Fonctionnalités de sécurité avancées du pool d'utilisateurs - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnalités de sécurité avancées du pool d'utilisateurs

Une fois que vous avez créé votre groupe d’utilisateurs, vous avez accès à l’option Advanced security (Sécurité avancée) dans la barre de navigation de la console Amazon Cognito. Vous pouvez activer les fonctions de sécurité avancée des groupes d’utilisateurs et personnaliser les actions exécutées en réponse à différents risques. Ou vous pouvez utiliser le mode audit pour collecter des métriques sur les risques détectés sans qu’une atténuation de sécurité ne soit déclenchée. En mode audit, les fonctionnalités de sécurité avancées publient des métriques sur Amazon CloudWatch. Vous pouvez consulter des mesures de sécurité avancées une fois qu’Amazon Cognito a généré son premier événement de sécurité avancée. Consultez Afficher les indicateurs de protection contre les menaces.

Une tarification supplémentaire s'applique pour les fonctions de sécurité avancée . Pour plus d'informations, consultez la tarification d'Amazon Cognito.

Les options de groupe d'utilisateurs suivantes sont les composantes des fonctionnalités de sécurité avancées.

Personnalisation du jeton d’accès

Lorsque vous activez les fonctionnalités de sécurité avancées, vous pouvez configurer votre groupe d’utilisateurs pour qu’il accepte les réponses à un événement déclencheur Lambda version 2. Avec la version 2, vous pouvez personnaliser les portées et autres demandes des jetons d’accès. Cela augmente votre capacité à créer des résultats d’autorisation flexibles lorsque vos utilisateurs s’authentifient. Pour de plus amples informations, veuillez consulter Personnalisation du jeton d’accès.

Protection contre les menaces

La protection contre les menaces est un ensemble d'outils de surveillance des activités indésirables dans votre groupe d'utilisateurs et d'outils de configuration permettant de mettre fin automatiquement aux activités potentiellement malveillantes. La protection contre les menaces propose différentes options de configuration pour les opérations d'authentification standard et personnalisées. Par exemple, vous souhaiterez peut-être envoyer une notification à un utilisateur dont l'authentification personnalisée est suspecte, lorsque vous avez défini des facteurs de sécurité supplémentaires, mais que vous bloquez un utilisateur présentant le même niveau de risque grâce à une authentification de base par nom d'utilisateur/mot de passe.

Informations d’identification compromises

Les utilisateurs réutilisent les mots de passe de plusieurs comptes utilisateurs. La fonctionnalité des informations d’identification compromises d’Amazon Cognito compile les données issues de fuites publiques de noms d’utilisateur et de mots de passe et compare les informations d’identification de vos utilisateurs à des listes d’informations d’identification divulguées. La détection des informations d’identification compromises permet également de vérifier les mots de passe les plus courants. Vous pouvez vérifier la présence d'informations d'identification compromises dans les flux d'authentification username-and-password standard des groupes d'utilisateurs. Amazon Cognito ne détecte pas les informations d'identification compromises dans le mot de passe à distance sécurisé (SRP) ou dans l'authentification personnalisée.

Vous pouvez choisir les actions de l’utilisateur qui invitent à vérifier la présence d’informations d’identification compromises et l’action que vous souhaitez qu’Amazon Cognito entreprenne en réponse. Pour les événements de connexion, d’inscription et de changement de mot de passe, Amazon Cognito peut Bloquer la connexion ou Autoriser la connexion. Dans les deux cas, Amazon Cognito génère un journal d'activité utilisateur dans lequel vous pouvez trouver plus d'informations sur l'événement.

Authentification adaptative

Amazon Cognito peut consulter les informations de localisation et d’appareil issues des demandes de connexion de vos utilisateurs et appliquer une réponse automatique pour protéger les comptes utilisateurs de votre groupe d’utilisateurs contre toute activité suspecte. Vous pouvez surveiller l'activité des utilisateurs et automatiser les réponses aux niveaux de risque détectés en termes de nom d'utilisateur/mot de passe et d'SRPauthentification personnalisée.

Lorsque vous activez la sécurité avancée, Amazon Cognito attribue un score de risque aux activités utilisateur. Vous pouvez attribuer une réponse automatique aux activités suspectes : vous pouvez exiger MFA, bloquer la connexion ou simplement enregistrer les détails de l'activité et le score de risque. Vous pouvez également envoyer automatiquement des e-mails pour informer votre utilisateur de l’activité suspecte afin qu’il puisse réinitialiser son mot de passe ou prendre d’autres mesures autonomes.

Liste d'adresses IP autorisées et listes de refus

Avec les fonctionnalités de sécurité avancées d’Amazon Cognito en mode Fonction complet, vous pouvez créer des exceptions Toujours bloquer et Toujours autoriser pour l’adresse IP. Une session à partir d’une adresse IP figurant dans la liste d’exceptions Always block (Toujours bloquer) ne se voit pas attribuer de niveau de risque par authentification adaptative et ne peut pas se connecter à votre groupe d’utilisateurs.

Exportation du journal

Les fonctionnalités de sécurité avancées enregistrent les détails détaillés des demandes d'authentification des utilisateurs dans votre groupe d'utilisateurs. Ces journaux contiennent des évaluations des menaces, des informations sur les utilisateurs et des métadonnées de session telles que l'emplacement et l'appareil. Vous pouvez créer des archives externes de ces journaux à des fins de conservation et d'analyse. Les groupes d'utilisateurs d'Amazon Cognito exportent les journaux de protection contre les menaces vers Amazon S3, CloudWatch Logs et Amazon Data Firehose. Pour de plus amples informations, veuillez consulter Afficher et exporter l'historique des événements utilisateur.

Courrier électronique MFA

Étendez les fonctionnalités d'authentification MFA multifactorielle () de votre groupe d'utilisateurs. Par défaut, les groupes d'utilisateurs peuvent générer des codes dans un SMS message ou à l'aide d'un mot de passe à usage unique (TOTP) privé et temporel que vous partagez avec les applications d'authentification des utilisateurs. Grâce à des fonctionnalités de sécurité avancées et à une configuration d'SESenvoi d'e-mails Amazon, vous pouvez activer le courrier électronique MFA pour les utilisateurs du groupe d'utilisateurs, définir le courrier électronique comme MFA méthode préférée et envoyer MFA des codes à l'adresse e-mail d'un utilisateur. Pour de plus amples informations, veuillez consulter Courrier électronique MFA.

Prévention de la réutilisation des mots

Les utilisateurs peuvent faire des allers-retours entre quelques mots de passe mémorisés. La détection des identifiants compromis dans le cadre de la protection contre les menaces peut atténuer certains des effets à long terme d'une mauvaise gestion des mots de passe. Une politique d'historique des mots de passe s'occupe du reste. Grâce à la prévention de la réutilisation des mots de passe, vous pouvez comparer les nouveaux mots de passe des utilisateurs à leurs n derniers mots de passe, jusqu'à 24, et bloquer l'opération de réinitialisation des mots de passe en cas de correspondance.

Considérations et limites relatives aux fonctionnalités de sécurité avancées

Les options de protection contre les menaces diffèrent selon les flux d'authentification

Amazon Cognito prend en charge à la fois l'authentification adaptative et la détection des informations d'identification compromises avec les flux d'authentification et. USER_PASSWORD_AUTH ADMIN_USER_PASSWORD_AUTH Vous ne pouvez activer que l'authentification adaptative pourUSER_SRP_AUTH. Vous ne pouvez pas utiliser la protection contre les menaces avec la connexion fédérée.

Bloquez toujours les quotas de IPs contribution aux demandes

Les demandes bloquées à partir des adresses IP figurant dans une liste d’exceptions Always block (Toujours bloquer) dans votre groupe d’utilisateurs contribuent aux quotas de taux de demande pour vos groupes d’utilisateurs.

La protection contre les menaces n'applique pas de limites de taux

Certains trafics malveillants se caractérisent par un volume élevé de requêtes, comme les attaques par déni de service distribué (DDoS). Les évaluations de risque qu'Amazon Cognito applique au trafic entrant sont établies par demande et ne tiennent pas compte du volume de demandes. Les demandes individuelles dans le cadre d'un événement à volume élevé peuvent recevoir un score de risque et une réponse automatique pour des raisons liées à la couche applicative qui ne sont pas liées à leur rôle dans une attaque volumétrique. Pour mettre en œuvre des défenses contre les attaques volumétriques dans vos groupes d'utilisateurs, ajoutez le AWS WAF WebACLs. Pour de plus amples informations, veuillez consulter Associer un AWS WAF site Web ACL à un groupe d'utilisateurs.

La protection contre les menaces n'affecte pas les demandes M2M

Les autorisations d'identification des clients sont destinées à une autorisation machine-to-machine (M2M) sans connexion aux comptes utilisateurs. Des fonctions de sécurité avancée surveillent uniquement les comptes utilisateurs et les mots de passe de votre groupe d’utilisateurs. Pour implémenter des fonctionnalités de sécurité dans votre activité M2M, considérez les capacités de surveillance AWS WAF des taux de demandes et du contenu. Pour de plus amples informations, veuillez consulter Associer un AWS WAF site Web ACL à un groupe d'utilisateurs.

Activation des fonctionnalités de sécurité avancées

Amazon Cognito user pools console
Pour activer les fonctionnalités de sécurité avancées pour un groupe d'utilisateurs
  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, entrez vos AWS informations d'identification.

  2. Choisissez Groupes d’utilisateurs.

  3. Choisissez un groupe d’utilisateurs existant dans la liste ou créez-en un.

  4. Choisissez l'onglet Sécurité avancée, puis sélectionnez Activer.

  5. Sélectionnez Enregistrer les modifications.

API

Définissez les fonctionnalités de sécurité avancées actives dans une UpdateUserPoolAPIdemande CreateUserPoolOR. L'exemple de corps de demande partiel suivant définit les fonctionnalités de sécurité avancées en mode pleine fonction. Pour un exemple de demande complet, consultez la section Exemples.

"UserPoolAddOns": { "AdvancedSecurityMode": "ENFORCED" }