Impostazioni dei messaggi SMS per i bacini d'utenza di Amazon Cognito - Amazon Cognito
Best practicePrima impostazione degli SMS nei bacini d'utenza di Amazon Cognito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impostazioni dei messaggi SMS per i bacini d'utenza di Amazon Cognito

Alcuni eventi di Amazon Cognito per il tuo bacino d'utenza potrebbero causare l'invio di SMS da parte di Amazon Cognito ai tuoi utenti. Ad esempio, se configuri il bacino d'utenza in modo da richiedere la verifica tramite telefono, Amazon Cognito invia un SMS quando un utente registra un nuovo account nell'app o quando reimposta la password. A seconda dell'azione che attiva il messaggio SMS, il messaggio può contenere un codice di verifica, una password temporanea o un messaggio di benvenuto.

Amazon Cognito utilizza Amazon Simple Notification Service (SNS) per l'invio di SMS. Amazon SNS a sua volta disattiva i messaggi SMS a. AWS End User Messaging SMS Se invii un messaggio di testo tramite Amazon Cognito per la prima volta, ti AWS End User Messaging SMS colloca in un ambiente sandbox. Nell'ambiente sandbox è possibile testare le applicazioni per gli SMS. Nella sandbox, puoi solo simulare l'invio di messaggi.

Nota

Nel novembre 2024, ha AWS sostituito la messaggistica SMS di Amazon SNS con. AWS End User Messaging SMS Attualmente, la console Amazon Cognito fa riferimento alle risorse Amazon SNS. I pool di utenti avviano i messaggi SMS con l'operazione Amazon SNS Publish, che è un pass-through per. AWS End User Messaging SMS Di conseguenza, devi comunque configurare le autorizzazioni per, not. sns:Publish sms-voice:SendTextMessage

AWS End User Messaging SMS costi per i messaggi di testo SMS. Per ulteriori informazioni, consulta Prezzi di AWS End User Messaging SMS.

Amazon Cognito invia messaggi SMS agli utenti con un codice che possono inserire. Nella tabella seguente vengono mostrati gli eventi che possono generare un messaggio SMS.

Opzioni relative ai messaggi

Attività Operazione API Opzioni di distribuzione Opzioni di formato Personalizzabile Modello di messaggio
Password dimenticata ForgotPassword, AdminResetUserPassword E-mail, SMS code Messaggio di verifica
Invito AdminCreateUser E-mail, SMS code Messaggio di invito
Autoregistrazione SignUp, ResendConfirmationCode E-mail, SMS codice, link messaggio di verifica
Verifica dell'indirizzo e-mail o del numero di telefono UpdateUserAttributes, AdminUpdateUserAttributes, GetUserAttributeVerificationCode E-mail, SMS code Messaggio di verifica
Autenticazione a più fattori (MFA) AdminInitiateAuth, InitiateAuth Email¹, SMS, app di autenticazione code Sì² Messaggio MFA
Autenticazione con password monouso (OTP) AdminInitiateAuth, InitiateAuth E-mail¹, SMS code Messaggio MFA ³

¹ Richiede un piano di funzionalità Essentials o superiore e la configurazione e-mail di Amazon SES.

² Per SMS e messaggi e-mail.

³ È possibile personalizzare il modello di messaggio MFA solo quando l'MFA è obbligatoria o facoltativa nel pool di utenti. Quando la MFA è inattiva, Amazon Cognito invia password monouso con il modello predefinito.

AWS End User Messaging SMS addebiti per i messaggi SMS. Per ulteriori informazioni, consulta Prezzi di AWS End User Messaging SMS.

Per ulteriori informazioni su MFA, consulta MFA per SMS e messaggi e-mail.

Amazon Cognito potrebbe impedire la consegna di messaggi e-mail o SMS aggiuntivi verso un'unica destinazione in un breve periodo di tempo. Se ritieni che il tuo pool di utenti sia interessato, configura e rivedi i log per individuare eventuali errori di recapito dei messaggi, quindi contatta il team del tuo account.

Best practice

A causa del volume di traffico SMS indesiderato in tutto il mondo, alcuni governi impongono barriere tra mittenti e destinatari dei messaggi SMS. Quando utilizzi i messaggi SMS per l'autenticazione MFA e gli aggiornamenti utente, devi adottare misure aggiuntive per assicurarti che i messaggi vengano recapitati. È inoltre necessario monitorare SMS-message-related le normative nei paesi in cui risiedono gli utenti e mantenere aggiornata la configurazione dei messaggi SMS. Per ulteriori informazioni, consulta le funzionalità e le limitazioni nazionali relative agli SMS e MMS nella Guida per l'AWS End User Messaging SMS utente.

L'uso di messaggi SMS per autenticare e verificare gli utenti non è una best practice di sicurezza. I numeri di telefono possono cambiare proprietario e potrebbero non rappresentare in modo affidabile un fattore di autenticazione MFA elementi che possiedi per gli utenti. Implementa invece l'autenticazione MFA TOTP nell'app o con il gestore dell'identità digitale (IdP) di terze parti. Puoi anche creare fattori di autenticazione personalizzati aggiuntivi con Trigger Lambda di richieste di autenticazione personalizzate.

Consulta i seguenti collegamenti per informazioni sulla protezione dell'architettura di recapito dei messaggi SMS.

Prima impostazione degli SMS nei bacini d'utenza di Amazon Cognito

Amazon Cognito utilizza Amazon SNS, e AWS End User Messaging SMS indirettamente, per inviare messaggi SMS dai tuoi pool di utenti. Puoi utilizzare un Trigger Lambda del mittente di SMS personalizzato, se desideri servirti delle tue risorse per inviare messaggi SMS. La prima volta che configuri i messaggi di testo SMS in una determinata regione Regione AWS, ti AWS End User Messaging SMS inserisce Account AWS nella sandbox SMS di quella regione. AWS End User Messaging SMS utilizza la sandbox per prevenire frodi e abusi e per soddisfare i requisiti di conformità. Quando sei Account AWS nella sandbox, AWS End User Messaging SMS impone alcune restrizioni. Ad esempio, puoi inviare messaggi di testo a un massimo di 10 numeri di destinazione verificati se disponi di un'identità di origine oppure puoi simulare l'invio di messaggi senza un'identità di origine. Mentre Account AWS rimanete nella sandbox, non inviate messaggi SMS in fase di produzione. Quando sei nella sandbox, Amazon Cognito non può inviare messaggi ai numeri di telefono degli utenti.

Prepara un ruolo IAM che Amazon Cognito possa utilizzare per inviare messaggi SMS AWS End User Messaging SMS

Quando invii un SMS dal tuo pool di utenti, Amazon Cognito assume un ruolo IAM nel tuo account. Amazon Cognito utilizza l'autorizzazione sns:Publish assegnata a quel ruolo per inviare SMS agli utenti. Nella console Amazon Cognito, puoi impostare una selezione di ruoli IAM dal menu Metodi di autenticazione del tuo pool di utenti, sotto SMS o effettuare questa selezione durante la procedura guidata di creazione del pool di utenti.

Il seguente esempio di policy di attendibilità dei ruoli IAM garantisce al pool di utenti di Amazon Cognito una capacità limitata di assumere un ruolo IAM. Amazon Cognito può assumere il ruolo solo quando soddisfa le seguenti condizioni:

  • L'operazione assume-role avviene per conto del pool di utenti nella condizione. aws:SourceArn

  • L'operazione Assume-role avviene per conto di un pool di utenti secondo quanto stabilito dalla condizione. Account AWS aws:SourceAccount

  • L'operazione assume-role include l'ID esterno nella condizione. sts:externalId

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": "cognito-idp.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:cognito-idp:us-west-2:111122223333:userpool/us-west-2_EXAMPLE"
                }
            }
        }
    ]
}

Puoi specificare un valore esatto per l'ARN del pool di utenti o un ARN con caratteri jolly nel valore della condizione aws:SourceArn. Cerca i tuoi pool ARNs di utenti nella AWS Management Console o con una DescribeUserPoolrichiesta API.

Per inviare messaggi SMS per l'autenticazione a più fattori, la tua policy di fiducia dei ruoli IAM deve avere una sts:ExternalId condizione. Il valore di questa condizione deve corrispondere alla ExternalId proprietà del pool SmsConfigurationdi utenti. Quando crei un ruolo IAM durante il processo di creazione del pool di utenti nella console Amazon Cognito, Amazon Cognito configura l'ID esterno per te nel ruolo e nelle impostazioni del pool di utenti. Questo non è vero quando utilizzi un ruolo IAM esistente.

È necessario aggiornare il ExternalId parametro del pool di utenti in una richiesta UpdateUserPoolAPI e aggiornare la policy di fiducia dei ruoli IAM con una sts:externalId condizione con lo stesso valore. Per informazioni su come utilizzare l'API per aggiornare un pool di utenti in modo da preservare la configurazione originale, consultaAggiornamento della configurazione del pool di utenti e del client dell'app.

Per ulteriori informazioni sui ruoli IAM e le policy di attendibilità, consulta Termini e concetti dei ruoli nella Guida per l'utente di AWS Identity and Access Management .

Scegli l'opzione Regione AWS per i messaggi SMS

Nota

I messaggi SMS in AWS entrata sono ora gestiti in AWS End User Messaging SMS.

In alcuni Regioni AWS, puoi scegliere la regione che contiene le risorse Amazon SNS che desideri utilizzare per i messaggi SMS di Amazon Cognito. Regione AWS Ovunque sia disponibile Amazon Cognito, ad eccezione dell'Asia Pacifico (Seoul), puoi utilizzare le risorse Amazon SNS nel luogo in Regione AWS cui hai creato il tuo pool di utenti. Per rendere l'invio di messaggi SMS più veloce e affidabile quando puoi scegliere tra più regioni, usa le risorse Amazon SNS nella stessa regione del tuo bacino d'utenza.

Scegli una regione per le risorse SMS nel passaggio Configure message delivery (Configura invio di messaggi) della procedura guidata per la configurazione del nuovo bacino d'utenza. Puoi anche scegliere Modifica in SMS nel menu Metodi di autenticazione di un pool di utenti esistente.

Al momento del lancio, per alcuni Regioni AWS, Amazon Cognito inviava messaggi SMS con risorse Amazon SNS in una regione alternativa. Per impostare la tua regione preferita, usa il SnsRegion parametro dell'SmsConfigurationTypeoggetto per il tuo pool di utenti. Quando crei a livello di programmazione una risorsa del bacino d'utenza di Amazon Cognito in una Regione di Amazon Cognito inclusa nella tabella seguente e non fornisci un parametro SnsRegion, il bacino d'utenza può inviare messaggi SMS utilizzando le risorse Amazon SNS di una Regione di Amazon SNS legacy.

I pool di utenti di Amazon Cognito in Asia Pacifico (Seoul) Regione AWS devono utilizzare la configurazione Amazon SNS nella regione Asia Pacifico (Tokyo).

Amazon SNS (via AWS End User Messaging SMS) imposta la quota di spesa per tutti i nuovi account a 1,00 USD (USD) al mese. Potresti aver aumentato il limite di spesa in un account Regione AWS che utilizzi con Amazon Cognito. Prima di modificare Regione AWS i messaggi SMS di Amazon SNS, apri una richiesta di aumento della quota nel AWS Support Center per aumentare il limite nella nuova regione. Per ulteriori informazioni, consulta Passare dalla sandbox AWS End User Messaging SMS MMS and Voice alla produzione nella Guida per l'AWS End User Messaging SMS utente.

Puoi inviare messaggi SMS per qualsiasi regione di Amazon Cognito nella tabella seguente con AWS End User Messaging SMS risorse nella regione di messaggi SMS corrispondente.

Regione di Amazon Cognito Regione dei messaggi SMS

Stati Uniti orientali (Ohio)

Stati Uniti orientali (Ohio), Stati Uniti orientali (Virginia settentrionale)

Stati Uniti orientali (Virginia settentrionale)

Stati Uniti orientali (Virginia settentrionale)

Stati Uniti occidentali (California settentrionale)

Stati Uniti occidentali (California settentrionale)

US West (Oregon)

US West (Oregon)

Canada (Centrale)

Canada (Centrale), Stati Uniti orientali (Virginia settentrionale)

Canada occidentale (Calgary)

Canada occidentale (Calgary)

Messico (centrale)

Messico (centrale)

Europa (Francoforte)

UE (Francoforte), UE (Irlanda)

Europa (Londra)

Europa (Londra), Europa (Irlanda)

Europa (Irlanda)

Europa (Irlanda)

Europa (Parigi)

Europa (Parigi)

Europa (Stoccolma)

Europa (Stoccolma)

Europa (Milano)

Europa (Milano)

Europa (Spagna)

Europa (Spagna)

Europa (Zurigo)

Europa (Zurigo)
Asia Pacifico (Malesia) Asia Pacifico (Singapore)

Asia Pacifico (Tailandia)

Asia Pacifico (Mumbai)

Asia Pacifico (Mumbai)

Asia Pacifico (Mumbai), Asia Pacifico (Singapore)

Asia Pacific (Hyderabad)

Asia Pacific (Hyderabad)

Asia Pacifico (Hong Kong)

Asia Pacifico (Singapore)

Asia Pacifico (Seoul)

Asia Pacifico (Tokyo)

Asia Pacifico (Singapore)

Asia Pacifico (Singapore)

Asia Pacifico (Sydney)

Asia Pacifico (Sydney)

Asia Pacifico (Tokyo)

Asia Pacifico (Tokyo)

Asia Pacifico (Giacarta)

Asia Pacifico (Giacarta)

Asia Pacifico (Osaka-Locale)

Asia Pacifico (Osaka-Locale)

Asia Pacifico (Melbourne)

Asia Pacifico (Melbourne)

Medio Oriente (Bahrein)

Medio Oriente (Bahrein)

Medio Oriente (Emirati Arabi Uniti)

Medio Oriente (Emirati Arabi Uniti)

Sud America (San Paolo)

Sud America (San Paolo)

Israele (Tel Aviv)

Israele (Tel Aviv)

Africa (Città del Capo)

Africa (Città del Capo)

Ottenere un'identità di origine per l'invio di messaggi SMS a numeri di telefono USA

Se intendi inviare messaggi SMS a numeri di telefono negli Stati Uniti, devi ottenere un'identità di origine, indipendentemente dalla creazione di un ambiente di test sandbox SMS o di produzione.

I corrieri statunitensi richiedono un'identità di origine per inviare messaggi ai numeri di telefono statunitensi. Se non disponi ancora di un'identità di origine, devi richiederne una. Per informazioni su come ottenere un'identità di origine, consulta Richiedere un numero di telefono nella Guida per l'AWS End User Messaging SMS utente.

Quando hai più di un'identità di origine nella stessa identità Regione AWS, AWS End User Messaging SMS scegli un tipo di identità di origine nel seguente ordine di priorità: codice breve, 10DLC, numero verde. Non puoi modificare questa priorità. Per ulteriori informazioni, consulta AWS End User Messaging SMS FAQs.

Verifica di trovarti nella sandbox SMS

Utilizza la procedura seguente per confermare se ti trovi nella sandbox SMS. Ripeti l'operazione per ogni Regione AWS area in cui hai pool di utenti Amazon Cognito di produzione.

Per confermare di trovarti nella sandbox SMS

  1. Passa alla console Amazon Cognito. Se richiesto, inserisci le tue credenziali AWS .

  2. Scegli User Pools (bacini d'utenza).

  3. Scegli un bacino d'utenza esistente dall'elenco.

  4. Scegli il menu Metodi di autenticazione.

  5. Nella sezione Configurazione SMS, espandi Move to Amazon SNS production environment (passare all'ambiente di produzione Amazon SNS). Se l'account si trova nella sandbox SMS, in Amazon Cognito verrà visualizzato il messaggio seguente:

    Configura Servizio AWS le dipendenze per completare la configurazione dei messaggi SMS

    Se il messaggio non compare, significa che qualcuno ha già eseguito la configurazione dei messaggi SMS nel tuo account. Passa a Completamento della configurazione del pool di utenti in Amazon Cognito.

  6. Scegli il link Amazon SNS in Passa all'ambiente di produzione Amazon SNS. La console SNS viene aperta in una nuova scheda.

  7. Verifica di trovarti nell'ambiente sandbox. Il messaggio della console indica lo stato della sandbox e Regione AWS, come segue:

    This account is in the SMS sandbox in US East (N. Virginia).

Sposta il tuo account fuori dalla sandbox

Per utilizzare la tua app in produzione, sposta il tuo account dall'ambiente della sandbox SMS a quello della produzione. Dopo aver configurato un'identità di origine Regione AWS che contiene le AWS End User Messaging SMS risorse che desideri vengano utilizzate da Amazon Cognito, puoi verificare i numeri di telefono degli Stati Uniti mentre i Account AWS tuoi rimangono nella sandbox SMS. Quando l'ambiente è in produzione, non è necessario verificare i numeri di telefono degli utenti prima di inviare loro messaggi SMS.

Puoi creare una richiesta per uscire dalla sandbox dalla AWS End User Messaging SMS console o dalla console Amazon SNS. Per istruzioni dettagliate, consulta Passare dalla sandbox SMS nella Guida per l'AWS End User Messaging SMS utente.

Usa i numeri del simulatore o i numeri di telefono verificati con AWS End User Messaging SMS

Se hai spostato il tuo account al di fuori dell’ambiente di sperimentazione (sandbox) SMS, ignora questo passaggio.

Se ti trovi nella sandbox ma hai impostato un numero di origine, puoi inviare messaggi a numeri di destinazione verificati. Per configurare destinazioni verificate, consulta Aggiungere un numero di telefono di destinazione verificato nella Guida per l'AWS End User Messaging SMS utente.

Puoi anche inviare messaggi con mittenti e destinazioni simulati. I messaggi del simulatore producono registri ma non vengono inviati tramite la rete dell'operatore. Dal menu Scelte rapide, seleziona Verifica l'invio di SMS con il simulatore SMS. Per ulteriori informazioni, consulta i numeri di telefono del simulatore nella Guida per l'AWS End User Messaging SMS utente.

Completamento della configurazione del pool di utenti in Amazon Cognito

Tornate alla scheda del browser in cui stavate creando o modificando il pool di utenti. Completare la procedura. Dopo aver aggiunto correttamente la configurazione dei messaggi SMS al pool di utenti, Amazon Cognito invia un messaggio di prova a un numero di telefono interno per verificare che la configurazione funzioni. Amazon SNS addebita il costo di ogni messaggio SMS di prova.