¿Cómo configuro la MFA de correo electrónico para un grupo de usuarios de Amazon Cognito?

4 minutos de lectura

Quiero configurar la autenticación multifactor (MFA) de correo electrónico para mi grupo de usuarios de Amazon Cognito, pero no estoy seguro de cuál es la configuración requerida.

Solución

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulta Solución de problemas de AWS CLI. Además, asegúrate de utilizar la versión más reciente de la AWS CLI.

Solución del error del plan de características

Solo puedes activar la MFA para correos electrónicos con el plan de características Essentials o Plus.

Si tu grupo de usuarios tiene el plan Lite e intentas activar la MFA por correo electrónico, es posible que recibas un error.

En la consola de Amazon Cognito, es posible que recibas el siguiente error:

«Can't enable email MFA when user pool is not under the Essentials or Plus plan»

Si usas la AWS CLI, es posible que recibas el siguiente error:

«An error occurred (FeatureUnavailableInTierException) when calling the SetUserPoolMfaConfig operation: The following feature is not available for the LITE pricing tier configured: Email MFA»

Para resolver el error del plan de características, actualiza al plan de características Essentials o Plus. Para cambiar el plan, consulta Selección de un plan de características.

Solución de un error de configuración de correo electrónico

Amazon Cognito utiliza Amazon Simple Email Service (Amazon SES) para enviar códigos de MFA a la dirección de correo electrónico del usuario. Al activar la MFA por correo electrónico, debes configurar tu grupo de usuarios para que utilice Amazon SES en lugar de la configuración de correo electrónico predeterminada.

Si utilizas la configuración de correo electrónico predeterminada, es posible que recibas un error.

En la consola de Amazon Cognito, es posible que recibas el siguiente error:

«Can't enable email MFA with email sending in Send email with Cognito configuration»

Si usas la AWS CLI, es posible que recibas el siguiente error:

«An error occurred (InvalidParameterException) when calling the SetUserPoolMfaConfig operation: Cannot set EmailMfaConfiguration when user pool EmailConfiguration contains an EmailSendingAccount of COGNITO_DEFAULT. Update the value of EmailSendingAccount»

Para enviar códigos MFA por correo electrónico a sus usuarios, configura una cuenta de Amazon SES y, a continuación, configura Amazon SES con tu grupo de usuarios.

Solución de un error de recuperación de la cuenta

Amazon Cognito requiere métodos distintos para la MFA y la recuperación de cuentas a fin de mantener la seguridad. Los usuarios deben tener diferentes canales para recibir los códigos de MFA y de restablecimiento de contraseñas.

Los usuarios no pueden recibir códigos de MFA y de restablecimiento de contraseñas en la misma dirección de correo electrónico o número de teléfono. Por ejemplo, si configuras el correo electrónico para MFA, los usuarios deben usar SMS para recuperar la cuenta. Si intentas activar la MFA de correo electrónico sin un método de recuperación independiente, es posible que recibas un error.

En la consola de Amazon Cognito, es posible que recibas el siguiente error:

«Can't enable email MFA when user pool account recovery method is email-only or legacy.»

Si usas la AWS CLI, es posible que recibas el siguiente error:

«An error occurred (InvalidParameterException) when calling the SetUserPoolMfaConfig operation: Cannot set EmailMfaConfiguration when user pool AccountRecoverySetting is not set or contains only verified_email in RecoveryMechanisms. At least one recovery mechanism other than verified_email should be present»

Para resolver el error, configura un método de recuperación de cuentas adicional. A continuación, configura la MFA de correo electrónico. Para obtener instrucciones, consulta Configuración de la MFA de correo electrónico en la consola de Amazon Cognito en MFA de correo electrónico.

Nota: Para ayudar a los usuarios a restablecer sus contraseñas, se recomienda establecer el ** correo electrónico** y phone_number como atributos obligatorios en el grupo de usuarios.

Información relacionada

Adición de MFA a un grupo de usuarios

Configuración de correo electrónico de Amazon SES

Temas: Security, Identity, & Compliance
Etiquetas: Amazon Cognito
Idioma: Español

OFICIAL DE AWSActualizada hace 2 meses

Sin comentarios

Contenido relevante

No puedo acceder a mi cuenta de AWS porque mi correo ya no está disponible
rePost-User-3446361
preguntada hace 10 meses
Error en MFA, al solicitar la llamada de reestablecer
roberto
preguntada hace 12 días
Cognito lang=es
Daniel
preguntada hace 5 meses
Autenticación de usuarios en chat en Amazon Connect
Eric Vega
preguntada hace 9 meses
Problemas con MFA
Rafael Tamayo
preguntada hace 7 meses
¿Cómo soluciono los errores de entrega de MFA por correo electrónico y SMS?
OFICIAL DE AWSActualizada hace 2 meses
¿Cómo soluciono los mensajes de error de MFA en mi grupo de usuarios de Amazon Cognito?
OFICIAL DE AWSActualizada hace 2 meses
¿Cómo aumento la seguridad en Amazon Cognito mediante la configuración de MFA para los usuarios y los grupos de usuarios?
OFICIAL DE AWSActualizada hace 3 años
¿Cómo activo la autenticación multifactor de TOTP para los grupos de usuarios de Amazon Cognito?
OFICIAL DE AWSActualizada hace 10 meses