As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usar atributos de segurança de grupos de usuários do Amazon Cognito
Você pode querer proteger a aplicação contra invasão de rede, adivinhação de senhas, falsificação de identidade de usuário e cadastros e logins mal-intencionados. Sua configuração dos recursos de segurança dos grupos de usuários do Amazon Cognito pode ser um componente essencial na arquitetura de segurança. A segurança do seu aplicativo é de responsabilidade do cliente “Segurança na nuvem”, conforme descrito no Modelo de Responsabilidade AWS Compartilhada
Uma decisão importante que você deve tomar ao configurar seu grupo de usuários é permitir o cadastro e o login públicos. Algumas opções de grupos de usuários, como clientes confidenciais, criação administrativa e confirmação de usuários e grupos de usuários sem domínio, estão sujeitas, em menor grau, a ataques pela Internet. No entanto, um caso de uso comum são clientes públicos que aceitam o cadastro de qualquer pessoa na Internet e enviam todas as operações diretamente para seu grupo de usuários. Em qualquer configuração, mas especialmente no caso dessas públicas, recomendamos que você planeje e implante seu grupo de usuários com os recursos de segurança em mente. A segurança insuficiente também pode afetar sua AWS fatura quando fontes indesejadas criam novos usuários ativos ou tentam explorar usuários existentes.
A MFA e a proteção contra ameaças se aplicam aos usuários locais. IdPs Os terceiros são responsáveis pela postura de segurança dos usuários federados.
Recursos de segurança de grupos de usuários.
- Autenticação multifator (MFA)
-
Solicite um código que seu grupo de usuários envie por e-mail (com o plano de recursos Essentials ou Plus) ou mensagem SMS, ou de um aplicativo autenticador, para confirmar o login do grupo de usuários.
- Proteção contra ameaças
-
Procure no cadastro indicadores de risco e aplique a MFA ou bloqueie o login. Adicione declarações e escopos personalizados para acessar tokens. Envie códigos MFA do e-mail.
- AWS WAF web ACLs
-
Inspecione o tráfego de entrada nos endpoints do grupo de usuários e na API de autenticação em busca de atividades indesejadas nas camadas da rede e de aplicação.
- Diferenciação de letras maiúsculas e minúsculas
-
Impeça a criação de usuários cujo endereço de e-mail ou nome de usuário preferencial seja idêntico ao de outro usuário, a não ser pela diferenciação de letras maiúsculas e minúsculas.
- Proteção contra exclusão
-
Evite que sistemas automatizados excluam acidentalmente seus grupos de usuários. Exija confirmação adicional da exclusão do grupo de usuários no AWS Management Console.
- Erros de existência de usuários
-
Proteja-se contra a divulgação de nomes de usuário e aliases existentes no grupo de usuários. Retorne um erro genérico em resposta à autenticação malsucedida, independentemente de o nome de usuário ser válido ou não.