기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
사용자 풀 고급 보안 기능
사용자 풀을 생성한 후에는 Amazon Cognito 콘솔의 탐색 모음에서 [고급 보안(Advanced security)]에 액세스할 수 있습니다. 사용자 풀 고급 보안 기능을 켜고 여러 위험에 대응하여 취하는 조치를 사용자 지정할 수 있습니다. 또는 감사 모드를 사용하여 보안 완화를 적용하지 않고 탐지된 위험에 대한 지표를 수집할 수 있습니다. 감사 모드에서 고급 보안 기능은 Amazon 에 지표를 게시합니다 CloudWatch. Amazon Cognito가 첫 번째 고급 보안 이벤트를 생성한 후에 고급 보안 지표를 볼 수 있습니다. 위협 보호 지표 보기을 참조하세요.
고급 보안 기능에는 추가 요금이 적용됩니다. 자세한 내용은 Amazon Cognito 요금 섹션을
다음 사용자 풀 옵션은 고급 보안 기능 의 구성 요소입니다.
- 액세스 토큰 사용자 지정
-
고급 보안 기능을 활성화하면 버전 2 Lambda 트리거 이벤트에 대한 응답을 수락하도록 사용자 풀을 구성할 수 있습니다. 버전 2에서는 액세스 토큰의 범위 및 기타 클레임을 사용자 지정할 수 있습니다. 이렇게 하면 사용자가 인증할 때 유연한 권한 부여 결과를 생성할 수 있는 능력이 향상됩니다. 자세한 내용은 액세스 토큰 사용자 지정 단원을 참조하십시오.
- 위협 보호
-
위협 보호는 사용자 풀에서 원치 않는 활동에 대한 모니터링 도구 세트이며 잠재적으로 악의적인 활동을 자동으로 종료하는 구성 도구입니다. 위협 보호에는 표준 인증 작업과 사용자 지정 인증 작업에 대한 다양한 구성 옵션이 있습니다. 예를 들어, 추가 보안 요소를 설정했지만 기본 사용자 이름-암호 인증으로 동일한 위험 수준의 사용자를 차단한 의심스러운 사용자 지정 인증 로그인이 있는 사용자에게 알림을 보낼 수 있습니다.
- 손상된 보안 인증
-
사용자는 여러 사용자 계정에 암호를 재사용합니다. Amazon Cognito의 손상된 보안 인증 기능은 사용자 이름 및 암호의 공개 유출 데이터를 수집하여 사용자의 보안 인증을 유출된 보안 인증 목록과 비교합니다. 손상된 보안 인증 탐지는 일반적으로 추측되는 암호도 검사합니다. 사용자 풀의 표준 인증 흐름에서 username-and-password 손상된 보안 인증 정보를 확인할 수 있습니다. Amazon Cognito는 보안 원격 암호(SRP) 또는 사용자 지정 인증에서 손상된 보안 인증 정보를 감지하지 않습니다.
손상된 보안 인증을 확인하도록 요청하는 사용자 작업과 이에 대한 응답으로 Amazon Cognito가 수행하기를 원하는 작업을 선택할 수 있습니다. 로그인, 가입, 암호 변경 이벤트의 경우, Amazon Cognito는 로그인을 차단하거나 로그인을 허용할 수 있습니다. 두 경우 모두 Amazon Cognito는 이벤트에 대한 자세한 정보를 찾을 수 있는 사용자 활동 로그를 생성합니다.
- 조정 인증
-
Amazon Cognito는 사용자의 로그인 요청에서 위치 및 디바이스 정보를 검토하고 자동 응답을 적용하여 의심스러운 활동으로부터 사용자 풀의 사용자 계정을 보호할 수 있습니다. 사용자 활동을 모니터링하고 사용자 이름 암호 및 SRP, 사용자 지정 인증에서 감지된 위험 수준에 대한 응답을 자동화할 수 있습니다.
고급 보안을 활성화하면 Amazon Cognito가 사용자 활동에 위험 점수를 할당합니다. 의심스러운 활동에 자동 응답을 할당할 수 있습니다. , 로그인 차단 을 요구MFA하거나 활동 세부 정보 및 위험 점수를 로깅할 수 있습니다. 또한 의심스러운 활동을 사용자에게 알리는 이메일 메시지를 자동으로 전송하여 사용자가 암호를 재설정하거나 기타 자체 안내 조치를 취할 수 있습니다.
- IP 주소 허용 목록 및 거부 목록
-
전체 기능 모드의 Amazon Cognito 고급 보안 기능을 사용하면 IP 주소 항상 차단 및 항상 허용 예외를 생성할 수 있습니다. 항상 차단(Always block) 예외 목록에 있는 IP 주소의 세션에는 조정 인증별 위험 수준이 할당되지 않으며 이러한 세션은 사용자 풀에 로그인할 수 없습니다.
- 로그 내보내기
-
고급 보안 기능은 사용자의 인증 요청에 대한 세부 정보를 사용자 풀에 기록합니다. 이러한 로그에는 위협 평가, 사용자 정보, 위치 및 디바이스와 같은 세션 메타데이터가 포함됩니다. 보존 및 분석을 위해 이러한 로그의 외부 아카이브를 생성할 수 있습니다. Amazon Cognito 사용자 풀은 위협 보호 로그를 Amazon S3, CloudWatch Logs 및 Amazon Data Firehose로 내보냅니다. 자세한 내용은 사용자 이벤트 기록 보기 및 내보내기 단원을 참조하십시오.
- 이메일 MFA
-
사용자 풀의 다중 인증(MFA) 기능을 확장합니다. 기본적으로 사용자 풀은 SMS 메시지에서 코드를 생성하거나 사용자의 인증자 앱과 공유하는 프라이빗 시간 기반 일회용 암호(TOTP) 키를 사용하여 코드를 생성할 수 있습니다. 고급 보안 기능과 Amazon SES 이메일 전송 구성 을 사용하면 사용자 풀의 사용자에 MFA 대한 이메일을 활성화하고, 이메일을 기본 MFA 방법으로 설정하고, 사용자의 이메일 주소로 MFA 코드를 보낼 수 있습니다. 자세한 내용은 이메일 MFA 단원을 참조하십시오.
- 암호 재사용 방지
-
사용자는 몇 가지 기억된 암호 간에 앞뒤로 이동할 수 있습니다. 위협 보호의 손상된 보안 인증 정보 탐지는 잘못된 암호 관리의 일부 장기적 영향을 완화할 수 있습니다. 암호 기록 정책은 나머지를 처리합니다. 암호 재사용 방지를 사용하면 사용자의 새 암호를 마지막 n개의 암호와 최대 24개까지 비교하고 일치하는 경우 암호 재설정 작업을 차단할 수 있습니다.
고급 보안 기능에 대한 고려 사항 및 제한 사항
위협 보호 옵션은 인증 흐름마다 다릅니다.
Amazon Cognito는 인증 흐름 및 를 사용하여 적응형 인증 USER_PASSWORD_AUTH 및 손상된 자격 증명 감지를 모두 지원합니다ADMIN_USER_PASSWORD_AUTH. 에 대한 적응형 인증만 활성화할 수 있습니다USER_SRP_AUTH. 페더레이션 로그인에는 위협 보호를 사용할 수 없습니다.
요청 할당량에 IPs 기여하는 상시 차단
사용자 풀의 항상 차단(Always block) 예외 목록에 있는 IP 주소의 차단된 요청은 사용자 풀에 대한 요청 비율 할당량에 기여합니다.
위협 보호는 속도 제한을 적용하지 않습니다.
일부 악성 트래픽은 분산 서비스 거부(DDoS) 공격과 같은 대량 요청의 특성을 갖습니다. Amazon Cognito가 들어오는 트래픽에 적용하는 위험 등급은 요청당이며 요청 볼륨을 고려하지 않습니다. 대량 이벤트의 개별 요청은 볼륨 공격에서의 역할과 관련이 없는 애플리케이션 계층 이유로 위험 점수와 자동 응답을 받을 수 있습니다. 사용자 풀에서 볼륨 공격에 대한 방어를 구현하려면 AWS WAF 웹 을 추가합니다ACLs. 자세한 내용은 AWS WAF 웹을 사용자 풀ACL과 연결 단원을 참조하십시오.
위협 보호는 M2M 요청에 영향을 주지 않습니다.
클라이언트 자격 증명 권한 부여는 사용자 계정에 연결하지 않고 (M2M) 권한 부여를 위한 machine-to-machine 것입니다. 고급 보안 기능은 사용자 풀에서 사용자 계정 및 암호만 모니터링합니다. M2M 활동에서 보안 기능을 구현하려면 요청 속도 및 콘텐츠를 AWS WAF 모니터링하는 의 기능을 고려하세요. 자세한 내용은 AWS WAF 웹을 사용자 풀ACL과 연결 단원을 참조하십시오.
고급 보안 기능 켜기
