本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用者集區功能計劃
<a name="cognito-sign-in-feature-plans"></a>

了解成本是準備實作 Amazon Cognito 使用者集區身分驗證的關鍵步驟。Amazon Cognito 具有使用者集區的功能計劃。每個計劃都有一組功能和每個作用中使用者的每月成本。每個功能計劃都會解鎖存取比之前更多的功能。

使用者集區具有您可以開啟和關閉的各種功能。例如，您可以開啟多重要素驗證 (MFA) 並關閉第三方身分提供者 (IdPs登入。有些變更需要您切換功能計劃。使用者集區的下列特性會決定每月 AWS 向您收取用量的費用。
+ 您選擇的功能
+ 您的應用程式對使用者集區 API 發出的每秒請求數
+ 每月具有身分驗證、更新或查詢活動的使用者數量，也稱為[每月作用中使用者](quotas.md#monthly-active-users)或 MAUs
+ 第三方 SAML 2.0 或 OpenID Connect (OIDC) IdPs每月作用中使用者數量
+ 為machine-to-machine授權執行用戶端憑證授予的應用程式用戶端和使用者集區數量

如需使用者集區定價的最新資訊，請參閱 [Amazon Cognito 定價](https://aws.amazon.com/cognito/pricing)。

特徵計劃選擇適用於一個使用者集區。相同 中的不同使用者集區 AWS 帳戶 可以有不同的計劃選擇。您無法將個別的功能計劃套用至使用者集區中的應用程式用戶端。新使用者集區的預設計劃選擇是 Essentials。

您可以隨時在功能計劃之間切換，以符合應用程式的需求。計劃之間的某些變更需要您關閉作用中的功能。如需詳細資訊，請參閱[關閉功能以變更功能計劃](feature-plans-deactivate.md)。使用者集區功能計劃

**Lite**  
Lite 是一種低成本的功能計劃，適用於每月作用中使用者數量較低的使用者集區。該計劃適用於具有基本身分驗證功能的使用者目錄。它包含登入功能和傳統託管 UI，這是較精簡、較不自訂的受管登入前身。Lite 計劃不包含許多較新的功能，例如存取金鑰自訂和通行金鑰驗證。

**基本概念**  
Essentials 具有所有最新的使用者集區身分驗證功能。無論您的登入頁面是受管登入或自訂建置，此計劃都會為您的應用程式新增新選項。Essentials 具有進階身分驗證功能，例如以[選擇為基礎的登入](authentication-flows-selection-sdk.md#authentication-flows-selection-choice)和[電子郵件 MFA](user-pool-settings-mfa-sms-email-message.md)。

**Plus**  
此外， 包含 Essentials 計畫中的所有內容，並新增進階安全功能來保護您的使用者。監控使用者登入、註冊和密碼管理請求是否有入侵指標。例如，使用者集區可以偵測使用者是從非預期的位置登入，還是使用屬於公開違規的密碼。  
具有 Plus 計畫的使用者集區會產生使用者活動詳細資訊和風險評估的日誌。當您將日誌匯出到外部服務時，您可以將自己的用量和安全性分析套用至這些日誌。

**注意**  
先前，某些使用者集區功能已包含在*進階安全功能*定價結構中。此結構中包含的功能現在在 Essentials 或 Plus 計劃下。

**Topics**
+ [選取功能計劃](#cognito-sign-in-feature-plans-choose)
+ [依計劃列出的功能](#cognito-sign-in-feature-plans-list)
+ [Essentials 計劃功能](feature-plans-features-essentials.md)
+ [Plus 計劃功能](feature-plans-features-plus.md)
+ [關閉功能以變更功能計劃](feature-plans-deactivate.md)

## 選取功能計劃
<a name="cognito-sign-in-feature-plans-choose"></a>

------
#### [ AWS 管理主控台 ]

選擇功能計劃

1. 前往 [Amazon Cognito 主控台](https://console.aws.amazon.com/cognito/home)。如果出現提示，請輸入您的 AWS 登入資料。

1. 選擇 **User Pools** (使用者集區)。

1. 從清單中選擇現有的使用者集區，或建立使用者集區。

1. 選取**設定**選單並檢閱**功能計劃**索引標籤。

1. 檢閱 Lite、Essentials 和 Plus 計劃中可供您使用的功能。

1. 若要變更您的計劃，請選取**切換到基本**設定或**切換到 Plus**。若要切換到 **Lite** 計劃，請選擇**其他計劃**，然後**與 Lite 比較**。

1. 在下一個畫面上，檢閱您的選擇，然後選取**確認**。

------
#### [ CLI/API/SDK ]

[CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html) 和 [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html) 操作會在 `UserPoolTier` 參數中設定您的功能計劃。當您未指定 的值時`UserPoolTier`，您的使用者集區會預設為 `Essentials`。如果您將 `AdvancedSecurityMode` 設定為 `AUDIT`或 `ENFORCED`，則使用者集區層必須是 `PLUS`，並且在未指定`PLUS`時預設為 。

如需語法，請參閱 [ CreateUserPool 中的範例](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html#API_CreateUserPool_Examples)。如需各種程式設計語言的 AWS SDKs中此函數的連結，[請參閱 CreateUserPool 中的 ](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html#API_CreateUserPool_SeeAlso)。

```
"UserPoolTier": "PLUS"
```

在 中 AWS CLI，此選項是`--user-pool-tier`引數。

```
--user-pool-tier PLUS
```

如需詳細資訊，請參閱 AWS CLI 命令參考中的 [create-user-pool](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/create-user-pool.html) 和 [update-user-pool](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/update-user-pool.html)。

------

## 依計劃列出的功能
<a name="cognito-sign-in-feature-plans-list"></a>


**使用者集區中的功能和計劃**  

| 功能 | Description | 特徵計劃 | 
| --- | --- | --- | 
| 防止不安全的密碼 | 在執行時間檢查純文字密碼是否有入侵指標 | Plus | 
| 防止惡意登入嘗試 | 在執行時間檢查工作階段屬性是否有入侵指標 | Plus | 
| 記錄和分析使用者活動 | 產生使用者身分驗證工作階段屬性和風險分數的日誌 | Plus | 
| 匯出使用者活動日誌 | 將使用者工作階段和風險日誌推送至外部 AWS 服務 | Plus | 
| 使用視覺化編輯器自訂受管登入頁面 | 使用 Amazon Cognito 主控台中的視覺化編輯器，將品牌和風格套用至受管登入頁面 | 基本 \+ Plus | 
| 具有電子郵件一次性代碼的 MFA | 請求或要求本機使用者在使用者名稱驗證後提供額外的電子郵件訊息登入因素 | 基本 \+ Plus | 
| 在執行時間自訂存取權杖範圍和宣告 | 使用 Lambda 觸發來擴展使用者集區存取字符的授權功能 | 基本 \+ Plus | 
| 使用一次性代碼的無密碼登入 | 允許使用者透過電子郵件或簡訊接收一次性密碼作為其第一個身分驗證因素 | 基本 \+ Plus | 
| 使用硬體或軟體 FIDO2 驗證器的通行金鑰登入 | 允許使用者使用存放在 FIDO2 驗證器上的密碼編譯金鑰作為其第一個身分驗證因素 | 基本 \+ Plus | 
| 註冊和登入 | 執行身分驗證操作，並讓新使用者註冊應用程式中的帳戶。 | Lite \+ Essentials \+ Plus | 
| 使用者群組 | 建立使用者的邏輯分組，並為身分集區操作指派預設 IAM 角色。 | Lite \+ Essentials \+ Plus | 
| 使用社交、SAML 和 OIDC 供應商登入 | 提供使用者直接登入的選項，或使用他們偏好的供應商登入。 | Lite \+ Essentials \+ Plus | 
| OAuth 2.0/OIDC 授權伺服器 | 做為 OIDC 發行者。 | Lite \+ Essentials \+ Plus | 
| 登入頁面 | 用於身分驗證的網頁託管集合。受管登入可在 Essentials 和 Plus 層中使用。傳統託管 UI 適用於所有功能層。 | Lite \+ Essentials \+ Plus | 
| 密碼、自訂、refresh-token 和 SRP 身分驗證 | 在您的應用程式中提示使用者輸入使用者名稱和密碼。 | Lite \+ Essentials \+ Plus | 
| 具有用戶端憑證Machine-to-machine(M2M) | 發出存取權杖以授權非人類實體。 | Lite \+ Essentials \+ Plus | 
| 搭配資源伺服器的 API 授權 | 使用授權存取外部系統的自訂範圍發行存取權杖。 | Lite \+ Essentials \+ Plus | 
| 使用者匯入 | 從 CSV 檔案設定匯入任務，並在使用者登入時執行just-in-time遷移。 | Lite \+ Essentials \+ Plus | 
| MFA 搭配驗證器應用程式和 SMS 一次性代碼 | 請求或要求本機使用者在使用者名稱驗證後提供額外的簡訊或驗證器應用程式登入因素 | Lite \+ Essentials \+ Plus | 
| 在執行時間自訂 ID 字符範圍和宣告 | 使用 Lambda 觸發來擴展使用者集區身分 (ID) 字符的身分驗證功能 | Lite \+ Essentials \+ Plus | 
| 使用 Lambda 觸發器的自訂執行時間動作 | 使用執行外部動作和影響身分驗證的 Lambda 函數，在執行時間自訂登入程序 | Lite \+ Essentials \+ Plus | 
| 使用 CSS 自訂受管登入頁面 | 下載 CSS 範本並變更受管登入頁面中的某些樣式 | Lite \+ Essentials \+ Plus |