Configuración de correo electrónico para grupos de usuarios de Amazon Cognito - Amazon Cognito

Configuración de correo electrónico para grupos de usuarios de Amazon Cognito

Algunos eventos de la aplicación cliente de su grupo de usuarios pueden provocar que Amazon Cognito envíe un email a sus usuarios. Por ejemplo, si configura su grupo de usuarios para que se exija la verificación de correo electrónico, Amazon Cognito envía un correo electrónico cuando un usuario se registra con una cuenta nueva en su aplicación o cuando restablece su contraseña. En función de la acción que inicie el correo electrónico, el correo electrónico contendrá un código de verificación o una contraseña temporal.

Para administrar la entrega de correo electrónico, puede utilizar cualquiera de las siguientes opciones:

Esta configuración es reversible. Puede actualizar su grupo de usuarios para cambiar entre ellos.

Funcionalidad de correo electrónico predeterminada

Amazon Cognito puede usar su funcionalidad de correo electrónico predeterminada para gestionar las entregas de correo electrónico por usted. Si utiliza la opción predeterminada, Amazon Cognito solo permite una cantidad limitada de correos electrónicos al día para su grupo de usuarios. Para obtener más información sobre Service Limits, consulte Cuotas en Amazon Cognito. En el caso de entornos de producción típicos, el límite de correo electrónico predeterminado está por debajo del volumen de entrega requerido. Para habilitar un mayor volumen de envíos, debe utilizar la configuración de email de Amazon SES.

Cuando se utiliza la funcionalidad predeterminada, se usan recursos de Amazon SES administrados por AWS para enviar mensajes de correo electrónico. Amazon SES añade direcciones de correo electrónico que devuelven un rechazo permanente a una lista de supresión de nivel de cuenta o una lista de supresión global. Si una dirección de correo electrónico que no se puede entregar pasa a poder entregarse posteriormente, no podrá controlar su eliminación de la lista de supresión mientras el grupo de usuarios esté configurado para utilizar la funcionalidad predeterminada. Una dirección de correo electrónico puede permanecer en la lista de supresión administrada por AWS indefinidamente. Para administrar las direcciones de correo electrónico que no se pueden entregar, utilice la configuración de correo electrónico de Amazon SES con una lista de supresión en el nivel de cuenta, tal y como se describe en la siguiente sección.

Con la opción predeterminada, puede utilizar cualquiera de las siguientes direcciones de correo electrónico como dirección del remitente:

  • La dirección de correo electrónico predeterminada, no-reply@verificationemail.com.

  • Una dirección de correo electrónico personalizada. Para poder utilizar su propia dirección de correo electrónico, debe verificarla con Amazon SES y conceder permiso a Amazon Cognito para utilizarla.

Configuración de email de Amazon SES

Es posible que su aplicación requiera un volumen de entregas superior al disponible con la opción predeterminada. Para aumentar el posible volumen de envíos, use los recursos de Amazon SES con su grupo de usuarios para enviar un correo electrónico a los usuarios. También puede supervisar la actividad de envío de correo electrónicocuando envía mensajes de correo electrónico con su propia configuración de Amazon SES.

Para poder usar la configuración de Amazon SES, debe verificar una o más direcciones de email con Amazon SES. Use una dirección de correo electrónico verificada, o una dirección de un dominio verificado, como la dirección de correo electrónico del remitente que asigne a su grupo de usuarios. Cuando Amazon Cognito envía un mensaje de correo electrónico, llama a Amazon SES por usted y utiliza su dirección de correo electrónico.

Cuando utilice la configuración de Amazon SES, se aplicarán las siguientes condiciones:

  • Los límites de envío de correo electrónico para su grupo de usuarios son los mismos que se aplican a su dirección de correo electrónico verificada de Amazon SES en su cuenta de Cuenta de AWS.

  • Puede administrar sus mensajes a direcciones de correo electrónico que no se pueden entregar con una lista de supresión en el nivel de cuenta en Amazon SES, la cual anula la lista de supresión global. Cuando utilizas una lista de supresión en el nivel de cuenta, los rechazos de mensajes de correo electrónico afectan a la reputación de su cuenta como remitente. Para obtener más información, consulte Uso de la lista de supresión de nivel de cuenta de Amazon SES en la guía para desarrolladores de Amazon Simple Email Service.

Regiones de configuración de correo electrónico de Amazon SES

Al elegir la Región de AWS que contiene los recursos de Amazon SES que desea utilizar para los mensajes de correo electrónico de Amazon Cognito, puede elegir la misma región en la que creó el grupo de usuarios. Con los grupos de usuarios de Amazon Cognito de algunas regiones, también puede utilizar recursos de Amazon SES que se encuentran en las siguientes regiones alternativas: Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón) o Europa (Irlanda).

Para que sus operaciones de correo electrónico sean más rápidas y fiables, debe utilizar la configuración de Amazon SES en la Región de AWS en la que ha creado el grupo de usuarios. La configuración de soporte para Amazon SES entre regiones en Amazon Cognito proporciona continuidad de los recursos del grupo de usuarios que creó para cumplir con los requisitos de Amazon Cognito cuando se lanzó el servicio. Los recursos del grupo de usuarios que creó durante ese período solo podían utilizar los recursos de Amazon SES en un número limitado de Regiones de AWS.

nota

En la AWS Management Console solo se pueden usar los recursos de Amazon SES en la misma región después de haber cambiado a la nueva experiencia de consola de Amazon Cognito.

Si crea un recurso de grupos de usuarios de Amazon Cognito con la AWS Command Line Interface, la API o AWS CloudFormation, el grupo de usuarios envía mensajes de correo electrónico con la identidad de Amazon SES que el parámetro SourceArn del objeto EmailConfigurationType especifica para su grupo de usuarios. La identidad de Amazon SES debe ocupar una Región de AWS compatible. Si su EmailSendingAccount es COGNITO_DEFAULT y no especifica un parámetro SourceArn, Amazon Cognito envía mensajes de correo electrónico desde no-reply@verificationemail.com utilizando recursos de la región donde creó el grupo de usuarios.

En la tabla siguiente, se muestran las Regiones de AWS donde puede utilizar las identidades de Amazon SES con Amazon Cognito.

Región de AWS de los grupos de usuarios de Amazon Cognito Regiones de AWS que admiten el Amazon Simple Email Service

Este de EE. UU. (Norte de Virginia)

Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Este de EE. UU. (Ohio)

Este de EE. UU. (Ohio), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Oeste de EE. UU. (Norte de California)

Oeste de EE. UU. (Norte de California)

Oeste de EE. UU. (Oregón)

Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Canadá (centro)

Canadá (centro), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Asia-Pacífico (Tokio)

Asia-Pacífico (Tokio), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Asia-Pacífico (Seúl)

Asia-Pacífico (Seúl), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Asia-Pacífico (Mumbai)

Asia-Pacífico (Bombay), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Asia-Pacífico (Singapur)

Asia-Pacífico (Singapur), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Asia-Pacífico (Sídney)

Asia-Pacífico (Sídney), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Europe (Ireland)

Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Europa (Londres)

Europa (Londres), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Europa (París)

Europa (París)

Europa (Fráncfort)

Europa (Londres), Este de EE. UU. (Norte de Virginia), Oeste de EE. UU. (Oregón), Europa (Irlanda)

Europa (Estocolmo)

Europa (Estocolmo)

Medio Oriente (Baréin)

Medio Oriente (Baréin)

América del Sur (São Paulo)

América del Sur (São Paulo)

Configuración de correo electrónico para el grupo de usuarios

Siga los pasos que se indican a continuación para configurar las opciones de correo electrónico para el grupo de usuarios. Según la configuración que desee utilizar, es posible que deba completar los pasos con Amazon SES, AWS Identity and Access Management (IAM) y Amazon Cognito.

nota

Los recursos que cree en estos pasos no se pueden compartir entre Cuentas de AWS. Por ejemplo, no se puede configurar un grupo de usuarios en una cuenta con una dirección de email de Amazon SES que esté en otra cuenta. Por lo tanto, si utiliza Amazon Cognito en varias cuentas, recuerde repetir estos pasos en cada una de ellas.

Paso 1: Verificar su dirección de correo electrónico con Amazon SES

Antes de configurar su grupo de usuarios, debe verificar una o más direcciones de correo electrónico con Amazon SES si desea realizar alguna de las siguientes acciones:

  • Usar su propia dirección de correo electrónico como dirección de remitente

  • Uso de la configuración de Amazon SES para controlar el envío de correos electrónicos

Al verificar su dirección de correo electrónico, confirma que es la suya, lo que ayuda a evitar el uso no autorizado.

Para obtener más información sobre la verificación de email de Amazon SES, consulte Verificación de direcciones de email en la Guía para desarrolladores de Amazon Simple Email Service. Para obtener más información sobre cómo verificar un dominio con Amazon SES, consulte la sección Verificación de un dominio.

Paso 2: Quitar la cuenta del entorno de pruebas de Amazon SES

Omita este paso si utiliza la funcionalidad de correo electrónico predeterminada de Amazon Cognito.

Al usar Amazon SES por primera vez en cualquier Región de AWS, su Cuenta de AWS se coloca en el entorno aislado de Amazon SES de dicha región. Amazon SES utiliza el entorno aislado para evitar el fraude y el abuso. Si utiliza su configuración de Amazon SES para administrar el envío de correos electrónicos, debe quitar su Cuenta de AWS del entorno aislado para que Amazon Cognito pueda enviar un correo electrónico a sus usuarios.

En el entorno de pruebas, Amazon SES impone restricciones sobre cuántos correos electrónicos puede enviar y a dónde puede enviarlos. Puede enviar correos electrónicos solo a direcciones y dominios que haya verificado con Amazon SES o puede enviarlos a direcciones del simulador de buzón de correo de Amazon SES. Mientras su Cuenta de AWS permanezca en el entorno aislado, no utilice su configuración de Amazon SES para aplicaciones que estén en producción. En esta situación, Amazon Cognito no puede enviar mensajes a las direcciones de correo electrónico de sus usuarios.

Para quitar su Cuenta de AWS del entorno aislado, consulte el tema sobre salir del entorno aislado de Amazon SES en la Guía para desarrolladores de Amazon Simple Email Service.

Paso 3: Conceder permisos de correo electrónico a Amazon Cognito

Es posible que tenga que conceder permisos específicos a Amazon Cognito para que pueda enviar correos electrónicos a sus usuarios. Los permisos que conceda y el proceso que utilice para concederlos dependerán de si usa la funcionalidad predeterminada de email o su configuración de Amazon SES.

Omita este paso si utiliza la funcionalidad de correo electrónico predeterminada de Amazon Cognito.

Si configura su grupo de usuarios para que utilice la funcionalidad de correo electrónico predeterminada de Amazon Cognito, use cualquiera de las siguientes direcciones como la dirección de remitente desde la que Amazon Cognito envía correos electrónicos a sus usuarios:

  • La dirección predeterminada

  • Una dirección personalizada, que debe ser una dirección de correo electrónico verificada o una dirección de correo electrónico de un dominio verificado, en Amazon SES

Si utiliza una dirección personalizada, Amazon Cognito necesita otros permisos para poder usar esta dirección con el fin de enviar los email a sus usuarios. Estos permisos se conceden mediante una política de autorización de envío, que se asocia a la dirección en Amazon SES. Si utiliza la consola de Amazon Cognito para agregar una dirección personalizada al grupo de usuarios, la política se asoica automáticamente a la dirección de correo electrónico verificada de Amazon SES. No obstante, si configura su grupo de usuarios por fuera de la consola, por ejemplo, con la AWS CLI o la API de Amazon Cognito, deberá adjuntar la política usted mismo usando la consola de Amazon SES o la API PutIdentityPolicy.

nota

Solo puede configurar una dirección FROM en un dominio verificado mediante laAWS CLIo la API de Amazon Cognito.

Una política de autorización de envío permite o deniega el acceso en función de los recursos de la cuenta que utilizan Amazon Cognito para invocar Amazon SES. Para obtener más información sobre las políticas basadas en recursos, consulte la Guía del usuario de IAM. También puede ver ejemplos de políticas basadas en recursos en la Guía para desarrolladores de Amazon SES.

ejemplo Política de autorización de envío

En el siguiente ejemplo, la política de envío de autorización otorga a Amazon Cognito la capacidad limitada de utilizar una identidad verificada de Amazon SES. Amazon Cognito solo puede enviar mensajes de correo electrónico cuando lo hace en nombre de ambos grupos de usuarios delaws:SourceArncondición y la cuenta en elaws:SourceAccountcondición.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "stmnt1234567891234", "Effect": "Allow", "Principal": { "Service": [ "email.cognito-idp.amazonaws.com" ] }, "Action": [ "SES:SendEmail", "SES:SendRawEmail" ], "Resource": "<your SES identity ARN>", "Condition": { "StringEquals": { "AWS:SourceAccount": "<your account number>" }, "ArnLike": { "AWS:SourceArn": "<your identity pool ARN>" } } } ] }

En este ejemplo, el valor "Sid" es una cadena arbitraria que identifica de forma única la declaración.

Para obtener más información sobre la sintaxis de la política, consulte Políticas autorización de envío con Amazon SES en la Guía para desarrolladores de Amazon Simple Email Service.

Para ver más ejemplos, consulte Ejemplos de la política de autorización de envío con Amazon SES en la Guía para desarrolladores de Amazon Simple Email Service.

Si configura su grupo de usuarios para utilizar su configuración de Amazon SES, Amazon Cognito necesita otros permisos para llamar a Amazon SES en su nombre cuando envía un correo electrónico a sus usuarios. Esta autorización se concede con el servicio de IAM.

Al configurar su grupo de usuarios con esta opción, Amazon Cognito crea un rol vinculado al servicio, que es un tipo de rol de IAM, en su Cuenta de AWS. En este rol se incluyen los permisos para que Amazon Cognito acceda a Amazon SES y envíe correos electrónicos con su dirección.

Para que Amazon Cognito pueda crear este rol, los permisos de IAM que utilice para configurar su grupo de usuarios deben incluir la acción iam:CreateServiceLinkedRole. Para obtener más información acerca de la actualización de permisos en IAM, consulte Cambio de los permisos de un usuario de IAM en la Guía del usuario de IAM.

Para obtener más información acerca del rol vinculado al servicio que crea Amazon Cognito, consulte Uso de roles vinculados a servicios para Amazon Cognito.

Paso 4: Configurar el nodo grupo de usuarios

Realice los siguientes pasos si desea configurar el grupo de usuarios con cualquiera de los siguientes elementos:

  • Una dirección de remitente personalizada que aparece como el remitente del correo electrónico

  • Una dirección de destinatario personalizada que recibe los mensajes que sus usuarios envían a su dirección de remitente.

  • Su configuración de Amazon SES

Omita este procedimiento si desea utilizar la funcionalidad y la dirección de correo electrónico predeterminadas de Amazon Cognito.

Original console

Para configurar el grupo de usuarios de modo que use una dirección de email personalizada

  1. Abra la consola de Amazon Cognito en https://console.aws.amazon.com/cognito. Si se le solicita, escriba sus credenciales de AWS.

  2. Elija Manage User Pools (Administrar grupos de usuarios).

  3. En la página Sus grupos de usuarios, seleccione el grupo de usuarios que desee configurar.

  4. En el menú de navegación de la izquierda, elija Message customizations (Personalizaciones de mensajes).

  5. Si desea utilizar una dirección de remitente personalizada, seleccione Add custom FROM address (Agregar dirección personalizada del remitente) y haga lo siguiente:

    1. En SES region (Región de SES), elija la región que contiene la dirección de email verificada.

    2. En Source ARN (ARN de origen), seleccione la dirección de correo electrónico. Utilice una dirección de correo electrónico verificada con Amazon SES en la región seleccionada.

    3. En FROM email address (Dirección de correo electrónico del remitente) elija su dirección de correo electrónico. Puede proporcionar solo la dirección de email o la dirección de email junto con un nombre en el formato Jane Doe <janedoe@example.com>.

  6. En Do you want to send emails through your Amazon SES Configuration? (¿Desea enviar correos electrónicos a través de su configuración de Amazon SES?), elija Yes - Use Amazon SES (Sí - Usar Amazon SES) o No - Use Cognito (Default) (No - Usar Cognito [Predeterminado]).

    Si elige utilizar Amazon SES, Amazon Cognito crea un rol vinculado al servicio después de guardar los cambios.

  7. Si desea utilizar una dirección personalizada del destinatario, seleccione Add custom REPLY-TO address (Agregar dirección personalizada del destinatario). Luego, ingrese la dirección de correo electrónico en la que desea recibir los mensajes que sus usuarios envían a la dirección de remitente.

  8. Cuando termine de configurar las opciones de su cuenta de correo electrónico, seleccione Save changes (Guardar modificaciones).

New console

Para configurar el grupo de usuarios de modo que use una dirección de email personalizada

  1. Vaya a la consola de Amazon Cognito. Si se le solicita, escriba sus credenciales de AWS.

  2. ElegirGrupos de usuarios de.

  3. Elija en la lista un usuario existente.

  4. Elija el iconoMensajeríatab, busqueConfiguración de correo electrónico, eligeEditar.

  5. En la páginaEditar la configuración de correopágina, seleccioneEnviar correo electrónico desde Amazon SESoEnviar correo electrónico con Amazon Cognito. Puede personalizar laRegión SES,Conjunto de configuración, yFROM remitente namesolo cuando elijasEnviar correo electrónico desde Amazon SES.

  6. Para utilizar una dirección FROM personalizada, siga los pasos que se describen a continuación:

    1. En SES region (Región de SES), elija la Región que contiene la dirección de email verificada.

    2. En FROM email address (Dirección de correo electrónico del remitente) elija su dirección de correo electrónico. Use una dirección de correo electrónico verificada con Amazon SES.

    3. (Opcional) En Configuration set (Conjunto de configuración), elija un conjunto de configuración para utilizarlo con Amazon SES. Si realiza y guarda este cambio, se crea un rol vinculado al servicio.

    4. (Opcional) EnFROM remitente address, introduzca una dirección de correo electrónico. Puede proporcionar solo la dirección de email o la dirección de email junto con un nombre en el formato Jane Doe <janedoe@example.com>.

    5. (Opcional) En REPLY-TO email address (RESPONER-A dirección de email), ingrese la dirección de email en la que desea recibir los mensajes que sus usuarios envían a la dirección de remitente.

  7. Elija Save changes (Guardar cambios).

Temas relacionados