多租户安全建议

使用 Amazon Verified Permissions 在您的应用程序中验证租赁。允许用户在应用程序中提出请求之前，请先制定策略来检查用户池、应用程序客户端、组或自定义属性授权。AWS 在创建 Verified Permissions 身份源时考虑到 Amazon Cognito 用户池。Verified Permissions 为多租赁管理提供了额外指导。

仅使用经过验证的电子邮件地址，根据域匹配授权用户访问租户。仅信任经过您的应用程序验证或者或者外部 IdP 提供了验证证明的电子邮件地址和电话号码。有关设置这些权限的更多详细信息，请参阅属性权限和范围。

对标识租户的用户配置文件属性使用不可变或只读自定义属性。只有在创建用户或用户在用户池中注册时，才能设置不可变属性的值。此外，向应用程序客户端授予对属性的只读访问权。

在租户的外部 IdP 与应用程序客户端之间使用 1:1 映射，以防止未经授权的跨租户访问。已通过外部 IdP 身份验证且具有有效 Amazon Cognito 会话 Cookie 的用户，可以访问信任相同 IdP 的其他租户应用程序。

在应用程序中实施与租户匹配的授权逻辑时，请限制用户，使他们不能修改用于授权用户访问租户的条件。此外，如果使用外部 IdP 进行联合身份验证，请限制租户身份提供商管理员，使其无法修改用户访问权限。