Verwendung der Sicherheitsfunktionen für Amazon-Cognito-Benutzerpools - Amazon Cognito

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung der Sicherheitsfunktionen für Amazon-Cognito-Benutzerpools

Möglicherweise möchten Sie Ihre Anwendung vor Netzwerkangriffen, Kennwortraten, Identitätsmissbrauch und böswilliger Anmeldung und Anmeldung schützen. Ihre Konfiguration der Sicherheitsfunktionen von Amazon Cognito Cognito-Benutzerpools kann eine Schlüsselkomponente in Ihrer Sicherheitsarchitektur sein. Die Sicherheit Ihrer Anwendung liegt in der Verantwortung des Kunden. „Sicherheit in der Cloud“, wie im Modell der AWS gemeinsamen Verantwortung beschrieben. Die Tools in diesem Kapitel tragen dazu bei, dass Ihr Anwendungssicherheitsdesign diesen Zielen entspricht.

Eine wichtige Entscheidung, die Sie bei der Konfiguration Ihres Benutzerpools treffen müssen, ist, ob Sie die öffentliche Registrierung und Anmeldung zulassen möchten. Einige Benutzerpool-Optionen wie vertrauliche Clients, administrative Erstellung und Bestätigung von Benutzern und Benutzerpools ohne Domäne sind in geringerem Maße Angriffen über das Internet ausgesetzt. Ein häufiger Anwendungsfall sind jedoch öffentliche Clients, die die Registrierung von jedem Benutzer im Internet akzeptieren und alle Operationen direkt an Ihren Benutzerpool senden. In jeder Konfiguration, insbesondere aber bei diesen öffentlichen Konfigurationen, empfehlen wir, dass Sie Ihren Benutzerpool unter Berücksichtigung der Sicherheitsfunktionen planen und bereitstellen. Ungenügende Sicherheit kann sich auch auf Ihre AWS Rechnung auswirken, wenn durch unerwünschte Quellen neue aktive Benutzer entstehen oder versucht wird, bestehende Benutzer auszunutzen.

MFAund erweiterte Sicherheitsfunktionen gelten für lokale Benutzer. Drittanbieter IdPs sind für den Sicherheitsstatus verbundener Benutzer verantwortlich.

Sicherheitsfunktionen werden in Benutzerpools zusammengefasst
Multi-Faktor-Authentifizierung () MFA

Fordern Sie einen Code an, den Ihr Benutzerpool per SMS Nachricht oder über eine Authenticator-App sendet, um die Anmeldung am Benutzerpool zu bestätigen.

Erweiterte Sicherheitsfunktionen

Überwachen Sie die Anmeldung auf Risikoindikatoren und wenden Sie die Anmeldung an MFA oder blockieren Sie sie. Fügen Sie benutzerdefinierte Ansprüche und Geltungsbereiche für Zugriffstoken hinzu. MFACodes per E-Mail senden.

AWS WAF Netz ACLs

Untersuchen Sie den eingehenden Datenverkehr zu den Endpunkten Ihres Benutzerpools und API die Authentifizierung auf unerwünschte Aktivitäten auf Netzwerk- und Anwendungsebene.

Sensitivität zwischen Groß- und Kleinschreibung

Verhindern Sie die Erstellung von Benutzern, deren E-Mail-Adresse oder bevorzugter Benutzername mit denen eines anderen Benutzers identisch ist, mit Ausnahme der Groß- und Kleinschreibung.

Löschschutz

Verhindern Sie, dass automatisierte Systeme Ihre Benutzerpools versehentlich löschen. Erfordern Sie eine zusätzliche Bestätigung für das Löschen des Benutzerpools in AWS Management Console.

Fehler beim Vorhandensein eines Benutzers

Schützen Sie sich vor der Offenlegung vorhandener Benutzernamen und Aliase in Ihrem Benutzerpool. Geben Sie als Antwort auf eine erfolglose Authentifizierung einen generischen Fehler zurück, unabhängig davon, ob der Benutzername gültig ist oder nicht.

Themen