本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
這些 AWS Security Hub 控制項會評估 Amazon Cognito 服務和資源。
這些控制項可能並非所有 都可用 AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性。
【Cognito.1】 Cognito 使用者集區應啟用威脅防護,並使用標準身分驗證的完整函數強制執行模式
類別:保護 > 安全存取管理
嚴重性:中
資源類型: AWS::Cognito::UserPool
AWS Config 規則:cognito-user-pool-advanced-security-enabled
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
控制項檢查的威脅防護強制執行模式 |
字串 |
|
|
此控制項會檢查 Amazon Cognito 使用者集區是否已啟用威脅防護,且強制執行模式設為完整函數。如果使用者集區已停用威脅防護,或強制執行模式未設定為完整函數,則控制項會失敗。除非您提供自訂參數值,否則 Security Hub 會使用 的預設值ENFORCED,將強制執行模式設定為完整函數。
建立 Cognito 使用者集區後,您可以啟用威脅防護,並自訂為因應不同風險而採取的動作。或者,您可以使用稽核模式來收集偵測到風險的指標,而無需套用任何安全性緩解措施。在稽核模式中,威脅防護會將指標發佈至 Amazon CloudWatch。您可以在 Cognito 產生第一個事件後看到指標。
修補
若要啟用 Cognito 使用者集區的威脅防護,請參閱《Amazon Cognito 開發人員指南》中的具有威脅防護的進階安全性。
