Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli del Security Hub per Amazon Cognito
Questi AWS Security Hub controlli valutano il servizio e le risorse di Amazon Cognito. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard
Categoria: Protezione > Gestione degli accessi sicuri
Gravità: media
Tipo di risorsa: AWS::Cognito::UserPool
Regola AWS Config : cognito-user-pool-advanced-security-enabled
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
La modalità di applicazione della protezione dalle minacce verificata dal controllo. |
Stringa |
|
|
Questo controllo verifica se un pool di utenti di Amazon Cognito ha la protezione dalle minacce attivata con la modalità di imposizione impostata sulla piena funzionalità per l'autenticazione standard. Il controllo fallisce se nel pool di utenti la protezione dalle minacce è disattivata o se la modalità di imposizione non è impostata sulla funzionalità completa per l'autenticazione standard. A meno che non si forniscano valori di parametro personalizzati, Security Hub utilizza il valore predefinito di ENFORCED for enforcement mode impostato su full function per l'autenticazione standard.
Dopo aver creato un pool di utenti Amazon Cognito, puoi attivare la protezione dalle minacce e personalizzare le azioni intraprese in risposta a diversi rischi. In alternativa, puoi utilizzare la modalità di controllo per raccogliere metriche sui rischi rilevati senza applicare alcuna mitigazione della sicurezza. In modalità di controllo, la protezione dalle minacce pubblica i parametri su Amazon. CloudWatch Puoi visualizzare le metriche dopo che Amazon Cognito ha generato il suo primo evento.
Correzione
Per informazioni sull'attivazione della protezione dalle minacce per un pool di utenti di Amazon Cognito, consulta Sicurezza avanzata con protezione dalle minacce nella Amazon Cognito Developer Guide.
[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate
Categoria: Protezione > Gestione sicura degli accessi > Autenticazione senza password
Gravità: media
Tipo di risorsa: AWS::Cognito::IdentityPool
Regola AWS Config : cognito-identity-pool-unauth-access-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un pool di identità di Amazon Cognito è configurato per consentire identità non autenticate. Il controllo fallisce se l'accesso guest è attivato (il AllowUnauthenticatedIdentities parametro è impostato sutrue) per il pool di identità.
Se un pool di identità di Amazon Cognito consente identità non autenticate, il pool di identità fornisce AWS credenziali temporanee agli utenti che non si sono autenticati tramite un provider di identità (ospiti). Ciò crea rischi per la sicurezza perché consente l'accesso anonimo alle risorse. AWS Se disattivi l'accesso come ospite, puoi contribuire a garantire che solo gli utenti correttamente autenticati possano accedere alle tue AWS risorse, riducendo il rischio di accessi non autorizzati e potenziali violazioni della sicurezza. Come best practice, un pool di identità dovrebbe richiedere l'autenticazione tramite provider di identità supportati. Se è necessario un accesso non autenticato, è importante limitare attentamente le autorizzazioni per le identità non autenticate e rivederne e monitorarne regolarmente l'utilizzo.
Correzione
Per informazioni sulla disattivazione dell'accesso guest per un pool di identità di Amazon Cognito, consulta Attivare o disattivare l'accesso guest nella Amazon Cognito Developer Guide.
