プラスプランの機能

Plus 機能プランには、Amazon Cognito ユーザープールの高度なセキュリティ機能があります。これらの機能は、実行時にユーザーコンテキストをログに記録して分析し、デバイス、場所、リクエストデータ、パスワードにおける潜在的なセキュリティ上の問題がないかを調べます。次に、ユーザーアカウントをブロックまたはセキュリティ保護を追加する自動応答により、潜在的なリスクを軽減します。セキュリティログを Amazon S3、Amazon Data Firehose、または Amazon CloudWatch Logs にエクスポートして、さらに分析することもできます。

Essentials プランから Plus プランに切り替えると、Essentials のすべての機能とそれに続く追加機能を利用できます。これには、高度なセキュリティ機能とも呼ばれる一連の脅威保護セキュリティオプションが含まれます。認証フロントエンドの脅威に自動的に適応するようにユーザープールを設定するには、ユーザープールの Plus プランを選択します。

以降のセクションでは、 Plus プランでアプリケーションに追加できる機能の簡単な概要を示します。詳細については、以下のページを参照してください。

その他のリソース

• アダプティブ認証: アダプティブ認証の使用

• 侵害された認証情報: 漏えいした認証情報の検出の使用

• ログのエクスポート: Amazon Cognito ユーザープールからのログのエクスポート

脅威保護: アダプティブ認証

Plus プランには、アダプティブ認証機能が含まれています。この機能を有効にすると、ユーザープールはすべてのユーザー認証セッションのリスク評価を行います。結果として生じるリスク評価から、決定したしきい値を超えるリスクレベルでサインインするユーザーの認証をブロックしたり、MFA をプッシュしたりできます。アダプティブ認証を使用すると、ユーザープールとアプリケーションは、アカウントが攻撃されている可能性があるユーザーの MFA を自動的にブロックまたはセットアップします。ユーザープールからリスク評価に関するフィードバックを提供して、将来の評価を調整することもできます。

Amazon Cognito コンソールでアダプティブ認証を設定するには

1. Plus 機能プランを選択します。

2. ユーザープールの脅威保護メニューから、脅威保護で標準認証とカスタム認証を編集します。

3. 標準認証またはカスタム認証の強制モードをフル機能に設定します。

4. アダプティブ認証で、さまざまなレベルのリスクに対して自動リスクレスポンスを設定します。

詳細はこちら

• アダプティブ認証の使用

• アプリケーションにおける脅威保護のためのデータ収集

脅威保護: 侵害された認証情報の検出

Plus プランには、侵害された認証情報の検出機能が含まれています。この機能は、安全でないパスワードの使用や、この方法で作成される意図しないアプリケーションアクセスの脅威から保護します。ユーザーがユーザー名とパスワードを使用してサインインすることを許可すると、他の場所で使用したパスワードが再利用される可能性があります。そのパスワードが漏洩したか、一般的に推測されている可能性があります。侵害された認証情報の検出では、ユーザープールはユーザーが送信したパスワードを読み取り、パスワードデータベースと比較します。オペレーションによってパスワードが侵害されている可能性が高いと判断された場合は、サインインをブロックし、アプリケーション内のユーザーのパスワードリセットを開始するようにユーザープールを設定できます。

侵害された認証情報の検出は、新しいユーザーがサインアップしたとき、既存のユーザーがサインインしたとき、およびユーザーがパスワードをリセットしようとしたときに、安全でないパスワードに反応する可能性があります。この機能を使用すると、ユーザーがパスワードを入力すると、ユーザープールは安全でないパスワードによるサインインを防止または警告できます。

Amazon Cognito コンソールで侵害された認証情報の検出を設定するには

1. Plus 機能プランを選択します。

2. ユーザープールの脅威保護メニューから、脅威保護で標準認証とカスタム認証を編集します。

3. 標準認証またはカスタム認証のエンフォースメントモードをフル機能に設定します。

4. 「侵害された認証情報」で、チェックする認証オペレーションのタイプと、ユーザープールからの自動レスポンスを設定します。

詳細はこちら

• 漏えいした認証情報の検出の使用

脅威保護: ユーザーアクティビティのログ記録

Plus プランには、セキュリティ分析とユーザー認証の試行の詳細を提供するログ記録機能が追加されています。アプリケーションに接続されたデバイスに関するリスク評価、ユーザー IP アドレス、ユーザーエージェント、その他の情報を確認できます。組み込みの脅威保護機能を使用してこの情報に基づいて操作することも、独自のシステムでログを分析して適切なアクションを実行することもできます。脅威保護から Amazon S3、CloudWatch Logs、または Amazon DynamoDB にログをエクスポートできます。

Amazon Cognito コンソールでユーザーアクティビティのログ記録を設定するには

1. Plus 機能プランを選択します。

2. ユーザープールの脅威保護メニューから、脅威保護で標準認証とカスタム認証を編集します。

3. 標準認証またはカスタム認証のエンフォースメントモードを Audit-only に設定します。これはログの最小設定です。また、フル機能モードでアクティブ化し、他の脅威保護機能を設定することもできます。

4. サードパーティー分析 AWS のサービス のためにログを別の にエクスポートするには、ユーザープールのログストリーミングメニューに移動し、エクスポート先を設定します。

詳細はこちら

• ユーザー認証イベントのエクスポート

• Amazon Cognito ユーザープールからのログのエクスポート