Amazon Cognito ユーザープール用の SMS メッセージ設定 - Amazon Cognito

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Cognito ユーザープール用の SMS メッセージ設定

ユーザープールの Amazon Cognito イベントには、Amazon Cognito がユーザーに SMS テキストメッセージを送信する結果となるものがあります。例えば、電話番号の検証を必須とするようにユーザープールを設定している場合、ユーザーがアプリケーションの新しいアカウントにサインアップする、またはパスワードをリセットする場合に Amazon Cognito が SMS テキストメッセージを送信します。SMS テキストメッセージを開始するアクションに応じて、メッセージには検証コード、一時的なパスワード、またはウェルカムメッセージが含まれます。

Amazon Cognito は、SMS テキストメッセージの配信に Amazon Simple Notification Service (Amazon SNS) を使用します。Amazon Cognito または Amazon SNS 経由でのテキストメッセージの送信を初めて行う場合は、Amazon SNS によってサンドボックス環境に置かれます。サンドボックス環境では、SMS テキストメッセージのアプリケーションをテストできます。サンドボックスでは、検証済みの電話番号にしかメッセージを送信できません。

Amazon SNS は、SMS テキストメッセージに料金を請求します。詳細については、「Amazon SNS の料金」を参照してください。

注記

世界中で一方的な SMS トラフィックの量が多いため、一部の政府は SMS メッセージの送信者と受信者の間に障壁を課しています。SMS メッセージを MFA やユーザーアップデートに使用する場合は、メッセージが確実に送られるように追加の手順を踏む必要があります。また、ユーザーが住んでいる可能性のある国の SMS メッセージ関連の規制を監視し、SMS メッセージの設定を最新の状態に保つ必要があります。詳細については、Amazon Simple Notification Service デベロッパーガイドの「Mobile text messaging (SMS)」を参照してください。

SMS メッセージを使用してユーザーを認証および検証することは、セキュリティ上のベストプラクティスではありません。電話番号は所有者が変わる場合があり、ユーザーの MFA の所有している要素を確実に表さないかもしれません。代わりに、アプリまたはサードパーティーの IdP で TOTP MFA を実装してください。また、カスタム認証チャレンジの Lambda トリガー を使って、追加のカスタム認証要素を作成することもできます。

Amazon Cognito は、ユーザーが入力できるコードを含む SMS メッセージをユーザーに送信します。次の表は、SMS メッセージを生成できるイベントを示しています。

メッセージオプション

アクティビティ API オペレーション 配信オプション 形式オプション カスタマイズ可能 メッセージテンプレート
パスワードを忘れてしまった ForgotPassword E メール、SMS コード いいえ 該当なし
招待 AdminCreateUser E メール、SMS コード はい 招待メッセージ
自己登録 SignUp E メール、SMS コード、リンク はい 検証メッセージ
E メールアドレスまたは電話番号の検証 UpdateUserAttributes E メール、SMS コード はい 検証メッセージ
多要素認証 (MFA) AdminInitiateAuth, InitiateAuth SMS、認証アプリケーション コード Yes¹ MFA メッセージ

¹ SMS メッセージ用。

Amazon Cognito ユーザープールでの SMS メッセージングの初回セットアップ

Amazon Cognito は、ユーザーへの SMS メッセージの送信に Amazon SNS を使用します。カスタム SMS 送信者の Lambda トリガー を使用して、独自のリソースを使用し、SMS メッセージを送信することもできます。特定の で SMS テキストメッセージを送信するように Amazon SNS を初めて設定すると AWS リージョン、Amazon SNS はそのリージョンの AWS アカウント SMS サンドボックスに を配置します。Amazon SNS はサンドボックスを使用して、不正使用や不正使用を防ぎ、コンプライアンス要件を満たします。 AWS アカウント がサンドボックスにある場合、Amazon SNS はいくつかの制限を課します。例えば、テキストメッセージを送信できるのは Amazon SNS で検証した電話番号 10 個までです。がサンドボックス AWS アカウント に置かれている間は、本番環境のアプリケーションに Amazon SNS 設定を使用しないでください。サンドボックスに置かれている間、Amazon Cognito はユーザーの電話番号にメッセージを送信できません。

Amazon Cognito が Amazon SNS で SMS メッセージを送信するために使用できる IAM ロールを準備します。

ユーザープールから SMS メッセージを送信すると、Amazon Cognito はアカウントの IAM ロールを引き受けます。Amazon Cognito は、そのロールに割り当てられた sns:Publish アクセス許可を使用して、ユーザーに SMS メッセージを送信します。Amazon Cognito コンソールでは、[SMS] のユーザープールの [Messaging] (メッセージング) タブから [IAM role selection] (IAM ロールの選択) を設定するか、ユーザープール作成ウィザードでこの選択を行うことができます。

次の IAM ロール信頼ポリシーの例では、Amazon Cognito ユーザープールに、ロールを引き受ける制限付きの機能を付与しています。Amazon Cognito は、条件 aws:SourceArn のユーザープールと条件 aws:SourceAccount の AWS アカウント の代わりに行う場合にのみ、そのロールを引き受けることができます。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "cognito-idp.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "<your account number>" }, "ArnLike": { "aws:SourceArn": "<your user pool ARN>" } } }] }

条件 aws:SourceArn の値には、正確なユーザープール ARN またはワイルドカード ARN を指定できます。 AWS Management Console または DescribeUserPool API リクエストでユーザープールの ARNs を検索します。

IAM ロールおよび信頼ポリシーの詳細については、「AWS Identity and Access Management ユーザーガイド」の「ロールに関する用語と概念」を参照してください。

AWS リージョン Amazon SNS SMS メッセージの を選択する

一部の では AWS リージョン、Amazon Cognito SMS メッセージに使用する Amazon SNS リソースを含むリージョンを選択できます。 Amazon Cognito Amazon Cognito が利用可能な では AWS リージョン 、アジアパシフィック (ソウル) を除き、ユーザープール AWS リージョン を作成した で Amazon SNS リソースを使用できます。リージョンを選択したときに SMS メッセージングを高速かつ信頼性の高いものにするには、ユーザープールと同じリージョンの Amazon SNS リソースを使用します。

注記

では AWS Management Console、新しい Amazon Cognito コンソールエクスペリエンスに切り替えた後でのみ、SMS リソースのリージョンを変更できます。

新規ユーザープールウィザードのメッセージ配信の設定ステップで、SMS リソースのリージョンを選択します。既存のユーザープールの [Messaging] (メッセージング) タブの [SMS][Edit] (編集) を選択することもできます。

起動時に、一部の について AWS リージョン、Amazon Cognito は代替リージョンで Amazon SNS リソースを使用して SMS メッセージを送信しました。希望するリージョンを設定するには、ユーザープールの SmsConfigurationType オブジェクトの SnsRegionパラメータを使用します。次の表から Amazon Cognito リージョン に Amazon Cognito ユーザープールリソースをプログラムによって作成し、SnsRegion パラメータを提供しない場合、ユーザープールはレガシー Amazon SNS 代替リージョンで Amazon SNS リソースを使用して SMS メッセージを送信します。

アジアパシフィック (ソウル) の Amazon Cognito ユーザープール AWS リージョン は、アジアパシフィック (東京) リージョンの Amazon SNS 設定を使用する必要があります。

Amazon SNS は、すべての新しいアカウントに対して 1 か月あたり 1.00 USD で使用クォータを設定します。Amazon Cognito で使用する で使用制限を引き上げ AWS リージョン た可能性があります。 AWS リージョン Amazon SNS SMSメッセージの を変更する前に、 AWS サポートセンターでクォータ引き上げケースを開いて、新しいリージョンでの制限を引き上げます。詳細については、Amazon Simple Notification Service 開発者ガイド の「Amazon SNS の毎月の SMS 使用クォータの引き上げをリクエストする」を参照してください。

以下の表にある、任意の Amazon Cognito リージョンに対して、対応する Amazon SNS リージョン の Amazon SNS リソースで SMS メッセージを送信することができます。

Amazon Cognito リージョン Amazon SNS リージョン

米国東部(オハイオ)

米国東部 (オハイオ)、米国東部 (バージニア北部)

カナダ (中部)

カナダ (中部)、米国東部 (バージニア北部)

欧州 (フランクフルト)

欧州 (フランクフルト)、欧州 (アイルランド)

欧州 (ロンドン)

欧州 (ロンドン)、欧州 (アイルランド)

アジアパシフィック (ソウル)

アジアパシフィック (東京)

米国東部 (バージニア北部)

米国東部 (バージニア北部)

米国西部(北カリフォルニア)

米国西部(北カリフォルニア)

米国西部(オレゴン)

米国西部(オレゴン)

アジアパシフィック(ムンバイ)

アジアパシフィック (ムンバイ)、アジアパシフィック (シンガポール)

アジアパシフィック (ハイデラバード)

アジアパシフィック (ハイデラバード)

アジアパシフィック (シンガポール)

アジアパシフィック (シンガポール)

アジアパシフィック (シドニー)

アジアパシフィック (シドニー)

アジアパシフィック (東京)

アジアパシフィック (東京)

アジアパシフィック (ジャカルタ)

アジアパシフィック (ジャカルタ)

アジアパシフィック (大阪)

アジアパシフィック (大阪)

アジアパシフィック (メルボルン)

アジアパシフィック (メルボルン)

欧州 (アイルランド)

欧州 (アイルランド)

欧州 (パリ)

欧州 (パリ)

欧州 (ストックホルム)

欧州 (ストックホルム)

欧州 (ミラノ)

欧州 (ミラノ)

欧州 (スペイン)

欧州 (スペイン)

中東 (バーレーン)

中東 (バーレーン)

南米(サンパウロ)

南米(サンパウロ)

イスラエル (テルアビブ)

イスラエル (テルアビブ)

アフリカ (ケープタウン)

アフリカ (ケープタウン)

中東 (アラブ首長国連邦)

中東 (アラブ首長国連邦)

欧州 (チューリッヒ)

欧州 (チューリッヒ)

米国の電話番号に SMS メッセージを送信するための発信元 ID を取得する

米国の電話番号に SMS テキストメッセージを送信する場合は、SMS サンドボックステスト環境または本番環境を構築するかどうかにかかわらず、発信元 ID を取得する必要があります。

米国の通信事業者は 2021 年 6 月 1 日付けで、米国の電話番号へのメッセージの送信に発信元 ID を義務付けました。発信元 ID をまだ取得していない場合は、取得する必要があります。発信元 ID を取得する方法については、Amazon Pinpoint ユーザーガイドの「番号のリクエスト」を参照してください。

以下の で業務を行っている場合は AWS リージョン、 AWS Support チケットを開いて発信元 ID を取得する必要があります。この手順については、Amazon Simple Notification Service デベロッパーガイドの「SMS メッセージングのサポートをリクエストする」を参照してください。

  • 米国東部(オハイオ)

  • 欧州 (ストックホルム)

  • 欧州 (パリ)

  • ヨーロッパ (ミラノ)

  • 中東 (バーレーン)

  • 南米(サンパウロ)

  • 米国西部(北カリフォルニア)

同じ に複数の発信元 ID がある場合 AWS リージョン、Amazon SNS は、ショートコード、10DLC、通話料無料番号の優先順位で発信元 ID タイプを選択します。この優先順位を変更することはできません。詳細については、「Amazon SNS のよくある質問」を参照してください。

SMS サンドボックスに置かれていることを確認する

次の手順を使用して SMS サンドボックスに移動していることを確認します。本番稼働 AWS リージョン 用の Amazon Cognito ユーザープールがある各 に対してこの操作を繰り返します。

SMS サンドボックスに置かれていることを確認する
  1. Amazon Cognito コンソールに移動します。プロンプトが表示されたら、 AWS 認証情報を入力します。

  2. [User Pools] (ユーザープール) を選択します。

  3. リストから存在するユーザープールを 1 つ選択します。

  4. [Messaging] (メッセージング) タブを選択します。

  5. [SMS configuration] (SMS 設定) セクションで、[Move to Amazon SNS production environment] (Amazon SNS 本番環境に移行する) を展開します。アカウントが SMS サンドボックスに置かれている場合は、以下のメッセージが表示されます。

    You are currently in the SMS Sandbox and cannot send SMS messages to unverified numbers.

    このメッセージが表示されない場合は、アカウント内での SMS メッセージのセットアップが既に実行されています。「Amazon Cognito でユーザープールのセットアップを完了する」へ進んでください。

  6. メッセージの Amazon SNS リンクを選択します。これにより、新しいタブで Amazon SNS コンソールが開きます。

  7. サンドボックス環境に置かれていることを確認します。コンソールメッセージには AWS リージョン、サンドボックスのステータスと が次のように表示されます。

    This account is in the SMS sandbox in US East (N. Virginia).

Amazon SNS サンドボックスからアカウントを移動させる

アプリをテストしていて、管理者が検証できる電話番号にのみ SMS メッセージを送信する必要がある場合は、このステップをスキップしてください。

本番稼働でアプリを使用するには、アカウントを SMS サンドボックスから本番環境に移動します。Amazon Cognito で使用する Amazon SNS リソースを含む発信元 ID を で AWS リージョン 設定したら、 が SMS サンドボックスに AWS アカウント 残っている間に米国の電話番号を確認できます。Amazon SNS 環境が本番環境にある場合、ユーザーに SMS メッセージを送信するために Amazon SNS でユーザーの電話番号を確認する必要はありません。

詳細については、Amazon Simple Notification Service デベロッパーガイドの「SNS サンドボックス外への移動」を参照してください。

Amazon SNS で Amazon Cognito の電話番号を検証する

SMS サンドボックスからアカウントを移動した場合は、このステップをスキップします。

SMS サンドボックスでは、Amazon SNS で検証した任意の電話番号にメッセージを送信できます。

電話番号を確認するには、次の手順を実行します。

  1. Amazon SNS コンソールのテキストメッセージング (SMS) セクションに、サンドボックスの送信先電話番号を追加します。

  2. 指定した電話番号にコードが入った SMS メッセージを受信します。

  3. Amazon SNS コンソールに SMS メッセージに記載されている確認コードを入力します。

詳しい手順については、Amazon Simple Notification Service デベロッパーガイドの「SMS サンドボックスでの電話番号の追加と確認」を参照してください。

注記

Amazon SNS では、SMS サンドボックスで確認できる送信先の電話番号の数が制限されます。Amazon Simple Notification Service デベロッパーガイドの「SMS サンドボックス」を参照してください。

Amazon Cognito でユーザープールのセットアップを完了する

ユーザープールを作成または編集していたブラウザタブに戻ります。手順を完了します。ユーザープールに SMS 設定を正常に追加すると、Amazon Cognito は内部の電話番号にテストメッセージを送信して、設定が機能することを確認します。Amazon SNS は、テスト SMS メッセージごとに料金を請求します。