Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Controles CSPM de Security Hub para Amazon Cognito
Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Cognito. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).
## [Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar
**Categoría:** Proteger - Administración de acceso seguro
**Gravedad:** media
**Tipo de recurso:** `AWS::Cognito::UserPool`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| `SecurityMode` | El modo de aplicación obligatoria de la protección contra amenazas que el control revisa. | Cadena | `AUDIT`, `ENFORCED` | `ENFORCED` |
Este control verifica si un grupo de usuarios de Amazon Cognito tiene la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar. El control falla si el grupo de usuarios tiene la protección contra amenazas desactivada o si el modo de aplicación obligatoria no está configurado en función completa para la autenticación estándar. A menos que proporcione valores de parámetros personalizados, el CSPM de Security Hub utiliza el valor predeterminado de `ENFORCED` para el modo de aplicación establecido en función completa para la autenticación estándar.
Después de crear un grupo de usuarios de Amazon Cognito, puede activar la protección contra amenazas y personalizar las acciones que se realizan en respuesta a distintos riesgos. O puede usar el modo de auditoría para recopilar métricas sobre riesgos detectados sin aplicar ninguna mitigación de seguridad. En el modo auditoría, Threat Protection publica las métricas en Amazon CloudWatch. Puede ver las métricas después de que Amazon Cognito genere su primer evento.
### Corrección
Para obtener información sobre cómo activar la protección contra amenazas para un grupo de usuarios de Amazon Cognito, consulte [Seguridad avanzada con protección contra amenazas](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) en la *Guía del desarrollador de Amazon Cognito*.
## [Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
**Categoría:** Proteger > Gestión del acceso seguro > Autenticación sin contraseña
**Gravedad:** media
**Tipo de recurso:** `AWS::Cognito::IdentityPool`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control verifica si un grupo de identidades de Amazon Cognito está configurado para permitir identidades no autenticadas. El control falla si el acceso de invitado está activado (el parámetro `AllowUnauthenticatedIdentities` está configurado en `true`) para el grupo de identidades.
Si un grupo de identidades de Amazon Cognito permite identidades no autenticadas, el grupo de identidades proporciona AWS credenciales temporales a los usuarios que no se han autenticado a través de un proveedor de identidades (invitados). Esto crea riesgos de seguridad porque permite el acceso anónimo a los recursos. AWS Si desactivas el acceso como invitado, puedes garantizar que solo los usuarios debidamente autenticados puedan acceder a tus AWS recursos, lo que reduce el riesgo de acceso no autorizado y de posibles violaciones de seguridad. Como práctica recomendada, un grupo de identidades debe requerir autenticación a través de proveedores de identidades compatibles. Si el acceso no autenticado es necesario, es importante restringir cuidadosamente los permisos para las identidades no autenticadas y revisar y supervisar regularmente su uso.
### Corrección
Para obtener información sobre cómo desactivar el acceso de invitado para un grupo de identidades de Amazon Cognito, consulte [Activación o desactivación del acceso de invitado](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html#enable-or-disable-unauthenticated-identities) en la *Guía del desarrollador de Amazon Cognito*.
## [Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas
**Categoría:** Proteger - Administración de acceso seguro
**Gravedad:** media
**Tipo de recurso:** `AWS::Cognito::UserPool`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| `minLength` | El número mínimo de caracteres que debe contener una contraseña. | Entero | De `8` a `128` | `8 ` |
| `requireLowercase` | Requerir al menos un carácter en minúscula en una contraseña. | Booleano | `True`, `False` | `True` |
| `requireUppercase` | Requerir al menos un carácter en mayúscula en una contraseña. | Booleano | `True`, `False` | `True` |
| `requireNumbers` | Requerir al menos un número en una contraseña. | Booleano | `True`, `False` | `True` |
| `requireSymbols` | Requerir al menos un símbolo en una contraseña. | Booleano | `True`, `False` | `True` |
| `temporaryPasswordValidity` | El número máximo de días que una contraseña puede existir antes de que expire. | Entero | De `7` a `365` | `7` |
Este control verifica si la política de contraseñas de un grupo de usuarios de Amazon Cognito requiere el uso de contraseñas sólidas, basadas en configuraciones recomendadas para políticas de contraseñas. El control falla si la política de contraseñas del grupo de usuarios no exige contraseñas sólidas. Puede especificar opcionalmente valores personalizados para los ajustes de la política que el control verifica.
Las contraseñas sólidas son una práctica recomendada de seguridad para los grupos de usuarios de Amazon Cognito. Las contraseñas débiles pueden exponer las credenciales de los usuarios a sistemas que adivinan contraseñas y tratan de acceder a datos. Este es especialmente el caso de aplicaciones que están abiertas a Internet. Las políticas de contraseñas son un elemento central de la seguridad de los directorios de usuarios. Al usar una política de contraseñas, puede configurar un grupo de usuarios para exigir complejidad de contraseñas y otros ajustes que cumplan con los estándares y requisitos de seguridad.
### Corrección
Para obtener información sobre cómo crear o actualizar la política de contraseñas para un grupo de usuarios de Amazon Cognito, consulte [Cómo agregar requisitos de contraseña para grupos de usuarios](https://docs.aws.amazon.com/cognito/latest/developerguide/managing-users-passwords.html#user-pool-settings-policies) en la *Guía del desarrollador de Amazon Cognito*.
## [Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada
**Categoría:** Proteger - Administración de acceso seguro
**Gravedad:** media
**Tipo de recurso:** `AWS::Cognito::UserPool`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si un grupo de usuarios de Amazon Cognito tiene activada la protección contra amenazas con el modo de aplicación configurado en función completa para la autenticación personalizada. El control falla si el grupo de usuarios tiene deshabilitada la protección contra amenazas o si el modo de aplicación no está configurado para funcionar al máximo para la autenticación personalizada.
La protección contra amenazas, anteriormente conocida como características avanzadas de seguridad, consiste en un conjunto de herramientas de supervisión de la actividad no deseada en el grupo de usuarios y las herramientas de configuración para detener automáticamente cualquier actividad potencialmente maliciosa. Tras crear un grupo de usuarios de Amazon Cognito, puede activar la protección contra amenazas con un modo de aplicación con todas las funciones para una autenticación personalizada y personalizar las acciones que se toman en respuesta a los diferentes riesgos. El modo con todas las funciones incluye un conjunto de reacciones automáticas para detectar actividades no deseadas y contraseñas comprometidas.
### Corrección
Para obtener información sobre cómo activar la protección contra amenazas para un grupo de usuarios de Amazon Cognito, consulte [Seguridad avanzada con protección contra amenazas](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) en la *Guía del desarrollador de Amazon Cognito*.
## [Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
**Categoría:** Proteger > Gestión del acceso seguro > Autenticación multifactorial
**Gravedad:** media
**Tipo de recurso:** `AWS::Cognito::UserPool`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si un grupo de usuarios de Amazon Cognito configurado con una política de inicio de sesión solo con contraseña tiene habilitada la autenticación multifactor (MFA). El control falla si el grupo de usuarios configurado con una política de inicio de sesión solo con contraseña no tiene habilitada la MFA.
La autenticación multifactor (MFA) añade un factor de autenticación de algo que tienes al factor de algo que sabes (normalmente nombre de usuario y contraseña). Para los usuarios federados, Amazon Cognito delega la autenticación en el proveedor de identidad (IdP) y no ofrece factores de autenticación adicionales. Sin embargo, si tiene usuarios locales con autenticación por contraseña, la configuración de MFA para el grupo de usuarios aumenta su seguridad.
**nota**
Este control no se aplica a los usuarios federados ni a los usuarios que inician sesión sin contraseña.
### Corrección
*Para obtener información sobre cómo configurar MFA para un grupo de usuarios de Amazon Cognito, consulte [Añadir MFA a un grupo de usuarios en la Guía para desarrolladores](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html) de Amazon Cognito.*
## [Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones
**Categoría:** Proteger > Protección de datos > Protección contra la eliminación de datos
**Gravedad:** media
**Tipo de recurso:** `AWS::Cognito::UserPool`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si un grupo de usuarios de Amazon Cognito tiene habilitada la protección contra eliminaciones. El control falla si la protección contra la eliminación está deshabilitada para el grupo de usuarios.
La protección contra la eliminación ayuda a garantizar que su grupo de usuarios no se elimine accidentalmente. Al configurar un grupo de usuarios con protección contra la eliminación, ningún usuario puede eliminarlo. La protección contra la eliminación le impide solicitar la eliminación de un grupo de usuarios a menos que primero modifique el grupo y desactive la protección contra la eliminación.
### Corrección
Para configurar la protección contra la eliminación de un grupo de usuarios de Amazon Cognito, consulte [Protección contra la eliminación de grupos de usuarios](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-deletion-protection.html) en la Guía *para desarrolladores de Amazon Cognito*.