Asociar una ACL AWS WAF web a un grupo de usuarios - Amazon Cognito
Lo que debe saber sobre la AWS WAF web ACLs y Amazon CognitoAsociación de una ACL web con un grupo de usuariosProbar y registrar la web AWS WAF ACLs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Asociar una ACL AWS WAF web a un grupo de usuarios

AWS WAF es un firewall de aplicaciones web. Con una lista de control de acceso AWS WAF web (ACL web), puede proteger su grupo de usuarios de las solicitudes no deseadas a su interfaz de usuario alojada clásica y a los puntos finales del servicio de la API de Amazon Cognito. Una ACL web le proporciona un control detallado sobre todas las solicitudes web HTTPS a las que responde el grupo de usuarios. Para obtener más información sobre la AWS WAF web ACLs, consulte Administración y uso de una lista de control de acceso a la web (ACL web) en la Guía para AWS WAF desarrolladores.

Cuando tiene una ACL AWS WAF web asociada a un grupo de usuarios, Amazon Cognito reenvía los encabezados no confidenciales seleccionados y el contenido de las solicitudes de sus usuarios a. AWS WAF AWS WAF inspecciona el contenido de la solicitud, la compara con las reglas que especificó en su ACL web y devuelve una respuesta a Amazon Cognito.

Lo que debe saber sobre la AWS WAF web ACLs y Amazon Cognito

  • Actualmente, las reglas de ACL web solo se aplican a las solicitudes a dominios de grupos de usuarios con la versión de marca de interfaz de usuario alojada (clásica). Cuando ManagedLoginVersion configuras el inicio de sesión gestionado o tu versión de marca, Amazon Cognito no aplica las reglas en tus páginas de inicio de sesión gestionado. 2

    Para cambiar la versión de su marca para que sea compatible con la AWS WAF web ACLs, realice una de las siguientes acciones. Este cambio afecta a la apariencia y a las funciones de las páginas de inicio de sesión.

    Para obtener más información sobre las versiones de marca, consulte. Inicio de sesión administrado por un grupo de usuarios

  • No puede configurar las reglas de ACL web para que coincidan con la información de identificación personal (PII) de las solicitudes de grupos de usuarios, por ejemplo, nombres de usuario, contraseñas, números de teléfono o direcciones de correo electrónico. Estos datos no estarán disponibles para. AWS WAF En su lugar, configure las reglas de ACL web para que coincidan con los datos de sesión de los encabezados, la ruta y el cuerpo, como las direcciones IP, los agentes del navegador y las operaciones de API solicitadas.

  • Las solicitudes bloqueadas por AWS WAF no se tienen en cuenta para la cuota de solicitudes de ningún tipo de solicitud. Se llama al AWS WAF controlador antes que a los controladores de regulación a nivel de API.

  • Al crear una ACL web, pasa una pequeña cantidad de tiempo antes de que la ACL web se haya propagado por completo y esté disponible para Amazon Cognito. El tiempo de propagación puede oscilar entre unos segundos y varios minutos. AWS WAF devuelve a WAFUnavailableEntityExceptioncuando intenta asociar una ACL web antes de que se haya propagado por completo.

  • Puede asociar una ACL web con un grupo de usuarios.

  • Es posible que la solicitud dé lugar a una carga útil superior a los límites de lo que AWS WAF puede inspeccionar. Consulte Gestión de componentes de solicitudes de gran tamaño en la Guía para AWS WAF desarrolladores para obtener información sobre cómo configurar el modo en que AWS WAF gestiona las solicitudes de gran tamaño de Amazon Cognito.

  • No puede asociar una ACL web que utilice la prevención de apropiación de cuentas (ATP) de AWS WAF Fraud Control con un grupo de usuarios de Amazon Cognito. Debe implementar la característica ATP cuando agregue el grupo de reglas administrado AWS-AWSManagedRulesATPRuleSet. Antes de asociarlo a un grupo de usuarios, asegúrese de que la ACL web no utilice este grupo de reglas administrado.

  • Si tiene una ACL AWS WAF web asociada a un grupo de usuarios y una regla de su ACL web presenta un CAPTCHA, esto puede provocar un error irrecuperable en el registro del TOTP de la interfaz de usuario alojada clásica. Para crear una regla que tenga una acción de CAPTCHA y no afecte al TOTP clásico de la interfaz de usuario alojada, consulte. Configuración de su ACL AWS WAF web para el inicio de sesión gestionado en el MFA de TP

AWS WAF inspecciona las solicitudes a los siguientes puntos finales.

Interfaz de usuario alojada clásica

Solicitudes a todos los puntos de conexión en Puntos finales del grupo de usuarios y referencia de inicio de sesión gestionado.

Operaciones de la API públicas

Solicitudes de su aplicación a la API de Amazon Cognito que no utilizan AWS credenciales para autorizar. Esto incluye operaciones de API como InitiateAuthRespondToAuthChallenge, y GetUser. Las operaciones de la API que están dentro del ámbito de aplicación AWS WAF no requieren autenticación con AWS credenciales. No están autenticadas o están autorizadas con una cadena de sesión o un token de acceso. Para obtener más información, consulte Operaciones de API autenticadas y no autenticadas de los grupos de usuarios de Amazon Cognito.

Puede configurar las reglas en la ACL web con acciones de reglas como Count (Recuento), Allow (Permiso), Block (Bloque) o presentar un CAPTCHA en respuesta a una solicitud que coincide con una regla. Para obtener más información, consulte Reglas de AWS WAF en la Guía para desarrolladores de AWS WAF . Según la acción de la regla, puede personalizar la respuesta que Amazon Cognito devuelve a los usuarios.

importante

Las opciones para personalizar la respuesta de error dependen de la forma en que realice una solicitud a la API.

  • Puedes personalizar el código de error y el cuerpo de la respuesta de las solicitudes de interfaz de usuario alojadas clásicas. Solo puedes presentar un CAPTCHA para que el usuario lo resuelva en la interfaz de usuario alojada clásica.

  • Para las solicitudes que realice con la API de grupos de usuarios de Amazon Cognito, puede personalizar el cuerpo de la respuesta de una solicitud que recibe una respuesta de Bloque. También puede especificar un código de error personalizado en el intervalo de 400 a 499.

  • El AWS Command Line Interface (AWS CLI) y el AWS SDKs devuelve un ForbiddenException error a las solicitudes que generan una respuesta de bloqueo o CAPTCHA.

Asociación de una ACL web con un grupo de usuarios

Para trabajar con una ACL web en su grupo de usuarios, su director AWS Identity and Access Management (IAM) debe tener los siguientes permisos y Amazon Cognito AWS WAF . Para obtener información sobre AWS WAF los permisos, consulte los permisos de la AWS WAF API en la Guía AWS WAF para desarrolladores.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AllowWebACLUserPool",
			"Effect": "Allow",
			"Action": [
				"cognito-idp:ListResourcesForWebACL",
				"cognito-idp:GetWebACLForResource",
				"cognito-idp:AssociateWebACL"
			],
			"Resource": [
				"arn:aws:cognito-idp:*:123456789012:userpool/*"
			]
		},
		{
			"Sid": "AllowWebACLUserPoolWAFv2",
			"Effect": "Allow",
			"Action": [
				"wafv2:ListResourcesForWebACL",
				"wafv2:AssociateWebACL",
				"wafv2:DisassociateWebACL",
				"wafv2:GetWebACLForResource"
			],
			"Resource": "arn:aws:wafv2:*:123456789012:*/webacl/*/*"
		},
		{
			"Sid": "DisassociateWebACL1",
			"Effect": "Allow",
			"Action": "wafv2:DisassociateWebACL",
			"Resource": "*"
		},
		{
			"Sid": "DisassociateWebACL2",
			"Effect": "Allow",
			"Action": [
				"cognito-idp:DisassociateWebACL"
			],
			"Resource": [
				"arn:aws:cognito-idp:*:123456789012:userpool/*"
			]
		}
	]
}

Si bien debe conceder permisos de IAM, las acciones enumeradas son solo con permisos y no corresponden a una operación de la API.

Para activarlos AWS WAF para su grupo de usuarios y asociar una ACL web

  1. Inicie sesión en la consola de Amazon Cognito.

  2. En el panel de navegación, elija User Pools (Grupos de usuarios) y elija el grupo de usuarios que desea editar.

  3. Elija la AWS WAFpestaña de la sección Seguridad.

  4. Elija Editar.

  5. Seleccione Usar AWS WAF con su grupo de usuarios.

    Captura de pantalla del AWS WAF cuadro de diálogo con la opción Usar AWS WAF con el grupo de usuarios seleccionada.

  6. Elija una ACL AWS WAF web que ya haya creado o elija Crear ACL web en AWS WAF para crear una en una nueva AWS WAF sesión del AWS Management Console.

  7. Elija Guardar cambios.

Para asociar mediante programación una ACL web a su grupo de usuarios en el SDK AWS Command Line Interface o en un SDK, utilice la AssociateWebACL de la AWS WAF API. Amazon Cognito no tiene una operación de API independiente que asocie una ACL web.

Probar y registrar la web AWS WAF ACLs

Cuando estableces una acción de regla como Contar en tu ACL web, AWS WAF agrega la solicitud a un recuento de solicitudes que coinciden con la regla. Para probar una ACL web con el grupo de usuarios, establezca las acciones de reglas para Count (Recuento) y tenga en cuenta el volumen de solicitudes que coinciden con cada regla. Por ejemplo, si una regla que desea establecer en una acción de Block (Bloque) coincide con un gran número de solicitudes que usted determina que son tráfico de usuario normal, es posible que tenga que volver a configurar la regla. Para obtener más información, consulte Pruebas y ajustes de sus protecciones de AWS WAF en la Guía para desarrolladores de AWS WAF .

También puede configurarlo AWS WAF para registrar los encabezados de las solicitudes en un grupo de CloudWatch registros de Amazon Logs, un bucket de Amazon Simple Storage Service (Amazon S3) o un Amazon Data Firehose. Puede identificar las solicitudes de Amazon Cognito que realiza con la API de grupos de usuarios mediante x-amzn-cognito-client-id y x-amzn-cognito-operation-name. Las solicitudes de IU alojada solo incluyen el encabezado x-amzn-cognito-client-id. Para obtener más información, consulte Registro del tráfico de la ACL web en la Guía para desarrolladores de AWS WAF .

AWS WAF ACLs están disponibles en todos los planes de funciones de grupos de usuarios. Las funciones de seguridad AWS WAF complementan la protección contra amenazas de Amazon Cognito. Puede activar las características en un grupo de usuarios. AWS WAF factura de forma individual la inspección de las solicitudes del grupo de usuarios. Para obtener más información, consulte AWS WAF Precios.

El registro de los datos de las AWS WAF solicitudes está sujeto a una facturación adicional por parte del servicio al que dirija sus registros. Para obtener más información, consulte Precios para registrar información de tráfico de ACL web en la Guía para desarrolladores de AWS WAF .