멀티 테넌시 보안 권장 사항 - Amazon Cognito

멀티 테넌시 보안 권장 사항

보다 안전한 애플리케이션을 만들려면 다음을 권장합니다.

  • 도메인 일치를 기반으로 테넌트에 대한 사용자 액세스 권한을 부여하는 데 확인된 이메일 주소만 사용합니다. 앱에서 확인하거나 외부 IdP가 확인 증명을 제공하는 경우에만 이메일 주소와 전화 번호를 신뢰하세요. 이러한 권한 설정에 대한 자세한 내용은 속성 권한 및 범위를 참조하세요.

  • 테넌트를 식별하는 사용자 프로필 속성에 변경 불가능한 속성 또는 변경 가능한 속성을 사용합니다. 관리자는 이러한 속성을 변경할 수 있어야 합니다. 또한 앱 클라이언트에 이러한 속성에 대한 읽기 전용 권한을 부여합니다.

  • 외부 IdP와 애플리케이션 클라이언트 간에 일대일 매핑을 사용하여 무단 테넌트 간 액세스를 방지합니다. 외부 IdP에서 인증되었으며 유효한 Amazon Cognito 세션 쿠키가 있는 사용자는 동일한 IdP를 신뢰하는 다른 테넌트 앱에 액세스할 수 있습니다.

  • 애플리케이션에서 테넌트 일치 및 권한 부여 로직을 구현할 때 테넌트에 대한 사용자 액세스 권한을 부여하는 기준을 사용자가 직접 수정할 수 없도록 합니다. 또한 페더레이션에 외부 IdP 가 사용되는 경우 테넌트 ID 공급자 관리자가 사용자 액세스를 수정할 수 없도록 합니다.