Paramètres d'e-mail pour les groupes d'utilisateurs Amazon Cognito - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Paramètres d'e-mail pour les groupes d'utilisateurs Amazon Cognito

Certains événements qui se produisent dans l'application cliente de votre groupe d'utilisateurs peuvent conduire Amazon Cognito à envoyer des e-mails à vos utilisateurs. Par exemple, si vous configurez votre groupe d'utilisateurs de façon à exiger la vérification des e-mails, Amazon Cognito envoie un e-mail au moment où un utilisateur crée un compte dans votre application ou réinitialise son mot de passe. En fonction de l’action qui déclenche l’e-mail, celui-ci contient un code de vérification ou un mot de passe temporaire.

Pour gérer la remise d'e-mails, vous pouvez utiliser l'une des options suivantes :

Vous pouvez modifier votre option de livraison après avoir créé votre groupe d'utilisateurs.

Amazon Cognito envoie des e-mails à vos utilisateurs avec un code qu'ils peuvent saisir ou un lien URL qu'ils peuvent sélectionner. Le tableau suivant indique les événements qui peuvent générer un e-mail.

Options de message

Activité Opération API Options de livraison Options de format Personnalisable Modèle de message
Forgot password ForgotPassword Email, SMS code No N/A
Invitation AdminCreateUser Email, SMS code Yes Message d'invitation
Self-registration SignUp Email, SMS code, link Yes Message de vérification
Email address or phone number verification UpdateUserAttributes Email, SMS code Yes Message de vérification
Multi-factor authentication (MFA) AdminInitiateAuth, InitiateAuth SMS code Yes¹ Messages MFA

¹ Pour les SMS.

Amazon SES facture les e-mails. Pour de plus amples informations, consultez la tarification Amazon SES.

Fonctionnalités d'e-mail par défaut

Amazon Cognito peut utiliser ses fonctionnalités de messagerie électronique par défaut pour gérer la remise des e-mails à votre place. Lorsque vous utilisez l'option par défaut, Amazon Cognito limite le nombre d'e-mails envoyés par jour pour votre groupe d'utilisateurs. Pour plus d'informations sur les limites de service, consultez Quotas dans Amazon Cognito. Pour les environnements de production classiques, la limite d'e-mails par défaut est inférieure au volume de remise requis. Pour permettre un volume de remise plus élevé, vous pouvez utiliser la configuration de votre e-mail Amazon SES.

Quand vous utilisez la fonctionnalité par défaut, vous utilisez les ressources Amazon SES gérées par AWS pour envoyer des e-mails. Amazon SES ajoute des adresses e-mail qui renvoient un message d'erreur définitif à une liste de suppression au niveau du compte ou à une liste de suppression globale. Si une adresse e-mail non distribuable devient distribuable ultérieurement, vous ne pouvez pas contrôler sa suppression de la liste de suppression quand votre groupe d'utilisateurs est configuré pour utiliser la fonctionnalité par défaut. Une adresse e-mail peut rester indéfiniment sur la liste de suppression AWS gérée par -managed. Pour gérer les adresses e-mail non distribuables, utilisez votre configuration de messagerie Amazon SES avec une liste de suppression au niveau du compte, comme cela est décrit dans la section suivante.

Quand vous utilisez la configuration de messagerie par défaut, vous pouvez utiliser l'une des adresses e-mail suivantes comme adresse d'envoi :

  • L'adresse e-mail par défaut, no-reply@verificationemail.com.

  • Une adresse e-mail personnalisée. Avant de pouvoir utiliser votre propre adresse e-mail, vous devez la vérifier avec Amazon SES et accorder à Amazon Cognito l'autorisation de l'utiliser.

Configuration de l'e-mail Amazon SES

Votre application peut avoir besoin d'un volume de remise plus élevé que celui offert par l'option par défaut. Pour augmenter le volume de remise possible, utilisez vos ressources Amazon SES avec votre groupe d'utilisateurs pour envoyer des e-mails à vos utilisateurs. Vous pouvez également surveiller votre activité d'envoi d'e-mails quand vous envoyez des e-mails avec votre propre configuration Amazon SES.

Avant de pouvoir utiliser votre configuration Amazon SES, vous devez vérifier une ou plusieurs adresses e-mail ou un domaine, avec Amazon SES. Utilisez une adresse e-mail vérifiée ou une adresse issue d'un domaine vérifié en guise d'adresse e-mail d'envoi que vous affectez à votre groupe d'utilisateurs. Quand Amazon Cognito envoie un e-mail à un utilisateur, il appelle Amazon SES pour vous et utilise votre adresse e-mail.

Quand vous utilisez votre configuration Amazon SES, les conditions suivantes s'appliquent :

  • Les limites de remise d'e-mails pour votre groupe d'utilisateurs sont les mêmes que celles qui s'appliquent à votre adresse e-mail vérifiée Amazon SES dans votre Compte AWS.

  • Vous pouvez gérer vos messages vers des adresses e-mail non distribuables à l'aide d'une liste de suppression au niveau du compte dans Amazon SES qui remplace la liste de suppression globale. Quand vous utilisez une liste de suppression au niveau du compte, les retours à l'expéditeur des e-mails affectent la réputation de votre compte en tant qu'expéditeur. Pour plus d'informations, consultez Utilisation de la liste de suppression au niveau du compte Amazon SES dans le Guide du développeur Amazon Simple Email Service.

Configuration des régions de l'e-mail Amazon SES

Lorsque vous choisissez Région AWS celle qui contient les ressources Amazon SES que vous souhaitez utiliser pour les e-mails Amazon Cognito, vous pouvez généralement choisir la même région que celle dans laquelle vous avez créé votre groupe d'utilisateurs. Dans la mesure du possible, utilisez des identités vérifiées à l' Région AWS endroit où vous avez créé votre groupe d'utilisateurs.

Avec des groupes d'utilisateurs Amazon Cognito dans certaines régions, vous pouvez également utiliser les ressources Amazon SES qui se trouvent dans les autres régions suivantes : USA Est (Virginie du Nord), USA Ouest (Oregon) ou Europe (Irlande). Cette fonctionnalité assure la continuité des ressources du pool d'utilisateurs que vous avez créées pour répondre aux exigences d'Amazon Cognito lors du lancement du service. Les ressources du groupe d'utilisateurs que vous avez créées au cours de cette période ne pouvaient utiliser les ressources Amazon SES que dans un nombre limité de Régions AWS.

En ce qui concerne les groupes d'utilisateurs dans d'autres régions où Amazon SES n'est pas disponible, vous ne pouvez envoyer des messages avec des identités vérifiées que dans une autre région. Dans ces régions, votre politique d'autorisation d'envoi Amazon SES doit faire confiance à un principal de service Amazon Cognito spécifique à la région. Pour de plus amples informations, veuillez consulter Pour accorder des autorisations en vue d'utiliser la fonctionnalité d'e-mail par défaut.

Si vous créez une ressource de groupe d'utilisateurs Amazon Cognito avec l'API AWS Command Line Interface AWS CloudFormation, ou si votre groupe d'utilisateurs envoie des e-mails avec l'identité Amazon SES spécifiée par le SourceArn paramètre de l'EmailConfigurationTypeobjet pour votre groupe d'utilisateurs. L'identité Amazon SES doit être prise en charge Région AWS. Si votre EmailSendingAccount est COGNITO_DEFAULT et que vous ne spécifiez pas de paramètre SourceArn, Amazon Cognito envoie des messages électroniques depuis no-reply@verificationemail.com en utilisant des ressources dans la région où vous avez créé votre groupe d'utilisateurs.

Le tableau suivant indique Régions AWS où vous pouvez utiliser les identités Amazon SES avec Amazon Cognito.

Région du groupe d'utilisateurs Région prise en charge par Amazon SES

USA Est (Virginie du Nord)

USA Est (Virginie du Nord), USA Ouest (Oregon), Europe (Irlande)

USA Est (Ohio)

USA Est (Ohio), USA Est (Virginie du Nord), USA Ouest (Oregon), Europe (Irlande)

USA Ouest (Californie du Nord)

USA Ouest (Californie du Nord)

US West (Oregon)

USA Est (Virginie du Nord), USA Ouest (Oregon), Europe (Irlande)

Canada (Centre)

Canada (Centre), USA Est (Virginie du Nord), USA Ouest (Oregon), Europe (Irlande)

Asie-Pacifique (Tokyo)

Asie-Pacifique (Tokyo), USA Est (Virginie du Nord), USA Ouest (Oregon), Europe (Irlande)

Asie-Pacifique (Séoul)

Asie-Pacifique (Séoul), USA Est (Virginie du Nord), USA Ouest (Oregon), Europe (Irlande)

Asie-Pacifique (Mumbai)

Asie-Pacifique (Mumbai), USA Est (Virginie du Nord), USA Ouest (Oregon), Europe (Irlande)

Asie-Pacifique (Singapour)

Asie-Pacifique (Singapour), USA Est (Virginie du Nord), USA Ouest (Oregon), Europe (Irlande)

Asie-Pacifique (Sydney)

Asie-Pacifique (Sydney), USA Est (Virginie du Nord), USA Ouest (Oregon), Europe (Irlande)

Europe (Irlande)

USA Est (Virginie du Nord), USA Ouest (Oregon), Europe (Irlande)

Europe (Londres)

Europe (Londres), USA Est (Virginie du Nord), USA Ouest (Oregon), Europe (Irlande)

Europe (Paris)

Europe (Paris)

Europe (Francfort)

Europe (Francfort), USA Est (Virginie du Nord), USA Ouest (Oregon), Europe (Irlande)

Europe (Zurich)

Europe (Francfort)

Europe (Stockholm)

Europe (Stockholm)

Europe (Milan) Europe (Milan)

Moyen-Orient (Bahreïn)

Moyen-Orient (Bahreïn)

Moyen-Orient (EAU)

Europe (Francfort)

Amérique du Sud (São Paulo)

Amérique du Sud (São Paulo)

Asie-Pacifique (Osaka)

Asie-Pacifique (Osaka)

Asie-Pacifique (Jakarta)

Asie-Pacifique (Jakarta)

Israël (Tel Aviv)

Israël (Tel Aviv)

Afrique (Le Cap)

Afrique (Le Cap)

Configuration de la messagerie pour votre groupe d'utilisateurs

Effectuez les étapes suivantes pour configurer les paramètres de messagerie pour votre groupe d'utilisateurs. Selon les paramètres que vous utilisez, vous pouvez avoir besoin de permissions IAM dans Amazon SES, AWS Identity and Access Management (IAM) et Amazon Cognito.

Note

Vous ne pouvez pas partager les ressources que vous créez au cours de ces étapes entre différents Comptes AWS. Par exemple, vous ne pouvez pas configurer un groupe d'utilisateurs dans un compte, puis l'utiliser avec une adresse e-mail Amazon SES dans un autre compte. Si vous utilisez Amazon Cognito dans plusieurs comptes, répétez ces étapes pour chaque compte.

Étape 1 : Vérifiez votre adresse e-mail ou votre domaine avec Amazon SES

Avant de configurer votre groupe d'utilisateurs, vous devez vérifier un ou plusieurs domaines ou adresses e-mail avec Amazon SES si vous souhaitez effectuer l'une des opérations suivantes :

  • Utiliser votre propre adresse e-mail comme adresse d'envoi

  • Utiliser votre configuration Amazon SES pour gérer la remise d'e-mails

En vérifiant votre adresse e-mail ou votre domaine, vous confirmez que vous en êtes propriétaire, ce qui contribue à empêcher toute utilisation non autorisée.

Pour plus d'informations sur la vérification d'une adresse e-mail avec Amazon SES, consultez Vérifier une adresse e-mail dans le Manuel du développeur Amazon Simple Email Service. Pour plus d'informations sur la vérification d'un domaine avec Amazon SES, consultez Vérification des domaines.

Étape 2 : Sortie de votre compte de l'environnement de test (sandbox) Amazon SES

Ignorez cette étape si vous utilisez la fonctionnalité de messagerie Amazon Cognito par défaut.

Lorsque vous utilisez Amazon SES pour la première fois dans une région Région AWS, cela vous place Compte AWS dans le sandbox Amazon SES de cette région. Amazon SES utilise l'environnement de test (sandbox) pour éviter toute fraude ou abus. Si vous utilisez votre configuration Amazon SES pour gérer la remise d'e-mails, vous devez sortir votre Compte AWS de l'environnement de test (sandbox) pour permettre à Amazon Cognito d'envoyer des e-mails à vos utilisateurs.

Dans l'environnement de test (sandbox), Amazon SES impose des restrictions eu égard au nombre d'e-mails que vous pouvez envoyer et à la destination de ces messages. Vous ne pouvez envoyer des e-mails qu'aux adresses et domaines que vous avez vérifiés avec Amazon SES, ou les envoyer à des adresses de simulateur de boîte aux lettres Amazon SES. Tant que Compte AWS vous êtes dans le sandbox, n'utilisez pas votre configuration Amazon SES pour des applications en production. Dans ce cas, Amazon Cognito ne peut pas envoyer de messages aux adresses e-mail de vos utilisateurs.

Pour vous Compte AWS retirer du sandbox, consultez Moving out the Amazon SES sandbox dans le manuel Amazon Simple Email Service Developer Guide.

Étape 3 : Octroi d'autorisations de remise d'e-mails à Amazon Cognito

Vous pouvez être amené à accorder des autorisations spécifiques à Amazon Cognito pour lui permettre d'adresser des e-mails à vos utilisateurs. Les autorisations que vous accordez et le processus que vous employez pour les accorder varient selon que vous utilisez la fonctionnalité d'e-mail par défaut ou votre configuration Amazon SES.

Ignorez cette étape si vous utilisez la fonctionnalité de messagerie Amazon Cognito par défaut.

Si vous configurez votre groupe d'utilisateurs pour utiliser la fonctionnalité de courrier Amazon Cognitoélectronique par défaut, vous pouvez utiliser l'une des adresses suivantes comme adresse FROM à partir de laquelle Amazon Cognito envoie des e-mails à vos utilisateurs :

  • L'adresse par défaut

  • Une adresse personnalisée, qui doit être une adresse e-mail vérifiée ou une adresse e-mail dans un domaine vérifié, dans Amazon SES

Si vous utilisez une adresse personnalisée, Amazon Cognito a besoin de permissions supplémentaires pour envoyer des e-mails aux utilisateurs à partir de cette adresse. Ces autorisations sont accordées par une politique d'autorisation d'envoi attachée à l'adresse ou au domaine dans Amazon SES. Si vous utilisez la console Amazon Cognito pour ajouter une adresse personnalisée à votre groupe d'utilisateurs, la politique est automatiquement attachée à l'adresse e-mail vérifiée Amazon SES. Toutefois, si vous configurez votre groupe d'utilisateurs en dehors de la console, par exemple à l'aide de l'API Amazon Cognito, vous devez joindre la politique à l'aide de la console Amazon SES ou de l'PutIdentityPolicyAPI. AWS CLI

Note

Vous pouvez configurer une adresse EXPÉDITEUR uniquement dans un domaine vérifié à l'aide de la commande AWS CLI ou l'API Amazon Cognito.

Une politique d'autorisation d'envoi autorise ou refuse l'accès en fonction des ressources du compte qui utilisent Amazon Cognito pour appeler Amazon SES. Pour plus d'informations sur les politiques basées sur les ressources, consultez le manuel d'utilisateur IAM. Vous pouvez également trouver des exemples de politiques basées sur les ressources dans le Manuel de développeur Amazon SES.

Exemple Politique d'autorisation d'envoi

L'exemple suivant de politique d'autorisation d'envoi accorde à Amazon Cognito la possibilité limitée d'utiliser une identité vérifiée Amazon SES. Amazon Cognito ne peut envoyer des messages électroniques que lorsqu'il le fait au nom du groupe d'utilisateurs dans le aws:SourceArn et du compte dans la condition aws:SourceAccount.

Regions with Amazon SES

Votre politique d'autorisation d'envoi dans la région du groupe d'utilisateurs ou dans une autre région doit autoriser le principal du service Amazon Cognito à envoyer des e-mails. Reportez-vous au tableau des régions pour plus d'informations. Si la région de votre groupe d'utilisateurs correspond à au moins une valeur de la région Amazon SES, configurez votre politique d'autorisation d'envoi avec le principal de service mondial dans l'exemple suivant.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "stmnt1234567891234", "Effect": "Allow", "Principal": { "Service": [ "email.cognito-idp.amazonaws.com" ] }, "Action": [ "SES:SendEmail", "SES:SendRawEmail" ], "Resource": "<your SES identity ARN>", "Condition": { "StringEquals": { "aws:SourceAccount": "<your account number>" }, "ArnLike": { "aws:SourceArn": "<your user pool ARN>" } } } ] }
Opt-in Regions without Amazon SES

Amazon SES n'est pas disponible dans tous les opt-in Régions AWS où Amazon Cognito est disponible. Le Moyen-Orient (EAU) en est un exemple et ne peut envoyer des e-mails avec des identités vérifiées qu'en Europe (Francfort) (eu-central-1). Votre politique d'autorisation d'envoi dans la région alternative doit autoriser le principal du service Amazon Cognito de la région optionnelle à envoyer des e-mails. Reportez-vous au tableau des régions pour plus d'informations. Si la région de votre groupe d'utilisateurs indique une autre région Amazon SES, configurez votre politique d'autorisation d'envoi avec le principal de service régional, comme dans l'exemple suivant. Remplacez l'exemple d'identifiant de région me-central-1 par l'identifiant de région requis selon les besoins.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "stmnt1234567891234", "Effect": "Allow", "Principal": { "Service": [ "cognito-idp.me-central-1.amazonaws.com" ] }, "Action": [ "SES:SendEmail", "SES:SendRawEmail" ], "Resource": "<your SES identity ARN>", "Condition": { "StringEquals": { "aws:SourceAccount": "<your account number>" }, "ArnLike": { "aws:SourceArn": "<your user pool ARN>" } } } ] }

Dans cet exemple, la valeur « Sid » est une chaîne arbitraire qui identifie l'instruction de manière unique.

Pour plus d'informations sur la syntaxe de la politique, consultez Politiques d'autorisation d'envoi Amazon SES dans le Manuel du développeur Amazon Simple Email Service.

Pour d'autres exemples, consultez Exemples de politiques d'autorisation d'envoi Amazon SES dans le Manuel du développeur Amazon Simple Email Service.

Si vous configurez votre groupe d'utilisateurs afin d'utiliser votre configuration Amazon SES, Amazon Cognito a besoin d'autorisations supplémentaires pour appeler Amazon SES en votre nom au moment d'envoyer des e-mails à vos utilisateurs. Cette autorisation est accordée avec le service IAM.

Quand vous configurez votre groupe d'utilisateurs avec cette option, Amazon Cognito crée un rôle lié à un service, qui est un type de rôle IAM dans votre Compte AWS. Ce rôle contient les autorisations qui permettent à Amazon Cognito d'accéder à Amazon SES et d'envoyer des e-mails avec votre adresse.

Amazon Cognito crée votre rôle lié à un service avec les AWS informations d'identification de la session utilisateur qui définit la configuration. Les autorisations IAM de cette session doivent inclure l'action iam:CreateServiceLinkedRole. Pour plus d'informations sur les autorisations dans IAM, consultez la section Gestion de l'accès aux AWS ressources dans le Guide de l'utilisateur IAM.

Pour plus d'informations sur le rôle lié à un service créé par Amazon Cognito, consultez Utilisation de rôles liés à un service pour Amazon Cognito .

Étape 4 : Configuration de votre groupe d'utilisateurs

Effectuez les étapes ci-après si vous souhaitez configurer votre groupe d'utilisateurs avec l'un des éléments suivants :

  • Une adresse d'envoi personnalisée qui apparaît comme étant l'expéditeur de l'e-mail

  • Une adresse de réponse personnalisée qui reçoit les messages que vos utilisateurs envoient à votre adresse d'envoi

  • Votre configuration Amazon SES

Note

Si votre identité vérifiée est une adresse e-mail, Amazon Cognito définit cette adresse e-mail en tant qu'adresse e-mail FROM et REPLY-TO par défaut. Toutefois, si votre identité vérifiée est un domaine, vous devez fournir une valeur pour les adresses e-mail FROM et REPLY-TO. Par exemple, si votre domaine vérifié est example.com, vous pouvez définir no-reply@example.com comme adresses e-mail FROM et REPLY-TO.

Ignorez cette procédure si vous souhaitez utiliser l'adresse et la fonctionnalité de messagerie Amazon Cognito par défaut.

Pour configurer votre groupe d'utilisateurs pour qu'il utilise une adresse e-mail personnalisée
  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, entrez vos AWS informations d'identification.

  2. Choisissez Groupes d'utilisateurs.

  3. Choisissez un groupe d'utilisateurs existant dans la liste.

  4. Choisissez l'onglet Messaging (Messagerie), localisez Email configuration (Configuration de la messagerie), choisissez Edit (Modifier).

  5. Dans la page Modifier la configuration de la messagerie, sélectionnez Envoyer un e-mail depuis Amazon SES ou Envoyer un e-mail avec Amazon Cognito. Vous pouvez personnaliser la Région SES, Jeu de configurations, et Nom de l'expéditeur DE uniquement lorsque vous choisissez Envoyer un e-mail depuis Amazon SES.

  6. Pour utiliser une adresse DE personnalisée, procédez comme suit :

    1. Sous Région SES, choisissez la région qui contient votre adresse e-mail vérifiée.

    2. Sous adresse e-mail DE, choisissez votre adresse e-mail. Utilisez une adresse e-mail que vous avez vérifiée avec Amazon SES.

    3. (Facultatif) Sous Configuration set (Jeu de configurations), choisissez un jeu de configurations qu'Amazon SES utilisera. L'apport et l'enregistrement de cette modification crée un rôle lié à un service.

    4. (Facultatif) Sous Adresse de l'expéditeur DE, saisissez une adresse e-mail. Vous pouvez fournir uniquement une adresse e-mail, ou une adresse e-mail et un nom générique au format Jane Doe <janedoe@example.com>.

    5. (Facultatif) Sous Adresse e-mail RÉPONDRE À, saisissez l'adresse e-mail à laquelle vous souhaitez recevoir les messages que vos utilisateurs envoient à votre adresse DE.

  7. Sélectionnez Enregistrer les modifications.

Rubriques connexes