Amazon Cognito 用户池的短信设置 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Cognito 用户池的短信设置

您的用户池的某些 Amazon Cognito 事件可能会导致 Amazon Cognito 向您的用户发送短信。例如,如果您将用户池配置为需要电话验证,则当用户在应用程序中注册新账户或重置其密码时,Amazon Cognito 会发送短信。根据发起短信的操作,短信中将包含验证码、临时密码或欢迎消息。

Amazon Cognito 使用 Amazon Simple Notification Service (Amazon SNS) 传送短信。如果这是您首次通过 Amazon Cognito 或 Amazon SNS 发送短信,Amazon SNS 会将您放在沙盒环境。在沙盒环境中,您可以对应用程序的 SMS 文本消息进行测试。在沙盒中,只能将消息发送给经过验证的电话号码。

Amazon SNS 对短信收取费用。有关更多信息,请参阅 Amazon SNS 定价

注意

由于全球范围内未经请求的短信流量巨大,一些政府在短信发送者和接收者之间设置了障碍。当您使用短信进行 MFA 和用户更新时,必须采取额外的步骤来确保您的短信已送达。您还必须监控您的用户可能居住的国家/地区的短信相关法规,并保持短信配置处于最新状态。有关更多信息,请参阅《Amazon Simple Notification Service 开发人员指南》中的移动文本消息(SMS)

使用短信对用户进行身份验证和验证不是安全最佳做法。电话号码可能会变更所有者,而可能无法可靠地代表您拥有的 用户 MFA 要素。而是在应用程序中或使用第三方 IdP 实现 TOTP MFA。您还可以使用自定义身份验证质询 Lambda 触发器创建其他自定义身份验证要素。

Amazon Cognito 会向您的用户发送带有他们可以输入的验证码的短信。下表显示了可以生成短信的事件。

消息选项

活动 API 操作 传递选项 格式选项 可自定义 消息模板
Forgot password ForgotPassword Email, SMS code No N/A
Invitation AdminCreateUser Email, SMS code Yes 邀请消息
Self-registration SignUp Email, SMS code, link Yes 验证消息
Email address or phone number verification UpdateUserAttributes Email, SMS code Yes 验证消息
Multi-factor authentication (MFA) AdminInitiateAuth, InitiateAuth SMS, authenticator app code Yes¹ MFA 消息

¹ 用于短信。

首次在 Amazon Cognito 用户池中设置 SMS 消息

Amazon Cognito 使用 Amazon SNS 向您的用户池发送短信。您还可以使用自定义 SMS 发件人 Lambda 触发器,通过自己的资源发送 SMS 消息。在特定 Amazon Web Services 区域中首次设置 Amazon SNS 发送 SMS 短信时,Amazon SNS 会将您的 Amazon Web Services 账户放在该区域的 SMS 沙盒中。Amazon SNS 使用沙盒防止欺诈和滥用,并满足合规性要求。当您的 Amazon Web Services 账户位于沙盒中时,Amazon SNS 施加了一些限制。例如,您最多可以向 10 个已通过 Amazon SNS 验证的电话号码发送短信。当您的 Amazon Web Services 账户仍保留在沙盒中时,请勿对生产环境中的应用程序使用您的 Amazon SNS 配置。当您位于沙盒中时,Amazon Cognito 无法向用户的电话号码发送消息。

准备一个 IAM 角色,Amazon Cognito 可以使用该角色通过 Amazon SNS 发送 SMS 消息

当您从用户群体发送 SMS 消息时,Amazon Cognito 将代入您的账户中的 IAM 角色。Amazon Cognito 使用分配给该角色的 sns:Publish 权限向您的用户发送 SMS 消息。在 Amazon Cognito 控制台中,您可以从 SMS 下用户群体的 Messaging(消息收发)选项卡设置 IAM role selection(IAM 角色选择),或者在用户群体创建向导过程中进行此选择。

以下示例 IAM 角色信任策略授予 Amazon Cognito 用户群体有限代入角色的能力。Amazon Cognito 只能在代表 aws:SourceArn 条件中的用户群体和 aws:SourceAccount 条件中的 Amazon Web Services 账户时代入角色。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "cognito-idp.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "<your account number>" }, "ArnLike": { "aws:SourceArn": "<your user pool ARN>" } } }] }

您可以在 aws:SourceArn 条件的值中指定准确的用户群体 ARN 或通配符 ARN。在 Amazon Web Services Management Console 中或使用 DescribeUserPool API 请求查找您的用户群体的 ARN。

有关 IAM 角色和信任策略的更多信息,请参阅《Amazon Identity and Access Management 用户指南》中的角色术语和概念

为 Amazon SNS SMS 消息选择 Amazon Web Services 区域

在某些 Amazon Web Services 区域,您可以选择包含要用于 Amazon Cognito SMS 消息的 Amazon SNS 资源的区域。除亚太地区(首尔)以外,在提供 Amazon Cognito 的任意 Amazon Web Services 区域,您可以在创建用户池的 Amazon Web Services 区域中使用 Amazon SNS 资源。在有多个区域可供选择时,为了使您的 SMS 消息收发更快且更可靠,请使用与您的用户池位于相同区域中的 Amazon SNS 资源。

注意

在 Amazon Web Services Management Console 中,您只能在切换到新的 Amazon Cognito 控制台体验后更改 SMS 资源的区域。

在新建用户池向导的 Configure message delivery(配置消息传输)步骤中,为 SMS 资源选择区域。您还可以在现有用户池的 Messaging(消息收发)选项卡中,在 SMS 下选择 Edit(编辑)。

在启动时,对于一些 Amazon Web Services 区域,Amazon Cognito 在备用区域中使用 Amazon SNS 资源发送 SMS 消息。要设置首选区域,请使用您用户池 SmsConfigurationType 对象的 SnsRegion 参数。当您通过下表以编程方式在 Amazon Cognito 区域中创建 Amazon Cognito 用户池资源并且您不提供 SnsRegion 参数时,您的用户池可以使用旧 Amazon SNS 区域中的 Amazon SNS 资源发送 SMS 消息。

亚太地区(首尔)Amazon Web Services 区域中的 Amazon Cognito 用户池必须使用您在亚太地区(东京)区域中的 Amazon SNS 配置。

Amazon SNS 将所有新账户的支出配额设定为每月 1.00 美元 (USD)。您可能已经提高了与 Amazon Cognito 一起使用的 Amazon Web Services 区域 中的支出限额。在您更改 Amazon SNS SMS 消息的 Amazon Web Services 区域 之前,请在 Amazon 支持中心创建一个配额增加案例,以增加您在新区域中的限额。有关更多信息,请参阅 Amazon Simple Notification Service 开发人员指南中的请求对 Amazon SNS 提升您的每月 SMS 支出配额

您可以使用相应 Amazon SNS 区域中的 Amazon SNS 资源为下表中的任何 Amazon Cognito 区域发送 SMS 消息。

Amazon Cognito 区域 Amazon SNS 区域
美国东部(俄亥俄州) 美国东部(俄亥俄)、美国东部(弗吉尼亚北部)
亚太地区(孟买) 亚太地区(孟买)、亚太地区(新加坡)
加拿大(中部) 加拿大(中部)、美国东部(弗吉尼亚北部)
欧洲地区(法兰克福) 欧洲(法兰克福)、欧洲(爱尔兰)
欧洲地区(伦敦) 欧洲(伦敦)、欧洲(爱尔兰)
亚太地区(首尔) Asia Pacific (Tokyo)
美国东部(弗吉尼亚州北部) 美国东部(弗吉尼亚州北部)
美国西部(北加利福尼亚) 美国西部(北加利福尼亚)
美国西部(俄勒冈州) 美国西部(俄勒冈州)
亚太地区(新加坡) 亚太地区(新加坡)
亚太地区(悉尼) 亚太地区(悉尼)
亚太地区(东京) 亚太地区(东京)
欧洲地区(爱尔兰) 欧洲地区(爱尔兰)
欧洲地区(巴黎) 欧洲地区(巴黎)
欧洲地区(斯德哥尔摩) 欧洲地区(斯德哥尔摩)
欧洲地区(米兰) Europe (Milan)
中东(巴林) 中东(巴林)
南美洲(圣保罗) 南美洲(圣保罗)
亚太地区(大阪) 亚太地区(大阪)
以色列(特拉维夫) 以色列(特拉维夫)
非洲(开普敦) 非洲(开普敦)
亚太地区(雅加达) 亚太地区(雅加达)

获取源身份以将 SMS 消息发送到美国电话号码

无论您是构建 SMS 沙盒测试环境还是生产环境,如果您计划向美国电话号码发送短信,则必须获取源身份。

自 2021 年 6 月 1 日起,美国运营商要求提供源身份才能向美国电话号码发送短信。如果您没有源身份,则必须获取一个。请参阅《Amazon Pinpoint 用户指南》中的申请号码了解如何获取源身份。

如果您在以下 Amazon Web Services 区域开展运营,则必须提交 Amazon Web Services Support 票证来获取源身份。有关说明,请参阅《Amazon Simple Notification Service 开发人员指南》中的针对 SMS 消息收发请求支持

  • 美国东部(俄亥俄州)

  • 欧洲地区(斯德哥尔摩)

  • 欧洲地区(巴黎)

  • Europe (Milan)

  • Middle East (Bahrain)

  • 南美洲(圣保罗)

  • 美国西部(北加利福尼亚)

当您在同一个 Amazon Web Services 区域 中有多个源身份时,Amazon SNS 按以下优先顺序选择源身份类型:短代码、10DLC、免费电话号码。无法更改此优先级。有关更多信息,请参阅 Amazon SNS 常见问题

确认您位于 SMS 沙盒中

按照以下过程确认您是否在 SMS 沙盒中。对于您拥有生产 Amazon Cognito 用户池的每个 Amazon Web Services 区域,重复此步骤。

确认您位于 SMS 沙盒中
  1. 转到 Amazon Cognito 控制台。如果出现提示,请输入 Amazon 凭证。

  2. 选择 User Pools(用户池)。

  3. 从列表中选择现有用户池。

  4. 选择 Messaging(消息收发)选项卡。

  5. SMS configuration(SMS 配置)部分,展开 Move to Amazon SNS production environment(迁移到 Amazon SNS 生产环境)。如果您的账户位于 SMS 沙盒中,您将看到以下消息:

    You are currently in the SMS Sandbox and cannot send SMS messages to unverified numbers.

    如果您没有看到此消息,则表明有人已经在您的账户中设置了 SMS 消息。跳至在 Amazon Cognito 中完成用户群体设置

  6. 选择消息中的 Amazon SNS 链接。这将在新选项卡中打开 Amazon SNS 控制台。

  7. 验证您是否位于沙盒环境中。控制台消息指示您的沙盒状态和 Amazon Web Services 区域,如下所示:

    This account is in the SMS sandbox in US East (N. Virginia).

将您的账户移出 Amazon SNS 沙盒

如果正在测试应用程序,并且只需向管理员可以验证的电话号码发送 SMS 消息,请跳过此步骤。

要在生产环境中使用您的应用程序,请将账户移出 SMS 沙盒并放入生产环境。在包含您希望 Amazon Cognito 使用的 Amazon SNS 资源的 Amazon Web Services 区域中配置源身份之后,您可以在 Amazon Web Services 账户仍然位于 SMS 沙盒中时测试美国号码。当您的 Amazon SNS 环境投入生产时,您无需在 Amazon SNS 中验证用户电话号码即可向用户发送 SMS 消息。

有关详细说明,请参阅《Amazon Simple Notification Service 开发人员指南》中的移出 SMS 沙盒

在 Amazon SNS 中验证 Amazon Cognito 的电话号码

如果您已将账户移出 SMS 沙盒,则跳过此步骤。

当您位于 SMS 沙盒中时,您可以使用 Amazon SNS 向任何已验证的号码发送消息。

要验证电话号码,请执行以下操作:

  1. 在 Amazon SNS 控制台的 Text messaging (SMS)(文本消息 (SMS))部分,添加 Sandbox destination phone number(沙盒目标电话号码)。

  2. 在您提供的电话号码上接收带有密码的 SMS 消息。

  3. 在 Amazon SNS 控制台上,输入 SMS 消息中的 Verification code(验证代码)。

有关详细说明,请参阅《Amazon Simple Notification Service 开发人员指南》中的在 SMS 沙盒中添加并验证电话号码

注意

当您在 SMS 沙盒中时,Amazon SNS 限制可以验证的目标电话号码的数量。请参阅《Amazon Simple Notification Service 开发人员指南》中的 SMS 沙盒

在 Amazon Cognito 中完成用户群体设置

返回您在其中创建或者编辑用户池的浏览器选项卡。完成过程。当您成功将 SMS 配置添加到用户群体后,Amazon Cognito 会向内部电话号码发送测试消息,以验证您的配置有效。Amazon SNS 会对每条测试 SMS 消息收费。