Configurações de e-mail para grupos de usuários do Amazon Cognito - Amazon Cognito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurações de e-mail para grupos de usuários do Amazon Cognito

Determinados eventos no aplicativo do cliente do grupo de usuários podem fazer com que o Amazon Cognito envie e-mails para os usuários. Por exemplo, se você configurar o grupo de usuários para exigir verificação de e-mail, o Amazon Cognito enviará um e-mail quando um usuário se cadastrar em uma nova conta na aplicação ou redefinir a senha. Dependendo da ação que inicia o e-mail, o e-mail contém um código de verificação ou uma senha temporária.

Para processar a entrega de e-mails, você pode usar uma das seguintes opções:

Você pode alterar a opção de entrega depois de criar o grupo de usuários.

O Amazon Cognito envia mensagens de e-mail aos usuários com um código que eles podem inserir ou um link de URL que pode ser selecionado. A tabela a seguir mostra os eventos que podem gerar uma mensagem de e-mail.

Opções de mensagem

Atividade Operação de API Opções de entrega Opções de formato Personalizável Modelo de mensagem
Forgot password ForgotPassword Email, SMS code No N/A
Invitation AdminCreateUser Email, SMS code Yes Mensagem de convite
Self-registration SignUp Email, SMS code, link Yes Mensagem de verificação
Email address or phone number verification UpdateUserAttributes Email, SMS code Yes Mensagem de verificação
Multi-factor authentication (MFA) AdminInitiateAuth, InitiateAuth SMS code Yes¹ Mensagem de MFA

¹ Para mensagens SMS.

O Amazon SES cobra por mensagens de e-mail. Para obter mais informações, consulte Definição de preço do Amazon SES.

Funcionalidade de e-mail padrão

O Amazon Cognito pode usar a funcionalidade de e-mail padrão para processar entregas de e-mail para você. Quando você usa a opção padrão, o Amazon Cognito limita o número de e-mails que ele envia por dia para o grupo de usuários. Para obter mais informações sobre limites do serviço, consulte Cotas no Amazon Cognito. Para ambientes de produção típicos, o limite de e-mails padrão fica abaixo do volume de entrega necessário. Para habilitar um volume de entrega maior, você deve usar a configuração de e-mail do Amazon SES.

Ao usar a funcionalidade padrão, você usa os recursos do Amazon SES que são gerenciados pela AWS para enviar mensagens de e-mail. O Amazon SES adiciona endereços de e-mail que retornam uma devolução definitiva para uma lista de supressão em nível de conta ou uma lista de supressão global. Se um endereço de e-mail impossível de entregar puder ser entregue posteriormente, você não poderá controlar sua remoção da lista de supressão enquanto o grupo de usuários estiver configurado para usar a funcionalidade padrão. Um endereço de e-mail pode permanecer indefinidamente na lista de supressão gerenciada pela AWS. Para gerenciar endereços de e-mail que não podem ser entregues, use sua configuração de e-mail do Amazon SES com uma lista de supressão em nível de conta, conforme descrito na próxima seção.

Ao usar a configuração de e-mail padrão, você pode utilizar um dos seguintes endereços de e-mail como endereço DE:

  • O endereço de e-mail padrão, no-reply@verificationemail.com.

  • Um endereço de e-mail personalizado. Para poder usar seu próprio endereço de e-mail, verifique-o no Amazon SES e conceda permissão ao Amazon Cognito para usá-lo.

Configuração de e-mail do Amazon SES

O aplicativo pode exigir um volume de entrega maior do que está disponível com a opção padrão. Para aumentar o volume de entrega possível, use os recursos do Amazon SES com o grupo de usuários para enviar e-mail aos usuários. Você também pode monitorar a atividade de envio de e-mail ao enviar mensagens usando sua própria configuração do Amazon SES.

Antes de poder usar a configuração do Amazon SES, você deve verificar um ou mais endereços de e-mail ou de domínio no Amazon SES. Use um endereço de e-mail ou de domínio verificado como o endereço de e-mail FROM (DE) que você atribui ao grupo de usuários. Quando o Amazon Cognito envia um e-mail a um usuário, ele chama o Amazon SES para você e usa seu endereço de e-mail.

Quando você usa a configuração do Amazon SES, as seguintes condições se aplicam:

  • Os limites de entrega de e-mail para seu grupo de usuários são os mesmos que se aplicam ao endereço de e-mail verificado do Amazon SES em sua Conta da AWS.

  • Você pode gerenciar suas mensagens para endereços de e-mail que não podem ser entregues com uma lista de supressão em nível de conta no Amazon SES que substitui a lista de supressão global. Ao usar uma lista de supressão em nível de conta, as devoluções de mensagens de e-mail afetam a reputação de sua conta como remetente. Para obter mais informações, consulte Como usar a lista de supressão do Amazon SES por conta no Guia do desenvolvedor do Amazon Simple Email Service.

Regiões de configuração de e-mail do Amazon SES

Ao escolher a Região da AWS que contém os recursos do Amazon SES que deseja usar para mensagens de e-mail do Amazon Cognito, você pode escolher a mesma região na qual você criou seu grupo de usuários. Com grupos de usuários do Amazon Cognito em algumas regiões, você também pode usar os recursos do Amazon SES que estão nas seguintes opções de regiões alternativas: Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon) ou Europa (Irlanda).

Para tornar suas operações de e-mail mais rápidas e confiáveis, use a configuração do Amazon SES na Região da AWS onde você criou o grupo de usuários. A configuração do Amazon SES entre regiões no Amazon Cognito continua endo possível para recursos de grupo de usuários criados para atender aos requisitos do Amazon Cognito quando o serviço foi iniciado. Os recursos do grupo de usuários criados durante esse período só podiam usar recursos do Amazon SES em um número limitado de Regiões da AWS.

nota

No AWS Management Console, você só pode usar os recursos do Amazon SES na mesma região depois que mudar para a nova experiência do console do Amazon Cognito.

Se você criar um recurso de grupos de usuários do Amazon Cognito com o AWS Command Line Interface, a API ou o AWS CloudFormation, seu grupo de usuários enviará mensagens de e-mail com a identidade do Amazon SES que o parâmetro SourceArn do objeto EmailConfigurationType especificar para ele. A identidade do Amazon SES deve ocupar uma Região da AWS compatível. Se sua EmailSendingAccount for COGNITO_DEFAULT e você não especificar um parâmetro SourceArn, o Amazon Cognito enviará mensagens de e-mail de no-reply@verificationemail.com usando recursos na região onde você criou o grupo de usuários.

A tabela a seguir mostra as Regiões da AWS onde você pode usar identidades do Amazon SES com o Amazon Cognito.

Grupos de usuários do Amazon CognitoRegião da AWS Regiões da AWS compatíveis com o Amazon Simple Email Service

Leste dos EUA (Norte da Virgínia)

Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Europa (Irlanda)

Leste dos EUA (Ohio)

Leste dos EUA (Ohio), Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Europa (Irlanda)

Oeste dos EUA (Norte da Califórnia)

Oeste dos EUA (N. da Califórnia)

Oeste dos EUA (Oregon)

Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Europa (Irlanda)

Canadá (Central)

Canadá (Central), Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Europa (Irlanda)

Ásia-Pacífico (Tóquio)

Ásia-Pacífico (Tóquio), Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Europa (Irlanda)

Ásia-Pacífico (Seul)

Ásia-Pacífico (Seul), Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Europa (Irlanda)

Ásia-Pacífico (Mumbai)

Ásia-Pacífico (Mumbai), Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Europa (Irlanda)

Ásia-Pacífico (Singapura)

Ásia-Pacífico (Singapura), Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Europa (Irlanda)

Ásia-Pacífico (Sydney)

Ásia-Pacífico (Sydney), Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Europa (Irlanda)

Europa (Irlanda)

Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Europa (Irlanda)

Europa (Londres)

Europa (Londres), Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Europa (Irlanda)

Europa (Paris)

Europa (Paris)

Europa (Frankfurt)

Europa (Frankfurt), Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Europa (Irlanda)

Europa (Estocolmo)

Europa (Estocolmo)

Europa (Milão) Europa (Milão)

Oriente Médio (Bahrein)

Oriente Médio (Bahrein)

América do Sul (São Paulo)

América do Sul (São Paulo)

Ásia-Pacífico (Osaka) Ásia-Pacífico (Osaka)
Israel (Tel Aviv) Israel (Tel Aviv)
África (Cidade do Cabo) África (Cidade do Cabo)
Ásia-Pacífico (Jacarta) Ásia-Pacífico (Jacarta)

Configurar e-mail para seu grupo de usuários

Execute as etapas a seguir para definir as configurações de e-mail do grupo de usuários. Dependendo das configurações que você usa, pode precisar de permissões do IAM no Amazon SES, o AWS Identity and Access Management (IAM) e o Amazon Cognito.

nota

Não é possível compartilhar os recursos criados nessas etapas entre Contas da AWS. Por exemplo, não é possível configurar um grupo de usuários em uma conta e depois usá-la com um endereço de e-mail do Amazon SES em outra conta. Se você usar o Amazon Cognito em várias contas, repita essas etapas em cada uma.

Etapa 1: verificar seu endereço de e-mail ou domínio com o Amazon SES

Antes de configurar o grupo de usuários, você deve verificar um ou mais domínios ou endereços de e-mail com o Amazon SES se quiser executar uma das seguintes ações:

  • Usar seu endereço de e-mail como endereço FROM

  • Usar a configuração do Amazon SES para processar a entrega de e-mails

Ao verificar seu endereço de e-mail ou domínio, você confirma que é o proprietário, o que ajuda a impedir o uso não autorizado.

Para obter mais informações sobre a verificação de um endereço de e-mail com o Amazon SES, consulte Verificar um endereço de e-mail no Guia do desenvolvedor do Amazon Simple Email Service. Para mais informações sobre como verificar um domínio com o Amazon SES, consulte Verificar domínios.

Etapa 2: retirar sua conta da sandbox do Amazon SES

Ignore esta etapa se estiver usando a funcionalidade de e-mail padrão do Amazon Cognito.

Quando você usa o Amazon SES pela primeira vez em qualquer Região da AWS, ele coloca sua Conta da AWS na sandbox do Amazon SES para essa região. O Amazon SES usa a sandbox para evitar fraudes e uso abusivo. Se você usar a configuração do Amazon SES para processar a entrega de e-mails, deverá remover sua Conta da AWS da sandbox para que o Amazon Cognito possa enviar e-mails aos usuários.

Na sandbox, o Amazon SES impõe restrições sobre a quantidade de e-mails que você pode enviar e onde pode enviá-los. Você pode enviar e-mails somente para endereços e domínios que você já tenha verificado no Amazon SES ou pode enviá-los para endereços do simulador de caixa postal do Amazon SES. Enquanto sua Conta da AWS permanecer na sandbox, não use a configuração do Amazon SES para aplicações em produção. Nessa situação, o Amazon Cognito não consegue enviar mensagens para os endereços de e-mail de seus usuários.

Para remover sua Conta da AWS da sandbox, consulte Sair da sandbox do Amazon SES no Guia do desenvolvedor do Amazon Simple Email Service.

Etapa 3: conceder permissões de e-mail ao Amazon Cognito

Talvez você precise conceder permissões específicas ao Amazon Cognito para que ele possa enviar e-mails aos usuários. As permissões que você concede e o processo usado para concedê-las dependem de você estar usando a funcionalidade de e-mail padrão ou a configuração do Amazon SES.

Ignore esta etapa somente se estiver usando a funcionalidade de e-mail padrão do Amazon Cognito.

Se você configurar o grupo de usuários para utilizar a funcionalidade de e-mail padrão do Amazon Cognito, poderá usar um dos seguintes endereços como o endereço FROM (DE) que o Amazon Cognito utiliza para enviar e-mails aos usuários:

  • O endereço padrão

  • Um endereço personalizado, que deve ser um endereço de e-mail verificado ou um endereço de e-mail em um domínio verificado, no Amazon SES

Se você usar um endereço personalizado, o Amazon Cognito precisará de permissões adicionais para enviar e-mail aos usuários a partir desse endereço. Essas permissões são concedidas por uma política de autorização de envio anexada ao endereço ou domínio no Amazon SES. Se você usar o console do Amazon Cognito para adicionar um endereço personalizado ao grupo de usuários, a política será anexada automaticamente ao endereço de e-mail verificado do Amazon SES. No entanto, se você configurar seu grupo de usuários fora do console, por exemplo, usando a AWS CLI ou a API do Amazon Cognito, você deverá anexar a política usando o Console do Amazon SES ou a API PutIdentityPolicy.

nota

Você só pode configurar um endereço FROM (Remetente) em um domínio verificado usando a AWS CLI ou a API do Amazon Cognito.

Uma política de autorização de envio permite ou nega o acesso com base nos recursos da conta que estão usando o Amazon Cognito para invocar o Amazon SES. Para obter mais informações sobre políticas baseadas em recursos, consulte o Manual do usuário do IAM. Você também pode encontrar exemplos de políticas baseadas em recursos no Guia do desenvolvedor do Amazon SES.

exemplo Política de autorização de envio

O exemplo de política de autorização de envio a seguir concede ao Amazon Cognito uma capacidade limitada de usar uma identidade verificada do Amazon SES. O Amazon Cognito só pode enviar mensagens de e-mail quando o fizer em nome do grupo de usuários na condição aws:SourceArn e da conta na condição aws:SourceAccount.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "stmnt1234567891234", "Effect": "Allow", "Principal": { "Service": [ "email.cognito-idp.amazonaws.com" ] }, "Action": [ "SES:SendEmail", "SES:SendRawEmail" ], "Resource": "<your SES identity ARN>", "Condition": { "StringEquals": { "aws:SourceAccount": "<your account number>" }, "ArnLike": { "aws:SourceArn": "<your user pool ARN>" } } } ] }

Neste exemplo, o valor "Sid" é uma string arbitrária que identifica exclusivamente a instrução.

Para mais informações sobre sintaxe de políticas, consulte Políticas de autorização de envio do Amazon SES no Guia do desenvolvedor do Amazon Simple Email Service.

Para mais exemplos, consulte Exemplos de política de autorização de envio do Amazon SES no Guia do desenvolvedor do Amazon Simple Email Service.

Se você configurar o grupo de usuários para usar a configuração do Amazon SES, o Amazon Cognito precisará de permissões adicionais para chamar o Amazon SES em seu nome quando ele enviar e-mails aos usuários. Essa autorização é concedida com o serviço do IAM.

Quando você configura o grupo de usuários com essa opção, o Amazon Cognito cria uma função vinculada ao serviço, que é um tipo de função do IAM, em sua Conta da AWS. Essa função contém as permissões para que o Amazon Cognito acesse o Amazon SES e envie mensagens de e-mail com seu endereço.

O Amazon Cognito cria o perfil vinculado ao serviço com as credenciais da AWS da sessão do usuário que define a configuração. As permissões do IAM dessa sessão devem incluir a ação iam:CreateServiceLinkedRole. Para obter mais informações sobre permissões no IAM, consulte Gerenciamento de acesso para recursos da AWS no Guia do usuário do IAM.

Para obter mais informações sobre a função vinculada ao serviço criada pelo Amazon Cognito, consulte Como usar funções vinculadas a serviço para o Amazon Cognito.

Etapa 4: configurar o grupo de usuários

Execute as etapas a seguir para configurar o grupo de usuários com qualquer um dos seguintes:

  • Um endereço FROM personalizado exibido como remetente de e-mail

  • Um endereço REPLY-TO personalizado que recebe as mensagens que os usuários enviam ao endereço FROM

  • Sua configuração do Amazon SES

nota

Se a identidade verificada for um endereço de e-mail, ele será definido pelo Amazon Cognito como o endereço de e-mail FROM e REPLY-TO por padrão. Porém, se a identidade verificada for um domínio, você deverá fornecer um valor para os endereços de e-mail FROM e REPLY-TO. Por exemplo, se o domínio verificado for exemplo.com, você poderá definir no-reply@exemplo.com como os endereços de e-mail FROM e REPLY-TO.

Ignore este procedimento se quiser usar a funcionalidade de e-mail e endereço padrão do Amazon Cognito.

Configurar o grupo de usuários para usar um endereço de e-mail personalizado
  1. Acesse o console do Amazon Cognito. Se solicitado, insira suas credenciais da AWS.

  2. Escolha User Pools (Grupos de usuários).

  3. Escolha um grupo de usuários existente da lista.

  4. Escolha a guia Messaging (Sistema de mensagens), localize Email configuration (Configuração de e-mail), escolha Edit (Editar).

  5. Na página Edit email configuration (Editar configuração do e-mail), selecione Send email from Amazon SES (Enviar e-mail do Amazon SES) ou Send email with Amazon Cognito (Enviar e-mail com o Amazon Cognito). Só é possível personalizar a SES Region (Região SES), o Configuration Set (Conjunto de configurações) e o FROM sender name (Nome do remetente) quando você seleciona Send email from Amazon SES (Enviar e-mail do Amazon SES).

  6. Para usar um endereço FROM (remetente) personalizado, conclua as seguintes etapas:

    1. Em SES Region (Região do SES), escolha a região que contém seu endereço de e-mail verificado.

    2. Em FROM email address (Endereço do e-mail remetente), escolha seu endereço de e-mail. Use um endereço de e-mail verificado com o Amazon SES.

    3. (Opcional) Em Configuration set (Conjunto de configurações), escolha um conjunto de configurações a ser usado pelo Amazon SES. Criar e salvar essa alteração cria uma função vinculada ao serviço.

    4. (Opcional) Em FROM sender address (Endereço do remetente), insira um endereço de e-mail. Você pode fornecer apenas um endereço de e-mail ou um endereço de e-mail e um nome amigável no formato Jane Doe <janedoe@example.com>.

    5. (Opcional) Em REPLY-TO email address (Endereço de e-mail para resposta), insira o endereço de e-mail no qual você deseja receber mensagens enviadas pelos usuários para o seu endereço FROM (Remetente).

  7. Escolha Save changes (Salvar alterações).

Related Topics