Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de la autenticación flexible
Con la autenticación flexible, puede configurar el grupo de usuarios para bloquear los inicios de sesión sospechosos o agregar la autenticación de segundo factor en respuesta a un aumento del nivel de riesgo. Para cada intento de inicio de sesión, Amazon Cognito genera una puntuación de riesgo que indica la probabilidad de que la solicitud de inicio de sesión proceda de un origen comprometido. Esta puntuación de riesgo se basa en los factores de dispositivo y usuario que su aplicación proporciona y otros factores que Amazon Cognito deduce de la solicitud. Algunos factores que contribuyen a la evaluación del riesgo por parte de Amazon Cognito son la dirección IP , el agente de usuario y la distancia geográfica con respecto a otros intentos de inicio de sesión. La autenticación adaptativa puede activarse o requerir la autenticación multifactor (MFA) para un usuario de su grupo de usuarios cuando Amazon Cognito detecta un riesgo en la sesión de un usuario y este aún no ha elegido un método de MFA. Cuando se activa la MFA para un usuario, siempre se le presenta el desafío de proporcionar o configurar un segundo factor durante la autenticación, independientemente de cómo se haya configurado la autenticación adaptativa. Desde el punto de vista del usuario, la aplicación ofrece ayuda para configurar la MFA y, opcionalmente, Amazon Cognito le impide volver a iniciar sesión hasta que haya configurado un factor adicional.
Amazon Cognito publica métricas sobre los intentos de inicio de sesión, sus niveles de riesgo y las impugnaciones fallidas a Amazon. CloudWatch Para obtener más información, consulte [Visualización de las métricas de protección contra amenazas](metrics-for-cognito-user-pools.md#user-pool-settings-viewing-threat-protection-metrics).
Para añadir la autenticación flexible a un grupo de usuarios, consulte [Seguridad avanzada con protección contra amenazas](cognito-user-pool-settings-threat-protection.md).
**Topics**
+ [Información general sobre la autenticación flexible](#security-cognito-user-pool-settings-adaptive-authentication-overview)
+ [Adición de datos de sesión y dispositivos de usuario a las solicitudes de API](#user-pool-settings-adaptive-authentication-device-fingerprint)
+ [Visualización y exportación del historial de eventos de los usuarios](#user-pool-settings-adaptive-authentication-event-user-history)
+ [Suministro de comentarios sobre los eventos](#user-pool-settings-adaptive-authentication-feedback)
+ [Envío de mensajes de notificación](#user-pool-settings-adaptive-authentication-messages)
## Información general sobre la autenticación flexible
En la consola de Amazon Cognito, en el menú **Protección contra amenazas**, puede elegir la configuración de la autenticación flexible, como las acciones que se deben realizar en los distintos niveles de riesgo y la personalización de los mensajes de notificación para los usuarios. Puede asignar una configuración de protección contra amenazas global a todos sus clientes de aplicación, pero aplicar una configuración de nivel de cliente a los clientes de aplicaciones individuales.
La autenticación adaptativa de Amazon Cognito asigna uno de los siguientes niveles de riesgo a cada sesión de usuario: **alto**, **medio**, **bajo** o **sin riesgo**.
Estudie bien sus opciones cuando cambie **Enforcement method** (Método de aplicación) de **Audit-only** (Solo auditoría) a **Full-function** (Función completa). Las respuestas automáticas que se aplican a los niveles de riesgo influyen en el nivel de riesgo que Amazon Cognito asigna a las sesiones de usuario posteriores con las mismas características. Por ejemplo, si decide no realizar ninguna acción o marcar **Allow** (Permitir) en las sesiones de usuario que Amazon Cognito evalúa inicialmente como de alto riesgo, Amazon Cognito considera que las sesiones similares tienen un riesgo menor.
**Para cada nivel de riesgo, puede elegir entre las opciones siguientes:**
| Opción | Action |
| --- | --- |
| Permitir | Los usuarios pueden iniciar sesión sin un factor adicional. |
| MFA opcional | Los usuarios que tengan configurado un segundo factor deberán superar un segundo desafío de segundo factor para iniciar sesión. Los segundos factores disponibles son un número de teléfono para SMS y un token de software TOTP. Los usuarios que no tienen un segundo factor configurado pueden iniciar sesión con un solo conjunto de credenciales. |
| Requerir MFA | Los usuarios que tengan configurado un segundo factor deberán superar un desafío de segundo factor para iniciar sesión. Amazon Cognito bloquea el inicio de sesión de los usuarios que no hayan configurado un segundo factor. |
| Bloque | Amazon Cognito bloquea todos los intentos de inicio de sesión con el nivel de riesgo designado. |
**nota**
No es necesario verificar los números de teléfono para utilizarlos como segundo factor de autenticación para SMS.
## Adición de datos de sesión y dispositivos de usuario a las solicitudes de API
Puede recopilar y transferir información sobre la sesión de su usuario a la protección contra amenazas de Amazon Cognito cuando usa la API para registrarlo, iniciarlo y restablecer su contraseña. Esta información incluye la dirección IP de su usuario y un identificador de dispositivo único.
Es posible que tenga un dispositivo de red intermedio entre sus usuarios y Amazon Cognito, como un servicio proxy o un servidor de aplicaciones. Puede recopilar los datos de contexto de los usuarios y pasarlos a Amazon Cognito para que la autenticación adaptativa calcule el riesgo en función de las características del punto de conexión de usuario, en lugar de su servidor o proxy. Si la aplicación del lado del cliente llama directamente a las operaciones de la API de Amazon Cognito, la autenticación adaptativa registra automáticamente la dirección IP de origen. Sin embargo, no registra otra información del dispositivo, como el `user-agent`, a menos que también recoja una huella digital del dispositivo.
Genere estos datos con la biblioteca de recopilación de datos contextuales de Amazon Cognito y envíelos a Amazon Cognito Threat Protection con [ContextData](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ContextDataType.html)los parámetros y. [UserContextData](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UserContextDataType.html) La biblioteca de recopilación de datos contextuales se incluye en. AWS SDKs Para obtener más información, consulte [Integración de la autenticación y la autorización de Amazon Cognito con aplicaciones web y móviles](cognito-integrate-apps.md). Puede enviar `ContextData` si tiene el plan de características Plus. Para obtener más información, consulte [Configuración de la protección contra amenazas](cognito-user-pool-settings-threat-protection.md#cognito-user-pool-settings-configure-threat-protection).
Cuando llame a las siguientes operaciones de API autenticadas de Amazon Cognito desde el servidor de aplicaciones, pase la IP del dispositivo del usuario en el parámetro `ContextData`. Además, debe transferir el nombre del servidor, la ruta del servidor y los datos de la huella dactilar codificada del dispositivo.
+ [AdminInitiateAuth ](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html)
+ [AdminRespondToAuthChallenge ](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminRespondToAuthChallenge.html)
Cuando llama a operaciones de API sin autenticar de Amazon Cognito, puede enviar `UserContextData` a la protección contra amenazas de Amazon Cognito. Estos datos incluyen una huella digital de dispositivo en el parámetro `EncodedData`. También puede enviar un parámetro `IpAddress` en su `UserContextData` si cumple las condiciones siguientes:
+ Su grupo de usuarios está incluido en el plan de características Plus. Para obtener más información, consulte [Planes de características de grupo de usuarios](cognito-sign-in-feature-plans.md).
+ El cliente de aplicación tiene un secreto de cliente. Para obtener más información, consulte [Ajustes específicos de una aplicación en los clientes de aplicación](user-pool-settings-client-apps.md).
+ Ha activado **Accept additional user context data** (Aceptar datos de contexto de usuario adicionales) en el cliente de aplicación. Para obtener más información, consulte [Aceptación de datos de contexto de usuario adicionales (Consola de administración de AWS)](#user-pool-settings-adaptive-authentication-accept-user-context-data).
Su aplicación puede rellenar el parámetro `UserContextData` con datos codificados de huellas digitales del dispositivo y la dirección IP del dispositivo del usuario en las siguientes operaciones de API no autenticadas de Amazon Cognito.
+ [InitiateAuth ](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html)
+ [RespondToAuthChallenge ](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_RespondToAuthChallenge.html)
+ [SignUp ](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SignUp.html)
+ [ConfirmSignUp ](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmSignUp.html)
+ [ForgotPassword ](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ForgotPassword.html)
+ [ConfirmForgotPassword ](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmForgotPassword.html)
+ [ResendConfirmationCode ](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ResendConfirmationCode.html)
### Aceptación de datos de contexto de usuario adicionales (Consola de administración de AWS)
El grupo de usuarios acepta una dirección IP en un parámetro `UserContextData` después de activar la característica **Accept additional user context data** (Aceptar datos de contexto de usuario adicionales). No es necesario activar esta característica si:
+ Sus usuarios solo inician sesión con operaciones de API autenticadas, por ejemplo [AdminInitiateAuth ](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html), y usted usa el `ContextData` parámetro.
+ Solo desea que las operaciones de API no autenticadas envíen una huella digital del dispositivo, pero no una dirección IP, a la protección contra amenazas de Amazon Cognito.
Actualice el cliente de aplicación como se indica a continuación en la consola de Amazon Cognito para agregar compatibilidad con datos de contexto de usuario adicionales.
1. Inicie sesión en la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/home).
1. En el panel de navegación, elija **Manage your User Pools** (Administrar sus grupos de usuarios) y elija el grupo de usuarios que desea editar.
1. Seleccione el menú **Clientes de aplicación**.
1. Elija un cliente de aplicación o cree uno. Para obtener más información, consulte [Configuración de un cliente de aplicación para grupos de usuarios](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-app-idp-settings.html).
1. Elija **Edit (Editar)** desde el contenedor de **App client information (Información del cliente de aplicación)**.
1. En **Advanced authentication settings (Configuración avanzada de autenticación)** del cliente de aplicación, elija **Accept additional user context data (Aceptar datos de contexto de usuario adicionales)**.
1. Seleccione **Save changes (Guardar cambios)**.
Para configurar el cliente de la aplicación para que acepte datos de contexto de usuario en la API de Amazon Cognito, `EnablePropagateAdditionalUserContextData` configúrelo `true` en una solicitud [CreateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolClient.html)o [UpdateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPoolClient.html). Para obtener más información sobre cómo trabajar con la protección contra amenazas en la aplicación web o móvil, consulte [Recopilación de datos para la protección contra amenazas en las aplicaciones](user-pool-settings-viewing-threat-protection-app.md). Recopile los datos contextuales del usuario desde el lado del cliente cuando la aplicación llame a Amazon Cognito desde el servidor. A continuación, se muestra un ejemplo en el que se utiliza el método JavaScript `getData` SDK.
```
var EncodedData = AmazonCognitoAdvancedSecurityData.getData(username, userPoolId, clientId);
```
Cuando diseñe la aplicación para utilizar la autenticación flexible, le recomendamos que incorpore el último SDK de Amazon Cognito a la aplicación. La última versión del SDK recopila la información de las huellas dactilares del dispositivo como el ID, el modelo y la zona horaria del dispositivo. Para obtener más información sobre Amazon Cognito SDKs, consulte [Instalar un SDK de grupo de usuarios](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-sdk-links.html). La protección contra amenazas de Amazon Cognito solo guarda y asigna una puntuación de riesgo a los eventos que la aplicación envía en el formato correcto. Si Amazon Cognito devuelve una respuesta de error, compruebe que la solicitud incluye un hash secreto válido y que el `IPaddress` parámetro es una dirección IPv4 OR IPv6 válida.
**Recursos `ContextData` y `UserContextData`**
+ AWS Amplify SDK para Android: [GetUserContextData](https://github.com/aws-amplify/aws-sdk-android/blob/main/aws-android-sdk-cognitoidentityprovider/src/main/java/com/amazonaws/mobileconnectors/cognitoidentityprovider/CognitoUserPool.java#L626)
+ AWS Amplify SDK para iOS: [userContextData](https://github.com/aws-amplify/aws-sdk-ios/blob/d3cd4fa0086b526f2f5c9c6c58880c9da7004c66/AWSCognitoIdentityProviderASF/AWSCognitoIdentityProviderASF.m#L21)
+ JavaScript: [amazon-cognito-advanced-security-data.min.js](https://amazon-cognito-assets.us-east-1.amazoncognito.com/amazon-cognito-advanced-security-data.min.js)
## Visualización y exportación del historial de eventos de los usuarios
Amazon Cognito genera un registro por cada evento de autenticación realizado por un usuario cuando se habilita la protección contra amenazas. De forma predeterminada, puede ver los registros de los usuarios en el menú **Usuarios** de la consola de Amazon Cognito o mediante la operación de la [AdminListUserAuthEvents](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminListUserAuthEvents.html)API. También puede exportar estos eventos a un sistema externo como CloudWatch Logs, Amazon S3 o Amazon Data Firehose. La característica de exportación hace que la información de seguridad sobre la actividad de los usuarios en la aplicación sea más accesible a sus propios sistemas de análisis de seguridad.
**Topics**
+ [Visualización del historial de eventos de los usuarios (Consola de administración de AWS)](#user-pool-settings-adaptive-authentication-event-user-history-console)
+ [Visualización del historial de eventos de los usuarios (API/CLI)](#user-pool-settings-adaptive-authentication-event-user-history-api-cli)
+ [Exportación de eventos de autenticación de usuarios](#user-pool-settings-adaptive-authentication-event-user-history-exporting)
### Visualización del historial de eventos de los usuarios (Consola de administración de AWS)
Para ver el historial de inicios de sesión de un usuario, puede elegir el usuario en el menú **Usuarios** en la consola de Amazon Cognito. Amazon Cognito conserva el historial de eventos del usuario durante de dos años.
![\[Historial de eventos del usuario\]](http://docs.aws.amazon.com/es_es/cognito/latest/developerguide/images/cup-advanced-security-event-history.png)
Cada evento de inicio de sesión tiene un ID de evento. El evento también tiene los datos contextuales correspondientes, como la ubicación, los detalles del dispositivo y los resultados de detección de riesgos.
También puede correlacionar el ID de evento con el token que Amazon Cognito emitió en el momento en que registró el evento. El ID y los tokens de acceso incluyen este ID de evento en su carga. Amazon Cognito también correlaciona el uso de tokens de actualización con el ID de evento original. El ID de evento original permite localizar el ID de evento del inicio de sesión que dio lugar a la emisión de los tokens de Amazon Cognito. Esto le permite realizar un seguimiento del uso de un token en su sistema hasta un evento de autenticación en concreto. Para obtener más información, consulte [Descripción de los tokens web JSON para grupos de usuarios (JWTs)](amazon-cognito-user-pools-using-tokens-with-identity-providers.md).
### Visualización del historial de eventos de los usuarios (API/CLI)
[Puede consultar el historial de eventos del usuario con la operación de la API de Amazon Cognito [AdminListUserAuthEvents](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminListUserAuthEvents.html)o con AWS Command Line Interface (AWS CLI) con admin-list-user-auth -events.](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/admin-list-user-auth-events.html)
------
#### [ AdminListUserAuthEvents request ]
El siguiente cuerpo de la solicitud de `AdminListUserAuthEvents` devuelve el registro de actividad más reciente de un usuario.
```
{
"UserPoolId": "us-west-2_EXAMPLE",
"Username": "myexampleuser",
"MaxResults": 1
}
```
------
#### [ admin-list-user-auth-events request ]
La siguiente solicitud de `admin-list-user-auth-events` devuelve el registro de actividad más reciente de un usuario.
```
aws cognito-idp admin-list-user-auth-events --max-results 1 --username myexampleuser --user-pool-id us-west-2_EXAMPLE
```
------
#### [ Response ]
Amazon Cognito devuelve el mismo cuerpo de respuesta JSON a ambas solicitudes. El siguiente es un ejemplo de respuesta para un evento de inicio de sesión en el inicio de sesión administrado que no contenía factores de riesgo:
```
{
"AuthEvents": [
{
"EventId": "[event ID]",
"EventType": "SignIn",
"CreationDate": "[Timestamp]",
"EventResponse": "Pass",
"EventRisk": {
"RiskDecision": "NoRisk",
"CompromisedCredentialsDetected": false
},
"ChallengeResponses": [
{
"ChallengeName": "Password",
"ChallengeResponse": "Success"
}
],
"EventContextData": {
"IpAddress": "192.168.2.1",
"DeviceName": "Chrome 125, Windows 10",
"Timezone": "-07:00",
"City": "Bellevue",
"Country": "United States"
}
}
],
"NextToken": "[event ID]#[Timestamp]"
}
```
------
### Exportación de eventos de autenticación de usuarios
Configure el grupo de usuarios para exportar eventos de los usuarios desde la protección contra amenazas hasta un sistema externo. Los sistemas externos compatibles (Amazon S3, CloudWatch Logs y Amazon Data Firehose) pueden añadir costes a su AWS factura por los datos que envíe o recupere. Para obtener más información, consulte [Exportación de los registros de actividad de los usuarios en la protección contra amenazas](exporting-quotas-and-usage.md#exporting-quotas-and-usage-user-activity).
------
#### [ Consola de administración de AWS ]
1. Inicie sesión en la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/home).
1. Elija **User Pools** (Grupos de usuarios).
1. Elija un grupo de usuarios existente en la lista o [cree un grupo de usuarios](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).
1. Seleccione el menú **Registrar la transmisión**. Seleccione **Editar**.
1. En **Estado de registro**, seleccione la casilla de verificación situada junto a **Activar la exportación del registro de actividad del usuario**.
1. En **Destino del registro**, elige el Servicio de AWS que quieres que gestione tus registros: **grupo de CloudWatch registros**, transmisión de **Amazon Data Firehose** o **bucket de S3**.
1. La opción que elija rellenará el selector de recursos con el tipo de recurso correspondiente. Seleccione un grupo de registro, un flujo o un bucket de la lista. También puede seleccionar el botón **Crear** Consola de administración de AWS para ir al servicio seleccionado y crear un recurso nuevo.
1. Seleccione **Guardar cambios**.
------
#### [ API ]
Elija un tipo de destino para los registros de actividad de los usuarios.
A continuación se muestra un ejemplo de cuerpo de solicitud `SetLogDeliveryConfiguration` que establece un flujo de Firehose como destino del registro.
```
{
"LogConfigurations": [
{
"EventSource": "userAuthEvents",
"FirehoseConfiguration": {
"StreamArn": "arn:aws:firehose:us-west-2:123456789012:deliverystream/example-user-pool-activity-exported"
},
"LogLevel": "INFO"
}
],
"UserPoolId": "us-west-2_EXAMPLE"
}
```
A continuación se muestra un ejemplo de cuerpo de solicitud `SetLogDeliveryConfiguration` que establece un bucket de Amazon S3 como destino del registro.
```
{
"LogConfigurations": [
{
"EventSource": "userAuthEvents",
"S3Configuration": {
"BucketArn": "arn:aws:s3:::amzn-s3-demo-logging-bucket"
},
"LogLevel": "INFO"
}
],
"UserPoolId": "us-west-2_EXAMPLE"
}
```
A continuación, se muestra un ejemplo del cuerpo de una `SetLogDeliveryConfiguration` solicitud que establece un grupo de CloudWatch registros como destino del registro.
```
{
"LogConfigurations": [
{
"EventSource": "userAuthEvents",
"CloudWatchLogsConfiguration": {
"LogGroupArn": "arn:aws:logs:us-west-2:123456789012:log-group:DOC-EXAMPLE-LOG-GROUP"
},
"LogLevel": "INFO"
}
],
"UserPoolId": "us-west-2_EXAMPLE"
}
```
------
## Suministro de comentarios sobre los eventos
Los comentarios sobre los eventos afectan a la evaluación de riesgos en tiempo real y mejoran el algoritmo de evaluación de riesgos a lo largo del tiempo. Puede proporcionar comentarios sobre la validez de los intentos de inicio de sesión a través de las operaciones de API y la consola de Amazon Cognito.
**nota**
Sus comentarios sobre el evento influyen en el nivel de riesgo que Amazon Cognito asigna a las sesiones de usuario posteriores con las mismas características.
En la consola de Amazon Cognito, elija un usuario en la pestaña **Usuarios** y seleccione **Proporcionar comentarios sobre el evento**. Puede revisar los detalles del evento y marcar **Set as valid** (Establecer como válido) o **Set as invalid** (Establecer como no válido).
La consola enumera el historial de inicios de sesión en los detalles del usuario en el menú **Usuarios**. Si selecciona una entrada, puede marcar el evento como válido o no válido. También puedes enviar comentarios a través de la operación [AdminUpdateAuthEventFeedback](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminUpdateAuthEventFeedback.html)de la API del grupo de usuarios y mediante el AWS CLI comando [admin-update-auth-event-feedback](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/admin-update-auth-event-feedback.html).
Al seleccionar **Set as valid** (Establecer como válido) en la consola de Amazon Cognito o proporcionar un valor `FeedbackValue` de `valid` en la API, le está indicando a Amazon Cognito que confía en una sesión de usuario en la que Amazon Cognito ha determinado que hay cierto nivel de riesgo. Al seleccionar **Set as invalid** (Definir como no válido) en la consola de Amazon Cognito o proporcionar un valor `FeedbackValue` de `invalid` en la API, le está indicando a Amazon Cognito que no confía en una sesión de usuario o no cree que Amazon Cognito haya determinado que tiene un nivel de riesgo suficiente.
## Envío de mensajes de notificación
Con la protección contra amenazas, Amazon Cognito puede notificar a los usuarios los intentos de inicio de sesión de riesgo. Amazon Cognito también puede solicitar a los usuarios que seleccionen enlaces para indicar si el inicio de sesión es válido o no. Amazon Cognito utiliza estos comentarios para mejorar la precisión de la detección de riesgos de su grupo de usuarios.
**nota**
Amazon Cognito solo envía mensajes de notificación a los usuarios cuando su acción genera una respuesta automática al riesgo: bloquear el inicio de sesión, permitir el inicio de sesión, configurar la MFA como opcional o requerir la MFA. Es posible que a algunas solicitudes se les asigne un nivel de riesgo, pero que no generen respuestas de riesgo automatizadas con autenticación flexible; en este caso, su grupo de usuarios no envía notificaciones. Por ejemplo, es posible que se registren contraseñas incorrectas con una clasificación de riesgo y que la respuesta de Amazon Cognito consista en no efectuar el inicio de sesión, no en aplicar una regla de autenticación flexible.
En la sección **Automatic risk response** (Respuesta automática al riesgo) elija **Notify Users** (Notificar a los usuarios) para los casos de riesgo bajo, medio y alto.
![\[Notificación a los usuarios\]](http://docs.aws.amazon.com/es_es/cognito/latest/developerguide/images/cup-adaptive-auth.png)
Amazon Cognito envía notificaciones por correo electrónico a sus usuarios independientemente de si han verificado su dirección de correo electrónico.
Puede personalizar los mensajes de correo electrónico de notificación y proporcionar versiones de texto sin formato y HTML de dichos mensajes. Para personalizar las notificaciones por correo electrónico, abra **Plantillas de correo electrónico** desde **Mensajes de autenticación flexible** en su configuración de protección contra amenazas. Para obtener más información sobre las plantillas de correo electrónico, consulte [Plantillas de mensaje](cognito-user-pool-settings-message-customizations.md#cognito-user-pool-settings-message-templates).