翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Cognito の Security Hub コントロール
これらの AWS Security Hub コントロールは、Amazon Cognito サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[Cognito.1] Cognito ユーザープールでは、標準認証の完全な関数強制モードで脅威保護を有効にする必要があります
カテゴリ: 保護 > セキュアなアクセス管理
重要度: 中
リソースタイプ : AWS::Cognito::UserPool
AWS Config ルール : cognito-user-pool-advanced-security-enabled
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
|
|
コントロールがチェックする脅威保護の適用モード。 |
String |
|
|
このコントロールは、Amazon Cognito ユーザープールで脅威保護が有効になっているかどうかをチェックし、エンフォースメントモードを標準認証の完全な 関数に設定します。ユーザープールで脅威保護が無効になっている場合、または標準認証の強制モードがフル関数に設定されていない場合、コントロールは失敗します。カスタムパラメータ値を指定しない限り、Security Hub はエンフォースメントモードENFORCEDのデフォルト値を標準認証の完全な関数に設定します。
Amazon Cognito ユーザープールを作成したら、脅威保護をアクティブ化し、さまざまなリスクに応じて実行されるアクションをカスタマイズできます。または、監査モードを使用して、セキュリティ緩和策を適用せずに、検出されたリスクに関するメトリクスを収集することもできます。監査モードでは、脅威保護はメトリクスを Amazon CloudWatch に発行します。Amazon Cognito が最初のイベントを生成した後、メトリクスを表示できます。
修正
Amazon Cognito ユーザープールの脅威保護のアクティブ化については、Amazon Cognito デベロッパーガイド」の「脅威保護を使用した高度なセキュリティ」を参照してください。
[Cognito.2] Cognito ID プールは認証されていない ID を許可しないでください
カテゴリ: 保護 > セキュアなアクセス管理 > パスワードレス認証
重要度: 中
リソースタイプ : AWS::Cognito::IdentityPool
AWS Config ルール : cognito-identity-pool-unauth-access-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon Cognito ID プールが認証されていない ID を許可するように設定されているかどうかをチェックします。ID プールのゲストアクセスがアクティブ化されている場合 ( AllowUnauthenticatedIdentitiesパラメータが に設定されている場合true)、コントロールは失敗します。
Amazon Cognito ID プールで認証されていない ID が許可されている場合、ID プールは ID プロバイダー (ゲスト) を介して認証されていないユーザーに一時的な AWS 認証情報を提供します。これにより、 AWS リソースへの匿名アクセスが許可されるため、セキュリティリスクが発生します。ゲストアクセスを非アクティブ化すると、適切に認証されたユーザーのみが AWS リソースにアクセスできるため、不正アクセスや潜在的なセキュリティ違反のリスクが軽減されます。ベストプラクティスとして、ID プールでは、サポートされている ID プロバイダーによる認証が必要です。認証されていないアクセスが必要な場合は、認証されていない ID のアクセス許可を慎重に制限し、その使用状況を定期的に確認およびモニタリングすることが重要です。
修正
Amazon Cognito ID プールのゲストアクセスを無効にする方法については、Amazon Cognito デベロッパーガイド」の「ゲストアクセスをアクティブ化または非アクティブ化する」を参照してください。
