SMSparamètres des messages pour les groupes d'utilisateurs Amazon Cognito - Amazon Cognito
Configuration de la SMS messagerie pour la première fois dans les groupes d'utilisateurs Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

SMSparamètres des messages pour les groupes d'utilisateurs Amazon Cognito

Certains événements Amazon Cognito relatifs à votre groupe d'utilisateurs peuvent amener Amazon Cognito à SMS envoyer des SMS à vos utilisateurs. Par exemple, si vous configurez votre groupe d'utilisateurs pour exiger une vérification par téléphone, Amazon Cognito envoie un SMS SMS lorsqu'un utilisateur crée un nouveau compte dans votre application ou réinitialise son mot de passe. Selon l'action à l'origine du message SMS texte, celui-ci contient un code de vérification, un mot de passe temporaire ou un message de bienvenue.

Amazon Cognito utilise Amazon Simple Notification Service SNS (Amazon) pour l'envoi de SMS SMS. Si vous envoyez un SMS via Amazon Cognito ou Amazon SNS pour la première fois, Amazon vous SNS place dans un environnement sandbox. Dans l'environnement sandbox, vous pouvez tester vos applications pour détecter les messages SMS texte. Dans l'environnement de test (sandbox), les messages ne peuvent être envoyés qu'à des numéros de téléphone vérifiés.

Amazon SNS facture les SMS SMS. Pour plus d'informations, consultez les SNStarifs Amazon.

Note

En raison du volume de SMS trafic non sollicité dans le monde entier, certains gouvernements imposent des barrières entre les expéditeurs et les destinataires des messages. SMS Lorsque vous utilisez SMS des messages pour MFA des mises à jour destinées aux utilisateurs, vous devez prendre des mesures supplémentaires pour garantir la remise de vos messages. Vous devez également surveiller les SMS-message-related réglementations en vigueur dans les pays dans lesquels vos utilisateurs peuvent vivre et actualiser la configuration de vos SMS messages. Pour plus d'informations, consultez la section Messagerie texte mobile (SMS) dans le guide du développeur Amazon Simple Notification Service.

L'utilisation de SMS messages pour authentifier et vérifier les utilisateurs n'est pas une bonne pratique en matière de sécurité. Les numéros de téléphone peuvent changer de propriétaire et peuvent ne pas représenter de manière fiable un élément que vous considérez MFA pour vos utilisateurs. Implémentez plutôt TOTP MFA dans votre application ou avec votre IdP tiers. Vous pouvez également créer des facteurs d'authentification supplémentaires personnalisés avec Déclencheurs Lambda création d'une stimulation d'authentification personnalisée.

Amazon Cognito envoie SMS des messages à vos utilisateurs avec un code qu'ils peuvent saisir. Le tableau suivant indique les événements qui peuvent générer un SMS message.

Options de message

Activité APIopération Options de livraison Options de format Personnalisable Modèle de message
Mot de passe oublié ForgotPassword, AdminResetUserPassword Courrier électronique, SMS code Non N/A
Invitation AdminCreateUser Courrier électronique, SMS code Oui Message d'invitation
Auto-enregistrement SignUp, ResendConfirmationCode Courrier électronique, SMS code, lien Oui Message de vérification
Vérification de l'adresse e-mail ou du numéro de téléphone UpdateUserAttributes, AdminUpdateUserAttributes, GetUserAttributeVerificationCode Courrier électronique, SMS code Oui Message de vérification
Authentification multifactorielle () MFA AdminInitiateAuth, InitiateAuth SMS, application d'authentification code Oui¹ MFAmessage

¹ Pour les SMS messages.

Configuration de la SMS messagerie pour la première fois dans les groupes d'utilisateurs Amazon Cognito

Amazon Cognito utilise Amazon SNS pour envoyer SMS des messages à vos groupes d'utilisateurs. Vous pouvez également utiliser un SMSDéclencheur Lambda d'expéditeur personnalisé pour utiliser vos propres ressources pour envoyer SMS des messages. La première fois que vous configurez Amazon SNS pour envoyer des SMS SMS dans une région donnée Région AWS, Amazon vous SNS place Compte AWS dans le SMS bac à sable de cette région. Amazon SNS utilise le bac à sable pour prévenir les fraudes et les abus et pour répondre aux exigences de conformité. Lorsque vous Compte AWS êtes dans le bac à sable, Amazon SNS impose certaines restrictions. Par exemple, vous pouvez envoyer des SMS à un maximum de 10 numéros de téléphone que vous avez vérifiés auprès d'AmazonSNS. Tant que Compte AWS vous êtes dans le sandbox, n'utilisez pas votre SNS configuration Amazon pour les applications en production. Lorsque vous êtes dans l'environnement de test (sandbox), Amazon Cognito ne peut pas envoyer de SMS aux numéros de téléphone de vos utilisateurs.

Pour envoyer des SMS SMS aux utilisateurs du groupe d'utilisateurs

  1. Préparez un IAM rôle qu'Amazon Cognito peut utiliser pour envoyer SMS des messages avec Amazon SNS

  2. Choisissez le Région AWS pour les SNS SMS messages Amazon

  3. Obtenir une identité d'origine pour envoyer SMS des messages à des numéros de téléphone américains

  4. Confirmez que vous êtes dans le SMS bac à sable

  5. Déplacez votre compte hors du SNS sandbox d'Amazon

  6. Vérifier les numéros de téléphone d'Amazon Cognito sur Amazon SNS

  7. Terminer la configuration du groupe d'utilisateurs dans Amazon Cognito

Préparez un IAM rôle qu'Amazon Cognito peut utiliser pour envoyer SMS des messages avec Amazon SNS

Lorsque vous envoyez un SMS message depuis votre groupe d'utilisateurs, Amazon Cognito IAM joue un rôle dans votre compte. Amazon Cognito utilise l'sns:Publishautorisation attribuée à ce rôle pour envoyer SMS des messages à vos utilisateurs. Dans la console Amazon Cognito, vous pouvez définir une sélection de IAM rôles depuis l'onglet Messagerie de votre groupe d'utilisateurs, SMSou effectuer cette sélection pendant l'assistant de création du groupe d'utilisateurs.

L'exemple suivant de politique de confiance IAM dans les rôles accorde aux groupes d'utilisateurs Amazon Cognito une capacité limitée à assumer ce rôle. Amazon Cognito ne peut assumer le rôle que s'il répond aux conditions suivantes :

  • L'opération assume-rôle est effectuée pour le compte du groupe d'utilisateurs concernés par la aws:SourceArn condition.

  • L'opération d'assume-rôle est effectuée pour le compte d'un groupe d'utilisateurs Compte AWS défini par la aws:SourceAccount condition.

  • L'opération de prise de rôle inclut l'ID externe dans la sts:externalId condition.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": "cognito-idp.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:cognito-idp:us-west-2:111122223333:userpool/us-west-2_EXAMPLE"
                }
            }
        }
    ]
}

Vous pouvez spécifier un groupe d'utilisateurs exact ARN ou un caractère générique ARN dans la valeur de la aws:SourceArn condition. Recherchez vos groupes d'utilisateurs dans AWS Management Console ou avec une DescribeUserPoolAPIdemande. ARNs

Pour envoyer SMS des messages à des fins d'authentification multifactorielle, votre politique de confiance IAM dans les rôles doit comporter une sts:ExternalId condition. La valeur de cette condition doit correspondre à la ExternalId propriété SmsConfigurationde votre groupe d'utilisateurs. Lorsque vous créez un IAM rôle pendant le processus de création du groupe d'utilisateurs dans la console Amazon Cognito, Amazon Cognito configure l'ID externe pour vous dans le rôle et dans les paramètres du groupe d'utilisateurs. Cela n'est pas vrai lorsque vous utilisez un IAM rôle existant.

Vous devez mettre à jour le ExternalId paramètre du groupe d'utilisateurs dans une UpdateUserPoolAPIdemande et mettre à jour la politique de confiance des IAM rôles avec une sts:externalId condition ayant la même valeur. Pour savoir comment utiliser le API pour mettre à jour un groupe d'utilisateurs tout en préservant la configuration d'origine, voirMise à jour de la configuration du pool d'utilisateurs et du client d'applications.

Pour plus d'informations sur IAM les rôles et les politiques de confiance, consultez la section Termes et concepts relatifs aux rôles dans le Guide de AWS Identity and Access Management l'utilisateur.

Choisissez le Région AWS pour les SNS SMS messages Amazon

Dans certains Régions AWS cas, vous pouvez choisir la région qui contient les SNS ressources Amazon que vous souhaitez utiliser pour les messages Amazon CognitoSMS. Partout Région AWS où Amazon Cognito est disponible, à l'exception de la région Asie-Pacifique (Séoul), vous pouvez utiliser les SNS ressources Amazon Région AWS là où vous avez créé votre groupe d'utilisateurs. Pour rendre votre SMS messagerie plus rapide et plus fiable lorsque vous avez le choix entre plusieurs régions, utilisez les SNS ressources Amazon de la même région que votre groupe d'utilisateurs.

Note

Dans le AWS Management Console, vous ne pouvez modifier la région des SMS ressources qu'une fois que vous êtes passé à la nouvelle expérience de console Amazon Cognito.

Choisissez une région pour les SMS ressources à l'étape Configurer la livraison des messages de l'assistant du nouveau groupe d'utilisateurs. Vous pouvez également sélectionner Modifier SMSdans l'onglet Messagerie d'un groupe d'utilisateurs existant.

Lors du lancement, pour certains Régions AWS, Amazon Cognito a envoyé SMS des messages contenant des SNS ressources Amazon dans une autre région. Pour définir votre région préférée, utilisez le SnsRegion paramètre de l'SmsConfigurationTypeobjet de votre groupe d'utilisateurs. Lorsque vous créez par programmation une ressource de pool d'utilisateurs Amazon Cognito dans une région Amazon Cognito à partir du tableau suivant et que vous ne fournissez aucun paramètre, votre groupe SnsRegion d'utilisateurs peut envoyer SMS des messages contenant les SNS ressources Amazon d'une ancienne région Amazon. SNS

Les groupes d'utilisateurs Amazon Cognito en Asie-Pacifique (Séoul) Région AWS doivent utiliser votre SNS configuration Amazon dans la région Asie-Pacifique (Tokyo).

Amazon SNS fixe le quota de dépenses pour tous les nouveaux comptes à 1,00$ (USD) par mois. Vous avez peut-être augmenté votre limite de dépenses dans un produit Région AWS que vous utilisez avec Amazon Cognito. Avant de modifier les SNS SMS messages Région AWS destinés à Amazon, ouvrez une demande d'augmentation de quota dans le Centre de AWS Support afin d'augmenter votre limite dans la nouvelle région. Pour plus d'informations, consultez la section Demande d'augmentation de votre quota de SMS dépenses mensuel pour Amazon SNS dans le guide du développeur Amazon Simple Notification Service.

Vous pouvez envoyer SMS des messages pour n'importe quelle région Amazon Cognito dans le tableau suivant avec les SNS ressources Amazon de la région Amazon SNS correspondante.

Région Amazon Cognito SNSRégion Amazon

USA Est (Ohio)

USA Est (Ohio), USA Est (Virginie du Nord)

USA Est (Virginie du Nord)

USA Est (Virginie du Nord)

USA Ouest (Californie du Nord)

USA Ouest (Californie du Nord)

US West (Oregon)

USA Ouest (Oregon)

Canada (Centre)

Canada (Centre), USA Est (Virginie du Nord)

Canada Ouest (Calgary)

Canada Ouest (Calgary)

Europe (Francfort)

Europe (Francfort), Europe (Irlande)

Europe (Londres)

Europe (Londres), Europe (Irlande)

Europe (Irlande)

Europe (Irlande)

Europe (Paris)

Europe (Paris)

Europe (Stockholm)

Europe (Stockholm)

Europe (Milan)

Europe (Milan)

Europe (Espagne)

Europe (Espagne)

Europe (Zurich)

Europe (Zurich)

Asie-Pacifique (Mumbai)

Asie-Pacifique (Mumbai), Asie-Pacifique (Singapour)

Asie-Pacifique (Hyderabad)

Asie-Pacifique (Hyderabad)

Asie-Pacifique (Hong Kong)

Asie-Pacifique (Singapour)

Asie-Pacifique (Séoul)

Asie-Pacifique (Tokyo)

Asie-Pacifique (Singapour)

Asie-Pacifique (Singapour)

Asie-Pacifique (Sydney)

Asie-Pacifique (Sydney)

Asia Pacific (Tokyo)

Asie-Pacifique (Tokyo)

Asie-Pacifique (Jakarta)

Asie-Pacifique (Jakarta)

Asie-Pacifique (Osaka)

Asie-Pacifique (Osaka)

Asie-Pacifique (Melbourne)

Asie-Pacifique (Melbourne)

Moyen-Orient (Bahreïn)

Moyen-Orient (Bahreïn)

Moyen-Orient (UAE)

Moyen-Orient (UAE)

Amérique du Sud (São Paulo)

Amérique du Sud (São Paulo)

Israël (Tel Aviv)

Israël (Tel Aviv)

Afrique (Le Cap)

Afrique (Le Cap)

Obtenir une identité d'origine pour envoyer SMS des messages à des numéros de téléphone américains

Si vous envisagez d'envoyer des SMS SMS à des numéros de téléphone américains, vous devez obtenir une identité d'origine, que vous créiez un environnement de test SMS sandbox ou un environnement de production.

Depuis le 1er juin 2021, les opérateurs aux État-Unis exigent une identité d'origine pour envoyer des messages à des numéros de téléphone aux État-Unis. Si vous ne disposez pas encore d'une identité d'origine, vous devez en obtenir une. Pour savoir comment obtenir une identité d'origine, consultez Demande de numéro dans le Guide de l'utilisateur Amazon Pinpoint.

Si vous opérez dans les pays suivants Régions AWS, vous devez ouvrir un AWS Support ticket pour obtenir une identité d'origine. Pour obtenir des instructions, consultez la section Demande d'assistance pour la SMS messagerie dans le manuel Amazon Simple Notification Service Developer Guide.

  • USA Est (Ohio)

  • Europe (Stockholm)

  • Europe (Paris)

  • Europe (Milan)

  • Middle East (Bahrain)

  • Amérique du Sud (Sao Paulo)

  • USA Ouest (Californie du Nord)

Lorsque vous avez plusieurs identités d'origine identiques Région AWS, Amazon SNS choisit un type d'identité d'origine dans l'ordre de priorité suivant : code abrégé, 10DLC, numéro gratuit. Vous ne pouvez pas modifier cette priorité. Pour plus d'informations, consultez Amazon SNS FAQs.

Confirmez que vous êtes dans le SMS bac à sable

Suivez la procédure ci-dessous pour vérifier que vous êtes bien dans le SMS bac à sable. Répétez cette procédure pour Région AWS chaque groupe d'utilisateurs Amazon Cognito en production.

Pour confirmer que vous êtes bien dans le SMS bac à sable

  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, saisissez vos informations d’identification AWS .

  2. Choisissez Groupes d'utilisateurs.

  3. Choisissez un groupe d'utilisateurs dans la liste.

  4. Choisissez l'onglet Messaging (Messagerie).

  5. Dans la section SMSde configuration, développez l'environnement de SNS production Move to Amazon. Si votre compte se trouve dans le SMS sandbox, le message suivant s'affichera :

    You are currently in the SMS Sandbox and cannot send SMS messages to unverified numbers.

    Si ce message ne s'affiche pas, cela signifie que quelqu'un a déjà configuré SMS les messages dans votre compte. Passez à Terminer la configuration du groupe d'utilisateurs dans Amazon Cognito.

  6. Choisissez le SNS lien Amazon dans le message. Cela ouvre la SNS console Amazon dans un nouvel onglet.

  7. Vérifiez que vous vous trouvez dans l'environnement de test (sandbox). Le message de console indique l'état de votre sandbox et Région AWS, comme suit :

    This account is in the SMS sandbox in US East (N. Virginia).

Déplacez votre compte hors du SNS sandbox d'Amazon

Si vous testez votre application et que vous devez uniquement envoyer SMS des messages à des numéros de téléphone que vos administrateurs peuvent vérifier, ignorez cette étape.

Pour utiliser votre application en production, déplacez votre compte hors du SMS sandbox vers le mode production. Après avoir configuré une identité d'origine dans le fichier contenant les SNS ressources Amazon Région AWS que vous souhaitez qu'Amazon Cognito utilise, vous pouvez vérifier les numéros de téléphone américains pendant que Compte AWS vous êtes dans SMS le sandbox. Lorsque votre SNS environnement Amazon est en production, vous n'avez pas besoin de vérifier les numéros de téléphone des utilisateurs sur Amazon SNS pour envoyer SMS des messages à vos utilisateurs.

Pour obtenir des instructions détaillées, consultez Moving Out of the SMS Sandbox dans le guide du développeur Amazon Simple Notification Service.

Vérifier les numéros de téléphone d'Amazon Cognito sur Amazon SNS

Si vous avez retiré votre compte du SMS bac à sable, ignorez cette étape.

Lorsque vous êtes dans le SMS bac à sable, vous pouvez envoyer des messages à n'importe quel numéro de téléphone que vous avez vérifié auprès d'AmazonSNS.

Pour vérifier un numéro de téléphone, procédez comme suit :

  1. Ajoutez un numéro de téléphone de destination Sandbox dans la section SMS (SMS) de la SNS console Amazon.

  2. Recevez un SMS message contenant un code au numéro de téléphone que vous avez indiqué.

  3. Entrez le code de vérification indiqué dans le SMS message dans la SNS console Amazon.

Pour obtenir des instructions détaillées, consultez la section Ajouter et vérifier des numéros de téléphone dans le SMS sandbox du manuel Amazon Simple Notification Service Developer Guide.

Note

Amazon SNS limite le nombre de numéros de téléphone de destination que vous pouvez vérifier lorsque vous êtes dans le SMS sandbox. Consultez la section SMSsandbox dans le guide du développeur Amazon Simple Notification Service.

Terminer la configuration du groupe d'utilisateurs dans Amazon Cognito

Revenez à l'onglet du navigateur sous lequel vous avez créé ou modifié votre groupe d'utilisateurs. Exécutez la procédure . Lorsque vous avez correctement ajouté SMS la configuration à votre groupe d'utilisateurs, Amazon Cognito envoie un message de test à un numéro de téléphone interne pour vérifier que votre configuration fonctionne. Amazon SNS facture chaque SMS message de test.