Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk Amazon Cognito
AWS Security Hub Kontrol ini mengevaluasi layanan dan sumber daya Amazon Cognito. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::Cognito::UserPool
AWS Config aturan: cognito-user-pool-advanced-security-enabled
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Mode penegakan perlindungan ancaman yang diperiksa oleh kontrol. |
String |
|
|
Kontrol ini memeriksa apakah kumpulan pengguna Amazon Cognito memiliki perlindungan ancaman yang diaktifkan dengan mode penegakan yang disetel ke fungsi penuh untuk otentikasi standar. Kontrol gagal jika kumpulan pengguna menonaktifkan perlindungan ancaman atau jika mode penegakan tidak disetel ke fungsi penuh untuk otentikasi standar. Kecuali Anda memberikan nilai parameter kustom, Security Hub menggunakan nilai default ENFORCED untuk mode penegakan yang disetel ke fungsi penuh untuk otentikasi standar.
Setelah membuat kumpulan pengguna Amazon Cognito, Anda dapat mengaktifkan perlindungan ancaman dan menyesuaikan tindakan yang diambil sebagai respons terhadap risiko yang berbeda. Atau, Anda dapat menggunakan mode audit untuk mengumpulkan metrik risiko yang terdeteksi tanpa menerapkan mitigasi keamanan apa pun. Dalam mode audit, perlindungan ancaman menerbitkan metrik ke Amazon. CloudWatch Anda dapat melihat metrik setelah Amazon Cognito menghasilkan acara pertamanya.
Remediasi
Untuk informasi tentang mengaktifkan perlindungan ancaman untuk kumpulan pengguna Amazon Cognito, lihat Keamanan lanjutan dengan perlindungan ancaman di Panduan Pengembang Amazon Cognito.
[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi
Kategori: Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::Cognito::IdentityPool
AWS Config aturan: cognito-identity-pool-unauth-access-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah kumpulan identitas Amazon Cognito dikonfigurasi untuk mengizinkan identitas yang tidak diautentikasi. Kontrol gagal jika akses tamu diaktifkan (AllowUnauthenticatedIdentitiesparameter disetel ketrue) untuk kumpulan identitas.
Jika kumpulan identitas Amazon Cognito mengizinkan identitas yang tidak diautentikasi, kumpulan identitas akan memberikan AWS kredensi sementara kepada pengguna yang belum melakukan autentikasi melalui penyedia identitas (tamu). Ini menciptakan risiko keamanan karena memungkinkan akses anonim ke AWS sumber daya. Jika Anda menonaktifkan akses tamu, Anda dapat membantu memastikan bahwa hanya pengguna yang diautentikasi dengan benar yang dapat mengakses AWS sumber daya Anda, yang mengurangi risiko akses tidak sah dan potensi pelanggaran keamanan. Sebagai praktik terbaik, kumpulan identitas harus memerlukan otentikasi melalui penyedia identitas yang didukung. Jika akses yang tidak diautentikasi diperlukan, penting untuk secara hati-hati membatasi izin untuk identitas yang tidak diautentikasi, dan secara teratur meninjau dan memantau penggunaannya.
Remediasi
Untuk informasi tentang menonaktifkan akses tamu untuk kumpulan identitas Amazon Cognito, lihat Mengaktifkan atau menonaktifkan akses tamu di Panduan Pengembang Amazon Cognito.
