Pertimbangan dan batasan untuk fitur keamanan tingkat lanjut Mengaktifkan fitur keamanan tingkat lanjut

Fitur keamanan lanjutan kumpulan pengguna

Setelah membuat kolam pengguna, Anda memiliki akses ke Keamanan lanjutan pada bar navigasi di konsol Amazon Cognito. Anda dapat mengaktifkan fitur keamanan lanjutan kolam pengguna, dan menyesuaikan tindakan yang diambil sebagai respons terhadap risiko yang berbeda. Atau Anda dapat menggunakan mode audit untuk mengumpulkan metrik risiko yang terdeteksi tanpa menerapkan mitigasi keamanan apa pun. Dalam mode audit, fitur keamanan lanjutan mempublikasikan metrik ke Amazon CloudWatch. Anda dapat melihat metrik keamanan lanjutan setelah Amazon Cognito menghasilkan peristiwa keamanan lanjutan pertamanya. Lihat Melihat metrik perlindungan ancaman.

Harga tambahan berlaku untuk fitur keamanan tingkat lanjut. Untuk informasi lebih lanjut, lihat harga Amazon Cognito.

Opsi kumpulan pengguna berikut adalah komponen fitur keamanan tingkat lanjut.

Akses kustomisasi token

Saat mengaktifkan fitur keamanan lanjutan, Anda dapat mengonfigurasi kumpulan pengguna untuk menerima respons terhadap peristiwa pemicu Lambda versi 2. Dengan versi 2, Anda dapat menyesuaikan cakupan dan klaim lainnya dalam token akses. Ini meningkatkan kemampuan Anda untuk membuat hasil otorisasi yang fleksibel saat pengguna Anda mengautentikasi. Untuk informasi selengkapnya, lihat Menyesuaikan token akses.

Perlindungan ancaman

Perlindungan ancaman adalah seperangkat alat pemantauan untuk aktivitas yang tidak diinginkan di kumpulan pengguna Anda, dan alat konfigurasi untuk secara otomatis mematikan aktivitas yang berpotensi berbahaya. Perlindungan ancaman memiliki opsi konfigurasi yang berbeda untuk operasi otentikasi standar dan kustom. Misalnya, Anda mungkin ingin mengirim pemberitahuan ke pengguna dengan login autentikasi kustom yang mencurigakan, di mana Anda telah menyiapkan faktor keamanan tambahan, tetapi memblokir pengguna pada tingkat risiko yang sama dengan otentikasi nama pengguna-kata sandi dasar.

Kredensi yang dikompromikan

Pengguna menggunakan kembali kata sandi untuk beberapa akun pengguna. Fitur kredensi yang dikompromikan dari Amazon Cognito mengkompilasi data dari kebocoran publik nama pengguna dan kata sandi, dan membandingkan kredensional pengguna Anda dengan daftar kredensional yang bocor. Deteksi kredensil yang dikompromikan juga memeriksa kata sandi yang umum ditebak. Anda dapat memeriksa kredensi yang dikompromikan dalam alur otentikasi username-and-password standar di kumpulan pengguna. Amazon Cognito tidak mendeteksi kredensi yang dikompromikan dalam kata sandi jarak jauh yang aman () SRP atau otentikasi khusus.

Anda dapat memilih tindakan pengguna yang meminta pemeriksaan kredensyal yang disusupi, dan tindakan yang Anda ingin dilakukan Amazon Cognito sebagai tanggapan. Untuk peristiwa login, pendaftaran, dan perubahan kata sandi, Amazon Cognito dapat Memblokir proses masuk, atau Izinkan masuk. Dalam kedua kasus tersebut, Amazon Cognito menghasilkan log aktivitas pengguna tempat Anda dapat menemukan informasi lebih lanjut tentang acara tersebut.

Otentikasi adaptif

Amazon Cognito dapat meninjau informasi lokasi dan perangkat dari permintaan masuk pengguna Anda dan menerapkan respons otomatis untuk mengamankan akun pengguna di kumpulan pengguna Anda dari aktivitas mencurigakan. Anda dapat memantau aktivitas pengguna dan mengotomatiskan respons ke tingkat risiko yang terdeteksi di username-password danSRP, serta autentikasi kustom.

Saat Anda mengaktifkan keamanan tingkat lanjut, Amazon Cognito memberikan skor risiko untuk aktivitas pengguna. Anda dapat menetapkan respons otomatis terhadap aktivitas mencurigakan: Anda dapat Memerlukan MFA, Memblokir proses masuk, atau hanya mencatat detail aktivitas dan skor risiko. Anda juga dapat secara otomatis mengirim pesan email yang memberi tahu pengguna Anda tentang aktivitas mencurigakan sehingga mereka dapat mengatur ulang kata sandi mereka atau mengambil tindakan mandiri lainnya.

Daftar Izin Alamat IP dan Denylist

Dengan fitur keamanan canggih Amazon Cognito dalam mode fungsi penuh, Anda dapat membuat alamat IP Selalu blokir dan Selalu izinkan pengecualian. Sesi dari alamat IP pada daftar pengecualian Selalu blokir tidak ditetapkan tingkat risiko dengan autentikasi adaptif, dan tidak dapat masuk ke kumpulan pengguna Anda.

Ekspor log

Fitur keamanan tingkat lanjut mencatat detail terperinci dari permintaan otentikasi pengguna ke kumpulan pengguna Anda. Log ini menampilkan penilaian ancaman, informasi pengguna, dan metadata sesi seperti lokasi dan perangkat. Anda dapat membuat arsip eksternal dari log ini untuk retensi dan analisis. Pengguna Amazon Cognito mengumpulkan log perlindungan ancaman ekspor ke Amazon S3 CloudWatch , Log, dan Amazon Data Firehose. Untuk informasi selengkapnya, lihat Melihat dan mengekspor riwayat acara pengguna.

Email MFA

Perluas kemampuan autentikasi multi-faktor (MFA) dari kumpulan pengguna Anda. Secara default, kumpulan pengguna dapat menghasilkan kode dalam SMS pesan atau dengan kunci kata sandi satu kali berbasis waktu pribadi (TOTP) yang Anda bagikan dengan aplikasi autentikator pengguna. Dengan fitur keamanan canggih dan konfigurasi SES pengiriman email Amazon, Anda dapat mengaktifkan email MFA untuk pengguna di kumpulan pengguna, mengatur email sebagai MFA metode pilihan, dan mengirim MFA kode ke alamat email pengguna. Untuk informasi selengkapnya, lihat Email MFA.

Pencegahan penggunaan kembali kata sandi

Pengguna mungkin bolak-balik antara beberapa kata sandi yang diingat. Deteksi kredensional yang dikompromikan dalam perlindungan ancaman dapat mengurangi beberapa efek jangka panjang dari manajemen kata sandi yang buruk. Kebijakan sejarah kata sandi mengurus sisanya. Dengan pencegahan penggunaan kembali kata sandi, Anda dapat membandingkan kata sandi baru pengguna dengan kata sandi n terakhir mereka, hingga 24, dan memblokir operasi pengaturan ulang kata sandi jika ada kecocokan.

Topik

Pertimbangan dan batasan untuk fitur keamanan tingkat lanjut

Opsi perlindungan ancaman berbeda antara alur otentikasi

Amazon Cognito mendukung otentikasi adaptif dan deteksi kredensial-kompromi dengan alur otentikasi dan. USER_PASSWORD_AUTH ADMIN_USER_PASSWORD_AUTH Anda hanya dapat mengaktifkan otentikasi adaptif untuk. USER_SRP_AUTH Anda tidak dapat menggunakan perlindungan ancaman dengan login federasi.

Selalu blokir IPs berkontribusi untuk meminta kuota

Permintaan yang diblokir dari alamat IP pada daftar pengecualian Selalu blokir di kumpulan pengguna Anda berkontribusi pada kuota tingkat permintaan untuk kumpulan pengguna Anda.

Perlindungan ancaman tidak menerapkan batas tarif

Beberapa lalu lintas berbahaya memiliki karakteristik volume permintaan yang tinggi, seperti serangan penolakan layanan terdistribusi (DDoS). Peringkat risiko yang diterapkan Amazon Cognito untuk lalu lintas masuk adalah per permintaan dan tidak memperhitungkan volume permintaan. Permintaan individu dalam peristiwa volume tinggi mungkin menerima skor risiko dan respons otomatis untuk alasan lapisan aplikasi yang tidak terkait dengan peran mereka dalam serangan volumetrik. Untuk menerapkan pertahanan terhadap serangan volumetrik di kumpulan pengguna Anda, tambahkan web. AWS WAF ACLs Untuk informasi selengkapnya, lihat Mengaitkan AWS WAF web ACL dengan kumpulan pengguna.

Perlindungan ancaman tidak memengaruhi permintaan M2M

Hibah kredensi klien ditujukan untuk otorisasi machine-to-machine (M2M) tanpa koneksi ke akun pengguna. Fitur keamanan tingkat lanjut hanya memantau akun pengguna dan kata sandi di kumpulan pengguna Anda. Untuk menerapkan fitur keamanan dengan aktivitas M2M Anda, pertimbangkan kemampuan AWS WAF untuk memantau tingkat permintaan dan konten. Untuk informasi selengkapnya, lihat Mengaitkan AWS WAF web ACL dengan kumpulan pengguna.

Mengaktifkan fitur keamanan tingkat lanjut

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

TOTPtoken perangkat lunak MFA

Akses kustomisasi token