本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
多租户安全建议
为了帮助提高应用程序的安全性,我们有下列建议:
-
使用 Amazon 验证权限在您的应用程序中验证租约。在允许用户在应用程序中提出请求之前,请先制定政策,检查用户池、应用程序客户端、群组或自定义属性权限。 AWS 创建了经过验证的权限身份源,同时考虑了 Amazon Cognito 用户池。已验证的权限为多租户管理提供了其他指导。
-
仅使用经过验证的电子邮件地址,根据域匹配授权用户访问租户。仅信任经过您的应用程序验证或者或者外部 IdP 提供了验证证明的电子邮件地址和电话号码。有关设置这些权限的更多详细信息,请参阅属性权限和范围。
-
对标识租户的用户配置文件属性使用不可变或只读的自定义属性。只有在创建用户或用户在用户池中注册时,才能设置不可变属性的值。此外,向应用程序客户端授予对属性的只读访问权。
-
在租户的外部 IdP 和应用程序客户端之间使用 1:1 映射,防止未经授权的跨租户访问。已通过外部 IdP 身份验证且具有有效 Amazon Cognito 会话 Cookie 的用户,可以访问信任相同 IdP 的其他租户应用程序。
-
在应用程序中实施与租户匹配的授权逻辑时,请限制用户,使他们不能修改用于授权用户访问租户的条件。此外,如果使用外部 IdP 进行联合身份验证,请限制租户身份提供商管理员,使其无法修改用户访问权限。