Usar atributos de segurança de grupos de usuários do Amazon Cognito - Amazon Cognito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar atributos de segurança de grupos de usuários do Amazon Cognito

Você pode querer proteger a aplicação contra invasão de rede, adivinhação de senhas, falsificação de identidade de usuário e cadastros e logins mal-intencionados. Sua configuração dos recursos de segurança dos grupos de usuários do Amazon Cognito pode ser um componente essencial na arquitetura de segurança. A segurança do seu aplicativo é de responsabilidade do cliente “Segurança na nuvem”, conforme descrito no Modelo de Responsabilidade AWS Compartilhada. As ferramentas deste capítulo contribuem para que o design de segurança da sua aplicação esteja alinhado com essas metas.

Uma decisão importante que você deve tomar ao configurar seu grupo de usuários é permitir o cadastro e o login públicos. Algumas opções de grupos de usuários, como clientes confidenciais, criação administrativa e confirmação de usuários e grupos de usuários sem domínio, estão sujeitas, em menor grau, a ataques pela Internet. No entanto, um caso de uso comum são clientes públicos que aceitam o cadastro de qualquer pessoa na Internet e enviam todas as operações diretamente para seu grupo de usuários. Em qualquer configuração, mas especialmente no caso dessas públicas, recomendamos que você planeje e implante seu grupo de usuários com os recursos de segurança em mente. A segurança insuficiente também pode afetar sua AWS fatura quando fontes indesejadas criam novos usuários ativos ou tentam explorar usuários existentes.

A MFA e a proteção contra ameaças se aplicam aos usuários locais. IdPs Os terceiros são responsáveis pela postura de segurança dos usuários federados.

Recursos de segurança de grupos de usuários.
Autenticação multifator (MFA)

Solicite um código que seu grupo de usuários envie por e-mail (com o plano de recursos Essentials ou Plus) ou mensagem SMS, ou de um aplicativo autenticador, para confirmar o login do grupo de usuários.

Proteção contra ameaças

Procure no cadastro indicadores de risco e aplique a MFA ou bloqueie o login. Adicione declarações e escopos personalizados para acessar tokens. Envie códigos MFA do e-mail.

AWS WAF web ACLs

Inspecione o tráfego de entrada nos endpoints do grupo de usuários e na API de autenticação em busca de atividades indesejadas nas camadas da rede e de aplicação.

Diferenciação de letras maiúsculas e minúsculas

Impeça a criação de usuários cujo endereço de e-mail ou nome de usuário preferencial seja idêntico ao de outro usuário, a não ser pela diferenciação de letras maiúsculas e minúsculas.

Proteção contra exclusão

Evite que sistemas automatizados excluam acidentalmente seus grupos de usuários. Exija confirmação adicional da exclusão do grupo de usuários no AWS Management Console.

Erros de existência de usuários

Proteja-se contra a divulgação de nomes de usuário e aliases existentes no grupo de usuários. Retorne um erro genérico em resposta à autenticação malsucedida, independentemente de o nome de usuário ser válido ou não.