本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 Amazon Cognito 使用者集區安全性功能 您可能想要保護您的應用程式免於網路入侵、密碼猜測、使用者模擬,以及惡意註冊和登入。Amazon Cognito 使用者集區安全功能的組態可以是安全架構中的關鍵元件。應用程式的安全是*客戶的責任「雲端安全」*,如 AWS [共同的責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)中所述。本章中的工具有助於您的應用程式安全設計符合這些目標。 設定使用者集區時必須做出的重要決策是是否允許公開註冊和登入。有些使用者集區選項,例如機密用戶端、使用者的管理建立和確認,以及沒有網域的使用者集區,都會受到較小程度的網際網路攻擊。不過,常見的使用案例是接受網際網路上任何人註冊的公有用戶端,並將所有操作直接傳送到您的使用者集區。在任何組態中,尤其是在這些公有組態的情況下,我們建議您以安全功能來規劃和部署使用者集區。當不需要的來源建立新的作用中使用者或嘗試利用現有使用者時,安全性不足也可能會影響您的 AWS 帳單。 MFA 和威脅防護適用於[本機使用者](cognito-terms.md#terms-localuser)。第三方 IdPs 負責[聯合身分使用者](cognito-terms.md#terms-federateduser)的安全狀態。使用者集區安全功能 **多重要素驗證 (MFA)** 請求使用者集區透過電子郵件 (使用 Essentials 或 Plus 功能計劃) 或簡訊,或從驗證器應用程式傳送的代碼,以確認使用者集區登入。 **威脅防護** 監控登入是否有風險指標,並套用 MFA 或區塊登入。新增自訂宣告和範圍以存取字符。透過電子郵件傳送 MFA 代碼。 **AWS WAF Web ACLs** 檢查使用者[集區端點和身分驗證 API](authentication-flows-public-server-side.md#user-pools-API-operations) 的傳入流量,是否有網路和應用程式層上不必要的活動。 **區分大小寫** 防止建立電子郵件地址或慣用使用者名稱與其他使用者相同的使用者,但字元案例除外。 **刪除保護** 防止自動化系統意外刪除您的使用者集區。需要額外確認 中的使用者集區刪除 AWS 管理主控台。 **使用者存在錯誤** 防止在使用者集區中公開現有的使用者名稱和別名。傳回一般錯誤以回應身分驗證失敗,無論使用者名稱是否有效。 **Topics** + [將 MFA 新增到使用者集區](user-pool-settings-mfa.md) + [具有威脅防護的進階安全性](cognito-user-pool-settings-threat-protection.md) + [將 AWS WAF Web ACL 與使用者集區建立關聯](user-pool-waf.md) + [使用者集區大小寫區分](user-pool-case-sensitivity.md) + [使用者集區刪除保護](user-pool-settings-deletion-protection.md) + [管理使用者存在錯誤回應](cognito-user-pool-managing-errors.md)