多重租用安全建議

使用 Amazon Verified Permissions 驗證應用程式中的租用。建置政策以檢查使用者集區、應用程式用戶端、群組或自訂屬性權利，然後再在應用程式中允許使用者請求。建立 AWS 的 Verified Permissions 身分來源考量 Amazon Cognito 使用者集區。已驗證許可具有多租戶管理的其他指引。

請務必使用已驗證的電子郵件地址，根據網域比對來授權使用者存取租用戶。不要信任電子郵件地址和電話號碼，除非您的應用程式驗證它們，或者外部 IdP 提供驗證證明。如需設定上述許可的詳細資訊，請參閱屬性許可和範圍。

針對識別租用戶的使用者設定檔屬性，使用不可變的 或唯讀的自訂屬性。只有在使用者集區中建立使用者或使用者註冊時，才能設定不可變屬性的值。此外，提供應用程式用戶端對屬性的唯讀存取權。

在租戶的外部 IdP 和應用程式用戶端之間使用 1：1 映射，以防止未經授權的跨租戶存取。已經由外部 IdP 進行身分驗證且具有有效 Amazon Cognito 工作階段 Cookie 的使用者，可以存取信任相同 IdP 的其他租用戶應用程式。

在應用程式中實作符合租用戶和授權邏輯時，請限制使用者使其無法修改授權使用者存取租用戶的條件。此外，如果外部 IdP 正用於聯合身分，請限制租用者身分提供者管理員，使其無法變更使用者存取權限。