多重租用安全建議

為協助讓您的應用程式更加安全，我們建議：

• 使用 Amazon 驗證許可在您的應用程式中驗證租用。建立原則，在您允許應用程式中的使用者要求之前，先檢查使用者集區、應用程式用戶端、群組或自訂屬性權利。 AWS 使用 Amazon Cognito 使用者集區建立已驗證的許可身分識別來源。已驗證的權限具有多租戶管理的其他指導方針。

• 請務必使用已驗證的電子郵件地址，根據網域比對來授權使用者存取租用戶。不要信任電子郵件地址和電話號碼，除非您的應用程式驗證它們，或者外部 IdP 提供驗證證明。如需設定上述許可的詳細資訊，請參閱屬性許可和範圍。

• 針對識別承租人的使用者設定檔屬性使用不可變或唯讀的自訂屬性。只有當您在使用者集區中建立使用者或使用者註冊時，才能設定不可變屬性的值。此外，提供應用程式用戶端對屬性的唯讀存取權。

• 在租用戶的外部 IdP 和應用程式用戶端之間使用 1:1 對應，以防止未經授權的跨租用戶存取。已經由外部 IdP 進行身分驗證且具有有效 Amazon Cognito 工作階段 Cookie 的使用者，可以存取信任相同 IdP 的其他租用戶應用程式。

• 在應用程式中實作符合租用戶和授權邏輯時，請限制使用者使其無法修改授權使用者存取租用戶的條件。此外，如果外部 IdP 正用於聯合身分，請限制租用者身分提供者管理員，使其無法變更使用者存取權限。