Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Planes de características de grupo de usuarios
Comprender el costo es un paso crucial para prepararse para implementar la autenticación de grupos de usuarios de Amazon Cognito. Amazon Cognito tiene planes de características para grupos de usuarios. Cada plan tiene un conjunto de características y un costo mensual por usuario activo. Cada plan de características desbloquea el acceso a más características que el anterior.
Los grupos de usuarios tienen una variedad de características que puede activar y desactivar. Por ejemplo, puedes activar la autenticación multifactor (MFA) y desactivar el inicio de sesión con proveedores de identidad externos (). IdPs Algunos cambios requieren que cambie de plan de características. Las siguientes características de su grupo de usuarios determinan el coste que se le AWS factura mensualmente por su uso.
+ Las características que elija
+ Las solicitudes por segundo que la aplicación realiza a la API de grupos de usuarios
+ El número de usuarios con actividad de autenticación, actualización o consulta en un mes, también denominados [usuarios activos mensuales](quotas.md#monthly-active-users) o MAUs
+ El número de usuarios activos mensuales de SAML 2.0 u OpenID Connect (OIDC) de terceros IdPs
+ La cantidad de clientes de aplicaciones y grupos de usuarios que otorgan credenciales de cliente para su autorización machine-to-machine
Para obtener la información más actualizada sobre los precios de los grupos de usuarios, consulte los [Precios de Amazon Cognito](https://aws.amazon.com/cognito/pricing).
Las selecciones de planes de características se aplican a un grupo de usuarios. Los distintos grupos de usuarios de una misma Cuenta de AWS pueden tener distintas selecciones de planes. No puede aplicar planes de características independientes a los clientes de aplicaciones de un grupo de usuarios. La selección predeterminada del plan para los nuevos grupos de usuarios es Essentials.
Puede cambiar de un plan de características a otro en cualquier momento para adaptarse a los requisitos de sus aplicaciones. Algunos cambios entre planes requieren la desactivación de las características activas. Para obtener más información, consulte [Desactivación de las características para cambiar los planes de características](feature-plans-deactivate.md).Planes de características de grupo de usuarios
**Lite**
Lite es un plan de características de bajo costo para grupos de usuarios con un número menor de usuarios activos mensuales. Este plan es suficiente para los directorios de usuarios con características de autenticación básicas. Incluye características de inicio de sesión y la clásica interfaz de usuario alojada, una predecesora más delgada y menos personalizable del inicio de sesión administrado. Muchas de las características más recientes, como la personalización del token de acceso y la autenticación con clave de acceso, no están incluidas en el plan Lite.
**Essentials**
Essentials cuenta con todas las características de autenticación de grupos de usuarios más recientes. Este plan añade nuevas opciones a sus aplicaciones, tanto si sus páginas de inicio de sesión son de inicio de sesión administrado como si están personalizadas. Essentials tiene características de autenticación avanzadas, como el [inicio de sesión basado en opciones](authentication-flows-selection-sdk.md#authentication-flows-selection-choice) y la [MFA por correo electrónico](user-pool-settings-mfa-sms-email-message.md).
**Plus**
Plus incluye todo lo que hay en el plan Essentials y añade características de seguridad avanzadas que protegen a sus usuarios. Supervise las solicitudes de inicio de sesión, registro y administración de contraseñas de los usuarios para detectar indicadores de compromiso. Por ejemplo, los grupos de usuarios pueden detectar si los usuarios inician sesión desde una ubicación inesperada o si utilizan una contraseña que ha sido parte de una infracción pública.
Los grupos de usuarios del plan Plus generan registros con los detalles de la actividad de los usuarios y las evaluaciones de riesgos. Puede aplicar su propio análisis de uso y seguridad a estos registros cuando los exporte a servicios externos.
**nota**
Anteriormente, algunas características del grupo de usuarios se incluían en una estructura de precios de *características de seguridad avanzadas*. Las características que se incluían en esta estructura ahora se incluyen en el plan Essentials o Plus.
**Topics**
+ [Selección de un plan de características](#cognito-sign-in-feature-plans-choose)
+ [Características por plan](#cognito-sign-in-feature-plans-list)
+ [Características del plan Essentials](feature-plans-features-essentials.md)
+ [Plan de características Plus](feature-plans-features-plus.md)
+ [Desactivación de las características para cambiar los planes de características](feature-plans-deactivate.md)
## Selección de un plan de características
------
#### [ Consola de administración de AWS ]
Cómo elegir un plan de características
1. Vaya a la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/home). Si se le solicita, introduzca sus credenciales. AWS
1. Elija **User Pools** (Grupos de usuarios).
1. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.
1. Seleccione el menú **Configuración** y consulte la pestaña **Planes de características**.
1. Revise las características disponibles en los planes Lite, Esssentials y Plus.
1. Para cambiar el plan, seleccione **Cambiar a Essentials** o **Cambiar a Plus**. Para cambiar al plan **Lite**, seleccione **Otros planes** y, luego, **Comparar con Lite**.
1. En la siguiente pantalla, revise su elección y seleccione **Confirmar**.
------
#### [ CLI/API/SDK ]
Las [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html)operaciones [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html)y configuran su plan de funciones en el `UserPoolTier` parámetro. Si no especifica un valor para `UserPoolTier`, el grupo de usuarios se pone de forma predeterminada en el plan `Essentials`. Si configura `AdvancedSecurityMode` en `AUDIT` o `ENFORCED`, el nivel de su grupo de usuarios debe ser `PLUS` y ponerse en `PLUS` de forma predeterminada cuando no se especifique nada.
Consulte [los ejemplos CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html#API_CreateUserPool_Examples) para ver la sintaxis. Consulte [Ver también en CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html#API_CreateUserPool_SeeAlso) para ver los enlaces a esta función o AWS SDKs para ver una variedad de lenguajes de programación.
```
"UserPoolTier": "PLUS"
```
En el AWS CLI, esta opción es `--user-pool-tier` argumento.
```
--user-pool-tier PLUS
```
Consulte [create-user-pool](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/create-user-pool.html)y [update-user-pool](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/update-user-pool.html)en la referencia de AWS CLI comandos para obtener más información.
------
## Características por plan
**Características y planes en los grupos de usuarios**
| Característica | Description (Descripción) | Plan de características |
| --- | --- | --- |
| Protección contra contraseñas no seguras | Comprobar las contraseñas de texto simple para ver si hay indicios de que hayan sido comprometidas durante el tiempo de ejecución | Plus |
| Protección contra intentos de inicio de sesión malintencionados | Comprobar las propiedades de la sesión en busca de indicadores de compromiso durante el tiempo de ejecución | Plus |
| Registro y análisis de la actividad del usuario | Generar registros sobre las propiedades de las sesiones de autenticación de los usuarios y de las puntuaciones de riesgo | Plus |
| Exportación de registros de actividad de los usuarios | Envíe los registros de sesión y riesgo del usuario a un sitio externo Servicio de AWS | Plus |
| Personalización de las páginas de inicio de sesión administrado con un editor visual | Usar un editor visual en la consola de Amazon Cognito para aplicar la marca y el estilo a las páginas de inicio de sesión administrado | Essentials \$1 Plus |
| MFA con códigos de correo electrónico de un solo uso | Solicitar o exigir a los usuarios locales que proporcionen un factor de inicio de sesión adicional mediante un mensaje de correo electrónico tras la autenticación del nombre de usuario | Essentials \$1 Plus |
| Personalización de los ámbitos y las reclamaciones de los tokens de acceso en tiempo de ejecución | Usar un desencadenador de Lambda para ampliar las capacidades de autorización de los tokens de acceso al grupo de usuarios | Essentials \$1 Plus |
| Inicio de sesión sin contraseña con códigos de un solo uso | Permitir que los usuarios reciban una contraseña de un solo uso por correo electrónico o SMS como primer factor de autenticación | Essentials \$1 Plus |
| Inicio de sesión mediante clave de acceso mediante autenticadores de hardware o software FIDO2 | Permita a los usuarios utilizar una clave criptográfica almacenada en un FIDO2 autenticador como primer factor de autenticación | Essentials \$1 Plus |
| Registro e inicio de sesión | Realizar operaciones de autenticación y permitir que los nuevos usuarios se registren para obtener una cuenta en su aplicación. | Lite \$1 Essentials \$1 Plus |
| Grupos de usuarios | Crear agrupaciones lógicas de usuarios y asignar roles de IAM predeterminados para las operaciones del grupo de identidades. | Lite \$1 Essentials \$1 Plus |
| Inicio de sesión con proveedores de redes sociales, SAML y OIDC | Ofrecer a los usuarios la opción de iniciar sesión directamente o con su proveedor preferido. | Lite \$1 Essentials \$1 Plus |
| OAuth Servidor de autorización 2.0/OIDC | Actuar como emisor de OIDC. | Lite \$1 Essentials \$1 Plus |
| Páginas de inicio de sesión | Una colección alojada de páginas web para la autenticación. El inicio de sesión administrado está disponible en los niveles Essentials y Plus. La interfaz de usuario alojada clásica está disponible en todos los niveles de características. | Lite \$1 Essentials \$1 Plus |
| Autenticación con contraseña, personalizada, con token de actualización y SRP | Solicitar a los usuarios un nombre de usuario y contraseña en la aplicación. | Lite \$1 Essentials \$1 Plus |
| Machine-to-machine (M2M) con credenciales de cliente | Emitir tokens de acceso para la autorización de entidades no humanas. | Lite \$1 Essentials \$1 Plus |
| Autorización API con servidores de recursos | Emitir tokens de acceso con ámbitos personalizados que autoricen el acceso a sistemas externos. | Lite \$1 Essentials \$1 Plus |
| Importación de usuarios | Configure los trabajos de importación desde archivos CSV y realice just-in-time la migración de los usuarios a medida que inician sesión. | Lite \$1 Essentials \$1 Plus |
| MFA con aplicaciones de autenticación y códigos SMS de un solo uso | Solicitar o exigir a los usuarios locales que proporcionen un factor de inicio de sesión adicional con aplicación de autenticación o mensaje SMS tras la autenticación del nombre de usuario | Lite \$1 Essentials \$1 Plus |
| Personalización de los ámbitos y las reclamaciones de los tokens de ID en tiempo de ejecución | Usar un desencadenador de Lambda para ampliar las capacidades de autenticación de los tokens de identidad (ID) del grupo de usuarios | Lite \$1 Essentials \$1 Plus |
| Acciones de tiempo de ejecución personalizadas con desencadenadores de Lambda | Personalizar el proceso de inicio de sesión en tiempo de ejecución con funciones de Lambda que realicen acciones externas e influyan en la autenticación | Lite \$1 Essentials \$1 Plus |
| Personalización de las páginas de inicio de sesión administrado con CSS | Descargar una plantilla CSS y cambiar algunos estilos en sus páginas de inicio de sesión administrado | Lite \$1 Essentials \$1 Plus |
# Características del plan Essentials
El plan de características Essentials incluye la mayoría de las mejores y más recientes características de los grupos de usuarios de Amazon Cognito. Al cambiar del plan Lite al Essentials, obtendrá nuevas características para sus páginas de inicio de sesión administrado, una autenticación multifactor con contraseñas de un solo uso para los mensajes de correo electrónico, una política de contraseñas mejorada y tokens de acceso personalizados. Para seguir utilizando up-to-date las nuevas funciones del grupo de usuarios, elija el plan Essentials para sus grupos de usuarios.
En las siguientes secciones se presenta un breve resumen de las características que puede añadir a su aplicación con el plan Essentials. Para obtener información detallada, consulte las siguientes páginas.
**Recursos adicionales**
+ Personalización del token de acceso: [Desencadenador de Lambda anterior a la generación del token](user-pool-lambda-pre-token-generation.md)
+ MFA de correo electrónico: [MFA con mensajes SMS y correo electrónico](user-pool-settings-mfa-sms-email-message.md)
+ Historial de contraseñas: [Contraseñas, recuperación de contraseñas y políticas de contraseñas](managing-users-passwords.md)
+ IU mejorada: [Aplicación de la creación de marca en las páginas de inicio de sesión administrado](managed-login-branding.md)
**Topics**
+ [Personalización del token de acceso](#features-access-token-customization)
+ [MFA de correo electrónico](#features-email-mfa)
+ [Prevención de la reutilización de contraseñas](#features-password-reuse)
+ [Servidor de autorización e inicio de sesión administrado y alojado](#features-enhanced-ui)
+ [Autenticación basada en opciones](#features-user-auth)
## Personalización del token de acceso
Los [tokens de acceso](https://datatracker.ietf.org/doc/html/rfc6749#section-1.4) del grupo de usuarios otorgan permisos a las aplicaciones para [acceder a una API](cognito-user-pools-define-resource-servers.md), para recuperar los atributos de usuario del [punto de conexión de userInfo](userinfo-endpoint.md) o para establecer la [pertenencia a un grupo](cognito-user-pools-user-groups.md) de un sistema externo. En situaciones avanzadas, puede que desee añadir al token de acceso predeterminado datos del directorio del grupo de usuarios con parámetros temporales adicionales que la aplicación determine en tiempo de ejecución. Es posible, por ejemplo, que desee verificar los permisos de API de un usuario con [Amazon Verified Permissions](amazon-cognito-authorization-with-avp.md) y ajustar debidamente los ámbitos en el token de acceso.
El plan Essentials se suma a las funciones ya existentes de un [desencadenador Antes de la generación del token](user-pool-lambda-pre-token-generation.md). Con los planes de nivel inferior, puede personalizar los tokens de ID con reclamaciones, roles y pertenencia a grupos adicionales. Essentials añade nuevas versiones del evento de desencadenador que personalizan las notificaciones, los roles, la pertenencia a grupos y los ámbitos de los tokens de acceso. La personalización del token de acceso está disponible para las [credenciales de los clientes machine-to-machine (M2M) que se otorgan](federation-endpoints-oauth-grants.md) con la tercera versión del evento.
**Personalización de tokens de acceso**
1. Seleccione el plan de características Essentials o Plus.
1. Cree una función de Lambda para el desencadenador. Para usar nuestra función de ejemplo, [configúrela para Node.js](https://docs.aws.amazon.com/lambda/latest/dg/lambda-nodejs.html).
1. Rellene la función de Lambda con nuestro [código de ejemplo](user-pool-lambda-pre-token-generation.md#aws-lambda-triggers-pre-token-generation-example-version-2-overview) o cree el suyo propio. La función debe procesar un objeto de solicitud de Amazon Cognito y devolver los cambios que desee incluir.
1. Asigne la nueva función como un desencadenador Antes de la generación del token en la [versión 2 o 3](user-pool-lambda-pre-token-generation.md#user-pool-lambda-pre-token-generation-event-versions). Los eventos de la versión 2 personalizan los tokens de acceso para las identidades de los usuarios. La versión 3 personaliza los tokens de acceso para las identidades de usuario y máquina.
**Más información**
+ [Personalización del token de acceso](user-pool-lambda-pre-token-generation.md#user-pool-lambda-pre-token-generation-accesstoken)
+ [How to customize access tokens in Amazon Cognito user pools](https://aws.amazon.com/blogs/security/how-to-customize-access-tokens-in-amazon-cognito-user-pools/)
## MFA de correo electrónico
Los grupos de usuarios de Amazon Cognito se pueden configurar para utilizar el correo electrónico como segundo factor en la autenticación multifactor (MFA). Con la MFA de correo electrónico, Amazon Cognito puede enviar a los usuarios un correo electrónico con un código de verificación que deben introducir para completar el proceso de autenticación. Esto añade una importante capa adicional de seguridad al flujo de inicio de sesión de los usuarios. Para habilitar la MFA basada en correo electrónico, el grupo de usuarios debe estar configurado para usar la [configuración de envío de correo electrónico de Amazon SES](user-pool-email.md#user-pool-email-developer) en lugar de la configuración de correo electrónico predeterminada.
Cuando el usuario selecciona la MFA por mensaje de correo electrónico, Amazon Cognito envía un código de verificación único a la dirección de correo electrónico registrada del usuario cada vez que intente iniciar sesión. A continuación, el usuario debe devolver ese código al grupo de usuarios para completar el flujo de autenticación y obtener acceso. Esto garantiza que, incluso si el nombre de usuario y la contraseña de un usuario están comprometidos, este debe proporcionar un factor adicional (el código enviado por correo electrónico) para poder acceder a los recursos de la aplicación.
Para obtener más información, consulte [MFA con mensajes SMS y correo electrónico](user-pool-settings-mfa-sms-email-message.md). A continuación, se ofrece información general sobre cómo configurar el grupo de usuarios y los usuarios para la MFA de correo electrónico.
**Cómo configurar la MFA de correo electrónico en la consola de Amazon Cognito**
1. Seleccione el plan de características Essentials o Plus.
1. En el menú de **inicio de sesión** de su grupo de usuarios, edite la **autenticación multifactor**.
1. Elija el nivel de **Cumplimiento de MFA** que desee configurar. Con **Requerir MFA**, los usuarios de la API reciben automáticamente un desafío para configurar, confirmar e iniciar sesión mediante una MFA. En los grupos de usuarios que requieren MFA, el inicio de sesión administrado les solicita que elijan y configuren un factor MFA. Con la opción **MFA opcional**, la aplicación debe ofrecer a los usuarios la posibilidad de configurar la MFA y establecer las preferencias del usuario para la MFA por correo electrónico.
1. En **Métodos de MFA**, seleccione **Mensaje de correo electrónico** como una de las opciones.
**Más información**
+ [MFA con mensajes SMS y correo electrónico](user-pool-settings-mfa-sms-email-message.md)
## Prevención de la reutilización de contraseñas
De forma predeterminada, la política de contraseñas de los grupos de usuarios de Amazon Cognito establece los requisitos de longitud y tipo de caracteres de las contraseñas y su caducidad temporal. El plan Essentials añade la capacidad de aplicar el historial de contraseñas. Cuando un usuario intenta restablecer la contraseña, el grupo de usuarios puede impedir que la configure con una contraseña anterior. Para obtener más información acerca de la configuración de la política de contraseñas, consulte [Adición de requisitos de contraseña para los grupos de usuarios](managing-users-passwords.md#user-pool-settings-policies). A continuación, se ofrece información general sobre cómo configurar un grupo de usuarios con una política de historial de contraseñas.
**Cómo configurar el historial de contraseñas en la consola de Amazon Cognito**
1. Seleccione el plan de características Essentials o Plus.
1. En el menú **Métodos de autenticación** de su grupo de usuarios, busque la **Política de contraseñas** y seleccione **Editar**.
1. Configure otras opciones disponibles y establezca un valor para **Impedir el uso de contraseñas utilizadas anteriormente**.
**Más información**
+ [Contraseñas, recuperación de contraseñas y políticas de contraseñas](managing-users-passwords.md)
## Servidor de autorización e inicio de sesión administrado y alojado
Los grupos de usuarios de Amazon Cognito tienen páginas web opcionales que admiten las siguientes funciones: un IdP de OpenID Connect (OIDC), un proveedor de servicios o una parte de confianza de un IdPs tercero y páginas públicas interactivas para los usuarios para registrarse e iniciar sesión. Estas páginas se denominan colectivamente *inicio de sesión administrado*. Cuando elige un dominio para su grupo de usuarios, Amazon Cognito activa automáticamente estas páginas. Mientras que el plan Lite tiene la interfaz de usuario alojada, el plan Essentials abre esta versión avanzada de las páginas de registro e inicio de sesión.
Las páginas de inicio de sesión administradas tienen una up-to-date interfaz limpia con más funciones y opciones para personalizar su marca y sus estilos. El plan Essentials es el nivel de plan más bajo para poder desbloquear el acceso al inicio de sesión administrado.
**Cómo configurar el inicio de sesión administrado en la consola de Amazon Cognito.**
1. En el menú **Configuración**, seleccione el plan de características Essentials o Plus.
1. En el menú **Dominio**, [asigne un dominio](cognito-user-pools-assign-domain.md) a su grupo de usuarios y seleccione una **versión de marca** del **inicio de sesión administrado**.
1. En el menú de **inicio de sesión administrado**, en la pestaña **Estilos**, seleccione **Crear un estilo** y asígnelo a un cliente de aplicación o cree un nuevo cliente de aplicación.
**Más información**
+ [Inicio de sesión administrado de grupos de usuarios](cognito-user-pools-managed-login.md)
## Autenticación basada en opciones
El nivel Essentials introduce un nuevo *flujo de autenticación* para las operaciones de autenticación en la interfaz de usuario mejorada y las operaciones de API basadas en el SDK. Este flujo consiste en la *autenticación basada en opciones*. La autenticación basada en opciones es un método en el que la autenticación de los usuarios no comienza con una declaración de un método de inicio de sesión en la aplicación, sino con una consulta de los posibles métodos de inicio de sesión seguida de una elección. Puede configurar su grupo de usuarios para que admita la autenticación basada en opciones y desbloquee la autenticación con nombre de usuario y contraseña, sin contraseña y con clave de acceso. En la API, este es el flujo `USER_AUTH`.
**Configuración de la autenticación basada en opciones en la consola de Amazon Cognito**
1. Seleccione el plan de características Essentials o Plus.
1. En el menú de **inicio de sesión** de su grupo de usuarios, edite las **Opciones para el inicio de sesión basado en opciones**. Seleccione y configure los métodos de autenticación que desee habilitar en la autenticación basada en opciones.
1. En el menú **Métodos de autenticación** de su grupo de usuarios, edite la configuración de las operaciones de inicio de sesión.
**Más información**
+ [Autenticación con grupos de usuarios de Amazon Cognito](authentication.md)
# Plan de características Plus
El plan de características Plus incluye características de seguridad avanzadas para los grupos de usuarios de Amazon Cognito. Estas características registran y analizan el contexto del usuario en tiempo de ejecución para detectar posibles problemas de seguridad en los dispositivos, las ubicaciones, los datos de solicitud y las contraseñas. Luego, mitigan los posibles riesgos con respuestas automáticas que bloquean o añaden medidas de seguridad a las cuentas de los usuarios. También puede exportar sus registros de seguridad a Amazon S3, Amazon Data Firehose o Amazon CloudWatch Logs para su posterior análisis.
Al cambiar del plan Essentials al plan Plus, obtiene todas las características de Essentials y las características adicionales correspondientes. Estas incluyen el conjunto de opciones de seguridad de protección contra amenazas, también conocidas como *características de seguridad avanzadas*. A fin de configurar sus grupos de usuarios para que se adapten automáticamente a las amenazas en su interfaz de autenticación, elija el plan Plus para sus grupos de usuarios.
En las siguientes secciones se presenta un breve resumen de las características que puede añadir a su aplicación con el plan Plus. Para obtener información detallada, consulte las siguientes páginas.
**Recursos adicionales**
+ Autenticación adaptativa: [Uso de la autenticación flexible](cognito-user-pool-settings-adaptive-authentication.md)
+ Credenciales comprometidas: [Uso de la detección de credenciales comprometidas](cognito-user-pool-settings-compromised-credentials.md)
+ Exportación de registros; [Exportación de registros de grupos de usuarios de Amazon Cognito](exporting-quotas-and-usage.md)
**Topics**
+ [Protección contra amenazas: autenticación flexible](#features-adaptive-authentication)
+ [Protección contra amenazas: detección de credenciales comprometidas](#features-compromised-credentials)
+ [Protección contra amenazas: registro de la actividad de los usuarios](#features-user-logs)
## Protección contra amenazas: autenticación flexible
El plan Plus incluye una característica de *autenticación flexible*. Al activar esta característica, su grupo de usuarios realiza una evaluación de riesgos de cada sesión de autenticación de usuarios. A partir de las clasificaciones de riesgo resultantes, puede bloquear la autenticación o solicitar la MFA para los usuarios que inicien sesión con un nivel de riesgo superior al umbral que usted determine. Con la autenticación flexible, su grupo de usuarios y su aplicación bloquean o configuran automáticamente la MFA para los usuarios cuyas cuentas sospecha que están siendo atacadas. También puede proporcionar comentarios sobre las calificaciones de riesgo de su grupo de usuarios para ajustar las calificaciones futuras.
**Cómo configurar la autenticación flexible en la consola de Amazon Cognito**
1. Seleccione el plan de características Plus.
1. En el menú **Protección contra amenazas** de su grupo de usuarios, edite la **autenticación estándar y personalizada** en **Protección contra amenazas**.
1. Puede configurar el **modo de aplicación** para la autenticación estándar o personalizada en **Función completa**.
1. En **Autenticación flexible**, configure las respuestas automáticas al riesgo para los distintos niveles de riesgo.
**Más información**
+ [Uso de la autenticación flexible](cognito-user-pool-settings-adaptive-authentication.md)
+ [Recopilación de datos para la protección contra amenazas en las aplicaciones](user-pool-settings-viewing-threat-protection-app.md)
## Protección contra amenazas: detección de credenciales comprometidas
El plan Plus incluye una característica de *detección de credenciales comprometidas*. Esta característica protege contra el uso de contraseñas inseguras y la amenaza de acceso no deseado a las aplicaciones que esta práctica genera. Si permite que sus usuarios inicien sesión con un nombre de usuario y una contraseña, es posible que reutilicen una contraseña que hayan utilizado en otro lugar. Es posible que esa contraseña se haya filtrado o que simplemente se haya adivinado por tratarse de algo frecuente. Con la detección de credenciales comprometidas, su grupo de usuarios lee las contraseñas que envían sus usuarios y las compara con las bases de datos de contraseñas. Si la operación da como resultado la decisión de que es probable que la contraseña esté comprometida, puede configurar su grupo de usuarios para bloquear el inicio de sesión y, a continuación, iniciar el restablecimiento de la contraseña del usuario de la aplicación.
La detección de credenciales comprometidas puede reaccionar ante la aparición de contraseñas inseguras cuando se registran nuevos usuarios, cuando los usuarios existentes inician sesión y cuando los usuarios intentan restablecer sus contraseñas. Con esta característica, su grupo de usuarios puede impedir el inicio de sesión con contraseñas inseguras dondequiera que los usuarios las introduzcan o generar una advertencia al respecto.
**Configuración de la detección de credenciales comprometidas en la consola de Amazon Cognito**
1. Seleccione el plan de características Plus.
1. En el menú **Protección contra amenazas** de su grupo de usuarios, edite la **autenticación estándar y personalizada** en **Protección contra amenazas**.
1. Puede configurar el **modo de aplicación** para la autenticación estándar o personalizada en **Función completa**.
1. En **Credenciales comprometidas**, configure los tipos de operaciones de autenticación que desee comprobar y la respuesta automática que desee obtener de su grupo de usuarios.
**Más información**
+ [Uso de la detección de credenciales comprometidas](cognito-user-pool-settings-compromised-credentials.md)
## Protección contra amenazas: registro de la actividad de los usuarios
El plan Plus añade una característica de registro que proporciona análisis de seguridad y detalles de los intentos de autenticación de los usuarios. Puede ver evaluaciones de riesgos, direcciones IP de usuarios, agentes de usuario y otra información sobre el dispositivo que se conectó a su aplicación. Puede utilizar esta información con las características de protección contra amenazas integradas, o puede analizar los registros de sus propios sistemas y tomar las medidas adecuadas. Puede exportar los registros de Threat Protection a Amazon S3, CloudWatch Logs o Amazon DynamoDB.
**Configuración del registro de actividad de usuarios en la consola de Amazon Cognito**
1. Seleccione el plan de características Plus.
1. En el menú **Protección contra amenazas** de su grupo de usuarios, edite la **autenticación estándar y personalizada** en **Protección contra amenazas**.
1. Puede configurar el **modo de aplicación** para la autenticación estándar o personalizada en **Solo auditoría**. Esta es la configuración mínima para los registros. También puede activarlo en el modo **Función completa** y configurar otras características de protección contra amenazas.
1. Para exportar los registros a otro Servicio de AWS para que los analicen terceros, vaya al menú de **transmisión de registros** de su grupo de usuarios y configure un destino de exportación.
**Más información**
+ [Exportación de eventos de autenticación de usuarios](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-event-user-history-exporting)
+ [Exportación de registros de grupos de usuarios de Amazon Cognito](exporting-quotas-and-usage.md)
# Desactivación de las características para cambiar los planes de características
Los planes de características añaden opciones de configuración al grupo de usuarios. Puede configurar y utilizar estas características solo cuando el plan de características relacionado esté activo. Por ejemplo, puede configurar la personalización del token de acceso en los planes Plus y Essentials, pero no en el plan Lite. Para desactivar estas características, debe desactivar todos los componentes activos. La opción **Cambiar a** del menú **Configuración** de la consola de Amazon Cognito le informa de las características que debe desactivar antes de poder cambiar su plan. En este capítulo, aprenderá cuáles son los cambios que la desactivación introduce en la configuración del grupo de usuarios y cómo desactivar estas características de forma individual.
**Personalización del token de acceso**
Para cambiar a un plan que no incluya la personalización del token de acceso, debe eliminar el [desencadenador de Lambda Antes de la generación del token](user-pool-lambda-pre-token-generation.md#user-pool-lambda-pre-token-generation-accesstoken) de su grupo de usuarios. Para añadir un nuevo desencadenador previo a la generación del token sin tener que acceder a la personalización del token, asigne una nueva función al desencadenador y configúrela para los eventos de `V1_0`. Estos eventos de desencadenador de la versión uno solo pueden procesar los cambios en los tokens de identificación.
Para desactivar manualmente la personalización del token de acceso, elimine el desencadenador previo a la generación del token y añada un desencadenador nuevo de la versión uno.
**Protección contra amenazas**
Para cambiar a un plan sin protección contra amenazas, desactive todas las características del menú **Protección contra amenazas** de su grupo de usuarios.
**Exportación de registros**
Para cambiar a un plan sin exportación de registros, desactívelo desde el menú **Secuencia de registro** de su grupo de usuarios. El grupo de usuarios dejará de generar registros de actividad de los usuarios locales y exportados. También puedes enviar una solicitud de [SetLogDeliveryConfiguration](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetLogDeliveryConfiguration.html)API que elimine cualquier configuración cuyo `EventSource` valor sea de`UserActivity`.
**MFA de correo electrónico**
Para cambiarse a un plan sin MFA por correo electrónico, vaya al menú **Inicio de sesión** de su grupo de usuarios. Edite la **autenticación multifactor** y quite la selección de **Mensaje de correo electrónico** como uno de los **métodos de MFA** disponibles.