ユーザープールにアドバンスドセキュリティを追加する - Amazon Cognito

ユーザープールにアドバンスドセキュリティを追加する

ユーザープールを作成すると、Amazon Cognito コンソールのナビゲーションバーの [Advanced security] (アドバンスドセキュリティ) にアクセスできるようになります。ユーザープールのアドバンスドセキュリティ機能をオンにし、さまざまなリスクに対応して実行されるアクションをカスタマイズすることができます。または、監査モードを使用して、検出されたリスクに関するメトリクスをアクションで対応せずに収集できます。監査モードでは、アドバンスドセキュリティ機能が Amazon CloudWatch にメトリクスをパブリッシュします。「アドバンスドセキュリティのメトリクスの表示」を参照してください。

注記

Amazon Cognito のアドバンスドセキュリティ機能には追加料金が適用されます。Amazon Cognito の料金ページを参照してください。

Prerequisites

開始するには、以下が必要です。

  • アプリクライアントを持つユーザープール。詳細については、「ユーザープールの開始方法。」を参照してください。

  • Amazon Cognito コンソールで多要素認証 (MFA) を [Optional] (オプション) に設定して、リスクに基づくアダプティブ認証機能を使用する。詳細については、「ユーザープールへの多要素認証 (MFA) の追加」を参照してください。

  • 通知に E メールを使用している場合は、Amazon SES コンソールに移動して、通知 E メールで使用する E メールアドレスまたはドメインの設定と検証を実行する。Amazon SES の詳細については、「Amazon SES での ID の検証」を参照してください。

アドバンスドセキュリティ機能を設定する

ユーザープールにアドバンスドセキュリティを設定するには

  1. 左のナビゲーションバーから [Advanced security] (アドバンスドセキュリティ) を選択します。

  2. [Do you want to enable advanced security features for this user pool?] (このユーザープールのアドバンスドセキュリティ機能を有効にしますか?) で [Yes] (はい) を選択して、アドバンスドセキュリティを有効化します。または [Audit only] (監査のみ) を選択して情報を収集し、ユーザープールのデータを Amazon CloudWatch に送信します。

    アクションを有効にする前に、2 週間、アドバンスドセキュリティ機能を監査モードにしておくことをお勧めします。これにより、Amazon Cognito がユーザーアプリの使用パターンを学習できるようになります。

  3. ドロップダウンリストから、[What app client do you want to customize settings for?] (どのアプリクライアントの設定をカスタマイズしますか?) を選択します デフォルトでは、すべてのアプリクライアントに対して設定をグローバルのままにしておきます。

  4. [Which action do you want to take with the compromised credentials?] (侵害された認証情報にどのように対処しますか?) で、[Allow] (許可) または [Block use] (使用をブロック) を選択します。

  5. [Customize when compromised credentials are blocked] (不正対象の認証情報をブロックした場合のカスタマイズ) を選択して、どのイベントが侵害された認証情報のチェックをトリガーするかを選択します。

    • サインイン

    • サインアップ

    • パスワードの変更

  6. [How do you want to use adaptive authentication for sign-in attempts rated as low, medium and high risk?] (リスクが低、中、高と評価されたサインイン試行で、アダプティブ認証をどのように使用しますか?) で悪意のあるサインイン試行に対応する方法を選択します。サインインの試行を許可またはブロックしたり、サインインを許可する前に追加の課題を要求することができます。

    通常と異なるサインイン試行が検出された場合に、E メール通知を送信するには、[Notify users] (ユーザーに通知) を選択します。

    
              ユーザーに通知する
  7. 前のステップで [Notify users] (ユーザーに通知) を選択した場合は、[Notification message customization] (通知メッセージのカスタマイズ) を使用して電子メール通知メッセージをカスタマイズすることができます。

    
              ユーザーイベント履歴
  8. [Customize] (カスタマイズ) を選択して、HTML とプレーンテキストの E メールバージョンの両方でアダプティブ認証通知をカスタマイズします。E メールテンプレートの詳細については、「メッセージテンプレート」を参照してください。

  9. アドバンスドセキュリティのリスク評価にかかわらず、[Always allow] (常に許可) または [Always block] (常にブロック) する IP アドレスを入力します。CIDR 表記 で IP アドレスの範囲を指定します (例: 192.168.100.0/24)。

  10. [Save changes] (変更を保存) をクリックします。