本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon Cognito 用户池安全功能
您可能需要保护您的应用程序免受网络入侵、密码猜测、用户冒充以及恶意注册和登录的侵害。您对 Amazon Cognito 用户池安全功能的配置可能是您的安全架构中的一个关键组件。您的应用程序的安全性是客户责任 “云端安全”,如责任 AWS 共担模型
配置用户池时必须做出的一项重要决定是是否允许公开注册和登录。某些用户池选项,例如机密客户端、用户管理创建和确认,以及没有域的用户池,受到互联网攻击的程度较小。但是,一个常见的用例是公共客户端,它们接受互联网上任何人的注册并将所有操作直接发送到您的用户池。在任何配置中,尤其是在这些公共配置中,我们都建议您在规划和部署用户池时考虑安全功能。当不受欢迎的来源创建新的活跃用户或试图利用现有用户时,安全性不足也会影响您的 AWS 账单。
MFA高级安全功能适用于本地用户。第三方 IdPs 应对联合用户的安全状况负责。
用户池安全功能
- 多因素身份验证 () MFA
-
请求您的用户池通过SMS消息或身份验证器应用程序发送的验证码,以确认用户池登录。
- 高级安全功能
-
监控登录以了解风险指标,然后申请MFA或屏蔽登录。向访问令牌添加自定义声明和范围。通过电子邮件发送MFA验证码。
- AWS WAF 网页 ACLs
-
检查用户池端点的传入流量,并API进行身份验证,以了解网络和应用程序层是否存在不想要的活动。
- 大小写敏感度
-
禁止创建电子邮件地址或首选用户名与其他用户相同的用户(字符大小写除外)。
- 删除保护
-
防止自动化系统意外删除您的用户池。需要在中进一步确认删除用户池 AWS Management Console。
- 用户存在错误
-
防止泄露用户池中的现有用户名和别名。无论用户名是否有效,都会返回一般错误以响应身份验证失败。