侵害された認証情報の確認 - Amazon Cognito

侵害された認証情報の確認

Amazon Cognito は、ユーザーのユーザー名とパスワードが他の場所で侵害されたかどうかを検出できます。これは、ユーザーが複数のサイトで認証情報を再利用したり、安全でないパスワードを使用したりするときに発生します。Amazon Cognito は、ホストされた UI と Amazon Cognito API で、ユーザー名とパスワードでサインインするネイティブユーザーをチェックします。ネイティブユーザーとは、フェデレーション ID プロバイダー (IdP) なしで Amazon Cognito ディレクトリで作成した、またはサインアップしたユーザーです。

Amazon Cognito コンソールの [App integration] (アプリの統合) タブの[Advanced security](アドバンスドセキュリティ) から、[Compromised credentials] (侵害された認証情報) を設定できます。[Event detection] (イベント検出) を設定して、侵害された認証情報を監視するユーザイベントを選択します。[Compromised credentials responses] (侵害された認証情報の応答) を設定し、侵害された認証情報が検出された場合にユーザーを許可するかブロックするかを選択します。Amazon Cognito は、サインイン時、サインアップ時、パスワード変更時に侵害された認証情報をチェックすることができます。

[Allow sign-in] (サインインを許可する) を選択する場合、Amazon CloudWatch Logs を確認して、Amazon Cognito がユーザーイベントに対して行う評価を監視できます。詳細については、「アドバンストセキュリティのメトリクスの表示」を参照してください。[Block sign-in] (サインインをブロックする) を選択する場合、Amazon Cognito は、侵害された認証情報を使用するユーザーによるサインインを防止します。Amazon Cognito がユーザーのサインインをブロックすると、ユーザーの UserStatusRESET_REQUIRED に設定されます。RESET_REQUIRED ステータスのユーザーは、再度サインインする前にパスワードを変更する必要があります。

注記

現在 Amazon Cognito では、サインイン時にパスワードを送信しない Secure Remote Password (SRP) フローでのサインイン操作に対する侵害された認証情報のチェックが行われません。Amazon Cognito は、ADMIN_USER_PASSWORD_AUTH フローで AdminInitiateAuth API を使用するサインインと、USER_PASSWORD_AUTH フローで InitiateAuth API を使用するサインインをチェックして、認証情報が侵害されていないか確認します。

漏洩した認証情報の保護をユーザープールに追加するには、「ユーザープールにアドバンストセキュリティを追加する」を参照してください。