Erweiterte Sicherheitsfunktionen für den Benutzerpool - Amazon Cognito

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erweiterte Sicherheitsfunktionen für den Benutzerpool

Nachdem Sie einen Benutzerpool erstellt haben, haben Sie Zugriff auf Advanced security (Erweiterte Sicherheit) auf der Navigationsleiste in der Amazon-Cognito-Konsole. Sie können die erweiterten Sicherheitsfunktionen für den Benutzerpool aktivieren und die Aktionen anpassen, die als Reaktion auf verschiedenen Risiken ausgeführt werden. Sie können auch den Prüfmodus verwenden, um Metriken zu erkannten Risiken zu erfassen, ohne Sicherheitsminderungen anzuwenden. Im Auditmodus veröffentlichen die erweiterten Sicherheitsfunktionen Metriken auf Amazon CloudWatch. Sie können erweiterte Sicherheitsmetriken einsehen, nachdem Amazon Cognito sein erstes erweitertes Sicherheitsereignis generiert hat. Siehe Metriken zum Schutz vor Bedrohungen anzeigen.

Für die erweiterten Sicherheitsfunktionen von fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter Amazon Cognito Cognito-Preise.

Die folgenden Benutzerpool-Optionen sind Bestandteile erweiterter Sicherheitsfunktionen.

Anpassen von Zugriffs-Token

Wenn Sie erweiterte Sicherheitsfunktionen aktivieren, können Sie Ihren Benutzerpool so konfigurieren, dass Antworten auf ein Lambda-Trigger-Ereignis der Version 2 akzeptiert werden. Mit Version 2 können Sie Bereiche und andere Ansprüche in Zugriffs-Token anpassen. So erzielen Sie mehr Flexibilität für Benutzerauthentisierungen. Weitere Informationen finden Sie unter Anpassen des Zugriffs-Token.

Schutz vor Bedrohungen

Beim Bedrohungsschutz handelt es sich um eine Reihe von Tools zur Überwachung unerwünschter Aktivitäten in Ihrem Benutzerpool und Konfigurationstools zur automatischen Abschaltung potenziell bösartiger Aktivitäten. Der Bedrohungsschutz bietet verschiedene Konfigurationsoptionen für standardmäßige und benutzerdefinierte Authentifizierungsvorgänge. Möglicherweise möchten Sie beispielsweise eine Benachrichtigung an einen Benutzer mit einer verdächtigen benutzerdefinierten Authentifizierung senden, für den Sie zusätzliche Sicherheitsfaktoren eingerichtet haben, aber einen Benutzer mit derselben Risikostufe mit einfacher Benutzername/Kennwortauthentifizierung blockieren.

Kompromittierte Anmeldeinformationen

Benutzer verwenden Passwörter für mehrere Benutzerkonten erneut. Die Funktion für kompromittierte Anmeldeinformationen von Amazon Cognito kompiliert Daten aus öffentlich zugänglichen Benutzernamen und Passwörtern und vergleicht die Anmeldeinformationen Ihrer Benutzer mit Listen von offengelegten Anmeldeinformationen. Die Erkennung kompromittierter Anmeldeinformationen sucht auch nach häufig erratenen Passwörtern. Sie können in username-and-password Standardauthentifizierungsabläufen in Benutzerpools nach kompromittierten Anmeldeinformationen suchen. Amazon Cognito erkennt keine kompromittierten Anmeldedaten bei sicherem Remote-Passwort (SRP) oder benutzerdefinierter Authentifizierung.

Sie können die Benutzeraktionen auswählen, die eine Überprüfung auf kompromittierte Anmeldeinformationen veranlassen, sowie die Aktion, die Amazon Cognito als Reaktion darauf durchführen soll. Bei Anmelde-, Registrierungs- und Kennwortänderungsereignissen kann Amazon Cognito die Anmeldung blockieren oder die Anmeldung zulassen. In beiden Fällen generiert Amazon Cognito ein Benutzeraktivitätsprotokoll, in dem Sie weitere Informationen zu dem Ereignis finden.

Adaptive Authentifizierung

Amazon Cognito kann Standort- und Geräteinformationen aus Anmeldeanfragen Ihrer Benutzer überprüfen und automatisch reagieren, um die Benutzerkonten in Ihrem Benutzerpool vor verdächtigen Aktivitäten zu schützen. Sie können Benutzeraktivitäten überwachen und Reaktionen auf erkannte Risikostufen mithilfe von Benutzername/Passwort und SRP benutzerdefinierter Authentifizierung automatisieren.

Wenn Sie die erweiterte Sicherheit aktivieren, weist Amazon Cognito der Benutzeraktivität eine Risikobewertung zu. Sie können verdächtigen Aktivitäten eine automatische Reaktion zuweisen: Sie können die Anmeldung verlangen MFA, blockieren oder einfach die Aktivitätsdetails und die Risikobewertung protokollieren. Sie können Ihren Benutzer auch automatisch per E-Mail über die verdächtige Aktivität informieren, so dass er sein Passwort zurücksetzen oder andere selbstgesteuerte Maßnahmen ergreifen kann.

Liste der zugelassenen und verweigerten IP-Adressen

Mit den erweiterten Sicherheitsfunktionen von Amazon Cognito im Modus Vollständige Funktion können Sie für die IP-Adresse die Ausnahmen Immer blockieren und Immer zulassen erstellen. Einer Sitzung von einer IP-Adresse auf der Ausnahmeliste Immer blockieren wird durch adaptive Authentifizierung keine Risikostufe zugewiesen und kann sich nicht bei Ihrem Benutzerpool anmelden.

Export von Protokollen

Erweiterte Sicherheitsfunktionen protokollieren detaillierte Details der Authentifizierungsanfragen von Benutzern in Ihrem Benutzerpool. Diese Protokolle enthalten Bedrohungsbeurteilungen, Benutzerinformationen und Sitzungsmetadaten wie Standort und Gerät. Sie können externe Archive dieser Protokolle zur Aufbewahrung und Analyse erstellen. Amazon Cognito Cognito-Benutzerpools exportieren Bedrohungsschutzprotokolle nach Amazon S3, CloudWatch Logs und Amazon Data Firehose. Weitere Informationen finden Sie unter Benutzerereignisverlauf anzeigen und exportieren.

E-Mail MFA

Erweitern Sie die Funktionen für die Multi-Faktor-Authentifizierung (MFA) Ihres Benutzerpools. Standardmäßig können Benutzerpools Codes in einer SMS Nachricht oder mit einem privaten zeitbasierten Einmalkennwort (TOTP) generieren, den Sie mit den Authentifikator-Apps der Benutzer teilen. Mit erweiterten Sicherheitsfunktionen und einer SESE-Mail-Versandkonfiguration von Amazon können Sie E-Mails MFA für Benutzer im Benutzerpool aktivieren, E-Mail als bevorzugte MFA Methode festlegen und MFA Codes an die E-Mail-Adresse eines Benutzers senden. Weitere Informationen finden Sie unter E-Mail MFA.

Verhinderung der Wiederverwendung von Passwörtern

Benutzer wechseln möglicherweise zwischen einigen gespeicherten Passwörtern hin und her. Die Erkennung kompromittierter Anmeldeinformationen beim Schutz vor Bedrohungen kann einige der langfristigen Auswirkungen einer schlechten Passwortverwaltung abmildern. Um den Rest kümmert sich eine Richtlinie zur Kennworthistorie. Mit der Verhinderung der Wiederverwendung von Passwörtern können Sie die neuen Passwörter von Benutzern mit ihren letzten n Passwörtern (bis zu 24) vergleichen und den Vorgang zum Zurücksetzen des Kennworts blockieren, wenn eine Übereinstimmung gefunden wird.

Überlegungen und Einschränkungen für erweiterte Sicherheitsfunktionen

Die Optionen zum Schutz vor Bedrohungen unterscheiden sich je nach Authentifizierungsablauf

Amazon Cognito unterstützt sowohl die adaptive Authentifizierung als auch die Erkennung kompromittierter Anmeldeinformationen mit den Authentifizierungsabläufen und. USER_PASSWORD_AUTH ADMIN_USER_PASSWORD_AUTH Sie können nur die adaptive Authentifizierung für aktivieren. USER_SRP_AUTH Sie können den Bedrohungsschutz nicht mit föderierter Anmeldung verwenden.

Beiträge zur Anforderung von Kontingenten immer blockieren IPs

Blockierte Anfragen von IP-Adressen auf einer Ausnahmeliste Immer blockieren in Ihrem Benutzerpool trägt zu den Anforderungsratenkontingenten für Ihre Benutzerpools bei.

Beim Bedrohungsschutz gelten keine Ratenbegrenzungen

Ein Teil des böswilligen Datenverkehrs zeichnet sich durch ein hohes Anforderungsvolumen aus, wie z. B. Distributed-Denial-of-Service (DDoS) -Angriffe. Die Risikoeinstufungen, die Amazon Cognito auf eingehenden Datenverkehr anwendet, gelten pro Anfrage und berücksichtigen nicht das Anforderungsvolumen. Einzelne Anfragen in einem Ereignis mit hohem Volumen können aus Gründen auf Anwendungsebene, die nichts mit ihrer Rolle bei einem volumetrischen Angriff zu tun haben, mit einer Risikobewertung und einer automatisierten Antwort versehen werden. Um Schutzmaßnahmen gegen volumetrische Angriffe in Ihren Benutzerpools zu implementieren, fügen Sie Web hinzu. AWS WAF ACLs Weitere Informationen finden Sie unter Eine AWS WAF Website ACL einem Benutzerpool zuordnen.

Der Bedrohungsschutz wirkt sich nicht auf M2M-Anfragen aus

Die Gewährung von Kundenanmeldedaten ist für die machine-to-machine (M2M-) Autorisierung ohne Verbindung zu Benutzerkonten vorgesehen. Die erweiterten Sicherheits-Features überwachen nur Benutzerkonten und Passwörter in Ihrem Benutzerpool. Um Sicherheitsfunktionen in Ihre M2M-Aktivität zu integrieren, sollten Sie die Funktionen AWS WAF zur Überwachung von Anforderungsraten und Inhalten in Betracht ziehen. Weitere Informationen finden Sie unter Eine AWS WAF Website ACL einem Benutzerpool zuordnen.

Erweiterte Sicherheitsfunktionen aktivieren

Amazon Cognito user pools console
Um erweiterte Sicherheitsfunktionen für einen Benutzerpool zu aktivieren
  1. Melden Sie sich bei der Amazon-Cognito-Konsole an. Wenn Sie dazu aufgefordert werden, geben Sie Ihre AWS Anmeldeinformationen ein.

  2. Wählen Sie User Pools (Benutzerpools) aus.

  3. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus oder erstellen Sie einen neuen Benutzerpool.

  4. Wählen Sie die Registerkarte Erweiterte Sicherheit und dann Aktivieren aus.

  5. Wählen Sie Änderungen speichern.

API

Aktivieren Sie erweiterte Sicherheitsfunktionen in einer CreateUserPoolUpdateUserPoolAPIOder-Anfrage. Im folgenden Teil des Anfragetextes werden erweiterte Sicherheitsfunktionen in den Vollfunktionsmodus versetzt. Ein vollständiges Beispiel für eine Anfrage finden Sie unter Beispiele.

"UserPoolAddOns": { "AdvancedSecurityMode": "ENFORCED" }