翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ユーザープールの機能プラン
<a name="cognito-sign-in-feature-plans"></a>

コストを理解することは、Amazon Cognito ユーザープール認証の実装準備における重要なステップです。Amazon Cognito には、ユーザープール向けの機能プランがあります。各プランには、一連の機能とアクティブなユーザーあたりの月額コストが設定されています。機能プランの階層が上がるほど、それより下の機能プランより多くの機能を利用できます。

ユーザープールには、オンとオフを切り替えることができるさまざまな機能があります。例えば、多要素認証 (MFA) をオンにし、サードパーティ ID プロバイダー (IdP) によるサインインをオフにすることができます。一部の変更を行うには、機能プランを切り替える必要があります。ユーザープールの次の特性によって、 が毎月 AWS 請求する使用コストが決まります。
+ 選択した機能
+ アプリケーションがユーザープール API に対して行う 1 秒あたりのリクエスト数
+ 1 か月に認証、更新、またはクエリアクティビティを行ったユーザーの数。[月間アクティブユーザー](quotas.md#monthly-active-users) (MAU) 数とも呼ばれます。
+ サードパーティの SAML 2.0 または OpenID Connect (OIDC) IdP からの月間アクティブユーザー数
+ Machine to Machine 認証のためにクライアント認証情報の付与を行うアプリケーションクライアントとユーザープールの数

ユーザープールの料金に関する最新情報については、「[Amazon Cognito の料金](https://aws.amazon.com/cognito/pricing)」を参照してください。

機能プランの選択は、1 つのユーザープールに適用されます。同じ AWS アカウント 内の異なるユーザープールごとに、異なるプランを選択できます。ユーザープール内のアプリケーションクライアントに個別の機能プランを適用することはできません。新しいユーザープールにデフォルトで選択されるプランは、エッセンシャルです。

アプリケーションの要件に合わせて、いつでも機能プランを切り替えることができます。プランの切り替えに伴う変更によっては、アクティブな機能をオフにする必要があります。詳細については、「[機能をオフにして機能プランを変更する](feature-plans-deactivate.md)」を参照してください。ユーザープールの機能プラン

**ライト**  
ライトは、月間アクティブユーザー数が少ないユーザープール向けの低コストの機能プランです。ユーザーディレクトリの認証機能が基本的なものである場合は、このプランで十分です。このプランには、サインイン機能と、クラシックのホストされた UI (マネージドログインの前身で、よりスリムでカスタマイズ性が低い) が含まれています。ライトプランには、アクセストークンのカスタマイズやパスキー認証など、多くの新しい機能は含まれていません。

**エッセンシャル**  
エッセンシャルには、最新のユーザープール認証機能がすべて含まれています。このプランは、アプリケーションに新しいオプションを追加します。ログインページがマネージドログインであるか、カスタム構築であるかは問いません。エッセンシャルには、[[選択ベースのサインイン]](authentication-flows-selection-sdk.md#authentication-flows-selection-choice) や [[E メール MFA]](user-pool-settings-mfa-sms-email-message.md) などの高度な認証機能があります。

**Plus**  
プラスには、エッセンシャルプランのすべての機能に加えて、ユーザーを保護するための高度なセキュリティ機能が含まれています。ユーザーのサインイン、サインアップ、パスワード管理のリクエストをモニタリングして、漏えいの兆候がないか確認します。例えば、ユーザープールでは、ユーザーが予期しない場所からサインインしていないか、公衆への情報漏洩につながるパスワードを使用していないかを検出できます。  
プラスプランのユーザープールは、ユーザーアクティビティの詳細とリスク評価のログを生成します。これらのログを外部サービスにエクスポートするときに、独自の使用状況とセキュリティの分析を適用できます。

**注記**  
以前は、一部のユーザープール機能が「*高度なセキュリティ機能*」料金体系に含まれていました。この体系に含まれていた機能は、現在、エッセンシャルプランまたはプラスプランに含まれています。

**Topics**
+ [機能プランを選択する](#cognito-sign-in-feature-plans-choose)
+ [プラン別の機能](#cognito-sign-in-feature-plans-list)
+ [エッセンシャルプランの機能](feature-plans-features-essentials.md)
+ [プラスプランの機能](feature-plans-features-plus.md)
+ [機能をオフにして機能プランを変更する](feature-plans-deactivate.md)

## 機能プランを選択する
<a name="cognito-sign-in-feature-plans-choose"></a>

------
#### [ AWS マネジメントコンソール ]

機能プランを選択するには

1. [Amazon Cognito コンソール](https://console.aws.amazon.com/cognito/home)に移動します。プロンプトが表示されたら、 AWS 認証情報を入力します。

1. **[User Pools]** (ユーザープール) を選択します。

1. リストから既存のユーザープールを選択、または[ユーザープールを作成](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html)します。

1. **[設定]** メニューを選択し、**[機能プラン]** タブを確認します。

1. ライト、エッセンシャル、プラスの各プランで使用できる機能を確認します。

1. プランを変更するには、**[エッセンシャルに切り替える]** または **[プラスに切り替える]** を選択します。**ライト**プランに切り替えるには、**[その他のプラン]**、**[ライトと比較]** の順に選択します。

1. 次の画面で、選択内容を確認し、**[確認]** を選択します。

------
#### [ CLI/API/SDK ]

[CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html) オペレーションと [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html) オペレーションでは、`UserPoolTier` パラメータで機能プランを設定します。`UserPoolTier` の値を指定しない場合、ユーザープールのデフォルトは `Essentials` です。`AdvancedSecurityMode` を `AUDIT` または `ENFORCED` に設定する場合、ユーザープール階層は `PLUS` にする必要があり、指定しない場合はデフォルトで `PLUS` になります。

構文については、[CreateUserPool の「例」](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html#API_CreateUserPool_Examples)を参照してください。さまざまなプログラミング言語の SDK のこの関数へのリンクについては、「[CreateUserPool の」も参照](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html#API_CreateUserPool_SeeAlso)してください。 AWS SDKs 

```
"UserPoolTier": "PLUS"
```

では AWS CLI、このオプションは `--user-pool-tier`引数です。

```
--user-pool-tier PLUS
```

詳細については、 AWS CLI コマンドリファレンスの [create-user-pool](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/create-user-pool.html) と [update-user-pool](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/update-user-pool.html) を参照してください。

------

## プラン別の機能
<a name="cognito-sign-in-feature-plans-list"></a>


**ユーザープールの機能とプラン**  

| 機能 | 説明 | 機能プラン | 
| --- | --- | --- | 
| 安全でないパスワードからの保護 | プレーンテキストのパスワードに漏えいの兆候がないかランタイムに確認する | Plus | 
| 悪意のあるログイン試行からの保護 | セッションプロパティに侵害の兆候がないかランタイムに確認する | Plus | 
| ユーザーアクティビティの記録と分析 | ユーザー認証セッションのプロパティとリスクスコアのログを生成する | Plus | 
| ユーザーアクティビティログのエクスポート | ユーザーセッションとリスクログを外部にプッシュする AWS のサービス | Plus | 
| ビジュアルエディタによるマネージドログインページのカスタマイズ | Amazon Cognito コンソールのビジュアルエディタを使用して、マネージドログインページにブランディングとスタイルを適用する | エッセンシャル \+ プラス | 
| メールワンタイムコード付きの MFA | ユーザー名の認証後に、追加の E メールメッセージサインイン要素の提供をローカルユーザーにリクエストまたは要求する | エッセンシャル \+ プラス | 
| 実行時にアクセストークンのスコープとクレームをカスタマイズ | Lambda トリガーを使用してユーザープールのアクセストークンの認証機能を拡張する | エッセンシャル \+ プラス | 
| ワンタイムコードによるパスワードなしのサインイン | 最初の認証要素として E メールまたは SMS でワンタイムパスワードを受け取ることをユーザーに許可する | エッセンシャル \+ プラス | 
| ハードウェアまたはソフトウェアの FIDO2 Authenticator を使用したパスキーサインイン | FIDO2 Authenticator に保存されている暗号化キーを最初の認証要素として使用することをユーザーに許可する | エッセンシャル \+ プラス | 
| サインアップとサインイン | 認証オペレーションを実行し、新規ユーザーがアプリケーションのアカウントに登録できるようにする | ライト \+ エッセンシャル \+ プラス | 
| ユーザーグループ | ユーザーの論理グループを作成し、アイデンティティプールのオペレーションにデフォルトの IAM ロールを割り当てる | ライト \+ エッセンシャル \+ プラス | 
| ソーシャルプロバイダー、SAML プロバイダー、OIDC プロバイダーによるサインイン | 直接サインインするか、希望するプロバイダーを使用してサインインするかのオプションをユーザーに提供する | ライト \+ エッセンシャル \+ プラス | 
| OAuth 2.0/OIDC 認可サーバー | OIDC 発行者として機能する | ライト \+ エッセンシャル \+ プラス | 
| ログインページ | ホストされた認証用ウェブページのコレクション。マネージドログインは、エッセンシャル階層とプラス階層で使用できます。クラシックのホストされた UI は、すべての機能階層で使用できます。 | ライト \+ エッセンシャル \+ プラス | 
| パスワード、カスタム、更新トークン、SRP 認証 | アプリケーションでユーザー名とパスワードの入力をユーザーに求める | ライト \+ エッセンシャル \+ プラス | 
| クライアント認証情報を使用した Machine to Machine (M2M) | 人間以外のエンティティを認証するためのアクセストークンを発行する | ライト \+ エッセンシャル \+ プラス | 
| リソースサーバーによる API 認証 | 外部システムへのアクセスを許可するカスタムスコープを使用してアクセストークンを発行する | ライト \+ エッセンシャル \+ プラス | 
| ユーザーのインポート | CSV ファイルからのインポートジョブを設定し、ユーザーのサインイン時にジャストインタイム移行を実行する | ライト \+ エッセンシャル \+ プラス | 
| Authenticator アプリケーションと SMS ワンタイムコードを使用した MFA | ユーザー名の認証後に追加の SMS メッセージまたは Authenticator アプリケーションのサインイン要素の提供をローカルユーザーにリクエストまたは要求する | ライト \+ エッセンシャル \+ プラス | 
| ID トークンのスコープとクレームのランタイムカスタマイズ | Lambda トリガーを使用してユーザープールのアイデンティティ (ID) トークンの認証機能を拡張する | ライト \+ エッセンシャル \+ プラス | 
| Lambda トリガーを使用したカスタムランタイムアクション | 外部アクションを実行し、認証に影響を与える Lambda 関数を使用して、サインインプロセスをランタイムにカスタマイズする | ライト \+ エッセンシャル \+ プラス | 
| CSS によるマネージドログインページのカスタマイズ | CSS テンプレートをダウンロードし、マネージドログインページでいくつかのスタイルを変更する | ライト \+ エッセンシャル \+ プラス |