Grupo de usuarios: funciones de seguridad avanzadas - Amazon Cognito
Consideraciones y limitaciones de las funciones de seguridad avanzadasActivar las funciones de seguridad avanzadas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Grupo de usuarios: funciones de seguridad avanzadas

Después de crear el grupo de usuarios, recibirá acceso a la opción Advanced security (Seguridad avanzada) de la barra de navegación de la consola de Amazon Cognito. Se pueden activar las características de seguridad avanzadas del grupo de usuarios y personalizar las acciones que se toman en respuesta a los distintos riesgos. También es posible utilizar el modo de auditoría para recopilar métricas sobre los riesgos detectados sin necesidad de aplicar mitigación alguna de seguridad. En el modo auditoría, las funciones de seguridad avanzadas publican las métricas en Amazon CloudWatch. Puede ver las métricas de seguridad avanzadas después de que Amazon Cognito genere el primer evento de seguridad avanzada. Consulte Visualización de las métricas de protección contra amenazas.

Se aplican precios adicionales para las características de seguridad avanzadas de . Para obtener más información, consulte los precios de Amazon Cognito.

Las siguientes opciones de grupo de usuarios son los componentes de las funciones de seguridad avanzadas.

Personalización del token de acceso

Al activar las características de seguridad avanzadas, puede configurar el grupo de usuarios para que acepte respuestas a un evento desencadenante de Lambda versión 2. Con la versión 2, puede personalizar los alcances y otras reclamaciones de los tokens de acceso. Esto aumenta la capacidad de crear resultados de autorización flexibles cuando los usuarios se autentican. Para obtener más información, consulte Personalización del token de acceso.

Protección contra amenazas

La protección contra amenazas consiste en un conjunto de herramientas de supervisión de la actividad no deseada en su grupo de usuarios y herramientas de configuración para detener automáticamente cualquier actividad potencialmente maliciosa. La protección contra amenazas tiene diferentes opciones de configuración para las operaciones de autenticación estándar y personalizadas. Por ejemplo, puede que desee enviar una notificación a un usuario con un inicio de sesión de autenticación personalizado sospechoso, en el que haya configurado factores de seguridad adicionales, pero bloquee a un usuario con el mismo nivel de riesgo con una autenticación básica de nombre de usuario y contraseña.

Credenciales comprometidas

Los usuarios reutilizan las contraseñas de varias cuentas de usuario. La característica de credenciales comprometidas de Amazon Cognito recopila datos de filtraciones públicas de nombres de usuario y contraseñas y compara las credenciales de los usuarios con listas de credenciales filtradas. La detección de credenciales comprometidas también comprueba las contraseñas que se suelen adivinar. Puede comprobar si las credenciales están comprometidas en los flujos de autenticación username-and-password estándar de los grupos de usuarios. Amazon Cognito no detecta las credenciales comprometidas en la contraseña remota segura (SRP) ni en la autenticación personalizada.

Puede elegir las acciones del usuario que solicitan la comprobación de credenciales comprometidas y la acción que desea que Amazon Cognito realice en respuesta. Para los eventos de inicio de sesión, registro y cambio de contraseña, Amazon Cognito puede Bloquear el inicio de sesión o Permitir el inicio de sesión. En ambos casos, Amazon Cognito genera un registro de actividad del usuario en el que puede encontrar más información sobre el evento.

Autenticación flexible

Amazon Cognito puede revisar la información sobre la ubicación y el dispositivo de las solicitudes de inicio de sesión de los usuarios y aplicar una respuesta automática para proteger las cuentas de usuario del grupo de usuarios contra actividades sospechosas. Puede monitorear la actividad de los usuarios y automatizar las respuestas a los niveles de riesgo detectados en el nombre de usuarioSRP, la contraseña y la autenticación personalizada.

Al activar la seguridad avanzada, Amazon Cognito asigna una puntuación de riesgo a la actividad del usuario. Puede asignar una respuesta automática a cualquier actividad sospechosa: puede solicitar MFA, bloquear el inicio de sesión o simplemente registrar los detalles de la actividad y la puntuación de riesgo. También puede enviar automáticamente mensajes de correo electrónico para notificar al usuario la actividad sospechosa para que pueda restablecer la contraseña o realizar otras acciones autoguiadas.

Lista de direcciones IP permitidas y rechazadas

Con las características de seguridad avanzadas de Amazon Cognito en modo Funcionalidad completa, puede crear una dirección IP con las excepciones Bloquear siempre y Permitir siempre. A una sesión de una dirección IP en la lista de excepciones Always block (Bloquear siempre) no se le asigna un nivel de riesgo mediante la autenticación adaptativa y no puede iniciar sesión en su grupo de usuarios.

Exportación de registros

Las funciones de seguridad avanzadas registran detalles detallados de las solicitudes de autenticación de los usuarios en su grupo de usuarios. Estos registros incluyen evaluaciones de amenazas, información de usuario y metadatos de sesión, como la ubicación y el dispositivo. Puede crear archivos externos de estos registros para conservarlos y analizarlos. Los grupos de usuarios de Amazon Cognito exportan los registros de protección contra amenazas a Amazon S3, CloudWatch Logs y Amazon Data Firehose. Para obtener más información, consulte Visualización y exportación del historial de eventos del usuario.

Correo electrónico MFA

Amplíe las capacidades de autenticación multifactorial (MFA) de su grupo de usuarios. De forma predeterminada, los grupos de usuarios pueden generar códigos en un SMS mensaje o con una clave privada de un solo uso (TOTP) basada en el tiempo que se comparte con las aplicaciones de autenticación de los usuarios. Con funciones de seguridad avanzadas y una configuración de SES envío de correo electrónico de Amazon, puedes activar el correo electrónico MFA para los usuarios del grupo de usuarios, establecer el correo electrónico como MFA método preferido y enviar MFA códigos a la dirección de correo electrónico del usuario. Para obtener más información, consulte Correo electrónico MFA.

Prevención de la reutilización de contraseñas

Los usuarios pueden ir y venir entre algunas contraseñas recordadas. La detección de credenciales comprometidas en la protección contra amenazas puede mitigar algunos de los efectos a largo plazo de una mala gestión de las contraseñas. Una política de historial de contraseñas se encarga del resto. Con la prevención de la reutilización de contraseñas, puedes comparar las nuevas contraseñas del usuario con sus últimas n contraseñas (hasta 24) y bloquear la operación de restablecimiento de contraseñas si hay alguna que coincida.

Temas

Consideraciones y limitaciones de las funciones de seguridad avanzadas

Las opciones de protección contra amenazas difieren entre los flujos de autenticación

Amazon Cognito admite tanto la autenticación adaptativa como la detección de credenciales comprometidas con los flujos de autenticación y. USER_PASSWORD_AUTH ADMIN_USER_PASSWORD_AUTH Solo puede habilitar la autenticación adaptativa para. USER_SRP_AUTH No puede utilizar la protección contra amenazas con el inicio de sesión federado.

Bloquee siempre la contribución para solicitar cuotas IPs

Las solicitudes bloqueadas de direcciones IP en una lista de excepciones Always block (Bloquear siempre) del grupo de usuarios contribuye a las cuotas de las tasas de solicitudes para los grupos de usuarios.

La protección contra amenazas no aplica límites de frecuencia

Parte del tráfico malintencionado tiene la característica de tener un gran volumen de solicitudes, como los ataques de denegación de servicio distribuidos (DDoS). Las clasificaciones de riesgo que Amazon Cognito aplica al tráfico entrante son por solicitud y no tienen en cuenta el volumen de solicitudes. Las solicitudes individuales en un evento de gran volumen pueden recibir una puntuación de riesgo y una respuesta automática por motivos relacionados con la capa de aplicación que no están relacionados con su papel en un ataque volumétrico. Para implementar defensas contra los ataques volumétricos en sus grupos de usuarios, añada la web. AWS WAF ACLs Para obtener más información, consulte Asociar una AWS WAF web a un grupo de usuarios ACL.

La protección contra amenazas no afecta a las solicitudes M2M

La concesión de credenciales de cliente está destinada a la autorización machine-to-machine (M2M) sin conexión a las cuentas de usuario. Las características de seguridad avanzadas solo supervisan las cuentas de usuario y contraseñas de su grupo de usuarios. Para implementar funciones de seguridad en su actividad M2M, considere las capacidades de monitorear las tasas de AWS WAF solicitudes y el contenido. Para obtener más información, consulte Asociar una AWS WAF web a un grupo de usuarios ACL.

Activar las funciones de seguridad avanzadas

Amazon Cognito user pools console
Para activar funciones de seguridad avanzadas para un grupo de usuarios

  1. Vaya a la consola de Amazon Cognito. Si se le solicita, introduzca sus AWS credenciales.

  2. Elija User Pools (Grupos de usuarios).

  3. Elija un grupo de usuarios existente en la lista o cree un grupo de usuarios.

  4. Elija la pestaña Seguridad avanzada y seleccione Activar.

  5. Elija Guardar cambios.

API

Active las funciones de seguridad avanzadas en una UpdateUserPoolAPIsolicitud CreateUserPoolo. El siguiente ejemplo parcial del cuerpo de la solicitud establece las funciones de seguridad avanzadas en el modo de función completa. Para ver un ejemplo de solicitud completo, consulta Ejemplos.

"UserPoolAddOns": { 
      "AdvancedSecurityMode": "ENFORCED"
   }