기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Cognito에 대한 Security Hub 제어
이러한 AWS Security Hub 제어는 Amazon Cognito 서비스 및 리소스를 평가합니다. 컨트롤을 전혀 사용하지 못할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 함수 적용 모드로 위협 방지 기능이 활성화되어 있어야 합니다.
범주: 보호 > 보안 액세스 관리
심각도: 중간
리소스 유형: AWS::Cognito::UserPool
AWS Config 규칙: cognito-user-pool-advanced-security-enabled
스케줄 유형: 변경이 트리거됨
파라미터:
| 파라미터 | 설명 | 형식 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
|
|
제어가 확인하는 위협 방지 적용 모드입니다. |
String |
|
|
이 제어는 표준 인증을 위해 적용 모드를 전체 함수로 설정하여 Amazon Cognito 사용자 풀에 위협 방지 기능이 활성화되어 있는지 확인합니다. 사용자 풀에 위협 방지 기능이 비활성화되어 있거나 적용 모드가 표준 인증을 위한 전체 함수로 설정되지 않은 경우 제어가 실패합니다. 사용자 지정 파라미터 값을 제공하지 않는 한 Security Hub는 표준 인증을 ENFORCED 위해 전체 함수로 설정된 적용 모드에의 기본값을 사용합니다.
Amazon Cognito 사용자 풀을 생성한 후 위협 방지를 활성화하고 다양한 위험에 대응하여 수행되는 작업을 사용자 지정할 수 있습니다. 또는 감사 모드를 사용하여 보안 완화 조치를 적용하지 않고도 탐지된 위험에 대한 지표를 수집할 수 있습니다. 감사 모드에서 위협 방지는 Amazon CloudWatch에 지표를 게시합니다. Amazon Cognito가 첫 번째 이벤트를 생성한 후 지표를 볼 수 있습니다.
문제 해결
Amazon Cognito 사용자 풀에 대한 위협 방지 활성화에 대한 자세한 내용은 Amazon Cognito 개발자 안내서의 위협 방지 기능이 있는 고급 보안을 참조하세요.
[Cognito.2] Cognito 자격 증명 풀은 인증되지 않은 자격 증명을 허용해서는 안 됩니다.
범주: 보호 > 보안 액세스 관리 > 비밀번호 없는 인증
심각도: 중간
리소스 유형: AWS::Cognito::IdentityPool
AWS Config 규칙: cognito-identity-pool-unauth-access-check
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 Amazon Cognito 자격 증명 풀이 인증되지 않은 자격 증명을 허용하도록 구성되어 있는지 확인합니다. 자격 증명 풀에 대해 게스트 액세스가 활성화되면(AllowUnauthenticatedIdentities파라미터가 로 설정됨true) 제어가 실패합니다.
Amazon Cognito 자격 증명 풀이 인증되지 않은 자격 증명을 허용하는 경우 자격 증명 풀은 자격 증명 공급자(게스트)를 통해 인증하지 않은 사용자에게 임시 AWS 자격 증명을 제공합니다. 이렇게 하면 AWS 리소스에 대한 익명 액세스를 허용하므로 보안 위험이 발생합니다. 게스트 액세스를 비활성화하면 제대로 인증된 사용자만 AWS 리소스에 액세스할 수 있으므로 무단 액세스 및 잠재적 보안 침해의 위험이 줄어듭니다. 가장 좋은 방법은 자격 증명 풀이 지원되는 자격 증명 공급자를 통해 인증해야 하는 것입니다. 인증되지 않은 액세스가 필요한 경우 인증되지 않은 자격 증명에 대한 권한을 신중하게 제한하고 해당 사용을 정기적으로 검토하고 모니터링하는 것이 중요합니다.
문제 해결
Amazon Cognito 자격 증명 풀에 대한 게스트 액세스 비활성화에 대한 자세한 내용은 Amazon Cognito 개발자 안내서의 게스트 액세스 활성화 또는 비활성화를 참조하세요.
