Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Funktionspläne für Benutzerpools
Das Verständnis der Kosten ist ein entscheidender Schritt bei der Vorbereitung der Implementierung der Amazon Cognito Cognito-Benutzerpool-Authentifizierung. Amazon Cognito bietet Funktionspläne für Benutzerpools. Jeder Plan hat eine Reihe von Funktionen und monatliche Kosten pro aktivem Benutzer. Jeder Funktionsplan ermöglicht den Zugriff auf mehr Funktionen als der vorherige.
Benutzerpools verfügen über eine Vielzahl von Funktionen, die Sie ein- und ausschalten können. Sie können beispielsweise die Multi-Faktor-Authentifizierung (MFA) aktivieren und die Anmeldung bei externen Identitätsanbietern () deaktivieren. IdPs Bei einigen Änderungen müssen Sie Ihren Funktionsplan wechseln. Die folgenden Merkmale Ihres Benutzerpools bestimmen die Kosten, die Ihnen monatlich für die Nutzung in AWS Rechnung gestellt werden.
+ Die Funktionen, die Sie wählen
+ Die Anfragen pro Sekunde, die Ihre Anwendung an die Benutzerpools-API stellt
+ Die Anzahl der Benutzer mit Authentifizierungs-, Aktualisierungs- oder Abfrageaktivitäten in einem Monat, auch [aktive Benutzer pro Monat](quotas.md#monthly-active-users) genannt oder MAUs
+ Die Anzahl der monatlich aktiven Benutzer von SAML 2.0 oder OpenID Connect (OIDC) eines Drittanbieters IdPs
+ Die Anzahl der App-Clients und Benutzerpools, die Client-Anmeldeinformationen für die Autorisierung gewähren machine-to-machine
Die aktuellsten Informationen zu den Preisen für Benutzerpools finden Sie unter [Amazon Cognito Cognito-Preise](https://aws.amazon.com/cognito/pricing).
Die ausgewählten Funktionspläne gelten für einen Benutzerpool. Verschiedene Benutzerpools im selben Pool AWS-Konto können unterschiedliche Planauswahlen haben. Sie können keine separaten Featurepläne auf App-Clients innerhalb eines Benutzerpools anwenden. Die Standardplanauswahl für neue Benutzerpools ist Essentials.
Sie können jederzeit zwischen den Funktionsplänen wechseln, um sie an die Anforderungen Ihrer Anwendungen anzupassen. Bei einigen Änderungen zwischen den Plänen müssen Sie aktive Funktionen deaktivieren. Weitere Informationen finden Sie unter [Funktionen ausschalten, um Funktionspläne zu ändern](feature-plans-deactivate.md).Funktionspläne für Benutzerpools
**Lite**
Lite ist ein kostengünstiger Funktionsplan für Benutzerpools mit einer geringeren Anzahl von monatlich aktiven Benutzern. Dieser Plan ist ausreichend für Benutzerverzeichnisse mit grundlegenden Authentifizierungsfunktionen. Er umfasst Anmeldefunktionen und die klassische gehostete Benutzeroberfläche, einen schlankeren, weniger anpassbaren Vorgänger der verwalteten Anmeldung. Viele neuere Funktionen, wie die Anpassung von Zugriffstoken und die Authentifizierung mit dem Hauptschlüssel, sind nicht im Lite-Plan enthalten.
**Grundlegendes**
Essentials verfügt über die neuesten Authentifizierungsfunktionen für Benutzerpools. Dieser Plan erweitert Ihre Anwendungen um neue Optionen, unabhängig davon, ob es sich bei Ihren Anmeldeseiten um verwaltete Anmeldeseiten oder um benutzerdefinierte Anmeldeseiten handelt. [Essentials bietet erweiterte Authentifizierungsfunktionen wie [wahlbasierte Anmeldung](authentication-flows-selection-sdk.md#authentication-flows-selection-choice) und E-Mail-MFA.](user-pool-settings-mfa-sms-email-message.md)
**Plus**
Plus beinhaltet alles, was im Essentials-Plan enthalten ist, und bietet erweiterte Sicherheitsfunktionen, die Ihre Benutzer schützen. Überwachen Sie Benutzeranmeldungen, Registrierungsanfragen und Anfragen zur Passwortverwaltung auf Hinweise auf Sicherheitslücken. Benutzerpools können beispielsweise erkennen, ob sich Benutzer von einem unerwarteten Ort aus anmelden oder ein Passwort verwenden, das Teil einer öffentlichen Sicherheitsverletzung war.
Benutzerpools mit dem Plus-Plan generieren Protokolle mit Details zu Benutzeraktivitäten und Risikobewertungen. Sie können Ihre eigenen Nutzungs- und Sicherheitsanalysen auf diese Protokolle anwenden, wenn Sie sie in externe Dienste exportieren.
**Anmerkung**
Bisher waren einige Funktionen des Benutzerpools in der Preisstruktur für *erweiterte Sicherheitsfunktionen* enthalten. Die Funktionen, die in dieser Struktur enthalten waren, sind jetzt entweder im Essentials- oder Plus-Plan enthalten.
**Topics**
+ [Wählen Sie einen Feature-Plan](#cognito-sign-in-feature-plans-choose)
+ [Funktionen nach Tarif](#cognito-sign-in-feature-plans-list)
+ [Funktionen des Essentials-Plans](feature-plans-features-essentials.md)
+ [Funktionen des Plus-Plans](feature-plans-features-plus.md)
+ [Funktionen ausschalten, um Funktionspläne zu ändern](feature-plans-deactivate.md)
## Wählen Sie einen Feature-Plan
------
#### [ AWS-Managementkonsole ]
Um einen Feature-Plan auszuwählen
1. Melden Sie sich bei der [Amazon-Cognito-Konsole](https://console.aws.amazon.com/cognito/home) an. Wenn Sie dazu aufgefordert werden, geben Sie Ihre AWS Anmeldeinformationen ein.
1. Wählen Sie **User Pools** (Benutzerpools) aus.
1. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus oder erstellen Sie einen neuen Benutzerpool.
1. Wählen Sie das Menü **Einstellungen** und überprüfen Sie den Tab **Funktionspläne**.
1. Sehen Sie sich die Funktionen an, die Ihnen in den Lite-, Essentials- und Plus-Plänen zur Verfügung stehen.
1. Um Ihren Plan zu ändern, wählen Sie Zu **Essentials wechseln oder Zu** Plus **wechseln** aus. Um zum **Lite-Plan** zu wechseln, wähle **Andere Tarife** und dann **Mit Lite vergleichen** aus.
1. Überprüfen Sie auf dem nächsten Bildschirm Ihre Auswahl und wählen Sie **Bestätigen** aus.
------
#### [ CLI/API/SDK ]
Die [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html)Operationen [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html)und legen Ihren Funktionsplan im `UserPoolTier` Parameter fest. Wenn Sie keinen Wert für angeben`UserPoolTier`, ist Ihr Benutzerpool standardmäßig auf`Essentials`. Wenn Sie `AdvancedSecurityMode` auf `AUDIT` oder setzen`ENFORCED`, muss Ihre Benutzerpool-Stufe lauten `PLUS` und die Standardeinstellung ist, `PLUS` wenn nichts angegeben ist.
Informationen CreateUserPool zur Syntax finden Sie [in den Beispielen](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html#API_CreateUserPool_Examples) unter. Links zu dieser Funktion [in oder CreateUserPool AWS SDKs für eine Vielzahl von Programmiersprachen finden Sie unter Auch](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html#API_CreateUserPool_SeeAlso) in.
```
"UserPoolTier": "PLUS"
```
In der AWS CLI ist diese Option ein `--user-pool-tier` Argument.
```
--user-pool-tier PLUS
```
Weitere Informationen finden Sie unter [create-user-pool](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/create-user-pool.html)und [update-user-pool](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/update-user-pool.html)in der AWS CLI Befehlsreferenz.
------
## Funktionen nach Tarif
**Funktionen und Pläne in Benutzerpools**
| Feature | Description | Funktionsplan |
| --- | --- | --- |
| Schützen Sie sich vor unsicheren Passwörtern | Überprüfen Sie Klartext-Passwörter zur Laufzeit auf Anzeichen für kompromittierte Passwörter | Plus |
| Schützen Sie sich vor böswilligen Anmeldeversuchen | Überprüfen Sie die Sitzungseigenschaften zur Laufzeit auf Anzeichen einer Beeinträchtigung | Plus |
| Benutzeraktivitäten protokollieren und analysieren | Generieren Sie Protokolle mit den Eigenschaften und Risikobewertungen von Benutzerauthentifizierungssitzungen | Plus |
| Exportieren Sie Benutzeraktivitätsprotokolle | Senden Sie Benutzersitzungs- und Risikoprotokolle an ein externes AWS-Service | Plus |
| Passen Sie verwaltete Anmeldeseiten mit einem visuellen Editor an | Verwenden Sie einen visuellen Editor in der Amazon Cognito Cognito-Konsole, um Branding und Stil auf Ihre verwalteten Anmeldeseiten anzuwenden. | Essentials \$1 Plus |
| MFA mit E-Mail-Einmalcodes | Fordere lokale Benutzer an oder fordere sie auf, nach der Benutzernamenauthentifizierung einen zusätzlichen Anmeldefaktor für E-Mail-Nachrichten anzugeben | Essentials \$1 Plus |
| Passen Sie die Gültigkeitsbereiche und Ansprüche von Zugriffstoken zur Laufzeit an | Verwenden Sie einen Lambda-Trigger, um die Autorisierungsfunktionen von Zugriffstoken für Benutzerpools zu erweitern | Essentials \$1 Plus |
| Passwortlose Anmeldung mit Einmalcodes | Erlauben Sie Benutzern, als ersten Authentifizierungsfaktor ein Einmalpasswort per E-Mail oder SMS zu erhalten | Essentials \$1 Plus |
| Passkey-Anmeldung mit Hardware- oder Software-Authentifikatoren FIDO2 | Erlauben Sie Benutzern, einen auf einem FIDO2 Authentifikator gespeicherten kryptografischen Schlüssel als ersten Authentifizierungsfaktor zu verwenden | Essentials \$1 Plus |
| Melde dich an und melde dich an | Führen Sie Authentifizierungsvorgänge durch und lassen Sie neue Benutzer sich für ein Konto in Ihrer Anwendung registrieren. | Lite \$1 Essentials \$1 Plus |
| Benutzergruppen | Erstellen Sie logische Gruppierungen von Benutzern und weisen Sie Standard-IAM-Rollen für Identitätspool-Operationen zu. | Lite \$1 Essentials \$1 Plus |
| Melden Sie sich bei Social-, SAML- und OIDC-Anbietern an | Bieten Sie Benutzern die Möglichkeit, sich direkt oder bei ihrem bevorzugten Anbieter anzumelden. | Lite \$1 Essentials \$1 Plus |
| OAuth 2.0/OIDC-Autorisierungsserver | Als OIDC-Emittent agieren. | Lite \$1 Essentials \$1 Plus |
| Anmeldeseiten | Eine gehostete Sammlung von Webseiten zur Authentifizierung. Die verwaltete Anmeldung ist in den Stufen Essentials und Plus verfügbar. Die klassische gehostete Benutzeroberfläche ist in allen Funktionsstufen verfügbar. | Lite \$1 Essentials \$1 Plus |
| Passwort, benutzerdefinierte Authentifizierung, Aktualisierungstoken und SRP-Authentifizierung | Fordert Benutzer in Ihrer Anwendung zur Eingabe eines Benutzernamens und Kennworts auf. | Lite \$1 Essentials \$1 Plus |
| Machine-to-machine (M2M) mit Kundenanmeldedaten | Stellen Sie Zugriffstoken für die Autorisierung nichtmenschlicher Entitäten aus. | Lite \$1 Essentials \$1 Plus |
| API-Autorisierung mit Ressourcenservern | Stellen Sie Zugriffstoken mit benutzerdefinierten Bereichen aus, die den Zugriff auf externe Systeme autorisieren. | Lite \$1 Essentials \$1 Plus |
| Benutzer importieren | Richten Sie Importaufträge aus CSV-Dateien ein und führen Sie die just-in-time Migration der Benutzer bei der Anmeldung durch. | Lite \$1 Essentials \$1 Plus |
| MFA mit Authenticator-Apps und SMS-Einmalcodes | Fordere lokale Benutzer an oder fordere sie auf, nach der Benutzernamen-Authentifizierung eine zusätzliche SMS-Nachricht oder einen Anmeldefaktor für die Authenticator-App anzugeben | Lite \$1 Essentials \$1 Plus |
| Passen Sie die Gültigkeitsbereiche und Ansprüche von ID-Tokens zur Laufzeit an | Verwenden Sie einen Lambda-Trigger, um die Authentifizierungsfunktionen von Benutzerpool-Identitätstoken (ID) zu erweitern | Lite \$1 Essentials \$1 Plus |
| Benutzerdefinierte Laufzeitaktionen mit Lambda-Triggern | Passen Sie den Anmeldevorgang zur Laufzeit mit Lambda-Funktionen an, die externe Aktionen ausführen und die Authentifizierung beeinflussen | Lite \$1 Essentials \$1 Plus |
| Passen Sie verwaltete Anmeldeseiten mit CSS an | Laden Sie eine CSS-Vorlage herunter und ändern Sie einige Stile auf Ihren verwalteten Anmeldeseiten | Lite \$1 Essentials \$1 Plus |
# Funktionen des Essentials-Plans
Der Feature-Plan Essentials bietet die meisten der besten und neuesten Funktionen der Amazon Cognito Cognito-Benutzerpools. Wenn Sie vom Lite- zum Essentials-Plan wechseln, erhalten Sie neue Funktionen für Ihre verwalteten Anmeldeseiten, Multi-Faktor-Authentifizierung mit Einmalpasswörtern für E-Mail-Nachrichten, eine erweiterte Passwortrichtlinie und benutzerdefinierte Zugriffstoken. Wählen Sie up-to-date den Essentials-Plan für Ihre Benutzerpools, um weiterhin die neuen Funktionen des Benutzerpools nutzen zu können.
Die folgenden Abschnitte bieten einen kurzen Überblick über die Funktionen, die Sie Ihrer Anwendung mit dem Essentials-Plan hinzufügen können. Ausführliche Informationen finden Sie auf den folgenden Seiten.
**Weitere Ressourcen**
+ Anpassung des Zugriffstokens: [Lambda-Auslöser für die Vorab-Generierung von Token](user-pool-lambda-pre-token-generation.md)
+ E-Mail MFA: [SMS- und E-Mail-Nachricht MFA](user-pool-settings-mfa-sms-email-message.md)
+ Verlauf des Passworts: [Passwörter, Kontowiederherstellung und Passwortrichtlinien](managing-users-passwords.md)
+ Verbesserte Benutzeroberfläche: [Branding auf verwaltete Anmeldeseiten anwenden](managed-login-branding.md)
**Topics**
+ [Anpassen von Zugriffs-Token](#features-access-token-customization)
+ [E-Mail MFA](#features-email-mfa)
+ [Verhinderung der Wiederverwendung von Passwörtern](#features-password-reuse)
+ [Verwaltete Anmeldung, gehosteter Anmelde- und Autorisierungsserver](#features-enhanced-ui)
+ [Wahlbasierte Authentifizierung](#features-user-auth)
## Anpassen von Zugriffs-Token
[Zugriffstoken](https://datatracker.ietf.org/doc/html/rfc6749#section-1.4) für Benutzerpools gewähren Anwendungen Berechtigungen: zum [Zugriff auf eine API](cognito-user-pools-define-resource-servers.md), zum Abrufen von Benutzerattributen vom [UserInfo-Endpunkt](userinfo-endpoint.md) oder zum Einrichten einer [Gruppenmitgliedschaft](cognito-user-pools-user-groups.md) für ein externes System. In fortgeschrittenen Szenarien möchten Sie den standardmäßigen Zugriffstokendaten aus dem Benutzerpoolverzeichnis möglicherweise zusätzliche temporäre Parameter hinzufügen, die Ihre Anwendung zur Laufzeit bestimmt. Möglicherweise möchten Sie beispielsweise die API-Berechtigungen eines Benutzers mit [Amazon Verified Permissions](amazon-cognito-authorization-with-avp.md) überprüfen und die Bereiche im Zugriffstoken entsprechend anpassen.
Der Essentials-Plan erweitert die bestehenden Funktionen eines [Triggers vor der Token-Generierung](user-pool-lambda-pre-token-generation.md). Bei Tarifen niedrigerer Stufen können Sie ID-Token mit zusätzlichen Ansprüchen, Rollen und Gruppenmitgliedschaften personalisieren. Essentials fügt neue Versionen des Trigger-Eingabeereignisses hinzu, mit denen Ansprüche, Rollen, Gruppenmitgliedschaft und Geltungsbereiche auf Zugriffstoken angepasst werden können. Die Anpassung des Zugriffstokens ist für machine-to-machine (M2M-) [Kundenanmeldeberechtigungen mit](federation-endpoints-oauth-grants.md) Eventversion 3 verfügbar.
**Um Zugriffstoken anzupassen**
1. Wählen Sie den Featureplan Essentials oder Plus aus.
1. Erstellen Sie eine Lambda-Funktion für Ihren Trigger. Um unsere Beispielfunktion zu verwenden, [konfigurieren Sie sie für Node.js](https://docs.aws.amazon.com/lambda/latest/dg/lambda-nodejs.html).
1. Füllen Sie Ihre Lambda-Funktion mit unserem [Beispielcode](user-pool-lambda-pre-token-generation.md#aws-lambda-triggers-pre-token-generation-example-version-2-overview) oder verfassen Sie Ihren eigenen. Ihre Funktion muss ein Anforderungsobjekt von Amazon Cognito verarbeiten und die Änderungen zurückgeben, die Sie einbeziehen möchten.
1. Weisen Sie Ihre neue Funktion als Trigger der [Version zwei oder drei](user-pool-lambda-pre-token-generation.md#user-pool-lambda-pre-token-generation-event-versions) vor der Token-Generierung zu. Ereignisse der Version zwei passen Zugriffstoken an Benutzeridentitäten an. Version drei passt Zugriffstoken für Benutzer- und Maschinenidentitäten an.
**Weitere Informationen**
+ [Anpassen des Zugriffs-Token](user-pool-lambda-pre-token-generation.md#user-pool-lambda-pre-token-generation-accesstoken)
+ [So passen Sie Zugriffstoken in Amazon Cognito Cognito-Benutzerpools an](https://aws.amazon.com/blogs/security/how-to-customize-access-tokens-in-amazon-cognito-user-pools/)
## E-Mail MFA
Amazon Cognito Cognito-Benutzerpools können so konfiguriert werden, dass sie E-Mail als zweiten Faktor bei der Multi-Faktor-Authentifizierung (MFA) verwenden. Mit E-Mail-MFA kann Amazon Cognito Benutzern eine E-Mail mit einem Bestätigungscode senden, den sie eingeben müssen, um den Authentifizierungsprozess abzuschließen. Dies fügt dem Benutzeranmeldeablauf eine wichtige zusätzliche Sicherheitsebene hinzu. Um E-Mail-basiertes MFA zu aktivieren, muss der Benutzerpool so konfiguriert sein, dass er die [Amazon SES SES-E-Mail-Versandkonfiguration anstelle der Standard-E-Mail-Konfiguration](user-pool-email.md#user-pool-email-developer) verwendet.
Wenn Ihr Benutzer MFA per E-Mail-Nachricht auswählt, sendet Amazon Cognito bei jedem Anmeldeversuch einen einmaligen Bestätigungscode an die registrierte E-Mail-Adresse des Benutzers. Der Benutzer muss diesen Code dann an Ihren Benutzerpool zurückgeben, um den Authentifizierungsvorgang abzuschließen und Zugriff zu erhalten. Dadurch wird sichergestellt, dass ein Benutzer, selbst wenn der Benutzername und das Passwort kompromittiert werden, einen zusätzlichen Faktor — den per E-Mail gesendeten Code — angeben muss, bevor er auf Ihre Anwendungsressourcen zugreifen kann.
Weitere Informationen finden Sie unter [SMS- und E-Mail-Nachricht MFA](user-pool-settings-mfa-sms-email-message.md). Im Folgenden finden Sie eine Übersicht darüber, wie Sie Ihren Benutzerpool und Benutzer für E-Mail-MFA einrichten.
**So richten Sie E-Mail-MFA in der Amazon Cognito Cognito-Konsole ein**
1. Wählen Sie den Featureplan Essentials oder Plus aus.
1. Bearbeiten Sie im **Anmeldemenü** Ihres Benutzerpools die Option **Multi-Faktor-Authentifizierung**.
1. Wählen Sie die Ebene der **MFA-Durchsetzung**, die Sie einrichten möchten. Mit **Require MFA** erhalten Benutzer in der API automatisch eine Aufforderung, MFA einzurichten, zu bestätigen und sich mit MFA anzumelden. In Benutzerpools, die MFA erfordern, werden sie bei der verwalteten Anmeldung aufgefordert, einen MFA-Faktor auszuwählen und einzurichten. Mit **optionalem MFA** muss Ihre Anwendung Benutzern die Möglichkeit bieten, MFA einzurichten und die Benutzerpräferenz für E-Mail-MFA festzulegen.
1. Wählen Sie unter **MFA-Methoden** die Option **E-Mail-Nachricht** als eine der Optionen aus.
**Weitere Informationen**
+ [SMS- und E-Mail-Nachricht MFA](user-pool-settings-mfa-sms-email-message.md)
## Verhinderung der Wiederverwendung von Passwörtern
Standardmäßig legt eine Amazon Cognito Cognito-Benutzerpool-Passwortrichtlinie die Anforderungen an die Passwortlänge und den Zeichentyp sowie den temporären Ablauf von Passwörtern fest. Der Essentials-Plan bietet die Möglichkeit, den Passwortverlauf durchzusetzen. Wenn ein Benutzer versucht, sein Passwort zurückzusetzen, kann Ihr Benutzerpool verhindern, dass er es auf ein vorheriges Passwort setzt. Weitere Informationen zur Konfiguration der Passwortrichtlinie finden Sie unter[Hinzufügen von Benutzerpool-Passwortanforderungen](managing-users-passwords.md#user-pool-settings-policies). Im Folgenden finden Sie eine Übersicht darüber, wie Sie Ihren Benutzerpool mit einer Richtlinie zur Kennworthistorie einrichten.
**So richten Sie den Passwortverlauf in der Amazon Cognito Cognito-Konsole ein**
1. Wählen Sie den Featureplan Essentials oder Plus aus.
1. Suchen Sie im Menü **Authentifizierungsmethoden** Ihres Benutzerpools nach **Passwortrichtlinie** und wählen Sie **Bearbeiten** aus.
1. Konfigurieren Sie andere verfügbare Optionen und legen Sie einen Wert für „**Verwendung früherer Passwörter verhindern**“ fest.
**Weitere Informationen**
+ [Passwörter, Kontowiederherstellung und Passwortrichtlinien](managing-users-passwords.md)
## Verwaltete Anmeldung, gehosteter Anmelde- und Autorisierungsserver
Amazon Cognito Cognito-Benutzerpools verfügen über optionale Webseiten, die die folgenden Funktionen unterstützen: einen OpenID Connect (OIDC) IdP, einen Dienstanbieter oder eine vertrauende Partei eines IdPs Drittanbieters und öffentliche benutzerinteraktive Seiten für die Registrierung und Anmeldung. Diese *Seiten* werden zusammenfassend als verwaltete Anmeldung bezeichnet. Wenn Sie eine Domain für Ihren Benutzerpool auswählen, aktiviert Amazon Cognito diese Seiten automatisch. Wenn der Lite-Plan über die gehostete Benutzeroberfläche verfügt, öffnet der Essentials-Plan diese erweiterte Version der Anmelde- und Anmeldeseiten.
Verwaltete Anmeldeseiten verfügen über eine übersichtliche up-to-date Oberfläche mit mehr Funktionen und Optionen zur Anpassung Ihres Brandings und Ihrer Stile. Der Essentials-Plan ist der niedrigste Tarif, der den Zugriff auf die verwaltete Anmeldung freischaltet.
**So richten Sie die verwaltete Anmeldung in der Amazon Cognito Cognito-Konsole ein**
1. Wählen Sie im Menü **Einstellungen** den Featureplan Essentials oder Plus aus.
1. [Weisen Sie Ihrem Benutzerpool im Menü **Domain** eine Domain](cognito-user-pools-assign-domain.md) zu und wählen Sie eine **Branding-Version** von **Managed Login** aus.
1. Wählen Sie im Menü **Verwaltete Anmeldung** auf der Registerkarte **Stile** die Option **Stil erstellen** aus und weisen Sie den Stil einem App-Client zu, oder erstellen Sie einen neuen App-Client.
**Weitere Informationen**
+ [Vom Benutzerpool verwaltete Anmeldung](cognito-user-pools-managed-login.md)
## Wahlbasierte Authentifizierung
*Mit der Stufe „Essentials“ wird ein neuer *Authentifizierungsablauf* für Authentifizierungsvorgänge in der erweiterten Benutzeroberfläche und SDK-basierte API-Operationen eingeführt. Bei diesem Ablauf handelt es sich um eine wahlbasierte Authentifizierung.* Die wahlbasierte Authentifizierung ist eine Methode, bei der die Authentifizierung Ihrer Benutzer nicht mit einer anwendungsseitigen Deklaration einer Anmeldemethode beginnt, sondern mit einer Abfrage möglicher Anmeldemethoden, gefolgt von einer Auswahl. Sie können Ihren Benutzerpool so konfigurieren, dass er die wahlbasierte Authentifizierung unterstützt und die Authentifizierung mit Benutzername/Passwort, kennwortloser Authentifizierung und Hauptschlüsselauthentifizierung entsperrt. In der API ist das der Ablauf. `USER_AUTH`
**So richten Sie die wahlbasierte Authentifizierung in der Amazon Cognito Cognito-Konsole ein**
1. Wählen Sie den Featureplan Essentials oder Plus aus.
1. Bearbeiten Sie im **Anmeldemenü** Ihres Benutzerpools die **Optionen für die wahlbasierte Anmeldung.** Wählen und konfigurieren Sie die Authentifizierungsmethoden, die Sie für die wahlbasierte Authentifizierung aktivieren möchten.
1. Bearbeiten Sie im Menü **Authentifizierungsmethoden** Ihres Benutzerpools die Konfiguration der Anmeldevorgänge.
**Weitere Informationen**
+ [Authentifizierung mit Amazon Cognito Cognito-Benutzerpools](authentication.md)
# Funktionen des Plus-Plans
Der Plus-Funktionsplan bietet erweiterte Sicherheitsfunktionen für Amazon Cognito Cognito-Benutzerpools. Diese Funktionen protokollieren und analysieren den Benutzerkontext zur Laufzeit im Hinblick auf potenzielle Sicherheitsprobleme bei Geräten, Standorten, Anforderungsdaten und Passwörtern. Anschließend minimieren sie potenzielle Risiken durch automatische Reaktionen, die Benutzerkonten blockieren oder Sicherheitsvorkehrungen für sie hinzufügen. Sie können Ihre Sicherheitsprotokolle auch zur weiteren Analyse nach Amazon S3, Amazon Data Firehose oder Amazon CloudWatch Logs exportieren.
Wenn Sie vom Essentials- zum Plus-Plan wechseln, erhalten Sie alle Funktionen von Essentials und die folgenden zusätzlichen Funktionen. Dazu gehören die Sicherheitsoptionen zum Schutz vor Bedrohungen, die auch als *erweiterte Sicherheitsfunktionen* bezeichnet werden. Um Ihre Benutzerpools so zu konfigurieren, dass sie sich automatisch an Bedrohungen in Ihrem Authentifizierungs-Frontend anpassen, wählen Sie den Plus-Plan für Ihre Benutzerpools.
Die folgenden Abschnitte bieten einen kurzen Überblick über die Funktionen, die Sie Ihrer Anwendung mit dem Plus-Plan hinzufügen können. Ausführliche Informationen finden Sie auf den folgenden Seiten.
**Weitere Ressourcen**
+ Adaptive Authentifizierung: [Arbeiten Sie mit adaptiver Authentifizierung](cognito-user-pool-settings-adaptive-authentication.md)
+ Kompromittierte Anmeldeinformationen: [Arbeiten mit der Erkennung kompromittierter Anmeldeinformationen](cognito-user-pool-settings-compromised-credentials.md)
+ Export von Protokollen: [Exportieren von Protokollen aus Amazon Cognito Cognito-Benutzerpools](exporting-quotas-and-usage.md)
**Topics**
+ [Schutz vor Bedrohungen: adaptive Authentifizierung](#features-adaptive-authentication)
+ [Bedrohungsschutz: Erkennung kompromittierter Anmeldeinformationen](#features-compromised-credentials)
+ [Bedrohungsschutz: Protokollierung von Benutzeraktivitäten](#features-user-logs)
## Schutz vor Bedrohungen: adaptive Authentifizierung
Der Plus-Plan beinhaltet eine *adaptive Authentifizierungsfunktion*. Wenn Sie diese Funktion aktivieren, führt Ihr Benutzerpool für jede Benutzerauthentifizierungssitzung eine Risikobewertung durch. Anhand der resultierenden Risikoeinstufungen können Sie die Authentifizierung blockieren oder MFA für Benutzer aktivieren, die sich mit einer Risikostufe anmelden, die über einem von Ihnen festgelegten Schwellenwert liegt. Mit der adaptiven Authentifizierung blockieren oder richten Ihr Benutzerpool und Ihre Anwendung automatisch MFA für Benutzer ein, deren Konten Sie vermuten, dass sie angegriffen werden. Sie können auch Feedback zu den Risikobewertungen aus Ihrem Benutzerpool geben, um future Bewertungen anzupassen.
**So richten Sie die adaptive Authentifizierung in der Amazon Cognito Cognito-Konsole ein**
1. Wählen Sie den Plus-Funktionsplan aus.
1. Bearbeiten Sie im Menü **Bedrohungsschutz** Ihres Benutzerpools unter **Bedrohungsschutz** die Optionen **Standard- und benutzerdefinierte Authentifizierung**.
1. Stellen Sie den **Erzwingungsmodus** für die Standard- oder benutzerdefinierte Authentifizierung auf **Vollständig ein.**
1. Konfigurieren Sie unter **Adaptive Authentifizierung** automatische Risikoreaktionen für verschiedene Risikostufen.
**Weitere Informationen**
+ [Arbeiten Sie mit adaptiver Authentifizierung](cognito-user-pool-settings-adaptive-authentication.md)
+ [Erfassung von Daten für den Schutz vor Bedrohungen in Anwendungen](user-pool-settings-viewing-threat-protection-app.md)
## Bedrohungsschutz: Erkennung kompromittierter Anmeldeinformationen
Der Plus-Plan beinhaltet eine Funktion zur Erkennung *kompromittierter Anmeldeinformationen*. Diese Funktion schützt vor der Verwendung unsicherer Passwörter und vor der Gefahr eines unbeabsichtigten Anwendungszugriffs, die durch diese Vorgehensweise entsteht. Wenn Sie Ihren Benutzern gestatten, sich mit einem Benutzernamen und einem Passwort anzumelden, verwenden sie möglicherweise ein Passwort, das sie an anderer Stelle verwendet haben. Dieses Passwort ist möglicherweise durchgesickert oder wird häufig nur erraten. Bei der Erkennung kompromittierter Anmeldeinformationen liest Ihr Benutzerpool die von Ihren Benutzern übermittelten Passwörter und vergleicht sie mit Kennwortdatenbanken. Wenn der Vorgang zu der Entscheidung führt, dass das Passwort wahrscheinlich kompromittiert wurde, können Sie Ihren Benutzerpool so konfigurieren, dass die Anmeldung blockiert wird, und dann ein Zurücksetzen des Kennworts für den Benutzer in Ihrer Anwendung veranlassen.
Die Erkennung kompromittierter Anmeldeinformationen kann auf unsichere Passwörter reagieren, wenn sich neue Benutzer anmelden, wenn sich bestehende Benutzer anmelden und wenn Benutzer versuchen, ihre Passwörter zurückzusetzen. Mit dieser Funktion kann Ihr Benutzerpool verhindern oder davor warnen, sich mit unsicheren Passwörtern anzumelden, egal wo Benutzer sie eingeben.
**So richten Sie die Erkennung kompromittierter Anmeldeinformationen in der Amazon Cognito Cognito-Konsole ein**
1. Wählen Sie den Plus-Funktionsplan aus.
1. Bearbeiten Sie im Menü **Bedrohungsschutz** Ihres Benutzerpools unter **Bedrohungsschutz** die Optionen **Standard- und benutzerdefinierte Authentifizierung**.
1. Stellen Sie den **Erzwingungsmodus** für die Standard- oder benutzerdefinierte Authentifizierung auf **Vollständig ein.**
1. Konfigurieren Sie unter **Kompromittierte Anmeldeinformationen** die Arten von Authentifizierungsvorgängen, die Sie überprüfen möchten, und die automatische Antwort, die Sie von Ihrem Benutzerpool erwarten.
**Weitere Informationen**
+ [Arbeiten mit der Erkennung kompromittierter Anmeldeinformationen](cognito-user-pool-settings-compromised-credentials.md)
## Bedrohungsschutz: Protokollierung von Benutzeraktivitäten
Der Plus-Plan bietet eine Protokollierungsfunktion, die Sicherheitsanalysen und Einzelheiten zu Benutzerauthentifizierungsversuchen enthält. Sie können Risikobewertungen, Benutzer-IP-Adressen, Benutzeragenten und andere Informationen über das Gerät einsehen, das eine Verbindung zu Ihrer Anwendung hergestellt hat. Sie können mit den integrierten Funktionen zum Schutz vor Bedrohungen auf diese Informationen reagieren oder Ihre Protokolle in Ihren eigenen Systemen analysieren und geeignete Maßnahmen ergreifen. Sie können die Protokolle von Threat Protection nach Amazon S3, CloudWatch Logs oder Amazon DynamoDB exportieren.
**So richten Sie die Protokollierung von Benutzeraktivitäten in der Amazon Cognito Cognito-Konsole ein**
1. Wählen Sie den Plus-Funktionsplan aus.
1. Bearbeiten Sie im Menü **Bedrohungsschutz** Ihres Benutzerpools unter **Bedrohungsschutz** die Optionen **Standard- und benutzerdefinierte Authentifizierung**.
1. Stellen Sie den **Erzwingungsmodus** für die Standard- oder benutzerdefinierte Authentifizierung auf Nur **Audit** ein. Dies ist die Mindesteinstellung für Protokolle. Sie können es auch im **Vollfunktionsmodus** aktivieren und andere Funktionen zum Schutz vor Bedrohungen konfigurieren.
1. Um Ihre Protokolle AWS-Service zur Analyse durch Dritte in ein anderes zu exportieren, rufen Sie das **Log-Streaming-Menü** Ihres Benutzerpools auf und richten Sie ein Exportziel ein.
**Weitere Informationen**
+ [Benutzerauthentifizierungsereignisse exportieren](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-event-user-history-exporting)
+ [Exportieren von Protokollen aus Amazon Cognito Cognito-Benutzerpools](exporting-quotas-and-usage.md)
# Funktionen ausschalten, um Funktionspläne zu ändern
Funktionspläne erweitern Ihren Benutzerpool um Konfigurationsoptionen. Sie können diese Funktionen nur konfigurieren und verwenden, wenn der zugehörige Funktionsplan aktiv ist. Sie können beispielsweise die Anpassung von Zugriffstoken in den Plus- und Essentials-Plänen konfigurieren, nicht jedoch im Lite-Plan. Um diese Funktionen zu deaktivieren, müssen Sie jede aktive Komponente deaktivieren. Die Option **Wechseln zu** im Menü **Einstellungen** in der Amazon Cognito Cognito-Konsole informiert Sie über die Funktionen, die Sie deaktivieren müssen, bevor Sie Ihren Funktionsplan ändern können. In diesem Kapitel erfahren Sie, welche Änderungen die Deaktivierung an Ihrer Benutzerpool-Konfiguration vornimmt und wie Sie diese Funktionen einzeln ausschalten können.
**Anpassen von Zugriffs-Token**
Um zu einem Plan zu wechseln, der keine Anpassung von Zugriffstoken beinhaltet, müssen Sie den [Lambda-Trigger vor der Token-Generierung](user-pool-lambda-pre-token-generation.md#user-pool-lambda-pre-token-generation-accesstoken) aus Ihrem Benutzerpool entfernen. Um einen neuen Trigger vor der Token-Generierung ohne Anpassung des Zugriffstokens hinzuzufügen, weisen Sie dem Trigger eine neue Funktion zu und konfigurieren Sie ihn für `V1_0` Ereignisse. Diese Trigger-Ereignisse der ersten Version können nur Änderungen an ID-Token verarbeiten.
Um die Anpassung von Zugriffstoken manuell zu deaktivieren, entfernen Sie Ihren Trigger vor der Token-Generierung und fügen Sie einen neuen Trigger der Version eins hinzu.
**Schutz vor Bedrohungen**
Um zu einem Tarif ohne Bedrohungsschutz zu wechseln, deaktivieren Sie alle Funktionen im **Bedrohungsschutz-Menü** Ihres Benutzerpools.
**Export von Protokollen**
Um zu einem Tarif ohne Protokollexport zu wechseln, deaktivieren Sie ihn im **Log-Streaming-Menü** Ihres Benutzerpools. Ihr Benutzerpool generiert keine lokalen oder exportierten Benutzeraktivitätsprotokolle mehr. Sie können auch eine [SetLogDeliveryConfiguration](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetLogDeliveryConfiguration.html)API-Anfrage senden, die jede Konfiguration mit einem `EventSource` Wert von `UserActivity` entfernt.
**E-Mail MFA**
Um zu einem Tarif ohne E-Mail-MFA zu wechseln, rufen Sie das **Anmeldemenü** Ihres Benutzerpools auf. Bearbeiten Sie die **Multi-Faktor-Authentifizierung** und deaktivieren Sie **E-Mail-Nachricht** als eine der verfügbaren **MFA-Methoden**.