ユーザープールのパスワードの追加要件 - Amazon Cognito

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ユーザープールのパスワードの追加要件

強力で複雑なパスワードは、ユーザープールのセキュリティのベストプラクティスです。特にインターネットに公開されているアプリケーションでは、弱いパスワードにより、ユーザーの認証情報がパスワードを推測してデータにアクセスしようとするシステムに公開される可能性があります。パスワードが複雑なほど、推測が困難になります。Amazon Cognito には、アドバンストセキュリティ機能AWS WAFウェブ ACLs など、セキュリティを重視する管理者向けの追加のツールがありますが、パスワードポリシーはユーザーディレクトリのセキュリティの中心的な要素です。

Amazon Cognito ユーザープールのローカルユーザーのパスワードは、自動的に期限切れになることはありません。ベストプラクティスとして、ユーザーパスワードのリセットの時刻、日付、メタデータを外部システムに記録します。パスワードの有効期間の外部ログを使用すると、アプリケーションまたは Lambda トリガーはユーザーのパスワードの有効期間を検索し、特定の期間後にリセットを要求できます。

セキュリティ標準に準拠したパスワードの複雑さを最小限に抑えるようにユーザープールを設定できます。複雑なパスワードには、8 文字以上の長さが必要です。また、大文字、数字、特殊文字が混在しています。

ユーザープールのパスワードポリシーを設定するには
  1. ユーザープールを作成して [セキュリティ要件を設定] ステップに移動するか、既存のユーザープールにアクセスして [サインインエクスペリエンス] タブに移動します。

  2. [パスワードポリシー] に移動します。

  3. [パスワードポリシーモード] を選択します。[Cognito のデフォルト] では、推奨最小設定でユーザープールを設定します。[カスタム] パスワードポリシーを選択することもできます。

  4. [パスワードの最小文字数] を設定します。すべてのユーザーは、この値以上の長さのパスワードでサインアップまたは作成する必要があります。この最小値は 99 まで設定できますが、ユーザーは最大 256 文字のパスワードを設定できます。

  5. [パスワードの要件] でパスワードの複雑さのルールを設定します。各ユーザーのパスワードで少なくとも 1 つは必須とする文字タイプ (数字、特殊文字、大文字、小文字) を選択します。

    パスワードには、次の文字のうち少なくとも 1 つを要求できます。Amazon Cognito がパスワードに最低限必要な文字が含まれていることを確認した後、ユーザーのパスワードには、パスワードの最大長までの任意のタイプの追加の文字を含めることができます。

    • 大文字と小文字の基本的なラテン文字

    • 数字

    • 以下の特殊文字。

      ^ $ * . [ ] { } ( ) ? " ! @ # % & / \ , > < ' : ; | _ ~ ` = + -
    • 先頭でも末尾にもない空白文字。

  6. [管理者が設定した一時パスワードの有効期限] に値を設定します。この期間が過ぎると、Amazon Cognito コンソールまたは AdminCreateUser で作成した新しいユーザーは、サインインして新しいパスワードを設定できなくなります。一時パスワードでサインインすると、ユーザーアカウントが期限切れになることはありません。Amazon Cognito ユーザープール API のパスワード期間を更新するには、 CreateUserPoolまたは UpdateUserPool API リクエストTemporaryPasswordValidityDays で の値を設定します。

    1. 期限切れのユーザーアカウントのアクセス権をリセットするには、以下のいずれかを実行します。

      • ユーザープロファイルを削除し、新しいものを作成します。

      • AdminSetUserPassword API リクエストで新しい永続パスワードを設定します。

      • AdminResetUserPassword API リクエストで新しい確認コードを生成します。