翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Cognito ユーザープール用の SMS メッセージ設定
ユーザープールの Amazon Cognito イベントには、Amazon Cognito がユーザーに SMS テキストメッセージを送信する結果となるものがあります。例えば、電話番号の検証を必須とするようにユーザープールを設定している場合、ユーザーがアプリケーションの新しいアカウントにサインアップする、またはパスワードをリセットする場合に Amazon Cognito が SMS テキストメッセージを送信します。SMS テキストメッセージを開始するアクションに応じて、メッセージには検証コード、一時的なパスワード、またはウェルカムメッセージが含まれます。
Amazon Cognito は、SMS テキストメッセージの配信に Amazon Simple Notification Service (Amazon SNS) を使用します。次に、Amazon SNS は SMS メッセージを渡します AWS End User Messaging SMS。Amazon Cognito 経由で初めてテキストメッセージを送信する場合、 はサンドボックス環境 AWS End User Messaging SMS に配置します。サンドボックス環境では、SMS テキストメッセージのアプリケーションをテストできます。サンドボックスでは、メッセージの送信のみをシミュレートできます。
注記
2024 年 11 月、 は Amazon SNS SMS メッセージングを AWS に置き換えました AWS End User Messaging SMS。現在、Amazon Cognito コンソールは Amazon SNS リソースを参照しています。ユーザープールは、パススルー先の Amazon SNS Publish オペレーションを使用して SMS メッセージを開始します AWS End User Messaging SMS。したがって、 ではなく sns:Publishのアクセス許可を設定する必要がありますsms-voice:SendTextMessage。
AWS End User Messaging SMS は SMS テキストメッセージの料金を請求します。詳細については、AWS End User Messaging SMS 料金表
Amazon Cognito は、ユーザーが入力できるコードを含む SMS メッセージをユーザーに送信します。次の表は、SMS メッセージを生成できるイベントを示しています。
メッセージオプション
| アクティビティ | API オペレーション | 配信オプション | 形式オプション | カスタマイズ可能 | メッセージテンプレート |
|---|---|---|---|---|---|
| Forgot password | ForgotPassword, AdminResetUserPassword | Email, SMS | code | Yes | 検証メッセージ |
| Invitation | AdminCreateUser | Email, SMS | code | Yes | 招待メッセージ |
| Self-registration | SignUp, ResendConfirmationCode | Email, SMS | code, link | Yes | 検証メッセージ |
| Email address or phone number verification | UpdateUserAttributes, AdminUpdateUserAttributes, GetUserAttributeVerificationCode | Email, SMS | code | Yes | 検証メッセージ |
| Multi-factor authentication (MFA) | AdminInitiateAuth, InitiateAuth | Email¹, SMS, authenticator app | code | Yes² | MFA メッセージ |
| One-time password authentication (OTP) | AdminInitiateAuth, InitiateAuth | Email¹, SMS | code | Yes | MFA メッセージ³ |
1 Essentials 機能プラン以上と Amazon SES E メール設定が必要です。
² SMS メッセージおよび E メールメッセージの場合。
3 ユーザープールで MFA が必須またはオプションである場合にのみ、MFA メッセージテンプレートをカスタマイズできます。MFA が非アクティブの場合、Amazon Cognito はデフォルトのテンプレートを使用してワンタイムパスワードを送信します。
AWS End User Messaging SMS は SMS メッセージに対して課金します。詳細については、AWS End User Messaging SMS 料金表
MFA の詳細については、「 SMS メッセージ MFA と E メールメッセージ MFA」を参照してください。
Amazon Cognito は、1 つの送信先への追加の E メールまたは SMS メッセージの配信を短期間で妨げる可能性があります。ユーザープールが影響を受けていると思われる場合は、メッセージ配信エラーのログを設定して確認してから、アカウントチームにお問い合わせください。
ベストプラクティス
世界中で一方的な SMS トラフィックの量が多いため、一部の政府は SMS メッセージの送信者と受信者の間に障壁を課しています。SMS メッセージを MFA やユーザーアップデートに使用する場合は、メッセージが確実に送られるように追加の手順を踏む必要があります。また、ユーザーが住んでいる可能性のある国の SMS メッセージ関連の規制を監視し、SMS メッセージの設定を最新の状態に保つ必要があります。詳細については、AWS End User Messaging SMS 「 ユーザーガイド」の「SMS および MMS の国の機能と制限」を参照してください。
SMS メッセージを使用してユーザーを認証および検証することは、セキュリティ上のベストプラクティスではありません。電話番号は所有者が変わる場合があり、ユーザーの MFA の所有している要素を確実に表さないかもしれません。代わりに、アプリまたはサードパーティーの IdP で TOTP MFA を実装してください。また、カスタム認証チャレンジの Lambda トリガー を使って、追加のカスタム認証要素を作成することもできます。
SMS メッセージ配信アーキテクチャの保護については、次のリンクを参照してください。
Amazon Cognito ユーザープールでの SMS メッセージングの初回セットアップ
Amazon Cognito は Amazon SNS を間接的に使用して AWS End User Messaging SMS、ユーザープールから SMS メッセージを送信します。カスタム SMS 送信者の Lambda トリガー を使用して、独自のリソースを使用し、SMS メッセージを送信することもできます。特定の で SMS テキストメッセージを初めてセットアップすると AWS リージョン、 はそのリージョン AWS アカウント の SMS サンドボックスに AWS End User Messaging SMS を配置します。 AWS End User Messaging SMS はサンドボックスを使用して不正使用を防止し、コンプライアンス要件を満たします。 AWS アカウント がサンドボックスにある場合、 はいくつかの制限 AWS End User Messaging SMS を適用します。たとえば、送信元 ID がある場合は、最大 10 個の検証済み送信先番号にテキストメッセージを送信できます。または、送信元 ID なしでメッセージの送信をシミュレートできます。がサンドボックスに AWS アカウント 残っている間は、本番環境で SMS メッセージを送信しないでください。サンドボックスに置かれている間、Amazon Cognito はユーザーの電話番号にメッセージを送信できません。
トピック
Amazon Cognito が SMS メッセージを送信するために使用できる IAM ロールを準備する AWS End User Messaging SMS
ユーザープールから SMS メッセージを送信すると、Amazon Cognito はアカウントの IAM ロールを引き受けます。Amazon Cognito は、そのロールに割り当てられた sns:Publish アクセス許可を使用して、ユーザーに SMS メッセージを送信します。Amazon Cognito コンソールでは、ユーザープールの認証方法メニューから SMS で IAM ロールの選択を設定するか、ユーザープールの作成ウィザード中にこの選択を行うことができます。
次の IAM ロール信頼ポリシーの例では、Amazon Cognito ユーザープールに、ロールを引き受ける制限付きの機能を付与しています。Amazon Cognito は、次の条件を満たす場合にのみロールを引き受けることができます。
-
assume-role オペレーションは、
aws:SourceArn条件のユーザープールに代わって行われます。 -
assume-role オペレーションは、
aws:SourceAccount条件によって設定された AWS アカウント のユーザープールに代わって行われます。 -
assume-role オペレーションには、
sts:externalId条件の外部 ID が含まれます。
条件 aws:SourceArn の値には、正確なユーザープール ARN またはワイルドカード ARN を指定できます。 AWS Management Console または DescribeUserPool API リクエストを使用して、ユーザープールの ARNs を検索します。
多要素認証用の SMS メッセージを送信するには、IAM ロールの信頼ポリシーに sts:ExternalId 条件が含まれている必要があります。この条件の値は、ユーザープールの SmsConfiguration の ExternalId プロパティと一致する必要があります。Amazon Cognito コンソールでユーザープールの作成プロセス中に IAM ロールを作成すると、Amazon Cognito は、ロールとユーザープール設定で外部 ID をセットアップします。これは、既存の IAM ロールを使用する場合には適用されません。
UpdateUserPool API リクエストのユーザープール ExternalId パラメータを更新したうえで、IAM ロールの信頼ポリシーを同じ値の sts:externalId 条件で更新する必要があります。API を使用して元の設定を保持するようにユーザープールを更新する方法については、「ユーザープールとアプリケーションクライアントの設定更新」を参照してください。
IAM ロールおよび信頼ポリシーの詳細については、「AWS Identity and Access Management ユーザーガイド」の「ロールに関する用語と概念」を参照してください。
SMS メッセージの AWS リージョン を選択する
注記
の SMS メッセージが で管理 AWS されるようになりましたAWS End User Messaging SMS
一部の では AWS リージョン、Amazon Cognito SMS メッセージに使用する Amazon SNS リソースを含むリージョンを選択できます。 Amazon Cognito アジアパシフィック (ソウル) を除く Amazon Cognito が利用可能なすべての AWS リージョン で、ユーザープールを作成した AWS リージョン で Amazon SNS リソースを使用できます。リージョンを選択したときに SMS メッセージングを高速かつ信頼性の高いものにするには、ユーザープールと同じリージョンの Amazon SNS リソースを使用します。
新規ユーザープールウィザードのメッセージ配信の設定ステップで、SMS リソースのリージョンを選択します。既存のユーザープールの認証方法メニューで、SMS で編集を選択することもできます。
起動時に、一部の場合 AWS リージョン、Amazon Cognito は代替リージョンに Amazon SNS リソースを含む SMS メッセージを送信しました。希望するリージョンを設定するには、ユーザープールの SmsConfigurationType オブジェクトの SnsRegion パラメータを使用します。次の表から Amazon Cognito リージョン に Amazon Cognito ユーザープールリソースをプログラムによって作成し、SnsRegion パラメータを提供しない場合、ユーザープールはレガシー Amazon SNS 代替リージョンで Amazon SNS リソースを使用して SMS メッセージを送信します。
アジアパシフィック (ソウル) の Amazon Cognito ユーザープール AWS リージョン は、アジアパシフィック (東京) リージョンの Amazon SNS 設定を使用する必要があります。
Amazon SNS (経由 AWS End User Messaging SMS) は、すべての新しいアカウントの使用量クォータを 1 か月あたり 1.00 USD (USD) に設定します。Amazon Cognito で使用する で支出制限 AWS リージョン が引き上げられた可能性があります。 AWS リージョン Amazon SNS SMS メッセージの を変更する前に、 AWS サポートセンターでクォータ引き上げケースを開き、新しいリージョンの制限を増やします。詳細については、「 AWS End User Messaging SMS ユーザーガイド」の AWS End User Messaging SMS 「MMS および音声サンドボックスから本番環境への移行」を参照してください。
次の表の任意の Amazon Cognito リージョンの SMS メッセージを、対応する SMS メッセージリージョンの AWS End User Messaging SMS リソースで送信できます。
| Amazon Cognito リージョン | SMS メッセージリージョン |
|---|---|
|
米国東部 (オハイオ) |
米国東部 (オハイオ)、米国東部 (バージニア北部) |
|
米国東部 (バージニア北部) |
米国東部 (バージニア北部) |
|
米国西部 (北カリフォルニア) |
米国西部 (北カリフォルニア) |
|
米国西部 (オレゴン) |
米国西部 (オレゴン) |
|
カナダ (中部) |
カナダ (中部)、米国東部 (バージニア北部) |
|
カナダ西部 (カルガリー) |
カナダ西部 (カルガリー) |
|
メキシコ (中部) |
メキシコ (中部) |
|
欧州 (フランクフルト) |
欧州 (フランクフルト)、欧州 (アイルランド) |
|
欧州 (ロンドン) |
欧州 (ロンドン)、欧州 (アイルランド) |
|
欧州 (アイルランド) |
欧州 (アイルランド) |
|
欧州 (パリ) |
欧州 (パリ) |
|
欧州 (ストックホルム) |
欧州 (ストックホルム) |
|
欧州 (ミラノ) |
欧州 (ミラノ) |
|
欧州 (スペイン) |
欧州 (スペイン) |
|
欧州 (チューリッヒ) |
欧州 (チューリッヒ) |
| アジアパシフィック (マレーシア) | アジアパシフィック (シンガポール) |
|
アジアパシフィック (タイ) |
アジアパシフィック (ムンバイ) |
|
アジアパシフィック (ムンバイ) |
アジアパシフィック (ムンバイ)、アジアパシフィック (シンガポール) |
|
アジアパシフィック (ハイデラバード) |
アジアパシフィック (ハイデラバード) |
|
アジアパシフィック (香港) |
アジアパシフィック (シンガポール) |
|
アジアパシフィック (ソウル) |
アジアパシフィック (東京) |
|
アジアパシフィック (シンガポール) |
アジアパシフィック (シンガポール) |
|
アジアパシフィック (シドニー) |
アジアパシフィック (シドニー) |
|
アジアパシフィック (東京) |
アジアパシフィック (東京) |
|
アジアパシフィック (ジャカルタ) |
アジアパシフィック (ジャカルタ) |
|
アジアパシフィック (大阪) |
アジアパシフィック (大阪) |
|
アジアパシフィック (メルボルン) |
アジアパシフィック (メルボルン) |
|
中東 (バーレーン) |
中東 (バーレーン) |
|
中東 (アラブ首長国連邦) |
中東 (アラブ首長国連邦) |
|
南米 (サンパウロ) |
南米 (サンパウロ) |
|
イスラエル (テルアビブ) |
イスラエル (テルアビブ) |
|
アフリカ (ケープタウン) |
アフリカ (ケープタウン) |
米国の電話番号に SMS メッセージを送信するための発信元 ID を取得する
米国の電話番号に SMS テキストメッセージを送信する場合は、SMS サンドボックステスト環境または本番環境を構築するかどうかにかかわらず、発信元 ID を取得する必要があります。
米国の通信事業者は、米国の電話番号にメッセージを送信するために発信元 ID を必要とします。発信元 ID をまだ取得していない場合は、取得する必要があります。発信元 ID を取得する方法については、 AWS End User Messaging SMS ユーザーガイドの「電話番号のリクエスト」を参照してください。
同じ に複数の発信元 ID がある場合 AWS リージョン、 は、ショートコード、10DLC、通話料無料番号の優先順位で発信元 ID タイプ AWS End User Messaging SMS を選択します。この優先順位を変更することはできません。詳細については、「AWS End User Messaging SMS
に関するよくある質問
SMS サンドボックスに置かれていることを確認する
次の手順を使用して SMS サンドボックスに移動していることを確認します。本番稼働 AWS リージョン 用 Amazon Cognito ユーザープールがある ごとに繰り返します。
SMS サンドボックスに置かれていることを確認する
-
Amazon Cognito コンソール
に移動します。プロンプトが表示されたら、 AWS 認証情報を入力します。 -
[User Pools] (ユーザープール) を選択します。
-
リストから存在するユーザープールを 1 つ選択します。
-
認証方法メニューを選択します。
-
[SMS configuration] (SMS 設定) セクションで、[Move to Amazon SNS production environment] (Amazon SNS 本番環境に移行する) を展開します。アカウントが SMS サンドボックスに置かれている場合は、以下のメッセージが表示されます。
SMS メッセージの設定を完了するための AWS のサービス 依存関係を設定する
このメッセージが表示されない場合は、アカウント内での SMS メッセージのセットアップが既に実行されています。「Amazon Cognito でユーザープールのセットアップを完了する」へ進んでください。
-
Amazon SNS
本番環境への移行で Amazon SNS リンクを選択します。これにより、新しいタブで Amazon SNS コンソールが開きます。 -
サンドボックス環境に置かれていることを確認します。コンソールメッセージには、サンドボックスのステータスと AWS リージョン、次のように表示されます。
This account is in the SMS sandbox in US East (N. Virginia).
アカウントをサンドボックスの外に移動する
本番稼働でアプリを使用するには、アカウントを SMS サンドボックスから本番環境に移動します。Amazon Cognito で使用する AWS End User Messaging SMS リソースを含む発信元 ID を に設定 AWS リージョン したら、 が SMS サンドボックスに AWS アカウント 残っている間、米国の電話番号を確認できます。環境が本番環境にある場合、SMS メッセージを送信する前にユーザーの電話番号を確認する必要はありません。
AWS End User Messaging SMS コンソールまたは Amazon SNS コンソールからサンドボックスを終了するリクエストを作成できます。詳細な手順については、「 AWS End User Messaging SMS ユーザーガイド」の「SMS サンドボックスからの移動」を参照してください。
でシミュレーター番号または検証済み電話番号を使用する AWS End User Messaging SMS
SMS サンドボックスからアカウントを移動した場合は、このステップをスキップします。
サンドボックスで発信元番号を設定している場合は、検証済みの送信先番号にメッセージを送信できます。検証済みの送信先を設定するには、「 AWS End User Messaging SMS ユーザーガイド」の「検証済みの送信先電話番号を追加する」を参照してください。
シミュレートされた送信者と送信先を使用してメッセージを送信することもできます。シミュレーターメッセージはログを生成しますが、キャリアネットワーク経由で送信されることはありません。ショートカットメニューから
Amazon Cognito でユーザープールのセットアップを完了する
ユーザープールを作成または編集していたブラウザタブに戻ります。手順を完了します。ユーザープールに SMS 設定を正常に追加すると、Amazon Cognito は内部の電話番号にテストメッセージを送信して、設定が機能することを確認します。Amazon SNS は、テスト SMS メッセージごとに料金を請求します。
