Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Recomendaciones de seguridad para la arquitectura de varios inquilinos Para garantizar que su aplicación sea más segura le recomendamos lo siguiente: + Valide la tenencia en la aplicación con Amazon Verified Permissions. Cree políticas que examinen los derechos del grupo de usuarios, los clientes de aplicaciones, los grupos o los atributos personalizados antes de permitir la solicitud de un usuario en su aplicación. AWS creó [fuentes de identidad](https://docs.aws.amazon.com/verifiedpermissions/latest/userguide/identity-providers.html) de permisos verificados teniendo en cuenta los grupos de usuarios de Amazon Cognito. Verified Permissions incluye una [guía adicional](https://docs.aws.amazon.com/verifiedpermissions/latest/userguide/design-multi-tenancy-considerations.html) para la administración de la multitenencia. + Use únicamente una dirección de correo electrónico verificada para autorizar el acceso de usuario a un inquilino en función de la coincidencia de dominio. No confíe en las direcciones de correo electrónico y los números de teléfono a menos que su aplicación las verifique o que el IdP externo proporcione una prueba de verificación. Para obtener más detalles sobre la configuración de estos permisos, consulte [Permisos y ámbitos de los atributos](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-attributes.html#user-pool-settings-attribute- permissions-and-scopes.html). + Utilice atributos *inmutables* o de solo lectura para los atributos personalizados de perfil de usuario que identifiquen a los inquilinos. Solo puede establecer el valor de los atributos inmutables al crear un usuario o cuando un usuario se registre en su grupo de usuarios. Además, proporcione a los clientes de aplicaciones acceso de solo lectura a los atributos. + Aplique una asignación de uno a uno entre el IdP externo de un inquilino y el cliente de aplicación para evitar el acceso no autorizado entre inquilinos. Un usuario que ha sido autenticado por un IdP externo y que tiene una cookie de sesión de Amazon Cognito válida, puede acceder a otras aplicaciones de inquilino que confían en el mismo IdP. + Al implementar la lógica de autorización y coincidencia de inquilinos en la aplicación, asegúrese de que los propios usuarios no puedan modificar los criterios utilizados para autorizar el acceso de los usuarios a los inquilinos. Además, si se está utilizando un IdP externo para la federación, restrinja a los administradores de proveedores de identidad de los inquilinos para que no puedan modificar el acceso de usuarios.