Amazon Cognito 的 Security Hub 控制項 - AWS Security Hub
【Cognito.1】 Cognito 使用者集區應以標準身分驗證的完整功能強制執行模式啟用威脅防護【Cognito.2】 Cognito 身分集區不應允許未驗證的身分

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Cognito 的 Security Hub 控制項

這些 AWS Security Hub 控制項會評估 Amazon Cognito 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性

【Cognito.1】 Cognito 使用者集區應以標準身分驗證的完整功能強制執行模式啟用威脅防護

類別:保護 > 安全存取管理

嚴重性:

資源類型: AWS::Cognito::UserPool

AWS Config 規則:cognito-user-pool-advanced-security-enabled

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許自訂值 Security Hub 預設值

SecurityMode

控制項檢查的威脅防護強制執行模式。

字串

AUDIT, ENFORCED

ENFORCED

此控制項會檢查 Amazon Cognito 使用者集區是否已啟用威脅防護,並將強制執行模式設定為標準身分驗證的完整函數。如果使用者集區已停用威脅防護,或者如果強制執行模式未設定為標準身分驗證的完整函數,則控制項會失敗。除非您提供自訂參數值,否則 Security Hub 會將強制執行模式的預設值 ENFORCED 設定為標準身分驗證的完整函數。

建立 Amazon Cognito 使用者集區之後,您可以啟用威脅防護,並自訂為了回應不同風險而採取的動作。或者,您可以使用稽核模式來收集偵測到風險的指標,而無需套用任何安全性緩解措施。在稽核模式中,威脅防護會將指標發佈至 Amazon CloudWatch。您可以在 Amazon Cognito 產生第一個事件後看到指標。

修補

如需有關啟用 Amazon Cognito 使用者集區威脅防護的資訊,請參閱《Amazon Cognito 開發人員指南》中的進階安全性與威脅防護

【Cognito.2】 Cognito 身分集區不應允許未驗證的身分

類別:保護 > 安全存取管理 > 無密碼身分驗證

嚴重性:

資源類型: AWS::Cognito::IdentityPool

AWS Config 規則:cognito-identity-pool-unauth-access-check

排程類型:已觸發變更

參數:

此控制項會檢查 Amazon Cognito 身分集區是否設定為允許未驗證的身分。如果身分集區的訪客存取已啟用 ( AllowUnauthenticatedIdentities 參數設定為 true),則控制項會失敗。

如果 Amazon Cognito 身分集區允許未驗證的身分,身分集區會提供臨時 AWS 登入資料給未透過身分提供者 (訪客) 驗證的使用者。這會產生安全風險,因為它允許匿名存取 AWS 資源。如果您停用訪客存取,您可以協助確保只有經過適當驗證的使用者才能存取您的 AWS 資源,進而降低未經授權的存取和潛在安全漏洞的風險。最佳實務是,身分集區應要求透過支援的身分提供者進行身分驗證。如果需要未經驗證的存取,請務必謹慎限制未經驗證身分的許可,並定期檢閱和監控其使用情況。

修補

如需有關停用 Amazon Cognito 身分集區訪客存取權的資訊,請參閱《Amazon Cognito 開發人員指南》中的啟用或停用訪客存取權