Uso de las características de seguridad de los grupos de usuarios de Amazon Cognito

Probablemente desee proteger su aplicación contra las intrusiones en la red, la adivinación de contraseñas, la suplantación de identidad de usuarios y el registro e inicio de sesión malintencionados. La configuración de las características de seguridad de los grupos de usuarios de Amazon Cognito puede ser un componente clave en la arquitectura de seguridad. La seguridad de la aplicación es responsabilidad del cliente en relación con la seguridad en la nube, tal y como se describe en el modelo de responsabilidad compartida de AWS. Las herramientas de este capítulo contribuyen a que el diseño de seguridad de su aplicación se ajuste a estos objetivos.

Al configurar el grupo de usuarios debe tomar una decisión importante sobre si permitirá o no el registro y el inicio de sesión públicos. Algunas opciones de grupos de usuarios, como los clientes confidenciales, la creación y confirmación administrativa de usuarios y los grupos de usuarios sin dominio, están sujetas en menor medida a los ataques a través de Internet. Sin embargo, suele ocurrir que los clientes públicos acepten el registro de cualquier usuario de Internet y envíen todas las operaciones directamente a su grupo de usuarios. En todas las configuraciones, pero especialmente en el caso de las configuraciones públicas, le recomendamos que planifique e implemente el grupo de usuarios teniendo siempre en cuenta las características de seguridad. Una seguridad insuficiente también puede repercutir en la factura de AWS si se crean usuarios activos nuevos desde orígenes no deseados o se intenta explotar a usuarios ya existentes.

La protección contra amenazas y MFA se aplica a los usuarios locales. Los IdP de terceros son responsables de la atención a la seguridad de los usuarios federados.

Características de seguridad del grupo de usuarios

Autenticación multifactor (MFA): Solicite un código que su grupo de usuarios envíe por correo electrónico (con un plan de características Essentials o Plus) o desde una aplicación de autenticación para confirmar el inicio de sesión del grupo de usuarios.
Protección contra amenazas: Supervise el inicio de sesión para detectar indicadores de riesgo y aplique la MFA o bloquee el inicio de sesión. Añada notificaciones y ámbitos personalizados para acceder a los tokens. Envíe los códigos de la MFA por correo electrónico.
AWS WAFACL web de: Inspeccione el tráfico entrante a los puntos de conexión del grupo de usuarios y a la API de autenticación para detectar actividad no deseada en las capas de red y de aplicaciones.
Sensibilidad a mayúsculas y minúsculas: No permita la creación de usuarios cuya dirección de correo electrónico o nombre de usuario preferido sean idénticos a los de otro usuario salvo en el uso de mayúsculas y minúsculas.
Protección contra eliminación: Evite que los sistemas automatizados eliminen accidentalmente los grupos de usuarios. Exija una confirmación adicional de la eliminación del grupo de usuarios en la Consola de administración de AWS.
Errores de existencia del usuario: Protéjase de la divulgación de los nombres de usuario y alias contenidos en el grupo de usuarios. Devuelva un error genérico en respuesta a una autenticación fallida, independientemente de que el nombre de usuario sea válido o no.

Temas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración de mensajes SMS

Adición de MFA