Paramètres des SMS pour les groupes d'utilisateurs Amazon Cognito - Amazon Cognito
Bonnes pratiquesConfiguration de l'envoi de SMS pour la première fois dans des groupes d'utilisateurs Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Paramètres des SMS pour les groupes d'utilisateurs Amazon Cognito

Certains événements Amazon Cognito pour votre groupe d'utilisateurs peuvent amener Amazon Cognito à ennvironnemeevoyer des SMS à vos utilisateurs. Par exemple, si vous configurez votre groupe d'utilisateurs de façon à exiger la vérification par téléphone, Amazon Cognito envoie un SMS au moment où un utilisateur crée un compte dans votre application ou réinitialise son mot de passe. En fonction de l'action qui déclenche le SMS, celui-ci contient un code de vérification, un mot de passe temporaire ou un message de bienvenue.

Amazon Cognito utilise Amazon Simple Notification Service (Amazon SNS) pour l'envoi des SMS. Amazon SNS transmet à son tour les SMS à. AWS End User Messaging SMS Si vous envoyez un SMS via Amazon Cognito pour la première fois, cela vous AWS End User Messaging SMS place dans un environnement sandbox. Dans l'environnement de test (sandbox), vous pouvez tester vos applications pour les SMS. Dans le bac à sable, vous pouvez uniquement simuler l'envoi de messages.

Note

En novembre 2024, AWS a remplacé la messagerie SMS Amazon SNS par. AWS End User Messaging SMS Actuellement, la console Amazon Cognito fait référence aux ressources Amazon SNS. Les groupes d'utilisateurs initient des SMS à l'aide de l'opération Amazon SNS Publish, qui est un transfert vers. AWS End User Messaging SMS Par conséquent, vous devez toujours configurer les autorisations poursns:Publish, nonsms-voice:SendTextMessage.

AWS End User Messaging SMS frais pour les SMS. Pour en savoir plus, consultez Pricing AWS End User Messaging SMS (Tarification).

Amazon Cognito envoie des SMS à vos utilisateurs avec un code qu'ils peuvent saisir. Le tableau suivant indique les événements qui peuvent générer un message SMS.

Options de message

Activité Opération API Options de livraison Options de format Personnalisable Modèle de message
Mot de passe oublié ForgotPassword, AdminResetUserPassword Courrier électronique, SMS code Oui Message de vérification
Invitation AdminCreateUser Courrier électronique, SMS code Oui Message d'invitation
Auto-enregistrement SignUp, ResendConfirmationCode Courrier électronique, SMS code, lien Oui Message de vérification
Vérification de l'adresse e-mail ou du numéro de téléphone UpdateUserAttributes, AdminUpdateUserAttributes, GetUserAttributeVerificationCode Courrier électronique, SMS code Oui Message de vérification
Authentification multifactorielle (MFA) AdminInitiateAuth, InitiateAuth Email¹, SMS, application d'authentification code Oui² Message du MFA
Authentification par mot de passe à usage unique (OTP) AdminInitiateAuth, InitiateAuth Courriel¹, SMS code Oui Message MFA ³

¹ Nécessite un plan de fonctionnalités Essentials ou supérieur et une configuration de messagerie Amazon SES.

² Pour les SMS et les e-mails.

³ Vous ne pouvez personnaliser le modèle de message MFA que lorsque le MFA est obligatoire ou facultatif dans votre groupe d'utilisateurs. Lorsque le MFA est inactif, Amazon Cognito envoie des mots de passe à usage unique avec le modèle par défaut.

AWS End User Messaging SMS frais pour les SMS. Pour en savoir plus, consultez Pricing AWS End User Messaging SMS (Tarification).

Pour en savoir plus sur MFA, consultez MFA par SMS et e-mail.

Amazon Cognito peut empêcher l'envoi d'e-mails ou de SMS supplémentaires vers une seule destination dans un court laps de temps. Si vous pensez que votre groupe d'utilisateurs est concerné, configurez et consultez les journaux pour détecter les erreurs de livraison des messages, puis contactez l'équipe chargée de votre compte.

Bonnes pratiques

En raison du volume du trafic de SMS non sollicités dans le monde entier, certains gouvernements mettent en place des obstacles entre les expéditeurs et les destinataires des SMS. Lorsque vous utilisez des SMS pour la MFA et les mises à jour des utilisateurs, vous devez prendre des mesures supplémentaires pour garantir la réception de vos messages. Vous devez également surveiller les SMS-message-related réglementations en vigueur dans les pays dans lesquels vos utilisateurs peuvent vivre et actualiser la configuration de vos SMS. Pour plus d'informations, consultez la section Capacités et limites des SMS et MMS par pays dans le Guide de l'AWS End User Messaging SMS utilisateur.

L'utilisation de SMS pour authentifier et vérifier les utilisateurs n'est pas une bonne pratique en matière de sécurité. Les numéros de téléphone peuvent changer de propriétaire et peuvent ne pas représenter de manière fiable un facteur de quelque chose que vous avez pour la MFA de vos utilisateurs. Mettez plutôt en place la MFA par TOTP dans votre application ou avec votre utilisateur de fournisseur d'identité (IdP) tiers. Vous pouvez également créer des facteurs d'authentification supplémentaires personnalisés avec Déclencheurs Lambda création d'une stimulation d'authentification personnalisée.

Consultez les liens suivants pour obtenir des informations sur la sécurisation de votre architecture de distribution de messages SMS.

Configuration de l'envoi de SMS pour la première fois dans des groupes d'utilisateurs Amazon Cognito

Amazon Cognito utilise Amazon SNS, et AWS End User Messaging SMS indirectement, pour envoyer des SMS à partir de vos groupes d'utilisateurs. Vous pouvez également utiliser un Déclencheur Lambda de l'expéditeur de SMS personnalisé pour utiliser vos propres ressources afin d'envoyer des SMS. La première fois que vous configurez des SMS dans une région donnée Région AWS, cela vous AWS End User Messaging SMS place Compte AWS dans le sandbox SMS de cette région. AWS End User Messaging SMS utilise le bac à sable pour prévenir les fraudes et les abus et pour répondre aux exigences de conformité. Lorsque vous Compte AWS êtes dans le bac à sable, AWS End User Messaging SMS impose certaines restrictions. Par exemple, vous pouvez envoyer des SMS à un maximum de 10 numéros de destination vérifiés si vous avez une identité d'origine, ou vous pouvez simuler l'envoi de messages sans identité d'origine. Pendant que vous Compte AWS êtes dans le bac à sable, n'envoyez pas de SMS en production. Lorsque vous êtes dans l'environnement de test (sandbox), Amazon Cognito ne peut pas envoyer de SMS aux numéros de téléphone de vos utilisateurs.

Préparez un rôle IAM qu'Amazon Cognito peut utiliser pour envoyer des SMS avec AWS End User Messaging SMS

Lorsque vous envoyez un SMS depuis votre groupe d'utilisateurs, Amazon Cognito endosse un rôle IAM dans votre compte. Amazon Cognito utilise l'autorisation sns:Publish attribuée à ce rôle pour envoyer des SMS à vos utilisateurs. Dans la console Amazon Cognito, vous pouvez définir une sélection de rôles IAM dans le menu Méthodes d'authentification de votre groupe d'utilisateurs, sous SMS, ou effectuer cette sélection lors de l'assistant de création du groupe d'utilisateurs.

L'exemple suivant de politique d'approbation de rôle IAM permet à un groupe d'utilisateurs Amazon Cognito une capacité limitée à assumer le rôle. Amazon Cognito ne peut assumer le rôle que s'il répond aux conditions suivantes :

  • L'opération assume-rôle est effectuée pour le compte du groupe d'utilisateurs concernés par la aws:SourceArn condition.

  • L'opération assume-rôle est effectuée pour le compte d'un groupe d'utilisateurs Compte AWS défini par la aws:SourceAccount condition.

  • L'opération de prise de rôle inclut l'ID externe dans la sts:externalId condition.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": "cognito-idp.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:cognito-idp:us-west-2:111122223333:userpool/us-west-2_EXAMPLE"
                }
            }
        }
    ]
}

Vous pouvez spécifier un ARN de groupe d'utilisateurs exact ou un ARN générique dans la valeur de la condition aws:SourceArn. Recherchez vos groupes ARNs d'utilisateurs dans AWS Management Console ou avec une demande d'DescribeUserPoolAPI.

Pour envoyer des SMS à des fins d'authentification multifactorielle, votre politique de confiance en matière de rôle IAM doit comporter une sts:ExternalId condition. La valeur de cette condition doit correspondre à la ExternalId propriété SmsConfigurationde votre groupe d'utilisateurs. Lorsque vous créez un rôle IAM pendant le processus de création du groupe d'utilisateurs dans la console Amazon Cognito, Amazon Cognito configure l'ID externe pour vous dans le rôle et dans les paramètres du groupe d'utilisateurs. Cela n'est pas vrai lorsque vous utilisez un rôle IAM existant.

Vous devez mettre à jour le ExternalId paramètre du groupe d'utilisateurs dans une demande d'UpdateUserPoolAPI et mettre à jour la politique de confiance des rôles IAM avec une sts:externalId condition ayant la même valeur. Pour savoir comment utiliser l'API pour mettre à jour un groupe d'utilisateurs tout en préservant la configuration d'origine, voirMise à jour de la configuration du pool d'utilisateurs et du client d'applications.

Pour plus d'informations sur les rôles IAM et les stratégies d'approbation, veuillez consulter Termes et concepts relatifs aux rôles dans le Guide de l'utilisateur AWS Identity and Access Management .

Choisissez le Région AWS pour les messages SMS

Note

Les SMS entrants AWS sont désormais gérés dans AWS End User Messaging SMS.

Dans certains Régions AWS cas, vous pouvez choisir la région qui contient les ressources Amazon SNS que vous souhaitez utiliser pour les SMS Amazon Cognito. Partout Région AWS où Amazon Cognito est disponible, à l'exception de la région Asie-Pacifique (Séoul), vous pouvez utiliser les ressources Amazon SNS là où vous avez créé votre groupe d'utilisateurs. Région AWS Pour rendre l'envoi de SMS plus rapide et plus fiable lorsque vous avez le choix entre les régions, utilisez les ressources Amazon SNS dans la même région que votre groupe d'utilisateurs.

Choisissez une région pour les ressources SMS dans l'étape Configure message delivery (Configurer la diffusion des messages) de l'assistant Nouveau groupe d'utilisateurs. Vous pouvez également sélectionner Modifier sous SMS dans le menu des méthodes d'authentification d'un groupe d'utilisateurs existant.

Lors du lancement, pour certains Régions AWS, Amazon Cognito envoyait des SMS contenant des ressources Amazon SNS dans une autre région. Pour définir votre région préférée, utilisez le SnsRegion paramètre de l'SmsConfigurationTypeobjet de votre groupe d'utilisateurs. Lorsque vous créez par programme une ressource de groupes d'utilisateurs Amazon Cognito dans une région Amazon Cognito dans le tableau suivant et que vous ne fournissez pas de paramètre SnsRegion, votre groupe d'utilisateurs peut envoyer des SMS avec des ressources Amazon SNS dans une région Amazon SNS héritée.

Les groupes d'utilisateurs Amazon Cognito en Asie-Pacifique (Séoul) Région AWS doivent utiliser votre configuration Amazon SNS dans la région Asie-Pacifique (Tokyo).

Amazon SNS (via AWS End User Messaging SMS) fixe le quota de dépenses pour tous les nouveaux comptes à 1,00$ (USD) par mois. Vous avez peut-être augmenté votre limite de dépenses dans un produit Région AWS que vous utilisez avec Amazon Cognito. Avant de modifier les SMS Région AWS pour Amazon SNS, ouvrez une demande d'augmentation de quota dans le AWS Support Center pour augmenter votre limite dans la nouvelle région. Pour plus d'informations, consultez la section Passage du sandbox AWS End User Messaging SMS MMS and Voice à la production dans le guide de l'AWS End User Messaging SMS utilisateur.

Vous pouvez envoyer des SMS pour n'importe quelle région Amazon Cognito dans le tableau suivant avec les AWS End User Messaging SMS ressources de la région de SMS correspondante.

Région Amazon Cognito Région du message SMS

USA Est (Ohio)

USA Est (Ohio), USA Est (Virginie du Nord)

USA Est (Virginie du Nord)

US East (N. Virginia)

USA Ouest (Californie du Nord)

USA Ouest (Californie du Nord)

US West (Oregon)

USA Ouest (Oregon)

Canada (Centre)

Canada (Centre), USA Est (Virginie du Nord)

Canada-Ouest (Calgary)

Canada-Ouest (Calgary)

Mexique (centre)

Mexique (centre)

Europe (Francfort)

Europe (Francfort), Europe (Irlande)

Europe (Londres)

Europe (Londres), Europe (Irlande)

Europe (Irlande)

Europe (Irlande)

Europe (Paris)

Europe (Paris)

Europe (Stockholm)

Europe (Stockholm)

Europe (Milan)

Europe (Milan)

Europe (Espagne)

Europe (Espagne)

Europe (Zurich)

Europe (Zurich)
Asie-Pacifique (Malaisie) Asie-Pacifique (Singapour)

Asie-Pacifique (Thaïlande)

Asie-Pacifique (Mumbai)

Asie-Pacifique (Mumbai)

Asie-Pacifique (Mumbai), Asie-Pacifique (Singapour)

Asie-Pacifique (Hyderabad)

Asie-Pacifique (Hyderabad)

Asie-Pacifique (Hong Kong)

Asie-Pacifique (Singapour)

Asie-Pacifique (Séoul)

Asie-Pacifique (Tokyo)

Asie-Pacifique (Singapour)

Asie-Pacifique (Singapour)

Asie-Pacifique (Sydney)

Asie-Pacifique (Sydney)

Asia Pacific (Tokyo)

Asie-Pacifique (Tokyo)

Asie-Pacifique (Jakarta)

Asie-Pacifique (Jakarta)

Asie-Pacifique (Osaka)

Asie-Pacifique (Osaka)

Asie-Pacifique (Melbourne)

Asie-Pacifique (Melbourne)

Moyen-Orient (Bahreïn)

Moyen-Orient (Bahreïn)

Moyen-Orient (EAU)

Moyen-Orient (EAU)

Amérique du Sud (São Paulo)

Amérique du Sud (São Paulo)

Israël (Tel Aviv)

Israël (Tel Aviv)

Afrique (Le Cap)

Afrique (Le Cap)

Obtenir une identité d'origine pour envoyer des SMS à des numéros de téléphone aux États-Unis

Si vous envisagez d'envoyer des SMS à des numéros de téléphone aux États-Unis, vous devez obtenir une identité d'origine, que vous optiez pour un environnement de test (sandbox) pour SMS ou pour un environnement de production.

Les opérateurs américains ont besoin d'une identité d'origine pour envoyer des messages à des numéros de téléphone américains. Si vous ne disposez pas encore d'une identité d'origine, vous devez en obtenir une. Pour savoir comment obtenir une identité d'origine, consultez la section Demander un numéro de téléphone dans le guide de l'AWS End User Messaging SMS utilisateur.

Lorsque vous avez plusieurs identités d'origine identiques Région AWS, AWS End User Messaging SMS choisissez un type d'identité d'origine dans l'ordre de priorité suivant : code abrégé, 10DLC, numéro gratuit. Vous ne pouvez pas modifier cette priorité. Pour plus d'informations, consultez AWS End User Messaging SMS FAQs.

Vérifier que vous vous trouvez dans l'environnement de test (sandbox) SMS

Suivez la procédure ci-dessous pour confirmer que vous êtes dans l'environnement de test (sandbox) pour SMS. Répétez cette procédure pour Région AWS chaque groupe d'utilisateurs Amazon Cognito en production.

Pour vérifier que vous vous trouvez dans l'environnement de test (sandbox) SMS

  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, saisissez vos informations d’identification AWS .

  2. Choisissez Groupes d'utilisateurs.

  3. Choisissez un groupe d'utilisateurs existant dans la liste.

  4. Choisissez le menu Méthodes d'authentification.

  5. Dans la section Configuration SMS, développez Passer à l'environnement de production Amazon SNS. Si votre compte se trouve dans l'environnement de test (sandbox) SMS, le message suivant s'affiche :

    Configurez Service AWS les dépendances pour terminer la configuration de vos SMS

    Si ce message ne s'affiche pas, cela signifie que quelqu'un a déjà configuré les SMS dans votre compte. Passez à Terminer la configuration du groupe d'utilisateurs dans Amazon Cognito.

  6. Choisissez le lien Amazon SNS sous Migrer vers l'environnement de production Amazon SNS. Cela ouvre la console Amazon SNS dans un nouvel onglet.

  7. Vérifiez que vous vous trouvez dans l'environnement de test (sandbox). Le message de console indique l'état de votre sandbox et Région AWS, comme suit :

    This account is in the SMS sandbox in US East (N. Virginia).

Sortez votre compte du bac à sable

Pour utiliser votre application en production, sortez votre compte de l'environnement de test (sandbox) pour SMS et faite-le entrer en production. Après avoir configuré une identité d'origine dans le fichier contenant les AWS End User Messaging SMS ressources Région AWS que vous souhaitez qu'Amazon Cognito utilise, vous pouvez vérifier les numéros de téléphone américains tout en restant dans le Compte AWS sandbox des SMS. Lorsque votre environnement est en production, il n'est pas nécessaire de vérifier les numéros de téléphone des utilisateurs avant de leur envoyer des SMS.

Vous pouvez créer une demande pour quitter le sandbox depuis la AWS End User Messaging SMS console ou depuis la console Amazon SNS. Pour obtenir des instructions détaillées, reportez-vous à la section Migration depuis le sandbox SMS dans le guide de l'AWS End User Messaging SMS utilisateur.

Utilisez des numéros de simulateur ou des numéros de téléphone vérifiés avec AWS End User Messaging SMS

Si vous avez sorti votre compte de l'environnement de test (sandbox) pour SMS, ignorez cette étape.

Si vous êtes dans le bac à sable mais que vous avez configuré un numéro d'origine, vous pouvez envoyer des messages à des numéros de destination vérifiés. Pour configurer des destinations vérifiées, voir Ajouter un numéro de téléphone de destination vérifié dans le guide de AWS End User Messaging SMS l'utilisateur.

Vous pouvez également envoyer des messages avec des expéditeurs et des destinations simulés. Les messages du simulateur produisent des journaux mais ne sont pas envoyés via le réseau de l'opérateur. Dans le menu Raccourcis, sélectionnez Tester l'envoi de SMS avec un simulateur de SMS. Pour plus d'informations, consultez la section Numéros de téléphone du simulateur dans le guide de AWS End User Messaging SMS l'utilisateur.

Terminer la configuration du groupe d'utilisateurs dans Amazon Cognito

Retournez à l'onglet du navigateur dans lequel vous étiez en train de créer ou de modifier votre groupe d'utilisateurs. Exécutez la procédure . Une fois que vous avez ajouté une configuration SMS à votre groupe d'utilisateurs, Amazon Cognito envoie un message de test à un numéro de téléphone interne pour vérifier que votre configuration fonctionne. Amazon SNS facture chaque SMS de test.