翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
漏えいした認証情報の検出の使用
Amazon Cognito は、ユーザーのユーザー名とパスワードが他の場所で侵害されたかどうかを検出できます。これは、ユーザーが複数のサイトで認証情報を再利用したり、安全でないパスワードを使用したりするときに発生します。Amazon Cognito は、マネージドログインと Amazon Cognito API で、ユーザー名とパスワードでサインインするローカルユーザーをチェックします。
Amazon Cognito コンソールの [脅威保護] メニューで、[漏えいした認証情報] を設定できます。[Event detection] (イベント検出) を設定して、侵害された認証情報を監視するユーザーイベントを選択します。[Compromised credentials responses] (侵害された認証情報の応答) を設定し、侵害された認証情報が検出された場合にユーザーを許可するかブロックするかを選択します。Amazon Cognito は、サインイン時、サインアップ時、パスワード変更時に侵害された認証情報をチェックすることができます。
[Allow sign-in] (サインインを許可する) を選択する場合、Amazon CloudWatch Logs を確認して、Amazon Cognito がユーザーイベントに対して行う評価を監視できます。詳細については、「脅威保護メトリクスの表示」を参照してください。[Block sign-in] (サインインをブロックする) を選択する場合、Amazon Cognito は、侵害された認証情報を使用するユーザーによるサインインを防止します。Amazon Cognito がユーザーのサインインをブロックすると、ユーザーの UserStatus が RESET_REQUIRED に設定されます。RESET_REQUIRED ステータスのユーザーは、再度サインインする前にパスワードを変更する必要があります。
漏えいした認証情報では、次のユーザーアクティビティのパスワードをチェックできます。
- サインアップ
-
ユーザープールは、ユーザーが SignUp オペレーションおよびマネージドログインのサインアップページで送信したパスワードをチェックし、漏えいの兆候を確認します。
- サインイン
-
ユーザープールは、ユーザーがパスワードベースのサインインで送信したパスワードをチェックし、漏えいの兆候を確認します。Amazon Cognito は、AdminInitiateAuth の
ADMIN_USER_PASSWORD_AUTHフロー、InitiateAuth のUSER_PASSWORD_AUTHフロー、および両方のUSER_AUTHフローのPASSWORDオプションを確認できます。現在 Amazon Cognito では、Secure Remote Password (SRP) フローでのサインイン操作に対する侵害された認証情報のチェックが行われません。SRP はサインイン時にハッシュ化されたパスワード証明書を送信します。Amazon Cognito は内部でパスワードにアクセスできないため、クライアントがプレーンテキストで渡したパスワードのみを評価できます。
- パスワードのリセット
-
ユーザープールは、セルフサービスのパスワードリセットオペレーション ConfirmForgotPassword を使用して、新規ユーザーのパスワードを設定するオペレーションにおける漏えいの兆候をチェックします。このオペレーションに必要なコードは、ForgotPassword と AdminResetUserPassword によって生成されます。
漏えいした認証情報では、AdminSetUserPassword で設定された仮パスワードや永続的な管理者設定パスワードをチェックしません。ただし、仮パスワードの場合、ユーザープールは RespondToAuthChallenge と AdminRespondToAuthChallenge で
NEW_PASSWORD_REQUIREDチャレンジへのレスポンスのパスワードをチェックします。
漏洩した認証情報の保護をユーザープールに追加するには、「脅威保護を備えた高度なセキュリティ」を参照してください。
