As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Usar atributos de segurança de grupos de usuários do Amazon Cognito Você pode querer proteger a aplicação contra invasão de rede, adivinhação de senhas, falsificação de identidade de usuário e cadastros e logins mal-intencionados. Sua configuração dos recursos de segurança dos grupos de usuários do Amazon Cognito pode ser um componente essencial na arquitetura de segurança. A segurança do seu aplicativo é de *responsabilidade do cliente “Segurança na nuvem”*, conforme descrito no [Modelo de Responsabilidade AWS Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/). As ferramentas deste capítulo contribuem para que o design de segurança da sua aplicação esteja alinhado com essas metas. Uma decisão importante que você deve tomar ao configurar seu grupo de usuários é permitir o cadastro e o login públicos. Algumas opções de grupos de usuários, como clientes confidenciais, criação administrativa e confirmação de usuários e grupos de usuários sem domínio, estão sujeitas, em menor grau, a ataques pela Internet. No entanto, um caso de uso comum são clientes públicos que aceitam o cadastro de qualquer pessoa na Internet e enviam todas as operações diretamente para seu grupo de usuários. Em qualquer configuração, mas especialmente no caso dessas públicas, recomendamos que você planeje e implante seu grupo de usuários com os recursos de segurança em mente. A segurança insuficiente também pode afetar sua AWS fatura quando fontes indesejadas criam novos usuários ativos ou tentam explorar usuários existentes. A MFA e a proteção contra ameaças se aplicam aos usuários [locais](cognito-terms.md#terms-localuser). IdPs Os terceiros são responsáveis pela postura de segurança dos usuários [federados.](cognito-terms.md#terms-federateduser)Recursos de segurança de grupos de usuários. **Autenticação multifatorial (MFA)** Solicite um código que seu grupo de usuários envie por e-mail (com o plano de recursos Essentials ou Plus) ou mensagem SMS ou de uma aplicação autenticadora para confirmar o login do grupo de usuários. **Proteção contra ameaças** Procure no cadastro indicadores de risco e aplique a MFA ou bloqueie o login. Adicione declarações e escopos personalizados para acessar tokens. Envie códigos MFA do e-mail. **AWS WAF web ACLs** Inspecione o tráfego de entrada nos [endpoints do grupo de usuários e na API de autenticação](authentication-flows-public-server-side.md#user-pools-API-operations) em busca de atividades indesejadas nas camadas da rede e de aplicação. **Diferenciação de letras maiúsculas e minúsculas** Impeça a criação de usuários cujo endereço de e-mail ou nome de usuário preferencial seja idêntico ao de outro usuário, a não ser pela diferenciação de letras maiúsculas e minúsculas. **Deletion protection (Proteção contra exclusão)** Evite que sistemas automatizados excluam acidentalmente seus grupos de usuários. Exija confirmação adicional da exclusão do grupo de usuários no Console de gerenciamento da AWS. **Erros de existência de usuários** Proteja-se contra a divulgação de nomes de usuário e aliases existentes no grupo de usuários. Retorne um erro genérico em resposta à autenticação malsucedida, independentemente de o nome de usuário ser válido ou não. **Topics** + [Adicionar MFA a um grupo de usuários](user-pool-settings-mfa.md) + [Segurança avançada com proteção contra ameaças](cognito-user-pool-settings-threat-protection.md) + [Associar uma ACL AWS WAF da web a um grupo de usuários](user-pool-waf.md) + [Sensibilidade entre maiúsculas e minúsculas do grupo de usuários](user-pool-case-sensitivity.md) + [Proteção contra exclusão do grupo de usuários](user-pool-settings-deletion-protection.md) + [Gerenciar respostas de erro de existência do usuário](cognito-user-pool-managing-errors.md)