本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Plus 計劃功能
Plus 功能計劃具有 Amazon Cognito 使用者集區的進階安全功能。這些功能會在執行時間記錄和分析使用者內容,以找出裝置、位置、請求資料和密碼中的潛在安全問題。然後,它們透過自動回應來封鎖或新增安全性防護到使用者帳戶,以降低潛在風險。您也可以將安全日誌匯出至 Amazon S3、Amazon Data Firehose 或 Amazon CloudWatch Logs 以進行進一步分析。
當您從 Essentials 切換到 Plus 計劃時,您會取得 Essentials 中的所有功能,以及後續的其他功能。這包括威脅防護集的安全選項,也稱為*進階安全功能*。若要將使用者集區設定為自動適應身分驗證前端中的威脅,請為您的使用者集區選擇 Plus 計劃。
以下各節提供您可以使用 Plus 計劃新增至應用程式的功能的簡短概觀。如需詳細資訊,請參閱下列頁面。
**其他資源**
+ 自適應身分驗證: [使用自適應身分驗證](cognito-user-pool-settings-adaptive-authentication.md)
+ 已遭入侵的登入資料: [使用遭盜用憑證偵測](cognito-user-pool-settings-compromised-credentials.md)
+ 日誌匯出: [從 Amazon Cognito 使用者集區匯出日誌](exporting-quotas-and-usage.md)
**Topics**
+ [威脅防護:自適應身分驗證](#features-adaptive-authentication)
+ [威脅防護:已遭入侵憑證偵測](#features-compromised-credentials)
+ [威脅防護:使用者活動記錄](#features-user-logs)
## 威脅防護:自適應身分驗證
Plus 計劃包含*自適應身分驗證*功能。當您啟用此功能時,您的使用者集區會對每個使用者身分驗證工作階段進行風險評估。從產生的風險評分中,您可以封鎖身分驗證或推送 MFA 給以高於您確定閾值的風險層級登入的使用者。透過自適應身分驗證,您的使用者集區和應用程式會自動封鎖或設定 MFA,以供您懷疑帳戶遭到攻擊的使用者使用。您也可以提供使用者集區中風險評等的意見回饋,以調整未來的評等。
**在 Amazon Cognito 主控台中設定適應性身分驗證**
1. 選取 Plus 功能計劃。
1. 從使用者集區**的威脅防護**選單中,編輯**威脅防護**下**的標準和自訂身分驗證**。
1. 將標準或自訂身分驗證的**強制執行模式**設定為**全功能**。
1. 在**自適應身分驗證**下,設定不同風險層級的自動風險回應。
**進一步了解**
+ [使用自適應身分驗證](cognito-user-pool-settings-adaptive-authentication.md)
+ [在應用程式中收集威脅防護的資料](user-pool-settings-viewing-threat-protection-app.md)
## 威脅防護:已遭入侵憑證偵測
Plus 計劃包含遭*入侵的憑證偵測*功能。此功能可防止使用不安全的密碼,以及此實務建立之意外應用程式存取的威脅。當您允許使用者使用使用者名稱和密碼登入時,他們可能會重複使用已在其他地方使用的密碼。該密碼可能已洩漏,或只是經常猜測。透過憑證洩露偵測,您的使用者集區會讀取使用者提交的密碼,並將其與密碼資料庫進行比較。如果操作導致決定密碼可能洩露,您可以設定使用者集區封鎖登入,然後為應用程式中的使用者啟動密碼重設。
遭入侵憑證偵測可能會在新使用者註冊、現有使用者登入,以及使用者嘗試重設密碼時,對不安全的密碼做出反應。透過此功能,您的使用者集區可以防止或警告使用者在任何地方使用不安全的密碼登入。
**在 Amazon Cognito 主控台中設定遭盜用憑證偵測**
1. 選取 Plus 功能計劃。
1. 在使用者集區**的威脅防護**選單中,編輯**威脅防護**下**的標準和自訂身分驗證**。
1. 將標準或自訂身分驗證的**強制執行模式**設定為**全功能**。
1. **在遭入侵的登入**資料下,設定您要檢查的身分驗證操作類型,以及您要從使用者集區自動回應。
**進一步了解**
+ [使用遭盜用憑證偵測](cognito-user-pool-settings-compromised-credentials.md)
## 威脅防護:使用者活動記錄
Plus 計劃新增了記錄功能,可提供使用者身分驗證嘗試的安全性分析和詳細資訊。您可以查看風險評估、使用者 IP 地址、使用者代理程式,以及連接到您應用程式之裝置的其他資訊。您可以使用內建的威脅防護功能對此資訊採取行動,也可以在自己的系統中分析日誌並採取適當的動作。您可以將日誌從威脅防護匯出至 Amazon S3、CloudWatch Logs 或 Amazon DynamoDB。
**在 Amazon Cognito 主控台中設定使用者活動記錄**
1. 選取 Plus 功能計劃。
1. 在使用者集區**的威脅防護**選單中,編輯**威脅防護**下**的標準和自訂身分驗證**。
1. 將標準或自訂身分驗證的**強制執行模式**設定為**僅限稽核**。這是日誌的最低設定。您也可以在**全功能**模式中啟用它,並設定其他威脅防護功能。
1. 若要將您的日誌匯出到另一個 AWS 服務 以進行第三方分析,請前往使用者集區的**日誌串流**功能表,並設定匯出目的地。
**進一步了解**
+ [匯出使用者身分驗證事件](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-event-user-history-exporting)
+ [從 Amazon Cognito 使用者集區匯出日誌](exporting-quotas-and-usage.md)