翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # マルチテナンシーのセキュリティに関する推奨事項 アプリケーションの安全性を高めるために、以下を推奨します。 + Amazon Verified Permissions を使用して、アプリケーションのテナンシーを検証します。アプリケーションでユーザーのリクエストを許可する前に、ユーザープール、アプリケーションクライアント、グループ、またはカスタム属性の使用権限を調べるポリシーを構築します。Amazon Cognito ユーザープールを念頭に置いて Verified Permissions [ID ソース](https://docs.aws.amazon.com/verifiedpermissions/latest/userguide/identity-providers.html) AWS を作成しました。Verified Permissions には、マルチテナンシー管理に関する[追加のガイダンス](https://docs.aws.amazon.com/verifiedpermissions/latest/userguide/design-multi-tenancy-considerations.html)があります。 + ドメインの一致に基づいたテナントへのユーザーアクセスを承認するために、検証済みの E メールアドレスのみを使用します。E メールアドレスと電話番号は、アプリが検証するか、外部 IdP が検証の証明を提供しない限り、信頼しないでください。これらの許可を設定する方法の詳細については、「[属性の許可と範囲](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-attributes.html#user-pool-settings-attribute- permissions-and-scopes.html)」を参照してください。 + テナントを識別するユーザープロファイル属性には、*イミュータブル*カスタム属性または読み取り専用カスタム属性を使用します。ユーザーを作成するか、ユーザープールにサインアップする場合にのみ、イミュータブル属性の値を設定できます。また、アプリクライアントに属性への読み取り専用アクセスを許可します。 + 外部 IdP とアプリケーションクライアントの間の 1 対 1 マッピングを使用して、認可されていないクロステナントアクセスを防止します。外部 IdP によって認証され、有効な Amazon Cognito セッション Cookie を持つユーザーは、同じ IdP を信頼する他のテナントアプリケーションにアクセスできます。 + アプリケーションにテナントマッチングおよび認可ロジックを実装する場合は、テナントへのユーザーアクセスを認可する基準を変更できないようにユーザーを制限してください。また、フェデレーションのために外部 IdP が使用されている場合は、テナント ID プロバイダー管理者がユーザーアクセスを変更できないように制限してください。