Amazon Cognito
開発者ガイド

ユーザープールにアドバンスドセキュリティを追加する

ユーザープールを作成すると、Amazon Cognito コンソールのナビゲーションバーの [アドバンスドセキュリティ] にアクセスできます。ユーザープールのアドバンスドセキュリティ機能をオンにし、さまざまなリスクに対応して実行されるアクションをカスタマイズすることができます。または、監査モードを使用して、検出されたリスクに関するメトリクスをアクションで対応せずに収集できます。監査モードでは、アドバンスドセキュリティ機能から Amazon CloudWatch にメトリクスが発行されます。「アドバンスドセキュリティのメトリクスの表示」を参照してください。

注記

Amazon Cognito のアドバンスドセキュリティ機能には追加料金が適用されます。Amazon Cognito の料金表ページを参照してください。

前提条件

開始する前に、以下が必要です。

アドバンスドセキュリティ機能を設定する

ユーザープールにアドバンスドセキュリティを設定するには

  1. 左のナビゲーションバーから [アドバンスドセキュリティ] を選択します。

  2. [このユーザープールのアドバンスドセキュリティ機能を有効にしますか?] で、[はい] を選択し、アドバンスドセキュリティを設定します。または [監査のみ] を選択し、情報を収集し、ユーザープールのデータを Amazon CloudWatch に送信します。

    アクションを有効にする前に、2 週間、アドバンスドセキュリティ機能を監査モードにしておくことをお勧めします。これにより、Amazon Cognito はユーザーアプリの使用パターンを学習します。

  3. ドロップダウンリストから、[どのアプリクライアントの設定をカスタマイズしますか?] を選択します。デフォルトでは、すべてのアプリクライアントに対して設定をグローバルのままにしておきます。

  4. [侵害された認証情報にどのように対処しますか?] で、[許可] または [ブロック] を選択します。

  5. [不正対象の認証情報をブロックした場合のカスタマイズ] を選択して、どのイベントを使用して認証情報の侵害のチェックをトリガーするかを選択します。

    • サインイン

    • サインアップ

    • パスワードの変更

  6. 以下で悪意のあるサインイン試行に対応する方法を選択します。[リスクが低、中、高と評価されたサインイン試行で、アダプティブ認証をどのように使用しますか?]. サインインの試行を許可またはブロックしたり、サインインを許可する前に追加の課題を要求することができます。

    通常と異なるサインイン試行が検出された場合に、E メール通知を送信するには、[ユーザーに通知] を選択します。

    ユーザーに通知
  7. 前のステップで [ユーザーに通知] を選択した場合は、[通知メッセージのカスタマイズ] を使用して電子メール通知メッセージをカスタマイズすることができます。

    ユーザーイベント履歴
  8. [カスタマイズ] を選択して、HTML とプレーンテキストの E メールバージョンの両方でアダプティブ認証通知をカスタマイズします。E メールテンプレートの詳細については、「メッセージテンプレート」を参照してください。

  9. アドバンスドセキュリティのリスク評価に関係なく、[常に許可] または [常にブロック] する IP アドレスを入力します。CIDR 表記 で IP アドレスを指定します (例: 192.168.100.0/24)。

  10. [変更の保存] を選択します。