As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Planos de recursos de grupos de usuários
Noções básicas sobre o custo é uma etapa crucial na preparação para implementar a autenticação de grupos de usuários do Amazon Cognito. O Amazon Cognito tem planos de recursos para grupos de usuários. Cada plano tem um conjunto de recursos e um custo mensal por usuário ativo. Cada plano de recursos libera o acesso a mais recursos do que o anterior.
Os grupos de usuários têm diversos recursos que você pode ativar e desativar. Por exemplo, você pode ativar a autenticação multifator (MFA) e desativar o login com provedores de identidade terceirizados (). IdPs Algumas mudanças exigem que você mude seu plano de recursos. As seguintes características do seu grupo de usuários determinam o custo que você AWS cobra mensalmente pelo uso.
+ Os recursos que você escolhe
+ As solicitações por segundo que sua aplicação faz à API de grupos de usuários
+ O número de usuários com atividade de autenticação, atualização ou consulta em um mês, também chamado de [usuários ativos mensais](quotas.md#monthly-active-users) ou MAUs
+ O número de usuários ativos mensais do SAML 2.0 ou do OpenID Connect (OIDC) de terceiros IdPs
+ O número de clientes de aplicativos e grupos de usuários que concedem credenciais de clientes para autorização machine-to-machine
Para obter as informações mais atuais sobre os preços do grupo de usuários, consulte os preços do [Amazon Cognito](https://aws.amazon.com/cognito/pricing).
As seleções de plano de recursos se aplicam a um grupo de usuários. Grupos de usuários diferentes na mesma Conta da AWS podem ter diferentes seleções de planos. Você não pode aplicar planos de recursos separados a clientes de aplicações em um grupo de usuários. A seleção de planos padrão para novos grupos de usuários é Essentials.
Você pode alternar entre os planos de recursos a qualquer momento para atender aos requisitos das aplicações. Algumas mudanças entre os planos exigem que você desative os recursos ativos. Para obter mais informações, consulte [Desativar recursos para alterar planos de recursos](feature-plans-deactivate.md).Planos de recursos de grupos de usuários
**Lite**
O Lite é um plano de recursos de baixo custo para grupos de usuários com menor número de usuários ativos mensais. Esse plano é suficiente para diretórios de usuários com recursos básicos de autenticação. Ele inclui recursos de login e a IU hospedada clássica, uma antecessora mais fina e menos personalizável do login gerenciado. Muitos recursos mais novos, como personalização do token de acesso e autenticação por chave de acesso, não estão incluídos no plano Lite.
**Essentials**
O Essentials tem todos os recursos mais recentes de autenticação de grupos de usuários. Esse plano adiciona novas opções às suas aplicações, independentemente de suas páginas de login serem gerenciadas ou personalizadas. O Essentials tem recursos avançados de autenticação, como [login baseado em opções](authentication-flows-selection-sdk.md#authentication-flows-selection-choice) e [MFA do e-mail](user-pool-settings-mfa-sms-email-message.md).
**Plus**
O Plus inclui tudo do plano Essentials e adiciona recursos avançados de segurança que protegem seus usuários. Monitore as solicitações de login, cadastro e gerenciamento de senhas do usuário em busca de indicadores de comprometimento. Por exemplo, grupos de usuários podem detectar se os usuários estão fazendo login de um local inesperado ou usando uma senha que tenha sido parte de uma violação pública.
Os grupos de usuários com o plano Plus geram logs de detalhes da atividade do usuário e avaliações de risco. Você pode aplicar sua própria análise de uso e segurança a esses logs ao exportá-los para serviços externos.
**nota**
Anteriormente, alguns recursos do grupo de usuários foram incluídos em uma estrutura de preços *de recursos de segurança avançados*. Os recursos incluídos nessa estrutura agora estão no plano Essentials ou Plus.
**Topics**
+ [Selecionar um plano de recursos](#cognito-sign-in-feature-plans-choose)
+ [Recursos por plano](#cognito-sign-in-feature-plans-list)
+ [Recursos do plano Essentials](feature-plans-features-essentials.md)
+ [Recursos do plano Plus](feature-plans-features-plus.md)
+ [Desativar recursos para alterar planos de recursos](feature-plans-deactivate.md)
## Selecionar um plano de recursos
------
#### [ Console de gerenciamento da AWS ]
Como escolher um plano de recursos
1. Acesse o [console do Amazon Cognito](https://console.aws.amazon.com/cognito/home). Se solicitado, insira suas AWS credenciais.
1. Escolha **User Pools** (Grupos de usuários).
1. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.
1. Selecione o menu **Configurações** e revise a guia **Planos de recursos**.
1. Analise os recursos disponíveis para você nos planos Lite, Essentials e Plus.
1. Para alterar seu plano, selecione **Mudar para o Essentials** ou **Mudar para o Plus**. Para mudar para o plano **Lite**, escolha **Outros planos** e, em seguida, **Comparar com o Lite**.
1. Na próxima tela, revise sua escolha e selecione **Confirmar**.
------
#### [ CLI/API/SDK ]
As [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html)operações [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html)e definem seu plano de recursos no `UserPoolTier` parâmetro. Quando você não especifica um valor para `UserPoolTier`, seu grupo de usuários usa `Essentials` como padrão. Se você definir `AdvancedSecurityMode` como `AUDIT` ou `ENFORCED`, seu nível de grupo de usuários deverá ser `PLUS` e o padrão ser `PLUS` quando não especificado.
Consulte [Exemplos em CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html#API_CreateUserPool_Examples) para obter a sintaxe. Consulte [Consulte também em CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html#API_CreateUserPool_SeeAlso) para obter links para essa função em ou AWS SDKs para uma variedade de linguagens de programação.
```
"UserPoolTier": "PLUS"
```
No AWS CLI, essa opção é `--user-pool-tier` argumento.
```
--user-pool-tier PLUS
```
Consulte [create-user-pool](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/create-user-pool.html)e [update-user-pool](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/update-user-pool.html)na referência de AWS CLI comandos para obter mais informações.
------
## Recursos por plano
**Recursos e planos em grupos de usuários**
| Recurso | Description | Plano de recursos |
| --- | --- | --- |
| Proteja-se contra senhas inseguras | Verifique as senhas em texto simples em busca de indicadores de comprometimento no runtime | Plus |
| Proteja-se contra tentativas prejudiciais de login | Verifique as propriedades da sessão em busca de indicadores de comprometimento no runtime | Plus |
| Registre em log e analise a atividade do usuário | Gere logs das propriedades da sessão de autenticação do usuário e das pontuações de risco | Plus |
| Exporte logs de atividades do usuário | Envie a sessão do usuário e os registros de risco para um servidor externo AWS service (Serviço da AWS) | Plus |
| Personalize páginas de login gerenciado com um editor visual | Use um editor visual no console do Amazon Cognito para aplicar identidade visual e estilo às suas páginas de login gerenciado | Essentials \$1 Plus |
| MFA aprimorada com códigos únicos de e-mail | Solicite ou exija que os usuários locais forneçam um fator adicional de login por mensagem de e-mail após a autenticação do nome de usuário | Essentials \$1 Plus |
| Personalize os escopos e as reivindicações do token de acesso no runtime | Use um acionador do Lambda para estender os recursos de autorização dos tokens de acesso ao grupo de usuários | Essentials \$1 Plus |
| Login sem senha com códigos únicos | Permita que os usuários recebam uma senha de uso único por e-mail ou SMS como primeiro fator de autenticação | Essentials \$1 Plus |
| Login por chave de acesso com autenticadores de hardware ou software FIDO2 | Permita que os usuários usem uma chave criptográfica armazenada em um FIDO2 autenticador como primeiro fator de autenticação | Essentials \$1 Plus |
| Inscrição e login | Execute operações de autenticação e permita que novos usuários se inscrevam em uma conta em sua aplicação. | Lite \$1 Essentials \$1 Plus |
| User groups (Grupos de usuários) | Crie agrupamentos lógicos de usuários e atribua perfis do IAM padrão para operações de banco de identidades. | Lite \$1 Essentials \$1 Plus |
| Faça login com provedores sociais, SAML e OIDC | Forneça aos usuários as opções de fazer login diretamente ou com o provedor que preferirem. | Lite \$1 Essentials \$1 Plus |
| OAuth 2.0/Servidor de autorização OIDC | Atue como emissor do OIDC. | Lite \$1 Essentials \$1 Plus |
| Páginas de login | Uma coleção hospedada de páginas da web para autenticação. O login gerenciado está disponível nos níveis Essentials e Plus. A IU hospedada clássica está disponível em todos os níveis de recursos. | Lite \$1 Essentials \$1 Plus |
| Autenticação personalizada, SRP, por senha e por token de atualização | Solicite aos usuários um nome de usuário e senha na aplicação. | Lite \$1 Essentials \$1 Plus |
| Machine-to-machine (M2M) com credenciais do cliente | Emita tokens de acesso para autorização de entidades não humanas. | Lite \$1 Essentials \$1 Plus |
| Autorização de API com servidores de recursos | Emita tokens de acesso com escopos personalizados que autorizam o acesso a sistemas externos. | Lite \$1 Essentials \$1 Plus |
| Importe usuários | Configure trabalhos de importação de arquivos CSV e realize a just-in-time migração dos usuários à medida que eles se conectam. | Lite \$1 Essentials \$1 Plus |
| MFA com aplicações autenticadoras e códigos SMS únicos | Solicite ou exija que os usuários locais forneçam uma mensagem SMS adicional ou um fator de login da aplicação autenticadora após a autenticação do nome de usuário | Lite \$1 Essentials \$1 Plus |
| Personalize os escopos e as reivindicações do token de ID no runtime | Use um acionador do Lambda para ampliar os recursos de autenticação dos tokens de identidade (ID) do grupo de usuários | Lite \$1 Essentials \$1 Plus |
| Ações de runtime personalizadas com acionadores do Lambda | Personalize o processo de login no runtime com funções do Lambda que realizam ações externas e influenciam a autenticação | Lite \$1 Essentials \$1 Plus |
| Personalize páginas de login gerenciado com CSS | Baixe um modelo CSS e altere alguns estilos em suas páginas de login gerenciado | Lite \$1 Essentials \$1 Plus |
# Recursos do plano Essentials
O plano de recursos Essentials tem a maioria dos melhores e mais recentes recursos de grupos de usuários do Amazon Cognito. Ao mudar do plano Lite para o Essentials, você obtém novos recursos para suas páginas de login gerenciado, autenticação multifator com senhas de uso único por mensagem de e-mail, uma política de senha aprimorada e tokens de acesso personalizados. Para continuar up-to-date com os novos recursos do grupo de usuários, escolha o plano Essentials para seus grupos de usuários.
As seções a seguir apresentam uma breve visão geral dos recursos que você pode adicionar à sua aplicação com o plano Essentials. Para obter informações detalhadas, consulte as páginas a seguir.
**Recursos adicionais do**
+ Personalização do token de acesso: [Acionador do Lambda antes da geração do token](user-pool-lambda-pre-token-generation.md)
+ MFA do e-mail: [MFA de mensagens SMS e e-mail](user-pool-settings-mfa-sms-email-message.md)
+ Histórico de senha: [Senhas, recuperação de contas e políticas de senha](managing-users-passwords.md)
+ IU aprimorada: [Aplicar a identidade visual às páginas de login gerenciado](managed-login-branding.md)
**Topics**
+ [Personalização do token de acesso](#features-access-token-customization)
+ [MFA do e-mail](#features-email-mfa)
+ [Prevenção de reutilização de senhas](#features-password-reuse)
+ [Login hospedado e servidor de autorização do login gerenciado](#features-enhanced-ui)
+ [Autenticação baseada em opções](#features-user-auth)
## Personalização do token de acesso
Os [tokens de acesso](https://datatracker.ietf.org/doc/html/rfc6749#section-1.4) de grupos de usuários concedem permissões às aplicações: para [acessar uma API](cognito-user-pools-define-resource-servers.md), recuperar atributos do usuário do [endpoint userInfo](userinfo-endpoint.md) ou estabelecer uma [associação de grupo](cognito-user-pools-user-groups.md) para um sistema externo. Em cenários avançados, você pode adicionar aos dados do token de acesso padrão do diretório do grupo de usuários parâmetros temporários adicionais que sua aplicação determina em tempo de execução. Por exemplo, talvez você queira verificar as permissões de API de um usuário com o [Amazon Verified Permissions](amazon-cognito-authorization-with-avp.md) e ajustar os escopos no token de acesso adequadamente.
O plano Essentials complementa as funções existentes de um [acionador de pré-geração de tokens](user-pool-lambda-pre-token-generation.md). Com planos de nível inferior, você pode personalizar tokens de ID com reivindicações, funções e associação a grupos adicionais. O Essentials adiciona novas versões do evento de entrada acionador que personalizam reivindicações de tokens de acesso, funções, associação a grupos e escopos. A personalização do token de acesso está disponível para [concessões de credenciais de clientes machine-to-machine](federation-endpoints-oauth-grants.md) (M2M) com a versão três do evento.
**Para personalizar tokens de acesso**
1. Selecione o plano de recursos Essentials ou Plus.
1. Crie uma função do Lambda para o acionador. Para usar nossa função de exemplo, [configure-a para Node.js](https://docs.aws.amazon.com/lambda/latest/dg/lambda-nodejs.html).
1. Preencha sua função do Lambda com nosso [código de exemplo](user-pool-lambda-pre-token-generation.md#aws-lambda-triggers-pre-token-generation-example-version-2-overview) ou crie o seu. Sua função deve processar um objeto de solicitação do Amazon Cognito e retornar as alterações que você deseja incluir.
1. Atribua sua nova função como o acionador de pré-geração de tokens da [versão dois ou três](user-pool-lambda-pre-token-generation.md#user-pool-lambda-pre-token-generation-event-versions). Os eventos da versão dois personalizam tokens de acesso para identidades de usuários. A versão três personaliza os tokens de acesso para identidades de usuários e máquinas.
**Saiba mais**
+ [Personalizar o token de acesso](user-pool-lambda-pre-token-generation.md#user-pool-lambda-pre-token-generation-accesstoken)
+ [Como personalizar tokens de acesso nos grupos de usuários do Amazon Cognito](https://aws.amazon.com/blogs/security/how-to-customize-access-tokens-in-amazon-cognito-user-pools/)
## MFA do e-mail
Grupos de usuários do Amazon Cognito podem ser configurados para usar o e-mail como o segundo fator na autenticação multifator (MFA). Com a MFA do e-mail, o Amazon Cognito pode enviar aos usuários um e-mail com um código de verificação que eles devem inserir para concluir o processo de autenticação. Isso adiciona uma importante camada a mais de segurança ao fluxo de login do usuário. Para habilitar a MFA baseada em e-mail, o grupo de usuários deve ser configurado para usar a [configuração de envio de e-mail do Amazon SES](user-pool-email.md#user-pool-email-developer) em vez da configuração de e-mail padrão.
Quando seu usuário seleciona a MFA por mensagem de e-mail, o Amazon Cognito envia um código de verificação único para o endereço de e-mail registrado do usuário sempre que ele tenta fazer login. Em seguida, o usuário deve retornar esse código ao seu grupo de usuários para concluir o fluxo de autenticação e obter acesso. Mesmo que o nome de usuário e a senha do usuário estejam comprometidos, o usuário ainda precisa fornecer um fator adicional — o código enviado por e-mail — antes de acessar os recursos da aplicação.
Para obter mais informações, consulte [MFA de mensagens SMS e e-mail](user-pool-settings-mfa-sms-email-message.md). Veja a seguir uma visão geral de como configurar seu grupo de usuários e usuários para MFA.
**Como configurar a MFA do e-mail no console do Amazon Cognito**
1. Selecione o plano de recursos Essentials ou Plus.
1. No menu **Login** do seu grupo de usuários, edite a **Autenticação multifator**.
1. Escolha o nível de **aplicação de MFA** que você deseja configurar. Com a opção **Exigir MFA**, os usuários da API recebem automaticamente um desafio para configurar, confirmar e fazer login com API MFA. Em grupos de usuários que exigem MFA, o login gerenciado solicita que eles escolham e configurem um fator de MFA. Com a **MFA opcional**, sua aplicação deve oferecer aos usuários a opção de configurar a MFA e definir a preferência do usuário pela MFA do e-mail.
1. Em **Métodos de MFA**, selecione **Mensagem de e-mail** como uma das opções.
**Saiba mais**
+ [MFA de mensagens SMS e e-mail](user-pool-settings-mfa-sms-email-message.md)
## Prevenção de reutilização de senhas
Por padrão, uma política de senhas de grupos de usuários do Amazon Cognito define os requisitos de tamanho e tipos de caracteres da senha, além da expiração temporária da senha. O plano Essentials adiciona a capacidade de aplicar o histórico de senhas. Quando um usuário tenta redefinir sua senha, seu grupo de usuários pode impedir que ele a defina com uma senha anterior. Para obter mais informações sobre a configuração da política de senha, consulte [Como adicionar requisitos de senha do grupo de usuários](managing-users-passwords.md#user-pool-settings-policies). Veja a seguir uma visão geral de como configurar o grupo de usuários com uma política de histórico de senhas.
**Como configurar o histórico de senhas no console do Amazon Cognito**
1. Selecione o plano de recursos Essentials ou Plus.
1. No menu **Métodos de autenticação** do seu grupo de usuários, localize **Política de senha** e selecione **Editar**.
1. Configure outras opções disponíveis e defina um valor para **Impedir o uso de senhas anteriores**.
**Saiba mais**
+ [Senhas, recuperação de contas e políticas de senha](managing-users-passwords.md)
## Login hospedado e servidor de autorização do login gerenciado
Os grupos de usuários do Amazon Cognito têm páginas da web opcionais que oferecem suporte às seguintes funções: um IdP do OpenID Connect (OIDC), um provedor de serviços ou parte confiável de IdPs terceiros e páginas públicas interativas com o usuário para cadastro e login. Essas páginas são chamadas coletivamente de *login gerenciado*. Quando você escolhe um domínio para seu grupo de usuários, o Amazon Cognito ativa automaticamente essas páginas. O plano Lite tem a interface hospedada, já o plano Essentials abre essa versão avançada das páginas de inscrição e login.
As páginas de login gerenciadas têm uma up-to-date interface limpa com mais recursos e opções para personalizar sua marca e estilos. O plano Essentials é o nível mais baixo do plano que desbloqueia o acesso ao login gerenciado.
**Como configurar o login gerenciado no console do Amazon Cognito**
1. No menu **Configurações**, selecione o plano de recursos Essentials ou Plus.
1. No menu **Domínio**, [atribua um domínio](cognito-user-pools-assign-domain.md) ao seu grupo de usuários e selecione uma **versão da marca** do **login gerenciado**.
1. No menu **Login gerenciado**, na guia **Estilos**, selecione **Criar um estilo** e atribua o estilo a um cliente de aplicação ou crie um novo cliente de aplicação.
**Saiba mais**
+ [Login gerenciado do grupo de usuários](cognito-user-pools-managed-login.md)
## Autenticação baseada em opções
O nível Essentials introduz um novo *fluxo de autenticação* para operações de autenticação na IU aprimorada e nas operações de API baseadas em SDK. Esse fluxo é uma *autenticação baseada em opções*. A autenticação baseada em opções é um método em que a autenticação de seus usuários começa não com uma declaração de um método de login no na aplicação, mas com uma consulta de possíveis métodos de login seguida por uma escolha. Você pode configurar seu grupo de usuários para oferecer suporte à autenticação baseada em opções e desbloquear a autenticação por nome de usuário, senha, sem senha e chave de acesso. Na API, esse é o fluxo `USER_AUTH`.
**Como configurar a autenticação baseada em opções no console do Amazon Cognito**
1. Selecione o plano de recursos Essentials ou Plus.
1. No menu **Login** do seu grupo de usuários, edite **Opções para login baseado em opções**. Selecione e configure os métodos de autenticação que você deseja habilitar na autenticação baseada em opções.
1. No menu **Métodos de autenticação** do seu grupo de usuários, edite a configuração das operações de login.
**Saiba mais**
+ [Autenticação com grupos de usuários do Amazon Cognito](authentication.md)
# Recursos do plano Plus
O plano de recursos Plus tem recursos avançados de segurança para grupos de usuários do Amazon Cognito. Esses recursos registram e analisam o contexto do usuário no runtime em busca de possíveis problemas de segurança em dispositivos, locais, dados de solicitações e senhas. Em seguida, eles reduzem os riscos potenciais com respostas automáticas que bloqueiam ou adicionam proteções de segurança às contas dos usuários. Você também pode exportar seus registros de segurança para o Amazon S3, Amazon Data Firehose ou Amazon CloudWatch Logs para análise posterior.
Ao mudar do plano Essentials para o plano Plus, você obtém todos os recursos do Essentials e os recursos adicionais a seguir. Isso inclui o conjunto de opções de segurança de proteção contra ameaças, também conhecido como *recursos avançados de segurança*. Para configurar seus grupos de usuários para se adaptarem automaticamente às ameaças em seu frontend de autenticação, escolha o plano Plus para seus grupos de usuários.
As seções a seguir apresentam uma breve visão geral dos recursos que você pode adicionar à sua aplicação com o plano Plus. Para obter informações detalhadas, consulte as páginas a seguir.
**Recursos adicionais do**
+ Autenticação adaptável: [Trabalhar com autenticação adaptável](cognito-user-pool-settings-adaptive-authentication.md)
+ Credenciais comprometidas: [Trabalhar com a detecção de credenciais comprometidas](cognito-user-pool-settings-compromised-credentials.md)
+ Exportação de log: [Exportação de logs dos grupos de usuários do Amazon Cognito](exporting-quotas-and-usage.md)
**Topics**
+ [Proteção contra ameaças: autenticação adaptável](#features-adaptive-authentication)
+ [Proteção contra ameaças: detecção de credenciais comprometidas](#features-compromised-credentials)
+ [Proteção contra ameaças: logs de atividades de usuários](#features-user-logs)
## Proteção contra ameaças: autenticação adaptável
O plano Plus inclui um recurso de *autenticação adaptável*. Quando você ativa esse recurso, seu grupo de usuários faz uma avaliação de risco de cada sessão de autenticação de usuário. Com base nas classificações de risco resultantes, você pode bloquear a autenticação ou promover a MFA para usuários que fazem login com um nível de risco acima de um limite determinado por você. Com a autenticação adaptável, seu grupo de usuários e sua aplicação bloqueiam ou configuram automaticamente a MFA para usuários com contas sob suspeita de ataque. Você também pode fornecer feedback sobre as classificações de risco do seu grupo de usuários para ajustar as avaliações futuras.
**Como configurar a autenticação adaptável no console do Amazon Cognito**
1. Selecione o plano de recursos Plus.
1. No menu **Proteção contra ameaças** do seu grupo de usuários, edite a **Autenticação padrão e personalizada** em **Proteção contra ameaças**.
1. Você pode definir o **Modo de imposição** para autenticação padrão ou personalizada como **Função completa**.
1. Em **Autenticação adaptativa**, configure respostas automáticas de risco para diferentes níveis de risco.
**Saiba mais**
+ [Trabalhar com autenticação adaptável](cognito-user-pool-settings-adaptive-authentication.md)
+ [Coletar dados para proteção contra ameaças em aplicações](user-pool-settings-viewing-threat-protection-app.md)
## Proteção contra ameaças: detecção de credenciais comprometidas
O plano Plus inclui um recurso de *detecção de credenciais comprometidas*. Esse recurso protege contra o uso de senhas inseguras e a ameaça de acesso não intencional às aplicações que essa prática cria. Quando você permite que seus usuários façam login com nome de usuário e senha, eles podem reutilizar uma senha que usaram em outro lugar. Essa senha pode ter vazado ou ser simplesmente adivinhada. Com a detecção de credenciais comprometidas, seu grupo de usuários lê as senhas enviadas pelos usuários e as compara aos bancos de dados de senhas. Se a operação resultar na decisão de que provavelmente a senha está comprometida, você pode configurar seu grupo de usuários para bloquear o login e, em seguida, iniciar uma redefinição de senha para o usuário em sua aplicação.
A detecção de credenciais comprometidas pode reagir a senhas inseguras quando novos usuários se inscrevem, quando usuários existentes fazem login e quando usuários tentam redefinir as senhas. Com esse recurso, seu grupo de usuários pode impedir ou avisar sobre o login com senhas inseguras onde quer que os usuários as insiram.
**Como configurar a detecção de credenciais comprometidas no console do Amazon Cognito**
1. Selecione o plano de recursos Plus.
1. No menu **Proteção contra ameaças** do seu grupo de usuários, edite a **Autenticação padrão e personalizada** em **Proteção contra ameaças**.
1. Você pode definir o **Modo de imposição** para autenticação padrão ou personalizada como **Função completa**.
1. Em **Credenciais comprometidas**, configure os tipos de operações de autenticação que deseja verificar e a resposta automática que o seu grupo de usuários deve gerar.
**Saiba mais**
+ [Trabalhar com a detecção de credenciais comprometidas](cognito-user-pool-settings-compromised-credentials.md)
## Proteção contra ameaças: logs de atividades de usuários
O plano Plus adiciona um recurso de log que fornece análises de segurança e detalhes das tentativas de autenticação dos usuários. Você pode ver avaliações de risco, endereços IP de usuários, agentes de usuário e outras informações sobre o dispositivo conectado à aplicação. Você pode agir com base nessas informações com os recursos integrados de proteção contra ameaças ou pode analisar os logs nos próprios sistemas e tomar as medidas apropriadas. Você pode exportar os registros da proteção contra ameaças para o Amazon S3, CloudWatch Logs ou Amazon DynamoDB.
**Como configurar o registro de atividades de usuários no console do Amazon Cognito**
1. Selecione o plano de recursos Plus.
1. No menu **Proteção contra ameaças** do seu grupo de usuários, edite a **Autenticação padrão e personalizada** em **Proteção contra ameaças**.
1. Você pode definir o **Modo de imposição** para autenticação padrão ou personalizada como **Somente auditoria**. Essa é a configuração mínima para logs. Você também pode ativá-lo no modo de **Função completa** e configurar outros recursos de proteção contra ameaças.
1. Para exportar seus registros para outra pessoa AWS service (Serviço da AWS) para análise de terceiros, **acesse o menu de streaming** de registros do seu grupo de usuários e configure um destino de exportação.
**Saiba mais**
+ [Como exportar eventos de autenticação de usuários](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-event-user-history-exporting)
+ [Exportação de logs dos grupos de usuários do Amazon Cognito](exporting-quotas-and-usage.md)
# Desativar recursos para alterar planos de recursos
Os planos de recursos adicionam opções de configuração ao seu grupo de usuários. Você pode configurar e usar esses recursos somente quando o plano de recursos relacionado estiver ativo. Por exemplo, você pode configurar a personalização do token de acesso nos planos Plus e Essentials, mas não no plano Lite. Para desativar esses recursos, você deve desativar cada componente ativo. A opção **Alternar para** no menu **Configurações** no console do Amazon Cognito notifica você sobre os recursos que devem ser desativados para alteração do plano de recursos. Neste capítulo, você pode aprender as alterações que a desativação faz na configuração do grupo de usuários e como desativar esses recursos individualmente.
**Personalização do token de acesso**
Para mudar para um plano que não inclua a personalização de tokens de acesso, você deve remover o [acionador do Lambda de pré-geração de tokens](user-pool-lambda-pre-token-generation.md#user-pool-lambda-pre-token-generation-accesstoken) do seu grupo de usuários. Para adicionar um novo acionador de pré-geração de token sem a personalização do token de acesso, atribua uma nova função ao acionador e configure-o para eventos da `V1_0`. Esses eventos de acionador da versão 1 só podem processar alterações nos tokens de ID.
Para desativar manualmente a personalização do token de acesso, remova o acionador de pré-geração do token e adicione um novo acionador da versão um.
**Proteção contra ameaças**
Para mudar para um plano sem proteção contra ameaças, desative todos os recursos do menu **Proteção contra ameaças** do seu grupo de usuários.
**Exportação de log**
Para mudar para um plano sem exportação de logs, desative essa opção no menu **Fluxo de logs** do seu grupo de usuários. Seu grupo de usuários deixa de gerar logs de atividades de usuários locais ou exportados. Você também pode enviar uma solicitação de [SetLogDeliveryConfiguration](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetLogDeliveryConfiguration.html)API que remove qualquer configuração com um `EventSource` valor de`UserActivity`.
**MFA do e-mail**
Para mudar para um plano sem MFA do e-mail, acesse o menu **Login** do seu grupo de usuários. Edite a **Autenticação multifator** e desmarque **Mensagem de e-mail** como um dos **métodos de MFA** disponíveis.