Utiliser les fonctions de sécurité des groupes d’utilisateurs Amazon Cognito - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser les fonctions de sécurité des groupes d’utilisateurs Amazon Cognito

Vous souhaiterez peut-être protéger votre application contre les intrusions sur le réseau, le devinage de mots de passe, l'usurpation d'identité d'un utilisateur et les inscriptions et connexions malveillantes. Votre configuration des fonctionnalités de sécurité des groupes d'utilisateurs Amazon Cognito peut constituer un élément clé de votre architecture de sécurité. La sécurité de votre application relève de la responsabilité du client (« Sécurité dans le cloud »), comme décrit dans le modèle de responsabilité AWS partagée. Les outils présentés dans ce chapitre contribuent à ce que la conception de la sécurité de votre application soit conforme à ces objectifs.

L'une des décisions importantes que vous devez prendre lorsque vous configurez votre groupe d'utilisateurs est d'autoriser ou non l'inscription et la connexion publiques. Certaines options de pool d'utilisateurs, telles que les clients confidentiels, la création administrative et la confirmation des utilisateurs, et les groupes d'utilisateurs sans domaine, sont soumises dans une moindre mesure aux attaques sur Internet. Cependant, un cas d'utilisation courant est celui des clients publics qui acceptent l'inscription de n'importe qui sur Internet et envoient toutes les opérations directement à votre groupe d'utilisateurs. Quelle que soit la configuration, mais particulièrement dans le cas de ces configurations publiques, nous vous recommandons de planifier et de déployer votre groupe d'utilisateurs en tenant compte des fonctionnalités de sécurité. Une sécurité insuffisante peut également affecter votre AWS facture lorsque des sources indésirables créent de nouveaux utilisateurs actifs ou tentent d'exploiter des utilisateurs existants.

MFAet les fonctionnalités de sécurité avancées s'appliquent aux utilisateurs locaux. IdPs Les tiers sont responsables du niveau de sécurité des utilisateurs fédérés.

Fonctionnalités de sécurité des groupes d'utilisateurs
Authentification multifactorielle () MFA

Demandez un code que votre groupe d'utilisateurs enverra par SMS message ou via une application d'authentification pour confirmer la connexion au groupe d'utilisateurs.

Fonctionnalités de sécurité avancées

Surveillez la connexion pour détecter les indicateurs de risque et appliquez MFA ou bloquez la connexion. Ajoutez des revendications et des champs d'application personnalisés aux jetons d'accès. Envoyez MFA les codes par e-mail.

AWS WAF web ACLs

Inspectez le trafic entrant vers les points de terminaison de votre groupe d'utilisateurs et authentifiez-vous API pour détecter toute activité indésirable au niveau du réseau et des couches applicatives.

Sensibilité majuscules/minuscules

Empêchez la création d'utilisateurs dont l'adresse e-mail ou le nom d'utilisateur préféré sont identiques à ceux d'un autre utilisateur, à l'exception des majuscules.

Deletion protection (Protection contre la suppression)

Empêchez les systèmes automatisés de supprimer accidentellement vos groupes d'utilisateurs. Exiger une confirmation supplémentaire de la suppression du groupe d'utilisateurs dans le AWS Management Console.

Erreurs d'existence de l'utilisateur

Protégez-vous contre la divulgation des noms d'utilisateur et des alias existants dans votre groupe d'utilisateurs. Renvoie une erreur générique en réponse à l'échec de l'authentification, que le nom d'utilisateur soit valide ou non.

Rubriques