Ajout de la sécurité avancée à un groupe d'utilisateurs - Amazon Cognito

Ajout de la sécurité avancée à un groupe d'utilisateurs

Une fois que vous avez créé votre groupe d'utilisateurs, vous avez accès à l'option Advanced security (Sécurité avancée) dans la barre de navigation de la console Amazon Cognito. Vous pouvez activer les fonctions de sécurité avancée des groupes d'utilisateurs et personnaliser les actions exécutées en réponse à différents risques. Ou vous pouvez utiliser le mode audit pour collecter des métriques sur les risques détectés sans qu'une atténuation de sécurité ne soit déclenchée. En mode audit, les fonctions de sécurité avancée publient les métriques dans Amazon CloudWatch. Voir Affichage des métriques de sécurité avancée.

Considérations et restrictions

  • Les fonctions de sécurité avancée d'Amazon Cognito entraînent un coût supplémentaire. Consultez la page des tarifs d'Amazon Cognito.

  • Amazon Cognito prend en charge les fonctionnalités de sécurité avancées avec les flux d'authentification standard USER_PASSWORD_AUTH, ADMIN_USER_PASSWORD_AUTH, USER_SRP_AUTH et ADMIN_USER_SRP_AUTH. Vous ne pouvez pas utiliser la sécurité avancée avec un CUSTOM_AUTH flux etDéclencheurs Lambda création d'une stimulation d'authentification personnalisée, ou avec une connexion fédérée.

  • Avec les fonctions de sécurité avancées d'Amazon Cognito en mode Full function (Fonction complète), vous pouvez créer des exceptions d'adresse IP Always block (Toujours bloquer) et Always allow (Toujours autoriser). Une session à partir d'une adresse IP figurant dans la liste d'exceptions Always block (Toujours bloquer) ne se voit pas attribuer de niveau de risque par authentification adaptative et ne peut pas se connecter à votre groupe d'utilisateurs.

  • Les demandes bloquées à partir des adresses IP figurant dans une liste d'exceptions Always block (Toujours bloquer) dans votre groupe d'utilisateurs contribuent aux quotas de taux de demande pour vos groupes d'utilisateurs. Les fonctions de sécurité avancées d'Amazon Cognito n'empêchent pas les attaques par déni de service distribué (DDoS). Consultez Protéger les clients publics pour Amazon Cognito à l'aide d'un proxy Amazon CloudFront dans le blog Sécurité AWS pour plus d'informations sur la façon d'empêcher le trafic indésirable d'accéder à vos points de terminaison Amazon Cognito.

Prérequis

Avant de commencer, vous avez besoin de ce qui suit :

Configuration des fonctions de sécurité avancée

Vous pouvez configurer les fonctions de sécurité avancées d'Amazon Cognito dans la AWS Management Console.

Original console

Pour configurer la sécurité avancée pour un groupe d'utilisateurs

  1. Dans la barre de navigation de gauche, sélectionnez Advanced security (Sécurité avancée).

  2. Pour Do you want to enable advanced security features for this user pool? (Souhaitez-vous activer les fonctions de sécurité avancées pour ce groupe d'utilisateurs ?), choisissez Yes (Oui) pour activer la sécurité avancée. Vous pouvez également choisir Audit only (Audit uniquement) pour collecter des informations et envoyer les données du groupe d'utilisateurs à CloudWatch.

    Nous vous recommandons de conserver les fonctions de sécurité avancée en mode Audit pendant deux semaines avant d'activer des actions. Pendant ce temps, Amazon Cognito peut découvrir les modèles d'utilisation des utilisateurs de votre appli.

  3. Dans la liste déroulante, choisissez Pour quel client d'application souhaitez-vous personnaliser les paramètres ?. Le comportement par défaut consiste à conserver les paramètres globaux pour tous les clients de l'appli.

  4. Pour Quelle action souhaitez-vous engager concernant les informations d'identification compromises ?, choisissez Autoriser ou Bloquer l'utilisation.

  5. Choisissez Personnaliser lorsque des informations d'identification compromises sont bloquées pour sélectionner les événements qui doivent déclencher des contrôles d'informations d'identification compromises :

    • Connexion

    • Inscription

    • Modification du mot de passe

  6. Choisissez comment répondre aux tentatives de connexion malveillantes sous Comment souhaitez-vous utiliser l'authentification adaptative pour les tentatives de connexion indiquées comme étant à risque faible, moyen et élevé ?. Vous pouvez autoriser ou bloquer la tentative de connexion, ou exiger des stimulations supplémentaires avant d'autoriser la connexion.

    Pour envoyer des notifications par électronique lorsque des tentatives de connexion anormales sont détectées, choisissez Notify users (Avertir les utilisateurs).

    
                    Avertir les utilisateurs
  7. Si vous avez choisi Notify users (Avertir les utilisateurs) à l'étape précédente, vous pouvez personnaliser les messages de notification par courriel à l'aide du formulaire Personnalisation du message de notification :

    
                    Historique des événements utilisateur
  8. Choisissez Customize (Personnaliser) pour personnaliser les notifications d'authentification adaptative avec les versions HTML et en texte brut des e-mails. Pour en savoir plus sur les modèles d'e-mail, consultez Modèles de messages.

  9. Saisissez toutes les adresses IP que vous souhaitez Always allow (Toujours autoriser) ou Always block (Toujours bloquer), quelle que soit l'évaluation des risques de la fonction de sécurité avancée. Indiquez les plages d'adresses IP en notation CIDR (par exemple, 192.168.100.0/24).

  10. Choisissez Enregistrer les modifications.

New console

Pour configurer la sécurité avancée pour un groupe d'utilisateurs

  1. Accédez à la console Amazon Cognito. Si vous y êtes invité, saisissez vos informations d'identification AWS.

  2. Choisissez Groupes d'utilisateurs.

  3. Choisissez un groupe d'utilisateurs existant dans la liste ou créez-en un.

  4. Choisissez l'onglet App integration (Intégration d'applications). Retrouvez Sécurité avancée et choisissez Activer. Si vous avez activé la sécurité avancée plus tôt, choisissez Modifier.

  5. Sélectionnez Full function (Fonction complète) pour configurer les réponses de sécurité avancées sur les informations d'identification compromises et l'authentification adaptative. Sélectionnez Audit only (Audit uniquement) pour collecter des informations et envoyer les données du groupe d'utilisateurs à CloudWatch. La tarification de la sécurité avancée s'applique dans les deux modes Audit uniquement et Fonction complète. Pour plus d'informations, consultez Tarification d'Amazon Cognito.

    Nous vous recommandons de conserver les fonctions de sécurité avancée en mode Audit pendant deux semaines avant d'activer des actions. Pendant ce temps, Amazon Cognito peut découvrir les modèles d'utilisation des utilisateurs de votre appli.

  6. Si vous avez sélectionné Audit uniquement, choisissez Enregistrer les modifications. Si vous avez sélectionné Fonction complète :

    1. Indiquez que vous allez exécuter une action personnalisée ou utiliser Paramètres Cognito par défaut pour traiter les informations d'identification compromises. Paramètres Cognito par défaut :

      1. Détecter les informations d'identification compromises au moment de la connexion, de l'inscription et de la modification du mot de passe.

      2. Traiter les informations d'identification compromises avec l'action Bloquer la connexion.

    2. Si vous avez sélectionné des actions personnalisées pour Compromised credentials (Informations d'identification compromises), choisissez les actions du groupe d'utilisateurs qu'Amazon Cognito utilisera pour la détection d'événements et les réponses aux informations d'identification compromises que vous voulez qu'Amazon Cognito apporte. Vous pouvez bloquer la connexion ou autoriser la connexion avec des informations d'identification compromises.

    3. Choisissez comment répondre aux tentatives de connexion malveillantes sous Authentification adaptative. Indiquez si vous exécuterez une action personnalisée ou utiliserez Paramètres Cognito par défaut pour traiter une activité malveillante présumée. Lorsque vous sélectionnez Paramètres Cognito par défaut, Amazon Cognito bloque la connexion à tous les niveaux de risque et ne prévient pas l'utilisateur.

    4. Si vous avez sélectionné des actions Personnalisées pour Authentification adaptative, choisissez les actions de Traitement automatique des risques d'Amazon Cognito en réponse aux risques détectés en fonction du niveau de sévérité. Lorsque vous attribuez une réponse à un niveau de risque, vous ne pouvez pas attribuer une réponse moins restrictive à un niveau de risque plus élevé. Vous pouvez attribuer les réponses suivantes aux niveaux de risque :

      1. Autoriser la connexion - aucune action préventive n'est exécutée.

      2. Authentification MFA facultative - si l'utilisateur a configuré MFA, Amazon Cognito demandera toujours à l'utilisateur de fournir un SMS supplémentaire ou un mot de passe unique à durée limitée (TOTP) lorsqu'il se connecte. Si l'utilisateur n'a pas configuré MFA, il peut continuer à se connecter normalement.

      3. Demander l'authentification MFA - si l'utilisateur a configuré MFA, Amazon Cognito demandera toujours à l'utilisateur de fournir un SMS supplémentaire ou un mot de passe unique à durée limitée (TOTP). Si l'utilisateur n'a pas configuré MFA, Amazon Cognito l'invite à configurer MFA. Avant d'exiger automatiquement l'authentification MFA pour vos utilisateurs, configurez un mécanisme dans votre appli pour capturer les numéros de téléphone pour l'authentification MFA par SMS, ou pour enregistrer les applications d'authentification pour l'authentification MFA par mot de passe unique à durée limitée (TOTP).

      4. Bloquer la connexion : empêche l'utilisateur de se connecter.

      5. Avertir l'utilisateur : envoie un courriel à l'utilisateur contenant des informations sur le risque détecté par Amazon Cognito et la réponse que vous avez choisie. Vous pouvez personnaliser des modèles d'e-mail pour les messages que vous envoyez.

  7. Si vous avez choisi Notify user (Avertir l'utilisateur) à l'étape précédente, vous pouvez personnaliser vos paramètres de distribution d'e-mails et vos modèles d'e-mail pour l'authentification adaptative.

    1. Sous Email configuration (Configuration d'e-mail), choisissez les paramètres SES Region (Région SES), FROM email address (Adresse e-mail d'envoi), FROM sender name (Nom de l'expéditeur) et REPLY-TO email address (Adresse e-mail de réponse) que vous souhaitez utiliser avec l'authentification adaptative. Pour plus d'informations sur l'intégration des messages électroniques de votre groupe d'utilisateurs à Amazon Simple Email Service, consultez Paramètres d'e-mail pour les groupes d'utilisateurs Amazon Cognito.

    2. Développez Email templates (Modèles d'e-mail) pour personnaliser les notifications d'authentification adaptative avec les versions HTML et en texte brut des e-mails. Pour en savoir plus sur les modèles d'e-mail, consultez Modèles de messages.

  8. Développer Exceptions d'adresses IP pour créer une liste Toujours autoriser ou Toujours bloquer de plages d'adresses IPv4 ou IPv6 qui seront toujours autorisées ou bloquées, quelle que soit l'évaluation des risques de la fonction de sécurité avancée. Indiquez les plages d'adresses IP en notation CIDR (par exemple, 192.168.100.0/24).

  9. Choisissez Enregistrer les modifications.