Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Amazon Cognito
Ces AWS Security Hub contrôles évaluent le service et les ressources Amazon Cognito. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet des fonctions pour l'authentification standard
Catégorie : Protéger - Gestion de l'accès sécurisé
Gravité : Moyenne
Type de ressource : AWS::Cognito::UserPool
Règle AWS Config : cognito-user-pool-advanced-security-enabled
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Mode d'application de la protection contre les menaces vérifié par le contrôle. |
Chaîne |
|
|
Ce contrôle vérifie si la protection contre les menaces est activée dans un groupe d'utilisateurs Amazon Cognito avec le mode d'application réglé sur toutes les fonctionnalités pour l'authentification standard. Le contrôle échoue si la protection contre les menaces du groupe d'utilisateurs est désactivée ou si le mode d'application n'est pas configuré pour fonctionner pleinement pour l'authentification standard. À moins que vous ne fournissiez des valeurs de paramètres personnalisées, Security Hub utilise la valeur par défaut de ENFORCED pour le mode d'application défini sur pleine fonctionnalité pour l'authentification standard.
Après avoir créé un groupe d'utilisateurs Amazon Cognito, vous pouvez activer la protection contre les menaces et personnaliser les actions entreprises en réponse aux différents risques. Vous pouvez également utiliser le mode audit pour recueillir des mesures sur les risques détectés sans appliquer de mesures de sécurité. En mode audit, la protection contre les menaces publie des statistiques sur Amazon CloudWatch. Vous pouvez consulter les statistiques une fois qu'Amazon Cognito a généré son premier événement.
Correction
Pour plus d'informations sur l'activation de la protection contre les menaces pour un groupe d'utilisateurs Amazon Cognito, consultez la section Sécurité avancée avec protection contre les menaces dans le guide du développeur Amazon Cognito.
[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
Catégorie : Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
Gravité : Moyenne
Type de ressource : AWS::Cognito::IdentityPool
Règle AWS Config : cognito-identity-pool-unauth-access-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un pool d'identités Amazon Cognito est configuré pour autoriser les identités non authentifiées. Le contrôle échoue si l'accès invité est activé (le AllowUnauthenticatedIdentities paramètre est défini surtrue) pour le pool d'identités.
Si un pool d'identités Amazon Cognito autorise les identités non authentifiées, il fournit des informations d' AWS identification temporaires aux utilisateurs qui ne se sont pas authentifiés via un fournisseur d'identité (invités). Cela crée des risques de sécurité car cela permet un accès anonyme aux AWS ressources. Si vous désactivez l'accès invité, vous pouvez garantir que seuls les utilisateurs correctement authentifiés peuvent accéder à vos AWS ressources, ce qui réduit le risque d'accès non autorisé et de failles de sécurité potentielles. En tant que bonne pratique, un pool d'identités doit nécessiter une authentification auprès des fournisseurs d'identité pris en charge. Si un accès non authentifié est nécessaire, il est important de limiter soigneusement les autorisations relatives aux identités non authentifiées, et de vérifier et de surveiller régulièrement leur utilisation.
Correction
Pour plus d'informations sur la désactivation de l'accès invité pour un pool d'identités Amazon Cognito, consultez la section Activer ou désactiver l'accès invité dans le guide du développeur Amazon Cognito.
