

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Ajustes específicos de una aplicación en los clientes de aplicación
<a name="user-pool-settings-client-apps"></a>

Un cliente de la aplicación del grupo de usuarios es una configuración dentro de un grupo de usuarios que interactúa con una aplicación móvil o web que se autentica con Amazon Cognito. Los clientes de aplicaciones pueden llamar a las operaciones de la API autenticadas y no autenticadas y leer o modificar algunos o todos los atributos de los usuarios. La aplicación se debe identificar ante el cliente de la aplicación en las operaciones para registrar, iniciar sesión y gestionar las contraseñas olvidadas. Estas solicitudes de la API deben incluir la autoidentificación con un ID de cliente de la aplicación y la autorización con un secreto de cliente opcional. Debe proteger cualquier cliente IDs o secreto de la aplicación para que solo las aplicaciones cliente autorizadas puedan realizar estas operaciones no autenticadas. Además, si configuras tu aplicación para que firme las solicitudes de API autenticadas con AWS credenciales, debes proteger tus credenciales para que no las inspeccionen los usuarios.

Puede crear varias aplicaciones para un grupo de usuarios. Es posible que el cliente de una aplicación esté vinculado a la plataforma de código de una aplicación o a un inquilino independiente del grupo de usuarios. Por ejemplo, puede crear una aplicación para una aplicación del lado del servidor y una aplicación de Android diferente. Cada aplicación tiene su propio ID de cliente de aplicación.

Puede aplicar ajustes para las siguientes características del grupo de usuarios en el cliente de aplicación:

1. [Análisis](cognito-user-pools-pinpoint-integration.md)

1. Inicio de [sesión gestionado](cognito-user-pools-managed-login.md) IdPs, tipos de concesión URLs, devolución de llamadas y personalización

1. [Servidores de recursos y ámbitos personalizados](cognito-user-pools-define-resource-servers.md)

1. [Protección contra amenazas](cognito-user-pool-settings-threat-protection.md)

1. [Permisos de lectura y escritura de atributos](user-pool-settings-attributes.md#user-pool-settings-attribute-permissions-and-scopes)

1. [Caducidad y revocación de los tokens](amazon-cognito-user-pools-using-tokens-with-identity-providers.md)

1. [Flujos de autenticación](authentication.md#amazon-cognito-user-pools-authentication-flow)

## Tipos de cliente de aplicación
<a name="user-pool-settings-client-app-client-types"></a>

**Al crear un cliente de aplicaciones en Amazon Cognito, puede rellenar previamente las opciones en función de los tipos de OAuth cliente estándar: cliente **público y cliente** confidencial.** Configure un **cliente confidencial** con un **secreto del cliente**. Para obtener más información sobre los tipos de cliente, consulte [IETF RFC 6749 \$12.1](https://datatracker.ietf.org/doc/html/rfc6749#section-2.1).

**Cliente público**  
Un cliente público se ejecuta en un navegador o en un dispositivo móvil. Debido a que no tiene recursos de confianza del lado del servidor, no incluye ningún secreto del cliente.

**Cliente confidencial**  
Un cliente confidencial tiene recursos del lado del servidor a los que se puede confiar un **secreto del cliente** para operaciones de la API no autenticadas. Es posible que la aplicación se ejecute como un daemon o script de shell en el servidor backend.

**Secreto del cliente**  
Un secreto de cliente, o una contraseña de cliente, es una cadena fija que la aplicación debe usar en todas las solicitudes API al cliente de la aplicación. El cliente de la aplicación debe tener un secreto del cliente para ejecutar concesiones de `client_credentials`. Para obtener más información, consulte [IETF RFC 6749 \$12.3.1](https://datatracker.ietf.org/doc/html/rfc6749#section-2.3.1).  
Cada cliente de aplicación puede tener hasta dos secretos a la vez, lo que permite la rotación de los secretos sin tiempo de inactividad. Al crear un cliente de aplicación, puede dejar que Amazon Cognito genere un valor secreto o proporcionar su propio valor secreto personalizado. No puede cambiar secretos del cliente después de crear una aplicación. Puede añadir un segundo secreto con la operación de [AddUserPoolClientSecret](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AddUserPoolClientSecret.html)API para rotar los secretos. Al añadir un secreto, puede dejar que Amazon Cognito genere un valor secreto o proporcionar su propio valor secreto personalizado. Para eliminar un secreto, utilice la operación de [DeleteUserPoolClientSecret](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DeleteUserPoolClientSecret.html)API. No puedes eliminar el único secreto asociado a un cliente de aplicación. También puede eliminar una aplicación para bloquear el acceso de aplicaciones que utilizan el ID de cliente de dicha aplicación.  
La consola de Amazon Cognito crea clientes de aplicaciones con secretos de cliente al seleccionar las opciones **Aplicación web tradicional y Aplicación** **M para el achine-to-machine tipo** de aplicación. Elija una de estas opciones para generar un secreto de cliente o cree el cliente mediante programación con [CreateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolClient.html)y configúrelo en. `GenerateSecret` `true`

Puede utilizar un cliente confidencial y un secreto del cliente con una aplicación pública. Usa un CloudFront proxy de Amazon para añadir un objeto `SECRET_HASH` en tránsito. Para obtener más información, consulte [Proteger los clientes públicos de Amazon Cognito mediante un CloudFront proxy de Amazon](https://aws.amazon.com/blogs/security/protect-public-clients-for-amazon-cognito-by-using-an-amazon-cloudfront-proxy/) en el AWS blog.

## Tokens web JSON
<a name="user-pool-settings-client-app-token-types"></a>

Los clientes de la aplicación Amazon Cognito pueden emitir tokens web JSON (JWTs) de los siguientes tipos.

**Token de identidad (ID)**  
Una instrucción verificable de que su usuario está autenticado a partir de su grupo de usuarios. OpenID Connect (OIDC) agregó la [especificación del token de identificación a los estándares de token](https://openid.net/specs/openid-connect-core-1_0.html#IDToken) de acceso y actualización definidos en la versión 2.0. OAuth El token de ID contiene información de identidad, como atributos de usuario, que su aplicación puede utilizar para crear un perfil de usuario y aprovisionar recursos. Para obtener más información, consulte [Descripción del token de identidad (ID)](amazon-cognito-user-pools-using-the-id-token.md).

**Token de acceso**  
Una instrucción verificable de los derechos de acceso de su usuario. El token de acceso contiene [ámbitos](https://datatracker.ietf.org/doc/html/rfc6749#section-3.3), una característica de OIDC y 2.0. OAuth Su aplicación puede presentar ámbitos para recursos backend y demostrar que su grupo de usuarios autorizó a un usuario o máquina para acceder a datos de una API, o a sus propios datos de usuario. Un token de acceso con *ámbitos personalizados*, a menudo procedente de una concesión de credenciales de cliente M2M, autoriza el acceso a un servidor de recursos. Para obtener más información, consulte [Descripción del token de acceso](amazon-cognito-user-pools-using-the-access-token.md).

**Token de actualización**  
Una instrucción cifrada de autenticación inicial que su aplicación puede presentar a su grupo de usuarios cuando caduquen sus tokens de usuario. Una solicitud de actualización de token devuelve tokens de acceso e ID nuevos y no caducados. Para obtener más información, consulte [Tokens de actualización](amazon-cognito-user-pools-using-the-refresh-token.md).

Puede establecer la caducidad de estos tokens para cada cliente de aplicación desde el menú **Clientes de aplicación** de su grupo de usuarios en la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/v2/idp/user-pools).

## Condiciones de uso de la aplicación
<a name="cognito-user-pools-app-idp-settings-about"></a>

Los siguientes términos son propiedades disponibles de los clientes de aplicación en la consola de Amazon Cognito.

**Se permite la devolución de llamada URLs**  
Una URL de devolución de llamada indica adónde se redirigirá al usuario tras iniciar sesión correctamente. Elija al menos una URL de devolución de llamada. La URL de devolución de llamada debe:  
+ Ser una URI absoluta.
+ Estar registrada previamente con un cliente.
+ No incluir un componente fragmento.
Consulte [OAuth 2.0: punto final de redireccionamiento.](https://tools.ietf.org/html/rfc6749#section-3.1.2)  
Amazon Cognito requiere `HTTPS` sobre `HTTP`, excepto para `http://localhost` solo con fines de prueba.  
También se admite la devolución de llamadas a aplicaciones URLs como `myapp://example` esta.

**Se permite cerrar sesión URLs**  
Una URL de cierre de sesión indica adónde se redirigirá al usuario después de cerrar la sesión.

**Permisos de lectura y escritura de atributos**  
Su grupo de usuarios puede tener muchos clientes, cada uno con su propio cliente de aplicación y IdPs. Puede configurar su cliente de aplicación para que tenga acceso de lectura y escritura solo a los atributos de usuario que sean relevantes para la aplicación. En casos como la autorización machine-to-machine (M2M), no puedes conceder acceso a ninguno de tus atributos de usuario.  

**Consideraciones para la configuración de los permisos de lectura y escritura de atributos**
+ Cuando crea un cliente de aplicación y no personaliza los permisos de lectura y escritura de atributos, Amazon Cognito concede permisos de lectura y escritura a todos los atributos del grupo de usuarios.
+ Puede conceder acceso de escritura a [atributos personalizados](user-pool-settings-attributes.md#user-pool-settings-custom-attributes.title) inmutables. El cliente de aplicación puede escribir valores en atributos inmutables cuando se crea o se registra un usuario. Después de esto, no puede escribir valores en ningún atributo personalizado inmutable para el usuario.
+ Los clientes de aplicaciones deben tener acceso de escritura a los atributos requeridos de su grupo de usuarios. La consola de Amazon Cognito establece automáticamente los atributos requeridos para que se puedan escribir.
+ No puede permitir que un cliente de aplicaciones tenga acceso de escritura a `email_verified` o `phone_number_verified`. Un administrador de grupo de usuarios puede modificar estos valores. Un usuario solo puede cambiar el valor de estos atributos mediante la [verificación de atributos](signing-up-users-in-your-app.md#allowing-users-to-sign-up-and-confirm-themselves.title).

**Flujos de autenticación**  
Los métodos que el cliente de su aplicación permite para el inicio de sesión. Tu aplicación puede admitir la autenticación con nombre de usuario y contraseña, correo electrónico y mensaje SMS OTPs, autenticadores de clave de paso, autenticación personalizada con activadores Lambda y actualización de token. Como práctica recomendada en materia de seguridad, utilice la autenticación SRP para la autenticación del nombre de usuario y la contraseña en las aplicaciones personalizadas.

**Ámbitos personalizados**  
Un ámbito personalizado es el que se define para un servidor de recursos propio en **Resource Servers (Recursos de servidores)**. El formato es*resource-server-identifier*/*scope*. Consulte [Ámbitos, M2M y servidores de recursos](cognito-user-pools-define-resource-servers.md).

**URI de redireccionamiento predeterminado**  
Sustituye el `redirect_uri` parámetro en las solicitudes de autenticación de usuarios por otras de terceros IdPs. Configure esta configuración del cliente de la aplicación con el `DefaultRedirectURI` parámetro de una solicitud de [UpdateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPoolClient.html)API [CreateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolClient.html)o una solicitud. Esta URL también tiene que ser miembro de las `CallbackURLs` del cliente de aplicación. Amazon Cognito redirige las sesiones autenticadas a esta URL cuando:  

1. El cliente de la aplicación tiene un [proveedor de identidades](#app-client-terms-identity-provider) asignado y varias devoluciones de [llamada URLs](#app-client-terms-callback-urls) definidas. Su grupo de usuarios redirige las solicitudes de autenticación al [servidor de autorización](authorization-endpoint.md) al URI de redireccionamiento predeterminado cuando las solicitudes no incluyen el parámetro `redirect_uri`.

1. El cliente de tu aplicación tiene un [proveedor de identidad](#app-client-terms-identity-provider) asignado y una [devolución de llamada definida. URLs](#app-client-terms-callback-urls) En este escenario, no es necesario definir una URL de devolución de llamada predeterminada. Las solicitudes que no incluyen el parámetro `redirect_uri` se redirigen a la única URL de devolución de llamada disponible.

**Proveedores de identidades**  
Puede elegir algunos o todos los proveedores de identidad externos (IdPs) de su grupo de usuarios para autenticar a sus usuarios. Su cliente de aplicación también puede autenticar solo a los usuarios locales de su grupo de usuarios. Cuando agregue un IdP a su cliente de aplicación, podrá generar enlaces de autorización al IdP y mostrarlos en su página de inicio de sesión en el inicio de sesión administrado. Puede asignar varios IdPs, pero debe asignar al menos uno. Para obtener más información sobre el uso de fuentes externas IdPs, consulte[Inicio de sesión en el grupo de usuarios con proveedores de identidad externos](cognito-user-pools-identity-federation.md).

**Ámbitos de OpenID Connect**  
Elija uno o varios de los siguientes ámbitos `OAuth` para especificar los privilegios de acceso que se pueden solicitar para los tokens de acceso.  
+ El ámbito de `openid` declara que desea recuperar un token de ID y un ID único de usuario. También solicita todos o algunos atributos de usuario, en función de los ámbitos adicionales de la solicitud. Amazon Cognito no devuelve un token de ID a menos que se solicite el ámbito `openid`. El ámbito de `openid` autoriza las reclamaciones de los token de ID estructurales, como la fecha de caducidad y el ID de clave y determina los atributos de usuario que se reciben en una respuesta de [El punto de conexión userInfo](userinfo-endpoint.md).
  + Cuando `openid` es el único ámbito que solicita, Amazon Cognito rellena el token de ID con todos los atributos de usuario que el cliente de la aplicación actual pueda leer. La respuesta de `userInfo` a un token de acceso con este ámbito por sí solo devuelve todos los atributos del usuario.
  + Cuando solicita `openid` con otros ámbitos como `phone`, `email` o `profile`, el token de ID y `userInfo` devuelven el ID único del usuario y los atributos definidos por los ámbitos adicionales.
+ El ámbito `phone` concede acceso a las notificaciones `phone_number` y `phone_number_verified`. Este ámbito solo se puede solicitar con el ámbito `openid`.
+ El ámbito `email` concede acceso a las notificaciones `email` y `email_verified`. Este ámbito solo se puede solicitar con el ámbito `openid`.
+ El `aws.cognito.signin.user.admin` ámbito otorga acceso a las [operaciones de API de los grupos de usuarios de Amazon Cognito](authentication-flows-public-server-side.md#user-pools-API-operations) que requieren tokens de acceso, como [UpdateUserAttributes](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserAttributes.html)y. [VerifyUserAttribute](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_VerifyUserAttribute.html)
+ El ámbito `profile` concede acceso a todos los atributos de usuario que el cliente puede leer. Este ámbito solo se puede solicitar con el ámbito `openid`.
Para obtener más información sobre los ámbitos, consulte la lista de [ámbitos de OIDC estándar](http://openid.net/specs/openid-connect-core-1_0.html#ScopeClaims).

**OAuth tipos de subvenciones**  
Una OAuth concesión es un método de autenticación que recupera los tokens del grupo de usuarios. Amazon Cognito admite los siguientes tipos de concesiones. Para integrar estas OAuth subvenciones en tu aplicación, debes añadir un dominio a tu grupo de usuarios.  
**Concesión de código de autorización**  
La concesión de código de autorización genera un código que su aplicación puede intercambiar por tokens de grupo de usuarios con el [Punto de conexión de token](token-endpoint.md). Cuando intercambia un código de autorización, su aplicación recibe tokens de identificación, acceso y actualización. Este OAuth flujo, al igual que la concesión implícita, se produce en los navegadores de los usuarios. Una concesión de código de autorización es la concesión más segura que ofrece Amazon Cognito, porque los tokens no son visibles en las sesiones de sus usuarios. En su lugar, su aplicación genera la solicitud que devuelve los tokens y puede almacenarlos en caché en un almacenamiento protegido. Para obtener más información, consulte *Código de autorización* en [IETF RFC 6749 \$11.3.1](https://datatracker.ietf.org/doc/html/rfc6749#section-1.3.1)
Como práctica recomendada de seguridad en las aplicaciones de clientes públicos, active únicamente el OAuth flujo de concesión de códigos de autorización e implemente Proof Key for Code Exchange (PKCE) para restringir el intercambio de fichas. Con PKCE, un cliente solo puede intercambiar un código de autorización cuando ha proporcionado al punto de conexión del token el mismo secreto que se presentó en la solicitud de autenticación original. Para obtener más información sobre PKCE, consulte [IETF RFC 7636](https://datatracker.ietf.org/doc/html/rfc7636).
**Implicit grant (Concesión implícita)**  
La concesión implícita entrega un token de acceso y de ID, pero no de actualización, a la sesión del navegador de su usuario directamente desde el [Autorizar punto de conexión](authorization-endpoint.md). Una concesión implícita elimina el requisito de una solicitud independiente al punto de conexión de tokens, pero no es compatible con PKCE y no devuelve tokens de actualización. Esta concesión se adapta a los escenarios de prueba y a la arquitectura de las aplicaciones que no pueden completar las concesiones de códigos de autorización. Para obtener más información, consulte *Concesión implícita* en [IETF RFC 6749 \$11.3.2](https://datatracker.ietf.org/doc/html/rfc6749#section-1.3.2). Puede activar tanto la concesión de código de autorización como la concesión implícita en un cliente de aplicación y, a continuación, utilizar cada concesión según sea necesario.
**Concesión de credenciales de cliente**  
La concesión de credenciales de cliente es para machine-to-machine las comunicaciones (M2M). Las concesiones de código de autorización e implícitas emiten tokens a los usuarios humanos autenticados. Las credenciales de cliente conceden una autorización basada en el alcance desde un sistema no interactivo a una API. Su aplicación puede solicitar las credenciales del cliente directamente desde el punto de conexión del token y recibir un token de acceso. Para obtener más información, consulte *Credenciales de cliente* en [IETF RFC 6749 \$11.3.4](https://datatracker.ietf.org/doc/html/rfc6749#section-1.3.4). Solo puede activar concesiones de credenciales de cliente en clientes de aplicación que tengan un secreto de cliente y que no admitan concesiones de código de autorización o implícitas.
Debido a que no invoca el flujo de credenciales de cliente como usuario, esta concesión solo puede agregar ámbitos *personalizados* a los tokens de acceso. Un ámbito personalizado es el que se puede definir para un servidor de recursos propio. Los ámbitos predeterminados como `openid` y `profile` no se aplican a los usuarios no humanos.  
Dado que los tokens de ID son una validación de los atributos de usuario, no son relevantes para la comunicación M2M, y un cliente de concesión de credenciales no los emite. Consulte [Ámbitos, M2M y servidores de recursos](cognito-user-pools-define-resource-servers.md).
La concesión de credenciales de cliente añade costes a su AWS factura. Para obtener más información, consulte [Precios de Amazon Cognito](https://aws.amazon.com/cognito/pricing).

## Creación de un cliente de aplicación
<a name="cognito-user-pools-app-idp-settings-console-create"></a>

------
#### [ Consola de administración de AWS ]

**Para crear un cliente de aplicación (consola)**

1. Vaya a la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/home). Si se le solicita, introduzca sus AWS credenciales.

1. Elija **User Pools** (Grupos de usuarios).

1. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios. Ambas opciones le piden que configure un cliente de aplicación con ajustes específicos de la aplicación.

1. Elija un **tipo de aplicación** que refleje la arquitectura de la aplicación.

1. Asigne un **nombre a la aplicación** con un identificador fácil de entender.

1. Introduzca una **URL de retorno**.

1. Elija **Create app client** (Crear cliente de aplicación). Puede cambiar las opciones avanzadas después de crear el cliente de aplicación.

1. Amazon Cognito le devuelve a los detalles del cliente de aplicación. Para acceder al código de ejemplo de su aplicación, seleccione una plataforma en la pestaña **Guía de configuración rápida**.

------
#### [ AWS CLI ]

```
aws cognito-idp create-user-pool-client --user-pool-id MyUserPoolID --client-name myApp
```

**nota**  
Utilice el formato JSON para la devolución de llamada y el cierre de sesión URLs para evitar que la CLI los trate como archivos de parámetros remotos:  

```
--callback-urls "["https://example.com"]"
--logout-urls "["https://example.com"]"
```

Consulte la referencia de AWS CLI comandos para obtener más información: [create-user-pool-client](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/create-user-pool-client.html)

------
#### [ Amazon Cognito user pools API ]

Genera una solicitud [CreateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolClient.html)de API. Debe especificar un valor para todos los parámetros que no desee establecer en un valor predeterminado.

------

## Actualización de un grupo de usuarios, una aplicación, un cliente (AWS CLI y una AWS API)
<a name="cognito-user-pools-app-idp-settings-cli-api-update-user-pool-client"></a>

En el AWS CLI, introduzca el siguiente comando:

```
aws cognito-idp update-user-pool-client --user-pool-id  "MyUserPoolID" --client-id "MyAppClientID" --allowed-o-auth-flows-user-pool-client --allowed-o-auth-flows "code" "implicit" --allowed-o-auth-scopes "openid" --callback-urls "["https://example.com"]" --supported-identity-providers "["MySAMLIdP", "LoginWithAmazon"]"
```

Si el comando se ejecuta correctamente, AWS CLI devuelve una confirmación:

```
{
    "UserPoolClient": {
        "ClientId": "MyClientID",
        "SupportedIdentityProviders": [
            "LoginWithAmazon",
            "MySAMLIdP"
        ],
        "CallbackURLs": [
            "https://example.com"
        ],
        "AllowedOAuthScopes": [
            "openid"
        ],
        "ClientName": "Example",
        "AllowedOAuthFlows": [
            "implicit",
            "code"
        ],
        "RefreshTokenValidity": 30,
        "AuthSessionValidity": 3,
        "CreationDate": 1524628110.29,
        "AllowedOAuthFlowsUserPoolClient": true,
        "UserPoolId": "MyUserPoolID",
        "LastModifiedDate": 1530055177.553
    }
}
```

Consulte la referencia de AWS CLI comandos para obtener más información: [update-user-pool-client](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/update-user-pool-client.html).

AWS API: [UpdateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPoolClient.html)

## Obtener información sobre un grupo de usuarios, un cliente de aplicaciones (AWS CLI y una AWS API)
<a name="cognito-user-pools-app-idp-settings-cli-api-describe-user-pool-client"></a>

```
aws cognito-idp describe-user-pool-client --user-pool-id MyUserPoolID --client-id MyClientID
```

Consulte la referencia de AWS CLI comandos para obtener más información: [describe-user-pool-client](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/describe-user-pool-client.html).

AWS API: [DescribeUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DescribeUserPoolClient.html)

## Listar toda la información del cliente de la aplicación en un grupo de usuarios (AWS CLI y AWS API)
<a name="cognito-user-pools-app-idp-settings-cli-api-list-user-pool-clients"></a>

```
aws cognito-idp list-user-pool-clients --user-pool-id "MyUserPoolID" --max-results 3
```

Consulte la referencia de AWS CLI comandos para obtener más información: [list-user-pool-clients](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/list-user-pool-clients.html).

AWS API: [ListUserPoolClients](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ListUserPoolClients.html)

## Eliminar un grupo de usuarios, una aplicación, un cliente (AWS CLI y una AWS API)
<a name="cognito-user-pools-app-idp-settings-cli-api-delete-user-pool-client"></a>

```
aws cognito-idp delete-user-pool-client --user-pool-id "MyUserPoolID" --client-id "MyAppClientID"
```

Consulte la referencia de AWS CLI comandos para obtener más información: [delete-user-pool-client](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/delete-user-pool-client.html)

AWS API: [DeleteUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DeleteUserPoolClient.html)