para la entrega de SMS mensajes de texto. Si envía un mensaje de texto a través de Amazon Cognito o Amazon SNS por primera vez, Amazon lo SNS coloca en un entorno aislado. En el entorno sandbox, puede probar sus aplicaciones para SMS detectar mensajes de texto. En el entorno de pruebas, los mensajes solo se pueden enviar a números de teléfono verificados.

Amazon SNS cobra por los mensajes de SMS texto. Para obtener más información, consulta los SNSprecios de Amazon.

nota

Debido al volumen de SMS tráfico no solicitado en todo el mundo, algunos gobiernos imponen barreras entre el remitente y el destinatario de los mensajes. SMS Cuando utilices SMS mensajes MFA y actualizaciones para los usuarios, debes tomar medidas adicionales para garantizar que tus mensajes se entreguen. También debes supervisar SMS-message-related las normativas de los países en los que puedan residir tus usuarios y mantener actualizada la configuración de tus SMS mensajes. Para obtener más información, consulte Mensajería de texto móvil (SMS) en la Guía para desarrolladores de Amazon Simple Notification Service.

El uso de SMS mensajes para autenticar y verificar a los usuarios no es una práctica recomendada de seguridad. Los números de teléfono pueden cambiar de propietario y es posible que no representen de forma fiable algo que usted tenga en cuenta MFA para sus usuarios. En su lugar, TOTP MFA impleméntelo en su aplicación o con su IdP de terceros. Además, puede crear factores adicionales de autenticación personalizados con Desencadenadores de Lambda de desafío de autenticación personalizado.

Amazon Cognito envía SMS mensajes a sus usuarios con un código que pueden introducir. En la siguiente tabla se muestran los eventos que pueden generar un SMS mensaje.

Opciones de mensajes

Actividad APIoperación Opciones de entrega Opciones de formato Personalizable Plantilla de mensaje
¿Ha olvidado su contraseña ForgotPassword, AdminResetUserPassword Correo electrónico, SMS Código No N/A
Invitación AdminCreateUser Correo electrónico, SMS Código Mensaje de invitación
Autorregistro SignUp, ResendConfirmationCode Correo electrónico, SMS código, enlace Mensaje de verificación
Verificación de dirección de correo electrónico o número de teléfono UpdateUserAttributes, AdminUpdateUserAttributes, GetUserAttributeVerificationCode Correo electrónico, SMS Código Mensaje de verificación
Autenticación multifactorial () MFA AdminInitiateAuth, InitiateAuth SMS, aplicación de autenticación Código Sí¹ MFAmensaje

¹ Para SMS mensajes.

Configuración de la SMS mensajería por primera vez en los grupos de usuarios de Amazon Cognito

Amazon Cognito usa Amazon para enviar SMS mensajes SNS a sus grupos de usuarios. También puede usar a Activador SMS Lambda de remitente personalizado para usar sus propios recursos para enviar SMS mensajes. La primera vez que configuras Amazon SNS para enviar mensajes de SMS texto en una región determinada Región de AWS, Amazon te SNS coloca Cuenta de AWS en el SMS entorno limitado de esa región. Amazon SNS utiliza el entorno limitado para evitar el fraude y el abuso y para cumplir con los requisitos de conformidad. Cuando estás en Cuenta de AWS un entorno de pruebas, Amazon SNS impone algunas restricciones. Por ejemplo, puedes enviar mensajes de texto a un máximo de 10 números de teléfono que hayas verificado con AmazonSNS. Mientras estés Cuenta de AWS en el entorno limitado, no utilices tu SNS configuración de Amazon para aplicaciones que estén en producción. Cuando se encuentra en el entorno de pruebas, Amazon Cognito no puede enviar mensajes a los números de teléfono de sus usuarios.

Prepare una IAM función que Amazon Cognito pueda utilizar para enviar SMS mensajes con Amazon SNS

Cuando envía un SMS mensaje desde su grupo de usuarios, Amazon Cognito asume una IAM función en su cuenta. Amazon Cognito utiliza el sns:Publish permiso asignado a esa función para enviar SMS mensajes a los usuarios. En la consola de Amazon Cognito, puede configurar una selección de IAM roles en la pestaña Mensajería de su grupo de usuarios SMSo realizar esta selección durante el asistente de creación del grupo de usuarios.

El siguiente ejemplo de política de confianza de IAM roles otorga a los grupos de usuarios de Amazon Cognito una capacidad limitada para asumir el rol. Amazon Cognito solo puede asumir la función si cumple las siguientes condiciones:

  • La operación de asumir el rol se realiza en nombre del grupo de usuarios de la condición. aws:SourceArn

  • La operación de asumir el rol se realiza en nombre de un grupo de usuarios Cuenta de AWS establecido en la condición. aws:SourceAccount

  • La operación de asumir un rol incluye el identificador externo en la condición. sts:externalId

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "cognito-idp.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:cognito-idp:us-west-2:111122223333:userpool/us-west-2_EXAMPLE" } } } ] }

Puede especificar un grupo de usuarios exacto ARN o un comodín ARN en el valor de la condición. aws:SourceArn Busque sus grupos ARNs de usuarios en el AWS Management Console o con una DescribeUserPoolAPIsolicitud.

Para enviar SMS mensajes para la autenticación multifactorial, la política de confianza de los IAM roles debe tener una sts:ExternalId condición. El valor de esta condición debe coincidir con la ExternalId propiedad de su grupo SmsConfigurationde usuarios. Cuando crea un IAM rol durante el proceso de creación del grupo de usuarios en la consola de Amazon Cognito, Amazon Cognito le configura el ID externo en el rol y en la configuración del grupo de usuarios. Esto no es cierto cuando se utiliza un rol existente. IAM

Debe actualizar el ExternalId parámetro del grupo de usuarios en una UpdateUserPoolAPIsolicitud y actualizar la política de confianza de IAM roles con una sts:externalId condición con el mismo valor. Para obtener información sobre cómo utilizarla API para actualizar un grupo de usuarios de forma que se conserve la configuración original, consulteActualización de la configuración del grupo de usuarios y del cliente de aplicaciones.

Para obtener más información sobre las IAM funciones y las políticas de confianza, consulte los términos y conceptos de las funciones en la Guía del AWS Identity and Access Management usuario.

Elige el Región de AWS para los SNS SMS mensajes de Amazon

En algunas Regiones de AWS, puede elegir la región que contiene los SNS recursos de Amazon que quiere usar para los mensajes de Amazon CognitoSMS. En cualquier Región de AWS lugar donde Amazon Cognito esté disponible, excepto en Asia Pacífico (Seúl), puede utilizar SNS los recursos de Amazon en el Región de AWS lugar donde creó su grupo de usuarios. Para que tus SMS mensajes sean más rápidos y fiables cuando puedas elegir entre regiones, utiliza SNS los recursos de Amazon en la misma región que tu grupo de usuarios.

nota

En AWS Management Console, solo puede cambiar la región de los SMS recursos después de cambiarse a la nueva experiencia de consola de Amazon Cognito.

Elija una región para SMS los recursos en el paso Configurar la entrega de mensajes del asistente para el nuevo grupo de usuarios. También puede seleccionar Editar SMSen la pestaña Mensajes de un grupo de usuarios existente.

En el momento del lanzamiento Regiones de AWS, Amazon Cognito envió SMS mensajes con SNS recursos de Amazon en una región alternativa. Para establecer su región preferida, utilice el SnsRegion parámetro del SmsConfigurationTypeobjeto para su grupo de usuarios. Si crea mediante programación un recurso de grupos de usuarios de Amazon Cognito en una región de Amazon Cognito a partir de la siguiente tabla y no proporciona ningún parámetro, su grupo de usuarios puede enviar SMS mensajes con los SNS recursos de Amazon de SnsRegion una región de Amazon antigua. SNS

Los grupos de usuarios de Amazon Cognito en Asia Pacífico (Seúl) Región de AWS deben usar su SNS configuración de Amazon en la región Asia Pacífico (Tokio).

Amazon SNS establece la cuota de gasto para todas las cuentas nuevas en 1,00$ (USD) al mes. Es posible que haya aumentado el límite de gasto en uno Región de AWS que utiliza con Amazon Cognito. Antes de cambiar el SNS SMS mensaje Región de AWS por Amazon, abre un caso de aumento de cuota en el AWS Support Center para aumentar tu límite en la nueva región. Para obtener más información, consulta Cómo solicitar aumentos de tu cuota de SMS gastos mensuales para Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

Puedes enviar SMS mensajes a cualquier región de Amazon Cognito de la siguiente tabla con los SNS recursos de Amazon de la región de Amazon SNS correspondiente.

Región de Amazon Cognito SNSRegión Amazon

Este de EE. UU. (Ohio)

EE. UU. Este (Ohio), EE. UU. Este (Norte de Virginia)

Este de EE. UU. (Norte de Virginia)

Este de EE. UU. (Norte de Virginia)

Oeste de EE. UU. (Norte de California)

Oeste de EE. UU. (Norte de California)

Oeste de EE. UU. (Oregón)

Oeste de EE. UU. (Oregón)

Canadá (centro)

Canadá (centro), este de EE. UU. (Norte de Virginia)

Oeste de Canadá (Calgary)

Oeste de Canadá (Calgary)

Europa (Fráncfort)

Europa (Fráncfort), Europa (Irlanda)

Europa (Londres)

Europa (Londres), Europa (Irlanda)

Europa (Irlanda)

Europa (Irlanda)

Europa (París)

Europa (París)

Europa (Estocolmo)

Europa (Estocolmo)

Europa (Milán)

Europa (Milán)

Europa (España)

Europa (España)

Europa (Zúrich)

Europa (Zúrich)

Asia Pacific (Bombay)

Asia Pacífico (Mumbai), Asia Pacífico (Singapur)

Asia-Pacífico (Hyderabad)

Asia-Pacífico (Hyderabad)

Asia-Pacífico (Hong Kong)

Asia-Pacífico (Singapur)

Asia-Pacífico (Seúl)

Asia-Pacífico (Tokio)

Asia-Pacífico (Singapur)

Asia-Pacífico (Singapur)

Asia-Pacífico (Sídney)

Asia-Pacífico (Sídney)

Asia-Pacífico (Tokio)

Asia-Pacífico (Tokio)

Asia-Pacífico (Yakarta)

Asia-Pacífico (Yakarta)

Asia-Pacífico (Osaka)

Asia-Pacífico (Osaka)

Asia-Pacífico (Melbourne)

Asia-Pacífico (Melbourne)

Medio Oriente (Baréin)

Medio Oriente (Baréin)

Medio Oriente (UAE)

Oriente Medio (UAE)

América del Sur (São Paulo)

América del Sur (São Paulo)

Israel (Tel Aviv)

Israel (Tel Aviv)

África (Ciudad del Cabo)

África (Ciudad del Cabo)

Obtenga una identidad de origen para enviar SMS mensajes a números de teléfono de EE. UU.

Si planea enviar mensajes de SMS texto a números de teléfono de EE. UU., debe obtener una identidad de origen, independientemente de si crea un entorno de pruebas SMS aislado o un entorno de producción.

A partir del 1 de junio de 2021, los operadores estadounidenses exigen una identidad de origen para enviar mensajes a números de teléfono de EE. UU. Si no dispone de una identidad de origen, debe obtener una. Para saber cómo obtener una identidad de origen, consulte Solicitud de un número en la Guía del usuario de Amazon Pinpoint.

Si opera de la siguiente manera Regiones de AWS, debe abrir un AWS Support ticket para obtener una identidad de origen. Para obtener instrucciones, consulte Solicitud de asistencia para la SMS mensajería en la Guía para desarrolladores de Amazon Simple Notification Service.

  • Este de EE. UU. (Ohio)

  • Europa (Estocolmo)

  • Europa (París)

  • Europa (Milán)

  • Middle East (Bahrain)

  • América del Sur (São Paulo)

  • Oeste de EE. UU. (Norte de California)

Si tienes más de una identidad de origen en la misma Región de AWS, Amazon SNS elige un tipo de identidad de origen en el siguiente orden de prioridad: código corto, 10DLC, número gratuito. No puede cambiar este valor. Para obtener más información, consulta Amazon SNS FAQs.

Confirma que estás en la zona de SMS pruebas

Utilice el siguiente procedimiento para confirmar que se encuentra en la zona de SMS pruebas. Repita el procedimiento para cada uno de los Región de AWS lugares en los que tenga grupos de usuarios de Amazon Cognito de producción.

Para confirmar que se encuentra en la zona de pruebas SMS
  1. Vaya a la consola de Amazon Cognito. Si se le solicita, escriba sus credenciales de AWS .

  2. ElegirUser Pools (Grupos de usuarios).

  3. Elija en la lista un usuario existente.

  4. Elija el iconoMensajeríapestaña.

  5. En la sección SMSde configuración, expanda Move to Amazon SNS Production Environment. Si tu cuenta está en el SMS entorno limitado, verás el siguiente mensaje:

    You are currently in the SMS Sandbox and cannot send SMS messages to unverified numbers.

    Si no ves este mensaje, significa que alguien ya ha configurado SMS los mensajes en tu cuenta. Vaya a Completar la configuración del grupo de usuarios en Amazon Cognito.

  6. Selecciona el SNS enlace de Amazon en el mensaje. Esto abre la SNS consola de Amazon en una pestaña nueva.

  7. Compruebe que se encuentre en el entorno de pruebas. El mensaje de la consola indica el estado de tu sandbox y Región de AWS, de la siguiente manera:

    This account is in the SMS sandbox in US East (N. Virginia).

Saca tu cuenta del entorno de pruebas de SNS Amazon

Si estás probando la aplicación y solo necesitas enviar SMS mensajes a números de teléfono que los administradores puedan verificar, omite este paso.

Para usar tu aplicación en producción, mueve tu cuenta del SMS entorno limitado a la de producción. Una vez que haya configurado una identidad de origen en la Región de AWS que figuren los SNS recursos de Amazon que desea que utilice Amazon Cognito, podrá verificar los números de teléfono de EE. UU. mientras permanece en SMS la Cuenta de AWS zona de pruebas. Cuando su SNS entorno de Amazon está en producción, no tiene que verificar los números de teléfono de los usuarios en Amazon SNS para enviar SMS mensajes a sus usuarios.

Para obtener instrucciones detalladas, consulte Cómo salir del SMS entorno aislado en la guía para desarrolladores de Amazon Simple Notification Service.

Verificar los números de teléfono de Amazon Cognito en Amazon SNS

Si ha sacado su cuenta de la zona de SMS pruebas, omita este paso.

Cuando estés en la zona SMS de pruebas, podrás enviar mensajes a cualquier número de teléfono que hayas verificado con AmazonSNS.

Para verificar un número de teléfono, haga lo siguiente:

  1. Añade un número de teléfono de destino de Sandbox en la sección Mensajes de texto (SMS) de la SNS consola de Amazon.

  2. Recibe un SMS mensaje con un código en el número de teléfono que proporcionaste.

  3. Introduce el código de verificación que SMS aparece en el mensaje de la SNS consola de Amazon.

Para obtener instrucciones detalladas, consulte Añadir y verificar números de teléfono en el entorno limitado en SMS la Guía para desarrolladores de Amazon Simple Notification Service.

nota

Amazon SNS limita la cantidad de números de teléfono de destino que puedes verificar mientras estás en la zona de SMS pruebas. Consulte SMSsandbox en la Guía para desarrolladores de Amazon Simple Notification Service.

Completar la configuración del grupo de usuarios en Amazon Cognito

Vuelva a la pestaña del navegador donde estaba creando o editando su grupo de usuarios. Complete el procedimiento . Cuando haya agregado correctamente la SMS configuración a su grupo de usuarios, Amazon Cognito enviará un mensaje de prueba a un número de teléfono interno para comprobar que la configuración funciona. Amazon SNS cobra por cada SMS mensaje de prueba.