Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Registrieren und Bestätigen von Benutzerkonten
<a name="signing-up-users-in-your-app"></a>

Benutzerkonten können auf eine der folgenden Weisen einem Benutzerpool hinzugefügt werden:
+ Der Benutzer meldet sich in der Client-App Ihres Benutzerpools an. Dies kann eine mobile oder webbasierte App sein.
+ Sie können das Benutzerkonto in Ihren Benutzerpool importieren. Weitere Informationen finden Sie unter [Importieren von Benutzern aus einer CSV-Datei in Benutzerpools](cognito-user-pools-using-import-tool.md).
+ Sie können das Benutzerkonto in Ihrem Create a User Pool und den Benutzer einladen, sich anzumelden. Weitere Informationen finden Sie unter [Erstellen von Benutzerkonten als Administrator](how-to-create-user-accounts.md).

Benutzer, die sich selbst registrieren, müssen bestätigt werden, bevor sie sich anmelden können. Importierte und erstellte Benutzer sind bereits bestätigt, aber sie müssen ihr eigenes Passwort erstellen, wenn sie sich das erste Mal anmelden. In den folgenden Abschnitten werden der Bestätigungsprozess und die Verifizierung per E-Mail und Telefon erläutert.

**Passwörter bei der Anmeldung**  
Amazon Cognito verlangt Passwörter von allen Benutzern, wenn sie sich registrieren, außer unter den folgenden Bedingungen. Wenn *alle* diese Bedingungen erfüllt sind, können Sie Passwörter bei Anmeldevorgängen weglassen.

1. Die [passwortlose Anmeldung](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passwordless) ist in Ihrem Benutzerpool und App-Client aktiv.

1. Ihre Anwendung wurde mit Authentifizierungsmodulen in einem SDK maßgeschneidert. AWS Für die verwaltete Anmeldung und die gehostete Benutzeroberfläche sind immer Passwörter erforderlich.

1. Benutzer geben Attributwerte für die kennwortlosen Anmeldemethoden — Einmalpasswörter für E-Mail oder SMS-Nachrichten () — an, die Sie zulassen. OTPs Wenn Sie beispielsweise die Anmeldung mit E-Mail und Telefon-OTP zulassen, können Benutzer entweder eine Telefonnummer oder eine E-Mail-Adresse angeben. Wenn Sie jedoch nur die Anmeldung mit E-Mail zulassen, müssen sie eine E-Mail-Adresse angeben.

1. Ihr Benutzerpool [überprüft automatisch](#allowing-users-to-sign-up-and-confirm-themselves) die Attribute, die Benutzer bei der kennwortlosen Anmeldung verwenden können.

1. [Für jede [SignUp](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SignUp.html)Anfrage gibt der Benutzer keinen Wert für den Password-Parameter an.](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SignUp.html#CognitoUserPools-SignUp-request-Password)

## Überblick über die Benutzerkonto-Bestätigung
<a name="signup-confirmation-verification-overview"></a>

Das folgende Diagramm illustriert den Bestätigungsprozess:

![\[Wenn Benutzer ihren Bestätigungscode eingeben, verifizieren sie automatisch ihre E-Mail-Adresse oder Telefonnummer.\]](http://docs.aws.amazon.com/de_de/cognito/latest/developerguide/images/amazon-cognito-sign-in-confirm-user.png)


Ein Benutzerkonto kann einen der folgenden Status aufweisen:

**Registriert (Unbestätigt)**  
Der Benutzer hat sich erfolgreich registriert, kann sich aber nicht anmelden, bis das Benutzerkonto bestätigt wird. Der Benutzer aktiviert ist, aber in diesem Status nicht bestätigt.  
Neue Benutzer, die sich selbst registrieren, starten in diesem Status.

**Bestätigt**  
Das Benutzerkonto ist bestätigt, und der Benutzer kann sich anmelden. Wenn ein Benutzer einen Code eingibt oder einem E-Mail-Link folgt, um sein Benutzerkonto zu bestätigen, wird die E-Mail-Adresse oder Telefonnummer automatisch verifiziert. Der Code oder Link ist 24 Stunden gültig.  
Wenn das Benutzerkonto vom Administrator oder einem Lambda-Auslöser vor der Anmeldung bestätigt wurde, ist möglicherweise keine verifizierte E-Mail-Adresse oder Telefonnummer mit dem Konto verknüpft.

**Zurücksetzen des Passworts erforderlich**  
Das Benutzerkonto ist bestätigt, aber der Benutzer muss einen Code anfordern und sein Passwort zurücksetzen, bevor er sich anmelden kann.  
Benutzerkonten, die von einem Administrator oder Entwickler importiert werden, starten in diesem Status.

**Ändern des Passworts erzwingen**  
Das Benutzerkonto ist bestätigt, und der Benutzer kann sich mit einem temporären Passwort anmelden, aber bei der ersten Anmeldung muss der Benutzer zunächst das Passwort ändern.  
Benutzerkonten, die von einem Administrator oder Entwickler erstellt werden, starten in diesem Status.

**Disabled**  
Bevor Sie ein Benutzerkonto löschen können, müssen Sie den Anmeldezugriff für diesen Benutzer deaktivieren.

**Weitere -Quellen**
+ [Erkennung und Behebung inaktiver Benutzerkonten mit Amazon Cognito](https://aws.amazon.com/blogs/security/detecting-and-remediating-inactive-user-accounts-with-amazon-cognito/)

## Überprüfen von Kontaktinformationen bei der Anmeldung
<a name="allowing-users-to-sign-up-and-confirm-themselves"></a>

Wenn sich neue Benutzer in Ihrer App anmelden, möchten Sie wahrscheinlich, dass sie mindestens eine Kontaktmethode angeben. Mit den Kontaktinformationen des Benutzers haben Sie zum Beispiel folgende Möglichkeiten:
+ Senden Sie ein temporäres Passwort, wenn ein Benutzer sein Passwort zurücksetzt.
+ Benachrichtigen der Benutzer, wenn deren persönliche oder finanziellen Daten aktualisiert werden
+ Senden von Werbemitteilungen, beispielsweise zu Sonderangeboten oder Rabatten
+ Senden von Kontoübersichten oder Zahlungserinnerungen

Für solche Anwendungsfälle müssen Sie Ihre Nachrichten unbedingt an ein Ziel senden, das überprüft wurde. Andernfalls senden Sie Ihre Nachrichten möglicherweise an eine ungültige E-Mail-Adresse oder falsch eingegebene Telefonnummer. Im schlimmsten Fall könnten Sie sogar sensible Daten an böswillige Angreifer übermitteln, die sich als Ihre Benutzer ausgeben.

Um sicherzustellen, dass Sie Nachrichten nur an die richtigen Personen senden, konfigurieren Sie den Amazon-Cognito-Benutzerpool so, dass die Benutzer Folgendes angeben müssen, wenn sie sich anmelden:

1. Eine E-Mail-Adresse oder Telefonnummer.

1. Einen Verifizierungscode, den Amazon Cognito an diese E-Mail-Adresse oder Telefonnummer sendet. Wenn 24 Stunden vergangen sind und der Code oder Link Ihres Benutzers nicht mehr gültig ist, rufen Sie den [ResendConfirmationCode](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ResendConfirmationCode.html)API-Vorgang auf, um einen neuen Code oder Link zu generieren und zu senden.

Durch die Angabe des Verifizierungscodes weist ein Benutzer nach, dass er über Zugriff auf das Postfach oder Telefon verfügt, welches den Code erhalten hat. Nachdem der Benutzer den Code angegeben hat, aktualisiert Amazon Cognito die Informationen über den Benutzer im Benutzerpool wie folgt:
+ Der Status des Benutzers wird auf festgelegt `CONFIRMED`.
+ Die Attribute des Benutzers werden aktualisiert, um anzugeben, dass die E-Mail-Adresse oder Telefonnummer bestätigt wurde.

Sie können diese Informationen in der Amazon-Cognito-Konsole anzeigen. Oder Sie können die `AdminGetUser` API-Operation, den `admin-get-user` Befehl mit dem AWS CLI oder eine entsprechende Aktion in einer der AWS SDKs.

Wenn ein Benutzer über eine überprüfte Kontaktmethode verfügt, sendet Amazon Cognito dem Benutzer automatisch eine Nachricht, wenn der Benutzer die Zurücksetzung des Passworts anfordert.

### Andere Aktionen, die Benutzerattribute bestätigen und verifizieren
<a name="allowing-users-to-sign-up-and-confirm-themselves-other-actions"></a>

Die folgende Benutzeraktivität überprüft Benutzerattribute. Sie müssen diese Attribute nicht für die automatische Überprüfung festlegen: Die aufgelisteten Aktionen kennzeichnen sie in allen Fällen als verifiziert.

**E-Mail-Adresse**  

1. Die [passwortlose Authentifizierung](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passwordless) mit einem E-Mail-Einmalpasswort (OTP) wurde erfolgreich abgeschlossen.

1. Erfolgreicher Abschluss der [Multi-Faktor-Authentifizierung (MFA)](user-pool-settings-mfa.md) mit einem E-Mail-OTP.

**Phone number (Telefonnummer)**  

1. Erfolgreicher Abschluss der [passwortlosen Authentifizierung](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passwordless) mit einem SMS-OTP.

1. Erfolgreicher Abschluss von [MFA](user-pool-settings-mfa.md) mit einem SMS-OTP.

### Benutzerpool für eine obligatorische Verifizierung der E-Mail-Adresse oder Telefonnummer konfigurieren
<a name="verification-configure"></a>

Wenn Sie die E-Mail-Adressen und Telefonnummern Ihrer Benutzer überprüfen, stellen Sie sicher, dass Sie Ihre Benutzer kontaktieren können. Gehen Sie wie folgt vor AWS-Managementkonsole , um Ihren Benutzerpool so zu konfigurieren, dass Ihre Benutzer ihre E-Mail-Adressen oder Telefonnummern bestätigen müssen.

**Anmerkung**  
Wenn Sie noch keinen Benutzerpool in Ihrem Konto eingerichtet haben, finden Sie weitere Informationen unter [Erste Schritte mit Benutzerpools](getting-started-user-pools.md).

**So konfigurieren Sie den Benutzerpool**

1. Navigieren Sie zur [Amazon-Cognito-Konsole](https://console.aws.amazon.com/cognito/home). Wenn Sie dazu aufgefordert werden, geben Sie Ihre AWS Anmeldeinformationen ein.

1. Wählen Sie im Navigationsbereich **User Pools** (Benutzerpools) aus. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus oder [erstellen Sie einen neuen Benutzerpool](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Wählen Sie das **Anmeldemenü** und suchen Sie nach **Attributverifizierung und Benutzerkontobestätigung**. Wählen Sie **Bearbeiten** aus.

1. Wählen Sie unter **Von Cognito unterstützte Überprüfung und Bestätigung** aus, ob Sie **Cognito erlauben, automatisch Nachrichten zur Überprüfung und Bestätigung zu senden**. Wenn diese Einstellung aktiviert ist, sendet Amazon Cognito Nachrichten an die von Ihnen ausgewählten Benutzerkontaktattribute, wenn sich ein Benutzer anmeldet oder wenn Sie ein Benutzerprofil erstellen. Um Attribute zu überprüfen und Benutzerprofile für die Anmeldung zu bestätigen, sendet Amazon Cognito einen Code oder Link in Nachrichten an Benutzer. Die Benutzer müssen dann den Code in Ihre Benutzeroberfläche eingeben, damit Ihre App sie in einer `ConfirmSignUp`- oder `AdminConfirmSignUp`-API-Anfrage bestätigen kann.
**Anmerkung**  
Sie können **Cognito-assisted verification and confirmation** (Cognito-unterstütze Verifizierung und Bestätigung) auch deaktivieren und die authentifizierten API-Aktionen oder Lambda-Auslöser verwenden, um Attribute zu verifizieren und Benutzer zu bestätigen.  
Bei dieser Auswahl sendet Amazon Cognito keine Verifizierungscodes, wenn Benutzer sich anmelden. Aktivieren Sie diese Option, wenn Sie einen benutzerdefinierten Authentifizierungsablauf verwenden, der mindestens eine Kontaktmethode verifiziert, ohne Verifizierungscodes von Amazon Cognito zu nutzen. Sie könnten beispielsweise einen Lambda-Auslöser vor der Anmeldung verwenden, der automatisch E-Mail-Adressen verifiziert, die einer bestimmten Domäne angehören.  
Wenn Sie die Kontaktinformationen Ihrer Benutzer nicht verifizieren, können die Benutzer die App möglicherweise nicht verwenden. Beachten Sie, dass die Benutzer die folgenden Aktionen nur mit verifizierten Kontaktinformationen ausführen können:  
**Passwörter zurücksetzen** – Wenn ein Benutzer eine Option in Ihrer Anwendung auswählt, die die API-Aktion `ForgotPassword` abruft, sendet Amazon Cognito ein temporäres Passwort an die E-Mail-Adresse oder Telefonnummer des Benutzers. Amazon Cognito sendet dieses Kennwort nur, wenn der Benutzer über mindestens eine verifizierte Kontaktmethode verfügt.
**Anmeldung mit einer E-Mail-Adresse oder Telefonnummer als Alias** – Wenn Sie den Benutzerpool so konfigurieren, dass diese Alias zulässig sind, kann ein Benutzer sich nur mit einem Alias anmelden, wenn der Alias verifiziert wurde. Weitere Informationen finden Sie unter [Anpassen von Anmeldeattributen](user-pool-settings-attributes.md#user-pool-settings-aliases).

1. Wählen Sie Ihre **zu überprüfenden Attribute** aus:  
**SMS-Nachricht senden, Telefonnummer verifizieren**  
Amazon Cognito sendet einen Verifizierungscode in einer SMS-Nachricht, wenn der Benutzer sich anmeldet. Treffen Sie diese Auswahl, wenn Sie mit Ihren Benutzern normalerweise per SMS kommunizieren. Verifizierte Telefonnummern verwenden Sie beispielsweise zum Senden von Lieferbenachrichtigungen, Terminbestätigungen oder Warnungen. Benutzertelefonnummern sind das verifizierte Attribut, wenn Konten bestätigt werden. Sie müssen zusätzliche Maßnahmen ergreifen, um die E-Mail-Adressen der Benutzer zu überprüfen und mit ihnen zu kommunizieren.  
**E-Mail-Nachricht senden, E-Mail-Adresse überprüfen**  
Amazon Cognito sendet einen Verifizierungscode per E-Mail, wenn der Benutzer sich anmeldet. Wählen Sie diese Option aus, wenn Sie mit Ihren Benutzern in der Regel über E-Mail kommunizieren. Sie benötigen verifizierte E-Mail-Adressen zum Beispiel, wenn Sie Abrechnungen, Bestellübersichten oder Sonderangebote senden. Benutzertelefonnummern sind das verifizierte Attribut, wenn Konten bestätigt werden. Sie müssen zusätzliche Maßnahmen ergreifen, um die Telefonnummern der Benutzer zu überprüfen und mit ihnen zu kommunizieren.  
**SMS-Nachricht senden, wenn die Telefonnummer verfügbar ist, andernfalls E-Mail-Nachricht senden**  
Wählen Sie diese Option aus, wenn es nicht erforderlich ist, dass alle Benutzer über dieselbe verifizierte Kontaktmethode verfügen. In diesem Fall könnte die Anmeldeseite in Ihrer App die Benutzer dazu auffordern, nur ihre bevorzugte Kontaktmethode zu verifizieren. Beim Übermitteln eines Verifizierungscodes sendet Amazon Cognito den Code an die Kontaktmethode, die in der `SignUp`-Anforderung von Ihrer App bereitgestellt wird. Wenn ein Benutzer eine E-Mail-Adresse und eine Telefonnummer angibt und die App beide Kontaktmethoden in der `SignUp`-Anforderung übermittelt, sendet Amazon Cognito nur einen Verifizierungscode an die Telefonnummer.  
Wählen Sie diese Option aus, um festzulegen, dass die Benutzer sowohl eine E-Mail-Adresse als auch eine Telefonnummer verifizieren müssen. Amazon Cognito verifiziert eine Kontaktmethode, wenn sich der Benutzer anmeldet. Die App verifiziert die andere Kontaktmethode, nachdem sich der Benutzer angemeldet hat. Weitere Informationen finden Sie unter [Wenn die Benutzer sowohl E-Mail-Adressen als auch Telefonnummern bestätigen müssen](#verification-email-plus-phone).

1. Wählen Sie **Save Changes (Änderungen speichern)**.

### Authentifizierungsablauf mit Verifizierung per E-Mail oder Telefon
<a name="verification-flow"></a>

Wenn der Benutzerpool erfordert, dass die Benutzer ihre Kontaktinformationen verifizieren, muss Ihre Anwendung den folgenden Ablauf unterstützen, wenn sich ein Benutzer anmeldet:

1. Ein Benutzer registriert sich in Ihrer App, indem er einen Benutzernamen, eine Telefonnummer, eine and/or E-Mail-Adresse und möglicherweise andere Attribute eingibt.

1. Die Amazon-Cognito-Service erhält die Registrierungs-Anforderung von der App. Nachdem verifiziert wurde, dass die Anforderung alle für die Registrierung erforderlichen Attribute enthält, schließt der Service die Registrierung ab und sendet einen Bestätigungscode an die Telefonnummer (per SMS) oder E-Mail-Adresse des Benutzers. Der Code ist 24 Stunden gültig.

1. Der Service gibt der App zurück, dass die Registrierung abgeschlossen ist und die Bestätigung des Benutzerkontos noch ansteht. Die Antwort enthält Informationen darüber, wohin der Bestätigungscode gesendet wurde. An diesem Punkt ist das Benutzerkonto in einem unbestätigten Status, und die E-Mail-Adresse und Telefonnummer des Benutzers sind noch nicht verifiziert.

1. Die App kann jetzt den Benutzer dazu auffordern, den Bestätigungscode einzugeben. Der Benutzer muss den Code nicht sofort eingeben. Er kann sich jedoch erst anmelden, nachdem er den Bestätigungscode eingegeben hat.

1. Der Benutzer gibt den Bestätigungscode in die App ein.

1. Die App ruft [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmSignUp.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmSignUp.html) auf und sendet den Code an den Amazon-Cognito-Service, welcher den Code verifiziert. Wenn der Code korrekt ist, wird das Konto des Benutzers bestätigt. Nach erfolgreicher Bestätigung des Benutzerkontos markiert der Amazon-Cognito-Service automatisch das zur Bestätigung verwendete Attribut (E-Mail-Adresse oder Telefonnummer) als verifiziert. Sofern der Wert dieses Attributs nicht geändert wird, muss der Benutzer es nicht erneut verifizieren.

1. An diesem Punkt ist das Benutzerkonto in einem bestätigten Status, und der Benutzer kann sich anmelden.

### Wenn die Benutzer sowohl E-Mail-Adressen als auch Telefonnummern bestätigen müssen
<a name="verification-email-plus-phone"></a>

Amazon Cognito verifiziert nur eine Kontaktmethode, wenn sich ein Benutzer anmeldet. In Fällen, in denen Amazon Cognito zwischen der Verifizierung einer E-Mail-Adresse oder Telefonnummer wählen muss, verifiziert der Service die Telefonnummer, indem er einen Verifizierungscode per SMS-Nachricht sendet. Wenn Sie beispielsweise den Benutzerpool so konfigurieren, dass Benutzern die Verifizierung über die E-Mail-Adresse oder Telefonnummer gestattet ist und wenn Ihre App beide Attribute bei der Anmeldung übermittelt, verifiziert Amazon Cognito nur die Telefonnummer. Nachdem ein Benutzer seine Telefonnummer verifiziert hat, setzt Amazon Cognito den Status des Benutzers auf `CONFIRMED` und der Benutzer darf sich bei der App anmelden.

Nachdem der Benutzer angemeldet ist, kann die App optional die Verifizierung der während der Anmeldung nicht verifizierten Kontaktmethode bereitstellen. Zur Überprüfung dieser zweiten Methode ruft die App die `VerifyUserAttribute`-API-Aktion auf. Beachten Sie, dass diese Aktion einen `AccessToken`-Parameter erfordert und Amazon Cognito nur authentifizierten Benutzern Zugriff auf Token bietet. Aus diesem Grund können Sie die zweite Kontaktmethode erst verifizieren, nachdem der Benutzer sich angemeldet hat.

Wenn es erforderlich ist, dass die Benutzer sowohl E-Mail-Adressen als auch Telefonnummern verifizieren, führen Sie die folgenden Schritte aus:

1. Konfigurieren Sie den Benutzerpool so, dass Benutzern die Verifizierung über die E-Mail-Adresse oder Telefonnummern gestattet ist.

1. Fordern Sie im Anmeldungsfluss für die App, dass die Benutzer eine E-Mail-Adresse und eine Telefonnummer angeben müssen. Rufen Sie die [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SignUp.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SignUp.html)-API-Aktion auf und stellen Sie die E-Mail-Adresse und Telefonnummer für den `UserAttributes`-Parameter bereit. An diesem Punkt sendet Amazon Cognito einen Verifizierungscode an das Telefon des Benutzers.

1. Zeigen Sie in der App-Oberfläche eine Bestätigungsseite an, auf der der Benutzer den Verifizierungscode eingibt. Bestätigen Sie den Benutzer durch Aufrufen der [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmSignUp.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmSignUp.html)-API-Aktion. An diesem Punkt ist der Status des Benutzers `CONFIRMED`. Die Telefonnummer des Benutzers wurde verifiziert, jedoch nicht die E-Mail-Adresse.

1. Zeigen Sie die Anmeldeseite an und authentifizieren Sie den Benutzer durch Aufrufen der [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html)-API-Aktion. Nachdem der Benutzer authentifiziert wurde, gibt Amazon Cognito ein Zugriffstoken an die App zurück.

1. Rufen Sie die [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetUserAttributeVerificationCode.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetUserAttributeVerificationCode.html)-API-Aktion auf. Geben Sie in der Anforderung die folgenden Parameter an:
   + `AccessToken` – Das von Amazon Cognito bei der Anmeldung des Benutzers zurückgegebene Zugriffstoken.
   + `AttributeName` – Legen Sie `"email"` als Attributwert fest.

   Amazon Cognito sendet einen Verifizierungscode an die E-Mail-Adresse des Benutzers.

1. Zeigen Sie eine Bestätigungsseite an, auf der der Benutzer den Verifizierungscode eingibt. Wenn der Benutzer den Code übermittelt, rufen Sie die [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_VerifyUserAttribute.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_VerifyUserAttribute.html)-API-Aktion auf. Geben Sie in der Anforderung die folgenden Parameter an:
   + `AccessToken` – Das von Amazon Cognito bei der Anmeldung des Benutzers zurückgegebene Zugriffstoken.
   + `AttributeName` – Legen Sie `"email"` als Attributwert fest.
   + `Code` – Der Verifizierungscode, den der Benutzer eingegeben hat.

   Die E-Mail-Adresse wurde jetzt verifiziert.

## Benutzern erlauben, sich in der Anwendung anzumelden, sie aber als Benutzerpool-Administrator bestätigen
<a name="signing-up-users-in-your-app-and-confirming-them-as-admin"></a>

Möglicherweise möchten Sie nicht, dass Ihr Benutzerpool automatisch Bestätigungsnachrichten an Ihren Benutzerpool sendet, möchten aber dennoch jedem ermöglichen, sich für ein Konto anzumelden. Dieses Modell bietet beispielsweise Spielraum für die manuelle Überprüfung neuer Anmeldeanfragen sowie für die Batch-Validierung und Bearbeitung von Anmeldungen. Sie können neue Benutzerkonten in der Amazon Cognito Cognito-Konsole oder mit dem IAM-authentifizierten API-Vorgang bestätigen. [AdminConfirmSignUp](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminConfirmSignUp.html) Sie können Benutzerkonten als Administrator bestätigen, unabhängig davon, ob Ihr Benutzerpool Bestätigungsnachrichten sendet oder nicht.

Mit dieser Technik können Sie die Self-Service-Registrierung eines Benutzers nur bestätigen. Um einen Benutzer zu bestätigen, den Sie als Administrator erstellen, erstellen Sie eine [AdminSetUserPassword](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminSetUserPassword.html)API-Anfrage mit der Einstellung auf. `Permanent` `True`

1. Ein Benutzer registriert sich in Ihrer App, indem er einen Benutzernamen, eine Telefonnummer, eine and/or E-Mail-Adresse und möglicherweise andere Attribute eingibt.

1. Die Amazon-Cognito-Service erhält die Registrierungs-Anforderung von der App. Nachdem Sie verifiziert haben, dass die Anforderung alle für die Anmeldung benötigten Attribute enthält, schließt der Service den Anmeldevorgang ab und gibt an die App zurück, dass die Anmeldung abgeschlossen ist, aber noch nicht bestätigt wurde. An diesem Punkt befindet sich das Benutzerkonto in einem unbestätigten Status. Der Benutzer kann nicht anmelden, bis das Konto bestätigt ist.

1. Bestätigen Sie das Konto des Benutzers. Sie müssen sich bei der API-Anfrage anmelden AWS-Managementkonsole oder Ihre API-Anfrage mit AWS Anmeldeinformationen unterschreiben, um das Konto zu bestätigen. 

   1. Um einen Benutzer in der Amazon Cognito Cognito-Konsole zu bestätigen, navigieren Sie zum Menü **Benutzer**, wählen Sie den Benutzer aus, den Sie bestätigen möchten, und wählen Sie im Menü **Aktionen** die Option **Bestätigen** aus.

   1. Um einen Benutzer in der AWS API oder CLI zu bestätigen, erstellen Sie eine [AdminConfirmSignUp](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminConfirmSignUp.html)API-Anfrage oder [admin-confirm-sign-up](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/admin-confirm-sign-up.html)in der AWS CLI.

1. An diesem Punkt ist das Benutzerkonto in einem bestätigten Status, und der Benutzer kann sich anmelden.

## Berechnen von Werten für geheime Hashes
<a name="cognito-user-pools-computing-secret-hash"></a>

Es ist eine bewährte Methode, Ihrem vertraulichen App-Client einen geheimen Client-Schlüssel zuzuweisen. Wenn Sie Ihrem App-Client einen geheimen Client-Schlüssel zuweisen, müssen API-Anforderungen Ihrer Amazon-Cognito-Benutzerpools einen Hash enthalten, der den geheimen Client-Schlüssel im Anforderungstext enthält. Um zu überprüfen, ob Sie den geheimen Client-Schlüssel für die API-Operationen in den folgenden Listen kennen, verketten Sie den geheimen Client-Schlüssel mit Ihrer App-Client-ID und dem Benutzernamen Ihres Benutzers und codieren Sie dann diese Zeichenfolge mit Base64.

Wenn Ihre App Benutzer bei einem Client anmeldet, der über einen geheimen Hash verfügt, können Sie den Wert eines beliebigen Benutzerpool-Anmeldeattributs als Benutzernamenselement des geheimen Hashs verwenden. Wenn Ihre App im Rahmen eines Authentifizierungsvorgangs mit `REFRESH_TOKEN_AUTH` neue Token anfordert, hängt der Wert des Benutzernamenselements von Ihren Anmeldeattributen ab. Wenn Ihr Benutzerpool nicht `username` als Anmeldeattribut hat, legen Sie den Wert für den geheimen Hash-Benutzernamen fest, der sich aus dem `sub`-Anspruch des Benutzers aus seinem Zugriffs- oder ID-Token ergibt. Wenn es sich bei `username` um ein Anmeldeattribut handelt, legen Sie den Wert für den geheimen Hash-Benutzernamen aus dem `username`-Anspruch fest.

Die folgenden Amazon Cognito Cognito-Benutzerpools APIs akzeptieren einen geheimen Client-Hashwert in einem Parameter. `SecretHash`
+ [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmForgotPassword.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmForgotPassword.html)
+ [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmSignUp.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmSignUp.html)
+ [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ForgotPassword.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ForgotPassword.html)
+ [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ResendConfirmationCode.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ResendConfirmationCode.html)
+ [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SignUp.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SignUp.html)

Darüber hinaus APIs akzeptieren die folgenden Benutzer einen geheimen Client-Hashwert in einem `SECRET_HASH` Parameter, entweder in Authentifizierungsparametern oder in einer Challenge-Antwort.


| API-Operation | Übergeordneter Parameter für SECRET\$1HASH | 
| --- |--- |
| InitiateAuth | AuthParameters | 
| AdminInitiateAuth | AuthParameters | 
| RespondToAuthChallenge | ChallengeResponses | 
| AdminRespondToAuthChallenge | ChallengeResponses | 

Der Wert für den geheimen Hash ist ein Base 64-codierter Keyed-Hash Message Authentication Code (HMAC), der anhand des geheimen Schlüssels eines Benutzerpool-Clients und Benutzernamens plus der Client-ID in der Nachricht berechnet wird. Die folgende Pseudocode zeigt, wie dieser Wert berechnet wird. In diesem Pseudocode `HMAC_SHA256` steht er für eine `+` Verkettung, für eine Funktion, die mithilfe von Hmac einen HMAC-Wert erzeugt, und für eine FunktionSHA256, die eine Base-64-kodierte Version der `Base64` Hashausgabe erzeugt.

```
Base64 ( HMAC_SHA256 ( "Client Secret Key", "Username" + "Client Id" ) )
```

Eine ausführliche Übersicht über die Berechnung und Verwendung des `SecretHash` Parameters finden Sie unter [Wie behebe ich die Fehler „Unable to verify secret hash for client“ in meiner Amazon Cognito Cognito-Benutzerpools-API](https://aws.amazon.com/premiumsupport/knowledge-center/cognito-unable-to-verify-secret-hash/)<client-id>? im AWS Knowledge Center.

Sie können die folgenden Codebeispiele in Ihrem serverseitigen Anwendungscode verwenden.

------
#### [ Shell ]

```
echo -n "[username][app client ID]" | openssl dgst -sha256 -hmac [app client secret] -binary | openssl enc -base64
```

------
#### [ Java ]

```
import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
 
public static String calculateSecretHash(String userPoolClientId, String userPoolClientSecret, String userName) {
    final String HMAC_SHA256_ALGORITHM = "HmacSHA256";
    
    SecretKeySpec signingKey = new SecretKeySpec(
            userPoolClientSecret.getBytes(StandardCharsets.UTF_8),
            HMAC_SHA256_ALGORITHM);
    try {
        Mac mac = Mac.getInstance(HMAC_SHA256_ALGORITHM);
        mac.init(signingKey);
        mac.update(userName.getBytes(StandardCharsets.UTF_8));
        byte[] rawHmac = mac.doFinal(userPoolClientId.getBytes(StandardCharsets.UTF_8));
        return Base64.getEncoder().encodeToString(rawHmac);
    } catch (Exception e) {
        throw new RuntimeException("Error while calculating ");
    }
}
```

------
#### [ Python ]

```
import sys
import hmac, hashlib, base64 
username = sys.argv[1] 
app_client_id = sys.argv[2] 
key = sys.argv[3] 
message = bytes(sys.argv[1]+sys.argv[2],'utf-8') 
key = bytes(sys.argv[3],'utf-8') 
secret_hash = base64.b64encode(hmac.new(key, message, digestmod=hashlib.sha256).digest()).decode() 
print("SECRET HASH:",secret_hash)
```

------

## Bestätigen von Benutzerkonten ohne Verifizieren der E-Mail-Adresse oder Telefonnummer
<a name="confirming-user-without-verification-of-email-or-phone-number"></a>

Der Lambda-Auslöser vor der Registrierung kann verwendet werden, um Benutzerkonten bei der Registrierung automatisch zu bestätigen, ohne dass ein Bestätigungscode oder eine Verifizierung der E-Mail-Adresse oder Telefonnummer erforderlich ist. Benutzer, die auf diese Weise bestätigt werden, können sich sofort anmelden, ohne dass Sie einen Code benötigen.

Sie können über diesen Auslöser auch eine E-Mail-Adresse oder Telefonnummer als verifiziert markieren. 

**Anmerkung**  
Dieser Ansatz ist praktisch, um Benutzern bei den ersten Schritten zu helfen, doch wir empfehlen die automatische Verifizierung von mindestens E-Mail-Adresse oder Telefonnummer. Andernfalls kann der Benutzer nicht wiederhergestellt werden, wenn er sein Passwort vergisst.

Wenn Sie es nicht erfordern, dass der Benutzer bei der Registrierung einen Bestätigungscode erhält und eingibt und Sie E-Mail-Adresse und Telefonnummer nicht im Lambda-Auslöser vor der Registrierung automatisch verifizieren, riskieren Sie, dass Sie keine verifizierte E-Mail-Adresse oder Telefonnummer für das Benutzerkonto haben. Der Benutzer kann die E-Mail-Adresse oder Telefonnummer zu einem späteren Zeitpunkt verifizieren. Wenn der Benutzer jedoch sein Passwort vergisst und keine verifizierte E-Mail-Adresse oder Telefonnummer hat, wird der Benutzer aus dem Konto gesperrt, da der Ablauf für „Passwort vergessen“ eine verifizierte E-Mail-Adresse oder Telefonnummer erfordert, um einen Verifizierungscode an den Benutzer zu senden.

## Verifizieren, wenn Benutzer ihre E-Mail-Adresse oder Telefonnummer ändern
<a name="verifying-when-users-change-their-email-or-phone-number"></a>

In Benutzerpools, die Sie mit mehreren Anmeldenamen konfigurieren, können Benutzer bei der Anmeldung eine Telefonnummer oder eine E-Mail-Adresse als Benutzernamen eingeben. Wenn sie ihre E-Mail-Adresse oder Telefonnummer in Ihrer App aktualisieren, kann Amazon Cognito ihnen sofort eine Nachricht mit einem Code senden, der bestätigt, dass sie Eigentümer des neuen Attributwerts sind. Informationen zum Aktivieren des automatischen Versendens dieser Bestätigungscodes finden Sie unter. [Konfigurieren der Verifizierung per E-Mail und Telefon](user-pool-settings-email-phone-verification.md)

Benutzer, die einen Bestätigungscode erhalten, müssen diesen Code in einer [VerifyUserAttribute](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_VerifyUserAttribute.html)Anfrage an Amazon Cognito zurücksenden. Nachdem sie den Code eingegeben haben, wird ihr Attribut als verifiziert markiert. Wenn Benutzer ihre E-Mail-Adresse oder Telefonnummer aktualisieren, sollten Sie in der Regel überprüfen, ob sie Eigentümer des neuen Werts sind, bevor sie ihn für die Anmeldung und den Empfang von Nachrichten verwenden können. Benutzerpools verfügen über eine konfigurierbare Option, mit der festgelegt wird, ob Benutzer Aktualisierungen ihrer E-Mail-Adresse oder Telefonnummer verifizieren müssen.

Bei dieser Option handelt es sich um eine Eigenschaft des Benutzerpools`AttributesRequireVerificationBeforeUpdate`. Konfigurieren Sie es in einer [CreateUserPool[UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html#CognitoUserPools-UpdateUserPool-request-UserAttributeUpdateSettings)](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html#CognitoUserPools-CreateUserPool-request-UserAttributeUpdateSettings)Oder-Anfrage oder mit der Einstellung **Ursprünglichen Attributwert aktiv lassen, wenn ein Update aussteht** im **Anmeldemenü** der Amazon Cognito Cognito-Konsole.

Wie Ihr Benutzerpool mit Aktualisierungen von E-Mail-Adressen und Telefonnummern umgeht, hängt von der Benutzernamenkonfiguration Ihres Benutzerpools ab. Benutzerpool-Benutzernamen können sich in einer Konfiguration mit *Benutzernamenattributen* befinden, bei der die Anmeldenamen E-Mail-Adresse, Telefonnummer oder beides sind. Sie können sich auch in einer *Alias-Attributkonfiguration* befinden, bei der das `username` Attribut ein Anmeldename zusammen mit E-Mail-Adresse, Telefonnummer oder bevorzugtem Benutzernamen als alternative Anmeldenamen ist. Weitere Informationen finden Sie unter [Anpassen von Anmeldeattributen](user-pool-settings-attributes.md#user-pool-settings-aliases).

 Sie können auch einen Lambda-Trigger für benutzerdefinierte Nachrichten verwenden, um die Bestätigungsnachricht anzupassen. Weitere Informationen finden Sie unter [Lambda-Auslöser für benutzerdefinierte Nachrichten](user-pool-lambda-custom-message.md). Wenn die E-Mail-Adresse oder Telefonnummer eines Benutzers nicht verifiziert ist, sollte Ihre Anwendung den Benutzer darüber informieren, dass er das Attribut überprüfen muss, und eine Schaltfläche oder einen Link bereitstellen, über den Benutzer ihren Bestätigungscode eingeben können.

In der folgenden Tabelle wird beschrieben, wie `AttributesRequireVerificationBeforeUpdate` und wie die Aliaseinstellungen das Ergebnis bestimmen, wenn Benutzer den Wert ihrer Anmeldeattribute ändern.


| Konfiguration des Benutzernamens | Verhalten, wenn Benutzer neue Attribute verifizieren müssen | Verhalten, wenn Benutzer keine neuen Attribute verifizieren müssen | 
| --- | --- | --- | 
| Benutzernamenattribute | Das ursprüngliche Attribut bleibt verifiziert, berechtigt zur Anmeldung und hat seinen ursprünglichen Wert. Wenn der Benutzer einen neuen Wert verifiziert, aktualisiert Amazon Cognito den Attributwert, markiert ihn als verifiziert und macht ihn für die Anmeldung berechtigt. | Amazon Cognito aktualisiert das Attribut auf einen neuen Wert. Ein neuer Wert ist für die Anmeldung berechtigt. Wenn der Benutzer einen neuen Wert verifiziert, markiert Amazon Cognito ihn als verifiziert. | 
| Aliasattribute | Das ursprüngliche Attribut bleibt verifiziert, berechtigt zur Anmeldung und hat den ursprünglichen Wert. Wenn der Benutzer einen neuen Wert verifiziert, aktualisiert Amazon Cognito den Attributwert, markiert ihn als verifiziert und macht ihn für die Anmeldung berechtigt. | Amazon Cognito aktualisiert das Attribut auf einen neuen Wert. Weder der ursprüngliche noch der neue Attributwert sind für die Anmeldung berechtigt. Wenn der Benutzer einen neuen Wert verifiziert, aktualisiert Amazon Cognito den Attributwert, markiert ihn als verifiziert und macht ihn für die Anmeldung berechtigt. | 

**Beispiel 1**  
Benutzer 1 meldet sich mit der E-Mail-Adresse bei Ihrer Anwendung an `user1@example.com` und hat den Benutzernamen `user1` (Alias-Attribute). Ihr Benutzerpool ist so konfiguriert, dass Aktualisierungen der Anmeldeattribute überprüft und automatisch Bestätigungsnachrichten gesendet werden. Sie bitten darum, ihre E-Mail-Adresse auf zu `user1+foo@example.com` aktualisieren. Sie erhalten eine Bestätigungs-E-Mail unter `user1+foo@example.com` und *können sich nur mit der E-Mail-Adresse erneut anmelden*`user1@example.com`. Später geben sie ihren Bestätigungscode ein und können sich nur mit der E-Mail-Adresse erneut anmelden`user1+foo@example.com`.

**Beispiel 2**  
Benutzer 2 meldet sich mit der E-Mail-Adresse bei Ihrer Anwendung an `user2@example.com` und hat einen Benutzernamen (Alias-Attribute). Ihr Benutzerpool ist so konfiguriert, dass Aktualisierungen der Anmeldeattribute *nicht* überprüft und Bestätigungsnachrichten automatisch gesendet werden. Sie bitten darum, ihre E-Mail-Adresse auf zu `user2+bar@example.com` aktualisieren. Sie erhalten eine Bestätigungs-E-Mail unter `user2+bar@example.com` und *können sich nicht erneut anmelden*. Später geben sie ihren Bestätigungscode ein und können sich nur mit der E-Mail-Adresse erneut anmelden`user2+bar@example.com`.

**Beispiel 3**  
Benutzer 3 meldet sich mit der E-Mail-Adresse bei Ihrer Anwendung an `user3@example.com` und hat keinen Benutzernamen (Benutzernamenattribute). Ihr Benutzerpool ist so konfiguriert, dass Aktualisierungen der Anmeldeattribute *nicht* überprüft und Bestätigungsnachrichten automatisch gesendet werden. Sie bitten darum, ihre E-Mail-Adresse auf zu `user3+baz@example.com` aktualisieren. Sie erhalten eine Bestätigungs-E-Mail unter`user3+baz@example.com`, *können sich aber sofort anmelden*, ohne dass zusätzliche Maßnahmen mit dem Bestätigungscode ergriffen werden müssen.

## Bestätigungs- und Verifizierungsprozesse für Benutzerkonten, die durch Administratoren und Entwickler erstellt wurden
<a name="confirmation-and-verification-of-users-whose-accounts-youve-created"></a>

Benutzerkonten, die von einem Administrator oder Entwickler erstellt werden, haben bereits den Status "Bestätigt", sodass die Benutzer keinen Bestätigungscode eingeben müssen. Die Einladungsnachricht sendet, die der Amazon-Cognito-Service an diese Benutzer sendet, schließt den Benutzernamen und ein temporäres Kennwort ein. Der Benutzer muss das Passwort ändern, bevor er sich anmelden kann. Weitere Informationen finden Sie unter [Anpassen von E-Mail- und SMS-Nachrichten](how-to-create-user-accounts.md#creating-a-new-user-customize-messages) in [Erstellen von Benutzerkonten als Administrator](how-to-create-user-accounts.md) und dem Custom Message-Auslöser in [Anpassen von Benutzerpool-Workflows mit Lambda-Auslösern](cognito-user-pools-working-with-lambda-triggers.md).

## Bestätigungs- und Verifizierungsprozesse für importierte Benutzerkonten
<a name="confirmation-and-verification-of-users-whose-accounts-youve-imported"></a>

Benutzerkonten, die mithilfe der Benutzerimportfunktion in der CLI oder der AWS-Managementkonsole API (siehe[Importieren von Benutzern aus einer CSV-Datei in Benutzerpools](cognito-user-pools-using-import-tool.md)) erstellt wurden, befinden sich bereits im Status „Bestätigt“, sodass Benutzer keinen Bestätigungscode eingeben müssen. Es wird keine Einladungsnachricht gesendet. Importierte Benutzerkonten verlangen von Benutzern jedoch, zunächst einen Code durch Aufruf der `ForgotPassword`-API anzufordern und dann ein Kennwort mit dem zugestellten Code zu erstellen, indem Sie die `ConfirmForgotPassword` API aufrufen, bevor sie sich anmelden. Weitere Informationen finden Sie unter [Von importierten Benutzer verlangen, dass sie ihre Passwörter zurücksetzen](cognito-user-pools-using-import-tool.md#cognito-user-pools-using-import-tool-password-reset).

Die E-Mail-Adresse oder Telefonnummer des Benutzers muss als verifiziert markiert werden, wenn das Benutzerkonto importiert wird, damit beim Anmelden des Benutzers keine Verifizierung verlangt wird.

## Senden von E-Mails beim Testen der App
<a name="managing-users-accounts-email-testing"></a>

Amazon Cognito sendet E-Mail-Nachrichten an Ihre Benutzer, wenn sie ihre Konten in der Client-App für Ihren Benutzerpool erstellen und verwalten. Wenn Sie den Benutzerpool so konfigurieren, dass die E-Mail-Verifizierung erforderlich ist, sendet Amazon Cognito in folgenden Fällen eine E-Mail:
+ Ein Benutzer meldet sich an.
+ Ein Benutzer ändert seine E-Mail-Adresse.
+ Ein Benutzer führt eine Aktion aus, die die `ForgotPassword`-API-Aktion aufruft.
+ Sie erstellen ein Benutzerkonto als Administrator.

Abhängig von der Aktion, die die E-Mail initiiert, enthält die E-Mail einen Verifizierungscode oder ein temporäres Passwort. Ihre Benutzer müssen diese E-Mails empfangen und die Nachricht verstehen. Andernfalls können sie sich u. U. nicht anmelden und Ihre App verwenden.

Um sicherzustellen, dass E-Mails erfolgreich gesendet werden und die Nachricht korrekt ist, testen Sie die Aktionen in der App, die das Senden von E-Mails durch Amazon Cognito initiieren. Beispiel: Über die Anmeldeseite in der App oder mithilfe der `SignUp`-API-Aktion können Sie eine E-Mail initiieren, indem Sie sich mit einer Test-E-Mail-Adresse anmelden. Wenn Sie auf diese Weise einen Test ausführen, beachten Sie Folgendes:

**Wichtig**  
Wenn Sie eine E-Mail-Adresse verwenden, um Aktionen zu testen, die E-Mails von Amazon Cognito initiieren, verwenden Sie keine gefälschte E-Mail-Adresse (ohne Postfach). Verwenden Sie eine echte E-Mail-Adresse, die die E-Mail von Amazon Cognito empfängt, ohne dass eine *permanente Unzustellbarkeit* auftritt.  
Eine permanente Unzustellbarkeit kommt zustande, wenn Amazon Cognito die E-Mail nicht an das Postfach des Empfängers liefern kann. Wenn das Postfach nicht vorhanden ist, ist das immer der Fall.  
Amazon Cognito begrenzt die Anzahl der E-Mails, die von AWS Konten gesendet werden können, bei denen es ständig zu Hard-Bounces kommt.

Wenn Sie Aktionen testen, die E-Mails initiieren, verwenden Sie eine der folgenden E-Mail-Adressen, um permanente Unzustellbarkeiten zu vermeiden:
+ Eine Adresse für ein E-Mail-Konto, das Sie besitzen und für Tests verwenden. Wenn Sie Ihre eigene E-Mail-Adresse verwenden, erhalten Sie die E-Mail, die Amazon Cognito sendet. Mit dieser E-Mail können Sie den Verifizierungscode zum Testen der Anmeldung in Ihrer App nutzen. Wenn Sie die E-Mail-Nachricht für den Benutzerpool angepasst haben, können Sie überprüfen, ob Ihre Anpassungen korrekt dargestellt werden.
+ Die Adresse des Postfachsimulators, *success@simulator.amazonses.com*. Wenn Sie die Simulatoradresse verwenden, sendet Amazon Cognito die E-Mail erfolgreich. Sie können sie aber nicht ansehen. Diese Option ist nützlich, wenn Sie den Verifizierungscode nicht benötigen und die E-Mail-Nachricht nicht überprüfen müssen.
+ Die Adresse des Postfachsimulators, der eine beliebige Bezeichnung hinzugefügt wird, zum Beispiel *success\$1user1@simulator.amazonses.com* oder *success\$1user2@simulator.amazonses.com*. Amazon Cognito sendet diese Adressen erfolgreich per E-Mail, aber Sie können die gesendeten E-Mails nicht anzeigen. Diese Option ist nützlich, wenn Sie den Anmeldevorgang durch Hinzufügen mehrerer Testbenutzer zum Benutzerpool testen möchten und jeder Testbenutzer über eine eindeutige E-Mail-Adresse verfügt.

# Konfigurieren der Verifizierung per E-Mail und Telefon
<a name="user-pool-settings-email-phone-verification"></a>

Im Menü **Authentifizierungsmethoden können Sie Einstellungen für die E-Mail- oder Telefonverifizierung** auswählen. Weitere Informationen zur Multi-Faktor-Authentifizierung (MFA) finden Sie unter [SMS-MFA](user-pool-settings-mfa-sms-email-message.md).

Amazon Cognito verwendet Amazon SNS zum Senden von SMS-Nachrichten. Wenn Sie noch keine SMS-Nachricht von Amazon Cognito oder einem anderen AWS-Service gesendet haben, platziert Amazon SNS Ihr Konto möglicherweise in der SMS-Sandbox. Wir empfehlen Ihnen, eine Testnachricht an eine verifizierte Telefonnummer zu senden, bevor Sie Ihr Konto aus der Sandbox an die Produktion übergeben. Wenn Sie vorhaben, SMS-Nachrichten an US-Zieltelefonnummern zu senden, müssen Sie außerdem eine Ursprungs- oder Sender-ID von Amazon Pinpoint erhalten. Informationen zum Konfigurieren Ihres Amazon-Cognito-Benutzerpools für SMS-Nachrichten finden Sie unter [Einstellungen für SMS-Nachrichten für Amazon-Cognito-Benutzerpools](user-pool-sms-settings.md).

Amazon Cognito kann E-Mail-Adressen und Telefonnummern automatisch verifizieren. Für diese Verifizierung sendet Amazon Cognito einen Verifizierungscode oder einen Verifizierungslink. Bei E-Mail-Adressen kann Amazon Cognito einen Code oder einen Link in einer E-Mail-Nachricht senden. Sie können einen ****Bestätigungscode**** oder **Link** wählen, wenn Sie Ihre Vorlage für **Bestätigungsnachrichten im Menü **Nachrichtenvorlagen**** in der Amazon Cognito Cognito-Konsole bearbeiten. Weitere Informationen finden Sie unter [Anpassen von Nachrichten zur E-Mail-Verifizierung](cognito-user-pool-settings-message-customizations.md#cognito-user-pool-settings-email-verification-message-customization).

Bei Telefonnummern sendet Amazon Cognito einen Code in einer SMS-Textnachricht.

Amazon Cognito muss eine Telefonnummer oder E-Mail-Adresse verifizieren, um Benutzer zu bestätigen und ihnen bei der Wiederherstellung vergessener Passwörter zu helfen. Alternativ können Sie Benutzer automatisch mit dem Lambda-Trigger vor der Registrierung bestätigen oder den [AdminConfirmSignUp](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminConfirmSignUp.html)API-Vorgang verwenden. Weitere Informationen finden Sie unter [Registrieren und Bestätigen von Benutzerkonten](signing-up-users-in-your-app.md).

Der Verifizierungscode oder -link ist 24 Stunden lang gültig.

Wenn Sie die Verifizierung einer E-Mail-Adresse oder Telefonnummer fordern, sendet Amazon Cognito automatisch den Verifizierungscode oder -link, wenn sich ein Benutzer anmeldet. Wenn im Benutzerpool [Benutzerdefinierter Lambda-Auslöser für SMS-Sender](user-pool-lambda-custom-sms-sender.md) oder [Benutzerdefinierter Lambda-Auslöser für E-Mail-Sender](user-pool-lambda-custom-email-sender.md) konfiguriert ist, wird diese Funktion stattdessen aufgerufen.

**Hinweise**  
SMS-Nachrichten für die Überprüfung von Telefonnummern werden von Amazon SNS separat in Rechnung gestellt. Es fallen keine Gebühren für das Senden von E-Mail-Nachrichten an. Weitere Informationen zu den Amazon-SNS-Preisen erhalten Sie unter [Weltweite SMS-Preise](https://aws.amazon.com/sns/sms-pricing/). Eine aktuelle Liste von Ländern, in denen SMS-Messaging verfügbar ist, finden Sie in den Informationen zu den [unterstützten Regionen und Ländern](https://docs.aws.amazon.com/sns/latest/dg/sms_supported-countries.html). 
Wenn Sie Aktionen in Ihrer App testen, die E-Mails von Amazon Cognito generieren, verwenden Sie eine echte E-Mail-Adresse, die Amazon Cognito ohne permanente Unzustellbarkeiten erreichen kann. Weitere Informationen finden Sie unter [Senden von E-Mails beim Testen der App](signing-up-users-in-your-app.md#managing-users-accounts-email-testing).
Der Ablauf zu einem vergessenen Passwort setzt voraus, dass die E-Mail-Adresse des Benutzers oder die Telefonnummer des Benutzers verifiziert wird.

**Wichtig**  
Wenn sich ein Benutzer sowohl mit einer Telefonnummer als auch mit einer E-Mail-Adresse anmeldet und Ihre Benutzerpooleinstellungen die Verifizierung beider Attribute vorschreiben, sendet Amazon Cognito einen Verifizierungscode per SMS-Nachricht an die Telefonnummer. Amazon Cognito hat die E-Mail-Adresse noch nicht verifiziert, daher muss Ihre App anrufen, [GetUser](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetUser.html)um zu erfahren, ob eine E-Mail-Adresse noch bestätigt werden muss. Wenn eine Bestätigung erforderlich ist, muss die App anrufen, [GetUserAttributeVerificationCode](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetUserAttributeVerificationCode.html)um den E-Mail-Bestätigungsprozess einzuleiten. Anschließend muss sie den Bestätigungscode telefonisch einreichen [VerifyUserAttribute](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_VerifyUserAttribute.html).

Sie können Ihr Ausgabenkontingent für SMS-Nachrichten für eine AWS-Konto und für einzelne Nachrichten anpassen. Die Limits gelten nur für die Kosten für das Senden von SMS-Nachrichten. Weitere Informationen finden Sie unter **Was sind Ausgabenkontingente auf Konto- und Nachrichtenebene und wie** funktionieren sie? im [Amazon SNS. FAQs](https://aws.amazon.com/sns/faqs/)

Amazon Cognito sendet SMS-Nachrichten mithilfe von Amazon SNS SNS-Ressourcen entweder in dem Land, in AWS-Region dem Sie den Benutzerpool erstellt haben, oder in einer **älteren Amazon SNS SNS-Alternativregion** aus der folgenden Tabelle. Die Ausnahme sind Amazon-Cognito-Benutzerpools in der Region Asien-Pazifik (Seoul). Diese Benutzerpools verwenden Ihre Amazon-SNS-Konfiguration in der Region Asien-Pazifik (Tokio). Weitere Informationen finden Sie unter [Wählen Sie AWS-Region für SMS-Nachrichten](user-pool-sms-settings.md#sms-choose-a-region).


| Amazon-Cognito-Region | Veraltete alternative Amazon-SNS-Region | 
| --- | --- | 
| US East (Ohio) | USA Ost (Nord-Virginia) | 
| Asia Pacific (Mumbai) | Asien-Pazifik (Singapur) | 
| Asia Pacific (Seoul) | Asien-Pazifik (Tokio) | 
| Canada (Central) | USA Ost (Nord-Virginia) | 
| Europe (Frankfurt) | Europa (Irland) | 
| Europe (London) | Europa (Irland) | 

**Beispiel:**Wenn sich Ihr Amazon-Cognito-Benutzerpool in der Region Asien-Pazifik (Mumbai) befindet und Sie Ihr Ausgabenlimit in ap-southeast-1 erhöht haben, möchten Sie möglicherweise keine separate Erhöhung in ap-southeast-1 beantragen. Stattdessen können Sie Ihre Amazon-SNS-Ressourcen in Asien-Pazifik (Singapur) verwenden. 

## Verifizieren von Aktualisierungen von E-Mail-Adressen und Telefonnummern
<a name="user-pool-settings-verifications-verify-attribute-updates"></a>

Ein E-Mail-Adress- oder Telefonnummernattribut kann sofort aktiv und nicht verifiziert werden, sobald Ihr Benutzer seinen Wert geändert hat. Amazon Cognito kann auch verlangen, dass Ihr Benutzer den neuen Wert verifiziert, bevor Amazon Cognito das Attribut aktualisiert. Wenn Sie verlangen, dass Ihre Benutzer zuerst den neuen Wert verifizieren, können diese den ursprünglichen Wert für die Anmeldung und den Empfang von Nachrichten verwenden, bis sie den neuen Wert bestätigen.

Wenn Ihre Benutzer ihre E-Mail-Adresse oder Telefonnummer als Anmeldealias in Ihrem Benutzerpool verwenden können, hängt ihr Anmeldename für ein aktualisiertes Attribut davon ab, ob Sie die Verifizierung aktualisierter Attribute verlangen. Wenn Benutzer ein aktualisiertes Attribut bestätigen müssen, kann sich ein Benutzer mit dem ursprünglichen Attributwert anmelden, bis er den neuen Wert verifiziert hat. Wenn Sie nicht verlangen, dass Benutzer ein aktualisiertes Attribut verifizieren, kann sich ein Benutzer weder mit dem neuen noch mit dem ursprünglichen Attributwert anmelden oder Nachrichten empfangen, bis er den neuen Wert bestätigt hat. 

Ihr Benutzerpool ermöglicht beispielsweise die Anmeldung mit einem E-Mail-Adressalias und verlangt, dass Benutzer ihre E-Mail-Adresse bei der Aktualisierung verifizieren. Sue, die sich als `sue@example.com` anmeldet, möchte ihre E-Mail-Adresse in `sue2@example.com` ändern, gibt aber versehentlich `ssue2@example.com` ein. Sue erhält die Verifizierungs-E-Mail nicht, daher kann sie `ssue2@example.com` nicht bestätigen. Sue meldet sich als `sue@example.com` an und sendet das Formular in Ihrer App erneut, um ihre E-Mail-Adresse in `sue2@example.com` zu ändern. Sie erhält diese E-Mail, stellt Ihrer App den Bestätigungscode zur Verfügung und beginnt, sich als `sue2@example.com` anzumelden. 

**Wenn Benutzer ein Attribut aktualisieren und Ihr Benutzerpool neue Attributwerte verifiziert**
+ Benutzer können sich mit dem ursprünglichen Attributwert anmelden, bevor sie den Code bestätigt haben, um den neuen Wert zu verifizieren.
+ Sie können sich nur mit dem neuen Attributwert anmelden, nachdem sie den Code bestätigt haben, um den neuen Wert zu verifizieren.
+ Wenn Sie `true` in einer [AdminUpdateUserAttributes](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminUpdateUserAttributes.html)API-Anfrage `email_verified` oder `phone_number_verified` auf festlegen, können sie sich anmelden, bevor sie den Code bestätigt haben, den Amazon Cognito an sie gesendet hat.

**Wenn Benutzer ein Attribut aktualisieren und Ihr Benutzerpool neue Attributwerte nicht verifiziert**
+ Benutzer können sich nicht mit dem ursprünglichen Attributwert anmelden oder Nachrichten empfangen.
+ Sie können sich nicht mit dem neuen Attributwert anmelden oder Nachrichten nur mit einem Bestätigungscode empfangen, bevor sie den Code bestätigt haben, um den neuen Wert zu verifizieren.
+ Wenn Sie `true` in einer [AdminUpdateUserAttributes](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminUpdateUserAttributes.html)API-Anfrage `email_verified` oder `phone_number_verified` auf festlegen, können sie sich anmelden, bevor sie den Code bestätigt haben, den Amazon Cognito an sie gesendet hat.

## Verlangen Sie eine Attributverifizierung wie folgt, wenn Benutzer ihre E-Mail-Adresse oder Telefonnummer aktualisieren


1. Melden Sie sich bei der [Amazon Cognito-Konsole](https://console.aws.amazon.com/cognito/home) an. Wenn Sie dazu aufgefordert werden, geben Sie Ihre AWS Anmeldedaten ein.

1. Wählen Sie im Navigationsbereich erst **User Pools** (Benutzerpools) aus und anschließend den Benutzerpool, den Sie bearbeiten möchten.

1. Wählen Sie im **Anmeldemenü** unter **Attributverifizierung und Bestätigung des Benutzerkontos** die Option **Bearbeiten** aus.

1. Wählen Sie **Keep original attribute value active when an update is pending** (Ursprünglichen Attributwert aktiv lassen, wenn ein Update aussteht) aus.

1. Wählen Sie unter **Active attribute values when an update is pending** (Aktive Attributwerte, wenn ein Update aussteht) die Attribute aus, die Ihre Benutzer verifizieren müssen, bevor Amazon Cognito den Wert aktualisiert.

1. Wählen Sie **Änderungen speichern ** aus.

Um eine Überprüfung der Attributaktualisierung mit der Amazon Cognito Cognito-API zu verlangen, können Sie den `AttributesRequireVerificationBeforeUpdate` Parameter in einer [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html)Anfrage festlegen.

## Autorisieren Sie Amazon Cognito zum Senden von SMS in Ihrem Auftrag.
<a name="user-pool-settings-verifications-iam-role-for-sms"></a>

Amazon Cognito benötigt Ihre Zustimmung, um in Ihrem Auftrag SMS-Nachrichten an Benutzer zu senden. Um diese Berechtigung zu erteilen, können Sie eine AWS Identity and Access Management (IAM-) Rolle erstellen. Wählen Sie im Menü **Authentifizierungsmethoden** der Amazon Cognito Cognito-Konsole unter SMS die Option **Bearbeiten** aus, um eine Rolle festzulegen.

# Konfiguration von MFA-, Authentifizierungs-, Überprüfungs- und Einladungsnachrichten
<a name="cognito-user-pool-settings-message-customizations"></a>

Mit Amazon Cognito können Sie die SMS- und E-Mail-Authentifizierung, Verifizierung und Benutzereinladungsnachrichten individuell anpassen, um die Sicherheit und Benutzererfahrung Ihrer Anwendung zu verbessern. Bei einigen Nachrichten können Sie zwischen codebasierter Linküberprüfung und Linküberprüfung mit nur einem Klick wählen. In diesem Thema wird erläutert, wie Sie die Authentifizierungs- und Bestätigungskommunikation in der Amazon Cognito Cognito-Konsole personalisieren können. 

Im Menü **Nachrichtenvorlagen** können Sie Folgendes anpassen:
+ Ihre E-Mail- und SMS-Nachrichtenvorlagen für Einmalpasswort (OTP) und Multi-Faktor-Authentifizierung (MFA)
+ Ihrer Nachrichten zur SMS- und E-Mail-Verifizierung
+ Der Verifizierungstyp für den E-Mail-Code oder -Link
**Anmerkung**  
Amazon Cognito sendet Links mit Ihrer linkbasierten Vorlage in den Bestätigungsnachrichten, wenn sich Benutzer registrieren oder einen Bestätigungscode erneut senden. E-Mails aus Vorgängen zur Aktualisierung von Attributen und zum Zurücksetzen von Kennwörtern verwenden die Codevorlage.
+ Ihre Nachrichten zur Einladung von Benutzern
+ Absender- und Empfänger-E-Mail-Adressen für E-Mails des Benutzerpools

**Anmerkung**  
Die Vorlagen für SMS- und E-Mail-Bestätigungsnachrichten werden nur angezeigt, wenn Sie ausgewählt haben, dass die Bestätigung von Telefonnummer und E-Mail erforderlich ist. Auch die Vorlage der SMS-MFA-Nachricht wird nur angezeigt, wenn die MFA-Einstellung als **erforderlich** oder **optional** festgelegt ist.

**Topics**
+ [Nachrichtenvorlagen](#cognito-user-pool-settings-message-templates)
+ [E-Mail- und SMS-MFA-Nachrichten anpassen](#cognito-user-pool-settings-SMS-message-customization)
+ [Anpassen von Nachrichten zur E-Mail-Verifizierung](#cognito-user-pool-settings-email-verification-message-customization)
+ [Anpassen von Nachrichten zur Einladung von Benutzern](#cognito-user-pool-settings-user-invitation-message-customization)
+ [Anpassen Ihrer E-Mail-Adresse](#cognito-user-pool-settings-email-address-customization)
+ [Autorisieren von Amazon Cognito zum Senden von Amazon-SES-E-Mails in Ihrem Auftrag (über eine benutzerdefinierte Absender-E-Mail-Adresse)](#cognito-user-pool-settings-ses-authorization-to-send-email)

## Nachrichtenvorlagen
<a name="cognito-user-pool-settings-message-templates"></a>

Sie können Nachrichtenvorlagen verwenden, um Platzhalter in Ihre Nachrichten einzufügen. Amazon Cognito ersetzt die Platzhalter durch die entsprechenden Werte. Sie können in Nachrichtenvorlagen beliebigen Typs auf *Platzhalter für universelle* Vorlagen verweisen, obwohl diese Werte nicht in allen Nachrichtentypen vorhanden sein werden.


**Universelle Platzhalter für Vorlagen**  

|  Description  |  Token  | Nachrichtentyp | 
| --- | --- | --- | 
| Verifizierungscode | \$1\$1\$1\$1\$1\$1 | Überprüfungs-, Bestätigungs- und MFA-Nachrichten | 
| Temporäres Passwort | \$1\$1\$1\$1\$1\$1 | Passwort und Einladungsnachrichten vergessen | 
| Benutzername | \$1username\$1 | Einladung und erweiterte Sicherheitsnachrichten | 

Eine der verfügbaren automatisierten Antworten mit [Bedrohungsschutz](cognito-user-pool-settings-threat-protection.md) besteht darin, den Benutzer darüber zu informieren, dass Amazon Cognito potenziell bösartige Aktivitäten entdeckt hat. Sie können die Platzhalter in der Vorlage für die erweiterte Sicherheit für folgende Zwecke verwenden:
+ Einfügen von Details zu einem Ereignis, wie IP-Adresse, Stadt, Land, Anmeldezeitpunkt und Gerätename. Amazon Cognito Threat Protection kann diese Details analysieren.
+ Bestätigen, ob ein Klicklink gültig ist
+ Verwenden Sie die Ereignis-ID, das Feedback-Token und den Benutzernamen zum Erstellen eigener Klicklinks.

**Anmerkung**  
Sie müssen bereits über eine konfigurierte Domain für Ihren Benutzerpool verfügen, um Klicklinks zu generieren und die Platzhalter `{one-click-link-valid}` und `{one-click-link-invalid}` in erweiterten Sicherheits-E-Mail-Vorlagen verwenden zu können.

Threat Protection fügt die folgenden Platzhalter hinzu, die Sie in die Nachrichtenvorlagen einfügen können. Diese Platzhalter gelten für **Nachrichten zur adaptiven Authentifizierung**, d. h. Benachrichtigungen, die Amazon Cognito an Benutzer sendet, deren Sitzungen auf ein gewisses Risiko hin bewertet wurden. Um Nachrichtenvorlagen mit diesen Variablen zu konfigurieren, aktualisieren Sie die **Vollfunktionskonfiguration** Ihres Bedrohungsschutzes in der Amazon Cognito Cognito-Konsole oder reichen Sie Vorlagen in einer Anfrage ein [SetRiskConfiguration](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetRiskConfiguration.html).


**Platzhalter in der Vorlage für die erweiterte Sicherheit**  

|  Beschreibung  |  Token  | 
| --- | --- | 
| IP-Adresse | \$1ip-address\$1 | 
| Ort | \$1city\$1 | 
| Country (Land) | \$1country\$1 | 
| Anmeldezeit | \$1login-time\$1 | 
| Gerätename | \$1device-name\$1 | 
| Klicklink ist gültig | \$1one-click-link-valid\$1 | 
| Klicklink ist ungültig | \$1one-click-link-invalid\$1 | 
| Ereignis-ID | \$1event-id\$1 | 
| Feedback-Token | \$1feedback-token\$1 | 

## E-Mail- und SMS-MFA-Nachrichten anpassen
<a name="cognito-user-pool-settings-SMS-message-customization"></a>

Um die SMS- und E-Mail-Nachrichten für die [Multi-Faktor-Authentifizierung (MFA)](user-pool-settings-mfa.md) anzupassen, bearbeiten Sie die **MFA-Nachricht** im Menü **Nachrichtenvorlagen** in der Amazon Cognito Cognito-Benutzerpools-Konsole.

**Wichtig**  
Die benutzerdefinierte Nachricht muss den `{####}`-Platzhalter enthalten. Dieser Platzhalter wird mit dem Authentifizierungscode ersetzt, bevor die Nachricht gesendet wird.

Amazon Cognito legt eine maximale Länge für SMS-Nachrichten, einschließlich des Authentifizierungscodes, von 140 UTF-8-Zeichen fest.

### Anpassen von Nachrichten zur SMS-Verifizierung
<a name="cognito-user-pool-settings-SMS-verification-message-customization"></a>

Um die SMS-Nachricht für die Überprüfung der Telefonnummer anzupassen, bearbeiten Sie die Vorlage für die **Bestätigungsnachricht** **im Menü Nachrichtenvorlagen** Ihres Benutzerpools.

**Wichtig**  
Die benutzerdefinierte Nachricht muss den `{####}`-Platzhalter enthalten. Der Platzhalter wird mit dem Verifizierungscode ersetzt, bevor die Nachricht gesendet wird.

Die maximale Nachrichtenlänge beträgt 140 UTF-8-Zeichen, einschließlich des Verifizierungscodes.

## Anpassen von Nachrichten zur E-Mail-Verifizierung
<a name="cognito-user-pool-settings-email-verification-message-customization"></a>

Um die E-Mail-Adresse eines Benutzers in Ihrem Benutzerpool mit Amazon Cognito zu überprüfen, können Sie dem Benutzer eine E-Mail-Nachricht mit einem Link senden, den er auswählen kann, oder Sie können ihm einen Code senden, den er eingeben kann.

Um den E-Mail-Betreff und den Nachrichteninhalt für Bestätigungsnachrichten der E-Mail-Adresse anzupassen, bearbeiten Sie die Vorlage für **Bestätigungsnachrichten** im Menü **Nachrichtenvorlagen** Ihres Benutzerpools. Sie können einen **Verifizierungstyp** bzw. **Code** oder **Link** auswählen, wenn Sie Ihre Vorlage **Verifizierungsnachrichten** bearbeiten.

Wenn Sie **Code** als Verifizierungstyp ausgewählt haben, muss Ihre benutzerdefinierte Nachricht den Platzhalter `{####}` enthalten. Dieser Platzhalter wird mit dem Verifizierungscode ersetzt, wenn Sie die Nachricht senden.

Wenn Sie **Link** als Verifizierungstyp ausgewählt haben, muss Ihre benutzerdefinierte Nachricht den Platzhalter im Format `{##Verify Your Email##}` enthalten. Sie können die Textzeichenfolge zwischen den Platzhalterzeichen ändern, z. B.: `{##Click here##}`. Dieser Platzhalter wird durch einen Verifizierungslink mit dem Titel *Verifizieren Ihrer E-Mail-Adresse* ersetzt.

Der Link für eine E-Mail-Bestätigungsnachricht leitet Ihren Benutzer zu einer URL weiter, wie im folgenden Beispiel gezeigt.

```
https://<your user pool domain>/confirmUser/?client_id=abcdefg12345678&user_name=emailtest&confirmation_code=123456
```

Die maximale Nachrichtenlänge liegt bei 20 000 UTF-8-Zeichen, einschließlich des Verifizierungscodes (falls vorhanden). Sie können in dieser Nachricht HTML-Tags verwenden, um den Inhalt zu formatieren.

## Anpassen von Nachrichten zur Einladung von Benutzern
<a name="cognito-user-pool-settings-user-invitation-message-customization"></a>

Sie können die Benutzereinladungsnachricht, die Amazon Cognito an neue Benutzer per SMS oder E-Mail sendet, anpassen, indem Sie die Vorlage für **Einladungsnachrichten** im Menü **Nachrichtenvorlagen** bearbeiten.

**Wichtig**  
Die benutzerdefinierte Nachricht muss die Platzhalter `{username}` und `{####}` enthalten. Beim Versenden der Einladungsnachricht ersetzt Amazon Cognito diese Platzhalter durch den Benutzernamen und das Passwort Ihres Benutzers.

Die maximale Länge einer SMS-Nachricht, einschließlich des Verifizierungscodes, beträgt 140 UTF-8-Zeichen. Die maximale Länge einer E-Mail-Nachricht, einschließlich des Verifizierungscodes, beträgt 20 000 UTF-8-Zeichen. Sie können in den E-Mail-Nachrichten HTML-Tags verwenden, um den Inhalt zu formatieren.

## Anpassen Ihrer E-Mail-Adresse
<a name="cognito-user-pool-settings-email-address-customization"></a>

Standardmäßig stammen die E-Mail-Nachrichten, die Amazon Cognito an Benutzer in Ihren Benutzerpools sendet, von der Adresse **no-reply@verificationemail.com**. Sie können personalisierte Absender-E-Mail-Adressen und Empfänger-E-Mail-Adressen angeben, die anstelle von **no-reply@verificationemail.com** verwendet werden sollen.

**So passen Sie die E-Mail-Adressen für FROM und REPLY-TO an**

1. Navigieren Sie zur [Amazon-Cognito-Konsole](https://console.aws.amazon.com/cognito/home) und wählen Sie **User Pools** (Benutzerpools) aus.

1. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus oder [erstellen Sie einen Benutzerpool](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Wählen Sie das Menü **Authentifizierungsmethoden**. Wählen Sie unter **Email** (E-Mail) die Option **Edit** (Bearbeiten) aus.

1. Wählen Sie eine **SES-Region** aus.

1. Wählen Sie eine **FROM email address** (Absender-E-Mail-Adresse) aus der Liste der E-Mail-Adressen aus, die Sie bei Amazon SES in der ausgewählten **SES Region** (SES-Region) verifiziert haben. Um eine E-Mail-Adresse von einer verifizierten Domain zu verwenden, konfigurieren Sie die E-Mail-Einstellungen in der AWS Command Line Interface oder der AWS API. Weitere Informationen finden Sie unter [Verifizieren von E-Mail-Adressen und Domänen in Amazon SES](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/verify-addresses-and-domains.html) im *Entwicklerhandbuch für Amazon Simple Email Service*.

1. Wählen Sie einen **Konfigurationssatz** aus der Liste von Konfigurationssätzen in Ihrer ausgewählten **SES-Region** aus.

1. Geben Sie einen **Absendernamen** für Ihre E-Mail-Nachrichten im Format `John Stiles <johnstiles@example.com>` ein.

1. Um die Antwort-E-Mail-Adresse anzupassen, geben Sie eine gültige E-Mail-Adresse in das Feld **Antwort-E-Mail-Adresse** ein.

## Autorisieren von Amazon Cognito zum Senden von Amazon-SES-E-Mails in Ihrem Auftrag (über eine benutzerdefinierte Absender-E-Mail-Adresse)
<a name="cognito-user-pool-settings-ses-authorization-to-send-email"></a>

Sie können Amazon Cognito so konfigurieren, dass es E-Mails von einer benutzerdefinierten Absender-E-Mail-Adresse anstelle von seiner Standardadresse sendet. Um eine benutzerdefinierte Adresse zu verwenden, müssen Sie Amazon Cognito die Berechtigung erteilen, E-Mail-Nachrichten von einer von Amazon SES verifizierten Identität zu senden. In den meisten Fällen können Sie die Berechtigung erteilen, indem Sie eine Sendeautorisierungsrichtlinie erstellen. Weitere Informationen finden Sie unter [Using sending authorization with Amazon SES](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/sending-authorization.html) (Verwenden der Sendeautorisierung mit Amazon SES) im *Entwicklerhandbuch für Amazon Simple Email Service*. 

Wenn Sie einen Benutzerpool für die Verwendung von Amazon SES für E-Mail-Nachrichten konfigurieren, erstellt Amazon Cognito die `AWSServiceRoleForAmazonCognitoIdpEmailService`-Rolle in Ihrem Konto, um Zugriff auf Amazon SES zu gewähren. Es ist keine Berechtigungsrichtlinie für das Senden von Berechtigungen erforderlich, wenn die servicegebundene `AWSServiceRoleForAmazonCognitoIdpEmailService`-Rolle verwendet wird. Sie müssen nur eine Versandautorisierungsrichtlinie hinzufügen, wenn Sie sowohl die Standard-E-Mail-Funktionalität in Ihrem Benutzerpool verwenden *als auch* eine verifizierte Amazon-SES-Identität als Absenderadresse.

Weitere Informationen zur serviceverknüpften Rolle, die Amazon Cognito erstellt, finden Sie unter [Verwendung von serviceverknüpften Rollen für Amazon Cognito](using-service-linked-roles.md).

Das folgende Beispiel für eine Sendeautorisierungsrichtlinie gewährt Amazon Cognito die eingeschränkte Möglichkeit, eine von Amazon SES verifizierte Identität zu verwenden. Amazon Cognito kann nur dann E-Mail-Nachrichten senden, wenn es diese Funktion für den Benutzerpool in der `aws:SourceArn`-Bedingung als auch für das Konto in der `aws:SourceAccount`-Bedingung übernimmt. Weitere Beispiele finden Sie unter [Beispiele von Amazon-SES-Sendeautorisierungsrichtlinien](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/sending-authorization-policy-examples.html) im *Entwicklerhandbuch für Amazon Simple Email Service*.

**Anmerkung**  
In diesem Beispiel ist der Wert "Sid" eine beliebige Zeichenfolge, die die Anweisung eindeutig identifiziert. Weitere Informationen zur Richtliniensyntax finden Sie unter [Amazon-SES-Sendeautorisierungsrichtlinien](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/sending-authorization-policies.html) im *Entwicklerhandbuch für Amazon Simple Email Service*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "stmnt1234567891234",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "email.cognito-idp.amazonaws.com"
                ]
            },
            "Action": [
                "SES:SendEmail",
                "SES:SendRawEmail"
            ],
            "Resource": "arn:aws:ses:us-east-1:111122223333:identity/support@example.com",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:cognito-idp:us-east-1:111122223333:userpool/us-east-1_EXAMPLE"
                }
            }
        }
    ]
}
```

------

Die Amazon-Cognito-Konsole fügt eine ähnliche Richtlinie für Sie hinzu, wenn Sie im Dropdown-Menü eine Amazon-SES-Identität auswählen. Wenn Sie den Benutzerpool mit der CLI oder der API konfigurieren, müssen Sie eine Richtlinie an Ihre Amazon-SES-Identität anfügen, die wie das vorherige Beispiel strukturiert ist.