Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub-Steuerelemente für Amazon Cognito

Diese AWS Security Hub Kontrollen bewerten den Service und die Ressourcen von Amazon Cognito. Die Steuerelemente sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Ressourcentyp: AWS::Cognito::UserPool

AWS Config -Regel: cognito-user-pool-advanced-security-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

Diese Kontrolle prüft, ob in einem Amazon Cognito Cognito-Benutzerpool der Bedrohungsschutz aktiviert ist und der Erzwingungsmodus für die Standardauthentifizierung auf Vollfunktion eingestellt ist. Die Kontrolle schlägt fehl, wenn der Bedrohungsschutz für den Benutzerpool deaktiviert ist oder wenn der Erzwingungsmodus für die Standardauthentifizierung nicht auf volle Funktionalität eingestellt ist. Sofern Sie keine benutzerdefinierten Parameterwerte angeben, verwendet Security Hub den Standardwert für den Erzwingungsmodus, der ENFORCED für die Standardauthentifizierung auf Vollfunktion gesetzt ist.

Nachdem Sie einen Amazon Cognito Cognito-Benutzerpool erstellt haben, können Sie den Bedrohungsschutz aktivieren und die Maßnahmen anpassen, die als Reaktion auf verschiedene Risiken ergriffen werden. Oder Sie können den Überwachungsmodus verwenden, um Metriken zu erkannten Risiken zu sammeln, ohne Sicherheitsmaßnahmen ergreifen zu müssen. Im Auditmodus veröffentlicht Threat Protection Kennzahlen an Amazon CloudWatch. Sie können Metriken sehen, nachdem Amazon Cognito sein erstes Ereignis generiert hat.

Abhilfe

Informationen zur Aktivierung des Bedrohungsschutzes für einen Amazon Cognito-Benutzerpool finden Sie unter Erweiterte Sicherheit mit Bedrohungsschutz im Amazon Cognito Developer Guide.

[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen

Kategorie: Schützen > Sichere Zugriffsverwaltung > Passwortlose Authentifizierung

Schweregrad: Mittel

Art der Ressource: AWS::Cognito::IdentityPool

AWS Config -Regel: cognito-identity-pool-unauth-access-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob ein Amazon Cognito Cognito-Identitätspool so konfiguriert ist, dass er nicht authentifizierte Identitäten zulässt. Die Kontrolle schlägt fehl, wenn der Gastzugriff für den Identitätspool aktiviert ist (der AllowUnauthenticatedIdentities Parameter ist auf gesetzttrue).

Wenn ein Amazon Cognito Cognito-Identitätspool nicht authentifizierte Identitäten zulässt, stellt der Identitätspool temporäre AWS Anmeldeinformationen für Benutzer bereit, die sich nicht über einen Identitätsanbieter authentifiziert haben (Gäste). Dies birgt Sicherheitsrisiken, da es anonymen Zugriff auf Ressourcen ermöglicht. AWS Wenn Sie den Gastzugriff deaktivieren, können Sie sicherstellen, dass nur ordnungsgemäß authentifizierte Benutzer auf Ihre AWS Ressourcen zugreifen können, wodurch das Risiko eines unbefugten Zugriffs und potenzieller Sicherheitsverletzungen verringert wird. Als bewährte Methode sollte ein Identitätspool die Authentifizierung durch unterstützte Identitätsanbieter erfordern. Wenn ein nicht authentifizierter Zugriff erforderlich ist, ist es wichtig, die Berechtigungen für nicht authentifizierte Identitäten sorgfältig einzuschränken und deren Verwendung regelmäßig zu überprüfen und zu überwachen.

Abhilfe

Informationen zur Deaktivierung des Gastzugriffs für einen Amazon Cognito-Identitätspool finden Sie unter Gastzugriff aktivieren oder deaktivieren im Amazon Cognito Developer Guide.