Amazon Cognito 用户池的短信设置
您的用户池的某些 Amazon Cognito 事件可能会导致 Amazon Cognito 向您的用户发送短信。例如,如果您将用户池配置为需要电话验证,则当用户在应用程序中注册新账户或重置其密码时,Amazon Cognito 会发送短信。根据发起短信的操作,短信中将包含验证码、临时密码或欢迎消息。
Amazon Cognito 使用 Amazon Simple Notification Service (Amazon SNS) 传送短信。反过来,Amazon SNS 将短信交给 Amazon End User Messaging SMS。如果这是您首次通过 Amazon Cognito 发送短信,Amazon End User Messaging SMS会将您置于沙盒环境。在沙盒环境中,您可以对应用程序的 SMS 文本消息进行测试。在沙盒中,您只能模拟消息的发送。
注意
2024 年 11 月,Amazon 将 Amazon SNS 短信收发替换为 Amazon End User Messaging SMS。目前,Amazon Cognito 控制台指的是 Amazon SNS 资源。用户池通过 Amazon SNS 发布操作启动短信,该操作可直通到 Amazon End User Messaging SMS。因此,您仍然必须为 sns:Publish,而不是 sms-voice:SendTextMessage 配置权限。
Amazon End User Messaging SMS对短信收取费用。有关更多信息,请参阅Amazon End User Messaging SMS定价
Amazon Cognito 会向您的用户发送带有他们可以输入的验证码的短信。下表显示了可以生成短信的事件。
消息选项
| 活动 | API 操作 | 传递选项 | 格式选项 | 可自定义 | 消息模板 |
|---|---|---|---|---|---|
| Forgot password | ForgotPassword, AdminResetUserPassword | Email, SMS | code | Yes | 验证消息 |
| Invitation | AdminCreateUser | Email, SMS | code | Yes | 邀请消息 |
| Self-registration | SignUp, ResendConfirmationCode | Email, SMS | code, link | Yes | 验证消息 |
| Email address or phone number verification | UpdateUserAttributes, AdminUpdateUserAttributes, GetUserAttributeVerificationCode | Email, SMS | code | Yes | 验证消息 |
| Multi-factor authentication (MFA) | AdminInitiateAuth, InitiateAuth | Email¹, SMS, authenticator app | code | Yes² | MFA 消息 |
| One-time password authentication (OTP) | AdminInitiateAuth, InitiateAuth | Email¹, SMS | code | Yes | MFA 消息³ |
¹ 需要基础版功能计划或更高版本以及 Amazon SES 电子邮件配置。
² 用于短信和电子邮件消息。
³ 只有在用户池中必须或可以选择使用 MFA 时,才能自定义 MFA 消息模板。当 MFA 处于非活动状态时,Amazon Cognito 会使用默认模板发送一次性密码。
Amazon End User Messaging SMS对短信服务收取费用。有关更多信息,请参阅Amazon End User Messaging SMS定价
要了解有关 MFA 的更多信息,请参阅 短信和电子邮件消息 MFA。
Amazon Cognito 可能会在短时间内阻止向单个目的地传送额外的电子邮件或短信。如果您认为自己的用户池受到了影响,请配置并查看日志中是否存在消息传送错误,然后联系您的账户团队。
最佳实践
由于全球范围内未经请求的短信流量巨大,一些政府在短信发送者和接收者之间设置了障碍。当您使用短信进行 MFA 和用户更新时,必须采取额外的步骤来确保您的短信已送达。您还必须监控您的用户可能居住的国家/地区的短信相关法规,并保持短信配置处于最新状态。有关更多信息,请参阅《Amazon End User Messaging SMS用户指南》中的短信和彩信国家/地区功能和限制。
使用短信对用户进行身份验证和验证不是安全最佳做法。电话号码可能会变更所有者,而可能无法可靠地代表您拥有的 用户 MFA 要素。而是在应用程序中或使用第三方 IdP 实现 TOTP MFA。您还可以使用自定义身份验证质询 Lambda 触发器创建其他自定义身份验证因素。
查看以下链接,了解有关保护短信传送架构的信息。
首次在 Amazon Cognito 用户池中设置 SMS 消息
Amazon Cognito 使用 Amazon SNS 并间接使用 Amazon End User Messaging SMS从您的用户池发送短信。您还可以使用自定义 SMS 发件人 Lambda 触发器,通过自己的资源发送 SMS 消息。在特定 Amazon Web Services 区域中首次设置短信时,Amazon End User Messaging SMS会将您的 Amazon Web Services 账户置于该区域的短信沙盒中。Amazon End User Messaging SMS使用沙盒防止欺诈和滥用,并满足合规性要求。当您的 Amazon Web Services 账户位于沙盒中时,Amazon End User Messaging SMS会施加一些限制。例如,如果您有源身份,则最多可以向 10 个经过验证的目标号码发送短信,没有源身份时也可以模拟发送消息。当您的 Amazon Web Services 账户仍保留在沙盒中时,请勿在生产环境中发送短信。当您位于沙盒中时,Amazon Cognito 无法向用户的电话号码发送消息。
主题
准备一个 IAM 角色,Amazon Cognito 可以使用该角色通过 Amazon End User Messaging SMS发送短信
当您从用户池发送 SMS 消息时,Amazon Cognito 将代入您的账户中的 IAM 角色。Amazon Cognito 使用分配给该角色的 sns:Publish 权限向您的用户发送 SMS 消息。在 Amazon Cognito 控制台中,您可以从用户池身份验证方法菜单的 SMS 下设置 IAM 角色选择,或者在用户池创建向导过程中进行此选择。
以下示例 IAM 角色信任策略授予 Amazon Cognito 用户池有限代入角色的能力。只有在满足以下条件时 Amazon Cognito 才可以代入该角色:
-
代入角色操作是代表
aws:SourceArn条件下的用户池来执行。 -
代入角色操作是代表通过
aws:SourceAccount条件设置的 Amazon Web Services 账户中的用户池来执行。 -
代入角色操作在
sts:externalId条件中包括外部 ID。
您可以在 aws:SourceArn 条件的值中指定准确的用户池 ARN 或通配符 ARN。在 Amazon Web Services 管理控制台 中或使用 DescribeUserPool API 请求查找您的用户池的 ARN。
要发送用于多重身份验证的短信消息,您的 IAM 角色信任策略必须有一个 sts:ExternalId 条件。此条件的值必须与用户池的 SmsConfiguration 的 ExternalId 属性相匹配。当您在 Amazon Cognito 控制台中创建用户池的过程中创建 IAM 角色时,Amazon Cognito 会在角色和用户池设置中为您配置外部 ID。使用现有的 IAM 角色时,情况并非如此。
您必须在 UpdateUserPool API 请求中更新用户池 ExternalId 参数,并使用具有相同值的 sts:externalId 条件更新 IAM 角色信任策略。要了解如何使用 API 来更新用户池,同时保持原有配置不变,请参阅 更新用户池和应用程序客户端配置。
有关 IAM 角色和信任策略的更多信息,请参阅《Amazon Identity and Access Management用户指南》中的角色术语和概念。
为短信选择 Amazon Web Services 区域
注意
现在,Amazon 中的短信在 Amazon End User Messaging SMS
在某些 Amazon Web Services 区域,您可以选择包含要用于 Amazon Cognito SMS 消息的 Amazon SNS 资源的区域。除亚太地区(首尔)以外,在提供 Amazon Cognito 的任意 Amazon Web Services 区域,您可以在创建用户池的 Amazon Web Services 区域中使用 Amazon SNS 资源。在有多个区域可供选择时,为了使您的 SMS 消息收发更快且更可靠,请使用与您的用户池位于相同区域中的 Amazon SNS 资源。
在新建用户池向导的 Configure message delivery(配置消息传输)步骤中,为 SMS 资源选择区域。您还可以在现有用户池的身份验证方法菜单中,在 SMS 下选择编辑。
在启动时,对于一些 Amazon Web Services 区域,Amazon Cognito 在备用区域中使用 Amazon SNS 资源发送 SMS 消息。要设置首选区域,请使用您用户池 SmsConfigurationType 对象的 SnsRegion 参数。当您通过下表以编程方式在 Amazon Cognito 区域中创建 Amazon Cognito 用户池资源并且您不提供 SnsRegion 参数时,您的用户池可以使用旧 Amazon SNS 区域中的 Amazon SNS 资源发送 SMS 消息。
亚太地区(首尔)Amazon Web Services 区域中的 Amazon Cognito 用户池必须使用您在亚太地区(东京)区域中的 Amazon SNS 配置。
Amazon SNS(通过 Amazon End User Messaging SMS)将所有新账户的支出配额设置为每月 1.00 美元(USD)。您可能已经提高了与 Amazon Cognito 一起使用的 Amazon Web Services 区域中的支出限额。在您更改 Amazon SNS SMS 消息的 Amazon Web Services 区域 之前,请在 Amazon 支持中心创建一个配额增加案例,以增加您在新区域中的限额。有关更多信息,请参阅《Amazon End User Messaging SMS用户指南》中的从 Amazon End User Messaging SMS彩信和语音沙盒转移到生产环境。
您可以使用相应短信区域中的 Amazon End User Messaging SMS资源为下表中的任何 Amazon Cognito 区域发送短信。
| Amazon Cognito 区域 | 短信区域 |
|---|---|
|
美国东部(俄亥俄州) |
美国东部(俄亥俄)、美国东部(弗吉尼亚北部) |
|
美国东部(弗吉尼亚州北部) |
美国东部(弗吉尼亚州北部) |
|
美国西部(加利福尼亚北部) |
美国西部(加利福尼亚北部) |
|
美国西部(俄勒冈州) |
美国西部(俄勒冈州) |
|
加拿大(中部) |
加拿大(中部)、美国东部(弗吉尼亚北部) |
|
加拿大西部(卡尔加里) |
加拿大西部(卡尔加里) |
|
墨西哥(中部) |
墨西哥(中部) |
|
欧洲地区(法兰克福) |
欧洲(法兰克福)、欧洲(爱尔兰) |
|
欧洲地区(伦敦) |
欧洲(伦敦)、欧洲(爱尔兰) |
|
欧洲地区(爱尔兰) |
欧洲地区(爱尔兰) |
|
欧洲地区(巴黎) |
欧洲地区(巴黎) |
|
欧洲地区(斯德哥尔摩) |
欧洲地区(斯德哥尔摩) |
|
欧洲地区(米兰) |
欧洲地区(米兰) |
|
欧洲(西班牙) |
欧洲(西班牙) |
|
欧洲(苏黎世) |
欧洲(苏黎世) |
| 亚太地区(马来西亚) | 亚太地区(新加坡) |
|
亚太地区(泰国) |
亚太地区(孟买) |
|
亚太地区(孟买) |
亚太地区(孟买)、亚太地区(新加坡) |
|
亚太地区(海得拉巴) |
亚太地区(海得拉巴) |
|
亚太地区(香港) |
亚太地区(新加坡) |
|
亚太地区(首尔) |
亚太地区(东京) |
|
亚太地区(新加坡) |
亚太地区(新加坡) |
|
亚太地区(悉尼) |
亚太地区(悉尼) |
|
亚太地区(东京) |
亚太地区(东京) |
|
亚太地区(雅加达) |
亚太地区(雅加达) |
|
亚太地区(大阪) |
亚太地区(大阪) |
|
亚太地区(墨尔本) |
亚太地区(墨尔本) |
|
中东(巴林) |
中东(巴林) |
|
中东(阿联酋) |
中东(阿联酋) |
|
南美洲(圣保罗) |
南美洲(圣保罗) |
|
以色列(特拉维夫) |
以色列(特拉维夫) |
|
非洲(开普敦) |
非洲(开普敦) |
获取源身份以将 SMS 消息发送到美国电话号码
无论您是构建 SMS 沙盒测试环境还是生产环境,如果您计划向美国电话号码发送短信,则必须获取源身份。
美国运营商要求提供源身份才能向美国电话号码发送短信。如果您没有源身份,则必须获取一个。请参阅《Amazon End User Messaging SMS用户指南》中的申请电话号码了解如何获取源身份。
当您在同一个 Amazon Web Services 区域中有多个源身份时,Amazon End User Messaging SMS按以下优先顺序选择源身份类型:短代码、10DLC、免费电话号码。无法更改此优先级。有关更多信息,请参阅Amazon End User Messaging SMS 常见问题
确认您位于 SMS 沙盒中
按照以下过程确认您是否在 SMS 沙盒中。对于您拥有生产 Amazon Cognito 用户池的每个 Amazon Web Services 区域,重复此步骤。
确认您位于 SMS 沙盒中
-
转到 Amazon Cognito 控制台
。如果出现提示,请输入 Amazon 凭证。 -
选择用户池。
-
从列表中选择现有用户池。
-
选择身份验证方法菜单。
-
在 SMS configuration(SMS 配置)部分,展开 Move to Amazon SNS production environment(迁移到 Amazon SNS 生产环境)。如果您的账户位于 SMS 沙盒中,您将看到以下消息:
配置 Amazon Web Services 服务依赖项以完成短信设置
如果您没有看到此消息,则表明有人已经在您的账户中设置了 SMS 消息。跳至在 Amazon Cognito 中完成用户池设置。
-
选择迁移到 Amazon SNS 生产环境下的 Amazon SNS
链接。这将在新选项卡中打开 Amazon SNS 控制台。 -
验证您是否位于沙盒环境中。控制台消息指示您的沙盒状态和 Amazon Web Services 区域,如下所示:
This account is in the SMS sandbox in US East (N. Virginia).
将您的账户移出沙盒
要在生产环境中使用您的应用程序,请将账户移出 SMS 沙盒并放入生产环境。在包含您希望 Amazon Cognito 使用的 Amazon End User Messaging SMS资源的 Amazon Web Services 区域中配置源身份之后,您可以在 Amazon Web Services 账户仍然位于短信沙盒中时测试美国号码。当您的环境投入生产时,您无需验证用户电话号码即可向它们发送短信。
您可以从 Amazon End User Messaging SMS控制台或 Amazon SNS 控制台创建退出沙盒的请求。有关详细说明,请参阅《Amazon End User Messaging SMS用户指南》中的移出短信沙盒。
通过 Amazon End User Messaging SMS使用模拟器号码或经过验证的电话号码
如果您已将账户移出 SMS 沙盒,则跳过此步骤。
如果您在沙盒中但已经设置了源号码,则可以向经过验证的目的地号码发送消息。要设置经过验证的目的地,请参阅《Amazon End User Messaging SMS用户指南》中的添加经过验证的目的地电话号码。
您还可以使用模拟的发件人和目的地发送消息。模拟器消息会生成日志,但不会通过运营商网络发送。从快捷方式
在 Amazon Cognito 中完成用户池设置
返回您在其中创建或者编辑用户池的浏览器选项卡。完成过程。当您成功将 SMS 配置添加到用户池后,Amazon Cognito 会向内部电话号码发送测试消息,以验证您的配置有效。Amazon SNS 会对每条测试 SMS 消息收费。