As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança avançada com proteção contra ameaças
Depois de criar o grupo de usuários, você terá acesso à **Proteção contra ameaças** no menu de navegação do console do Amazon Cognito. Você pode ativar os recursos de proteção contra ameaças e personalizar as ações executadas em resposta a riscos diferentes. Outra opção é usar o modo de auditoria para coletar métricas sobre riscos detectados sem aplicar mitigação de segurança. No modo de auditoria, a proteção contra ameaças publica métricas na Amazon CloudWatch. Você verá métricas depois que o Amazon Cognito gerar o primeiro evento. Consulte [Como exibir métricas de proteção contra ameaças](metrics-for-cognito-user-pools.md#user-pool-settings-viewing-threat-protection-metrics).
A proteção contra ameaças, anteriormente chamada de *recursos avançados de segurança*, é um conjunto de ferramentas de monitoramento de atividades indesejadas em seu grupo de usuários e ferramentas de configuração para encerrar automaticamente atividades possivelmente mal-intencionadas. A proteção contra ameaças tem diferentes opções de configuração para operações de autenticação padrão e personalizadas. Por exemplo, você pode querer enviar uma notificação a um usuário com um login suspeito de autenticação personalizada, no qual você configurou fatores de segurança adicionais, mas bloqueou o usuário no mesmo nível de risco com a autenticação básica por nome de usuário e senha.
A proteção contra ameaças está disponível no plano de recursos Plus. Para obter mais informações, consulte [Planos de recursos de grupos de usuários](cognito-sign-in-feature-plans.md).
As opções de grupos de usuários a seguir são os componentes da proteção contra ameaças.
**Credenciais comprometidas**
Os usuários reutilizam senhas para várias contas de usuário. O recurso de credenciais comprometidas do Amazon Cognito compila dados de vazamentos públicos de nomes de usuário e senhas e compara as credenciais de seus usuários com listas de credenciais vazadas. A detecção de credenciais comprometidas também verifica se há senhas que possam ser deduzidas com facilidade. Você pode verificar se há credenciais comprometidas em fluxos de autenticação username-and-password padrão em grupos de usuários. O Amazon Cognito não detecta credenciais comprometidas na senha remota segura (SRP) ou na autenticação personalizada.
Você pode selecionar as ações do usuário que solicitam a verificação de credenciais comprometidas e a ação que você deseja que o Amazon Cognito realize em resposta. Para eventos de login, inscrição e alteração de senha, o Amazon Cognito pode **Bloquear login** ou **Permitir login**. Nos dois casos, o Amazon Cognito gera um log de atividades do usuário. Nele, você pode encontrar mais informações sobre o evento.
**Saiba mais**
[Trabalhar com a detecção de credenciais comprometidas](cognito-user-pool-settings-compromised-credentials.md)
**Autenticação adaptável**
O Amazon Cognito pode revisar as informações de localização e dispositivo das solicitações de login dos usuários e aplicar uma resposta automática para proteger as contas de usuário no grupo de usuários contra atividades suspeitas. Você pode monitorar a atividade do usuário e automatizar as respostas aos níveis de risco detectados no nome de usuário, senha e SRP, além da autenticação personalizada.
Quando você ativa a proteção contra ameaças, o Amazon Cognito atribui uma pontuação de risco à atividade do usuário. Você pode atribuir uma resposta automática a atividades suspeitas: é possível **Exigir MFA**, **Bloquear login** ou apenas registrar os detalhes da atividade e a pontuação de risco. Você também pode enviar automaticamente mensagens de e-mail que notificam o usuário sobre a atividade suspeita para que ele possa redefinir a senha ou realizar outras ações autoguiadas.
**Saiba mais**
[Trabalhar com autenticação adaptável](cognito-user-pool-settings-adaptive-authentication.md)
**Lista de endereços IP permitidos e negados**
Com a proteção contra ameaças do Amazon Cognito no **Modo de função completa**, você pode criar as exceções **Sempre bloquear** e **Sempre permitir** para o endereço IP. Uma sessão de um endereço IP na lista de exceções **Always block** (Bloquear sempre) não recebe um nível de risco por autenticação adaptativa e não pode fazer login no grupo de usuários.
**O que você deve saber sobre listas de permissões e listas de bloqueio de endereços IP**
+ Você deve expressar **Sempre bloquear** e **Sempre permitir** no formato CIDR, por exemplo `192.0.2.0/24`, uma máscara de 24 bits ou `192.0.2.252/32`, um único endereço IP.
+ Dispositivos com endereços IP em um intervalo de IP **Always block** não podem se inscrever ou fazer login com aplicativos de login gerenciados ou baseados em SDK, mas podem fazer login com terceiros. IdPs
+ As listas **Sempre permitir** e **Sempre bloquear** não afetam a atualização do token.
+ O Amazon Cognito não aplica regras de MFA de autenticação adaptável a dispositivos de um intervalo de IP **Sempre permitir**, mas aplica regras de credenciais comprometidas.
**Exportação de log**
A proteção contra ameaças registra detalhes granulares das solicitações de autenticação dos usuários em seu grupo de usuários. Esses registros apresentam avaliações de ameaças, informações do usuário e metadados da sessão, como localização e dispositivo. Você pode criar arquivos externos desses logs para retenção e análise. Os grupos de usuários do Amazon Cognito exportam registros de proteção contra ameaças para o Amazon S3 CloudWatch , o Logs e o Amazon Data Firehose. Para obter mais informações, consulte [Como exibir e exportar o histórico de eventos do usuário](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-event-user-history).
**Saiba mais**
[Exportar logs de atividade de usuários de proteção contra ameaças](exporting-quotas-and-usage.md#exporting-quotas-and-usage-user-activity)
**Topics**
+ [Considerações e limitações da proteção contra ameaças](#cognito-user-pool-threat-protection-considerations)
+ [Ativar a proteção contra ameaças em grupos de usuários](#cognito-user-pool-threat-protection-activating)
+ [Conceitos de aplicação da proteção contra ameaças](#cognito-user-pool-settings-threat-protection-threat-protection-enforcement)
+ [Proteção contra ameaças para autenticação padrão e autenticação personalizada](#cognito-user-pool-settings-threat-protection-threat-protection-types)
+ [Pré-requisitos de proteção contra ameaças](#cognito-user-pool-threat-protection-prerequisites)
+ [Configurar a proteção contra ameaças](#cognito-user-pool-settings-configure-threat-protection)
+ [Trabalhar com a detecção de credenciais comprometidas](cognito-user-pool-settings-compromised-credentials.md)
+ [Trabalhar com autenticação adaptável](cognito-user-pool-settings-adaptive-authentication.md)
+ [Coletar dados para proteção contra ameaças em aplicações](user-pool-settings-viewing-threat-protection-app.md)
## Considerações e limitações da proteção contra ameaças
**As opções de proteção contra ameaças diferem entre os fluxos de autenticação**
O Amazon Cognito aceita tanto a autenticação adaptativa quanto a detecção de credenciais comprometidas com os fluxos de autenticação `USER_PASSWORD_AUTH` e `ADMIN_USER_PASSWORD_AUTH`. Você só pode habilitar a autenticação adaptável para `USER_SRP_AUTH`. Não é possível usar a proteção contra ameaças com login federado.
**Sempre bloqueie a IPs contribuição para solicitar cotas**
Solicitações bloqueadas de endereços IP em uma lista de exceções **Always block** (Bloquear sempre) em seu grupo de usuários contribuem para as [cotas de taxas de solicitação](https://docs.aws.amazon.com/cognito/latest/developerguide/limits.html#category_operations) de seus grupos de usuários.
**A proteção contra ameaças não aplica limites de taxa**
Alguns tráfegos maliciosos têm a característica de um alto volume de solicitações, como ataques distribuídos de negação de serviço (DDoS). As classificações de risco que o Amazon Cognito aplica ao tráfego de entrada são por solicitação e não levam em conta o volume de solicitações. Solicitações individuais em um evento de alto volume podem receber uma pontuação de risco e uma resposta automática por motivos da camada de aplicação que não estão relacionados à sua função em um ataque volumétrico. Para implementar defesas contra ataques volumétricos em seus grupos de usuários, adicione web. AWS WAF ACLs Para obter mais informações, consulte [Associar uma ACL AWS WAF da web a um grupo de usuários](user-pool-waf.md).
**A proteção contra ameaças não afeta as solicitações M2M**
As concessões de credenciais do cliente são destinadas à autorização machine-to-machine (M2M) sem conexão com contas de usuário. A proteção contra ameaças monitora somente contas e senhas de usuários em seu grupo de usuários. Para implementar recursos de segurança com sua atividade M2M, considere os recursos de AWS WAF monitorar as taxas e o conteúdo das solicitações. Para obter mais informações, consulte [Associar uma ACL AWS WAF da web a um grupo de usuários](user-pool-waf.md).
## Ativar a proteção contra ameaças em grupos de usuários
------
#### [ Amazon Cognito user pools console ]
**Como ativar a proteção contra ameaças para um grupo de usuários**
1. Acesse o [console do Amazon Cognito](https://console.aws.amazon.com/cognito/home). Se solicitado, insira suas AWS credenciais.
1. Escolha **User Pools** (Grupos de usuários).
1. Escolha um grupo de usuários existente na lista ou [crie um grupo de usuários](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).
1. Se ainda não o fez, ative o plano de recursos Plus no menu **Configurações**.
1. Clique no menu **Proteção contra ameaças** e selecione **Ativar**.
1. Escolha **Salvar alterações**.
------
#### [ API ]
Defina seu plano de recursos como Plus em uma solicitação de [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html)API [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html)ou de uma solicitação. O exemplo parcial de corpo de solicitação a seguir define a proteção contra ameaças para o modo de função completa. Para ver um exemplo completo de solicitação, consulte [Exemplos](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html#API_CreateUserPool_Examples).
```
"UserPoolAddOns": {
"AdvancedSecurityMode": "ENFORCED"
}
```
------
Proteção contra ameaças é o termo coletivo para os recursos que monitoram as operações do usuário em busca de sinais de invasão da conta e respondem automaticamente para proteger as contas de usuários afetadas. Você pode aplicar configurações de proteção contra ameaças aos usuários quando eles fazem login com fluxos de autenticação padrão e personalizados.
A proteção contra ameaças [gera](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-event-user-history) registros que detalham o login, a saída e outras atividades dos usuários. Você poderá exportar esses logs para um sistema de terceiros. Para obter mais informações, consulte [Como exibir e exportar o histórico de eventos do usuário](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-event-user-history).
## Conceitos de aplicação da proteção contra ameaças
A proteção contra ameaças começa em um modo *somente de auditoria*, em que seu grupo de usuários monitora a atividade do usuário, atribui níveis de risco e gera logs. Como prática recomendada, execute no modo somente de auditoria por duas semanas ou mais antes de ativar o modo de função *completa*. O modo de função completa inclui um conjunto de reações automáticas às atividades de risco detectadas e senhas comprometidas. Com o modo somente de auditoria, você pode monitorar as avaliações de ameaças que o Amazon Cognito está realizando. Você também pode [fornecer feedback](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-feedback) para treinar o recurso sobre falsos positivos e negativos.
Você pode configurar a aplicação da proteção contra ameaças no nível do grupo de usuários para cobrir todos os clientes da aplicação no grupo de usuários e no nível de clientes de aplicações individuais. As configurações de proteção contra ameaças do cliente de aplicação substituem a configuração do grupo de usuários. Para configurar a proteção contra ameaças para um cliente de aplicação, navegue até as configurações do cliente de aplicação no menu **Clientes da aplicação** do seu grupo de usuários no console do Amazon Cognito. Lá, você pode **Usar s configurações no nível do cliente** e configurar a aplicação exclusiva para o cliente de aplicação.
Além disso, você pode configurar a proteção contra ameaças separadamente para os tipos de autenticação padrão e personalizada.
## Proteção contra ameaças para autenticação padrão e autenticação personalizada
As formas de configurar a proteção contra ameaças dependem do tipo de autenticação que você está fazendo em seu grupo de usuários e clientes de aplicação. Cada um dos seguintes tipos de autenticação pode ter seu próprio modo de aplicação e respostas automatizadas:
**Autenticação padrão**
A *autenticação padrão* é o gerenciamento de login, saída e senhas do usuário com fluxos de nome de usuário e senha e no login gerenciado. A proteção contra ameaças do Amazon Cognito monitora as operações em busca de indicadores de risco quando elas fazem login com o login gerenciado ou usam os seguintes parâmetros da API `AuthFlow`:
**[InitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html#CognitoUserPools-InitiateAuth-request-AuthFlow)**
`USER_PASSWORD_AUTH`, `USER_SRP_AUTH`. O recurso de credenciais comprometidas não tem acesso às senhas no login `USER_SRP_AUTH` e não monitora nem gerencia eventos com esse fluxo.
**[AdminInitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html#CognitoUserPools-AdminInitiateAuth-request-AuthFlow)**
`ADMIN_USER_PASSWORD_AUTH`, `USER_SRP_AUTH`. O recurso de credenciais comprometidas não tem acesso às senhas no login `USER_SRP_AUTH` e não monitora nem gerencia eventos com esse fluxo.
Você pode definir o **Modo de imposição** para autenticação padrão como **Somente auditoria** ou **Função completa**. Para desabilitar o monitoramento de ameaças para autenticação padrão, defina proteção contra ameaças como **Sem imposição**.
**Autenticação personalizada**
A *Autenticação personalizada* é o login do usuário com [acionadores personalizados do Lambda de desafio](user-pool-lambda-challenge.md). Não é possível fazer autenticação personalizada no login gerenciado. A proteção contra ameaças do Amazon Cognito monitora as operações em busca de indicadores de risco quando elas fazem login com o parâmetro `AuthFlow` da API de `InitiateAuth` e `AdminInitiateAuth`.
Você pode definir o **Modo de imposição** para autenticação personalizada como **Somente auditoria**, **Função completa** ou **Sem imposição**. A opção **Sem imposição** desabilita o monitoramento de ameaças para autenticação personalizada sem afetar outros recursos da proteção contra ameaças.
## Pré-requisitos de proteção contra ameaças
Antes de começar, você precisará fazer o seguinte:
+ Um grupo de usuários com um cliente de aplicativo. Para obter mais informações, consulte [Conceitos básicos dos grupos de usuários](getting-started-user-pools.md).
+ Defina a autenticação multifator (MFA) como **Optional** (Opcional) no console do Amazon Cognito para usar o recurso de autenticação adaptável com base em risco. Para obter mais informações, consulte [Adicionar MFA a um grupo de usuários](user-pool-settings-mfa.md).
+ Se você estiver usando notificações por e-mail, acesse o [console do Amazon SES](https://console.aws.amazon.com/ses/home) para configurar e verificar um endereço de e-mail ou um domínio a ser usado com suas notificações. Para obter mais informações sobre o Amazon SES, consulte [Verificar identidades no Amazon SES](https://docs.aws.amazon.com/ses/latest/dg/verify-addresses-and-domains.html).
## Configurar a proteção contra ameaças
Siga estas instruções para configurar a proteção contra ameaças do grupo de usuários.
**nota**
Para definir uma configuração diferente de proteção contra ameaças para um cliente de aplicação no console de grupos de usuários do Amazon Cognito, selecione o cliente de aplicação no menu **Clientes da aplicação** e escolha **Usar configurações no nível do cliente**.
------
#### [ Console de gerenciamento da AWS ]
**Como configurar a proteção contra ameaças para um grupo de usuários**
1. Acesse o [console do Amazon Cognito](https://console.aws.amazon.com/cognito/home). Se solicitado, insira suas AWS credenciais.
1. Escolha **User Pools** (Grupos de usuários).
1. Escolha um grupo de usuários existente na lista ou [crie um grupo de usuários](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).
1. Clique no menu **Proteção contra ameaças** e selecione **Ativar**.
1. Escolha o método de proteção contra ameaças que você deseja configurar: **Autenticação padrão e personalizada**. Você pode definir diferentes modos de aplicação para autenticações personalizada e padrão, mas eles compartilham a configuração de respostas automatizadas no modo de **Função completa**.
1. Selecione **Editar**.
1. Escolha um **Modo de aplicação**. Para começar a responder imediatamente aos riscos detectados, selecione **Função completa** e configure as respostas automatizadas para credenciais comprometidas e autenticação adaptável. Para coletar informações em registros e entradas em nível de usuário CloudWatch, selecione **Somente auditoria**.
Recomendamos manter a proteção contra ameaças no modo de auditoria por duas semanas antes de ativar as ações. Durante esse tempo, o Amazon Cognito pode aprender os padrões de uso dos usuários da aplicação, e você pode fornecer feedback de eventos para ajustar as respostas.
1. Se tiver selecionado **Audit only** (Somente auditoria), escolha **Save changes** (Salvar alterações). Se tiver selecionado **Full function** (Função completa):
1. Selecione se vai executar uma ação **Custom** (Personalizada) ou usar **Cognito defaults** (Padrões do Cognito) para responder a **Compromised credentials** (Credenciais comprometidas) suspeitas. Os **padrões do Cognito** são:
1. Detectar credenciais comprometidas ao **Acessar**, **Cadastrar-se**, e **Alterar senha**.
1. Responder a credenciais comprometidas com a ação **Block sign-in** (Bloquear acesso).
1. Se tiver selecionado ações **Personalizadas** para **Credenciais comprometidas**, escolha as ações do grupo de usuários que o Amazon Cognito usará para **Detecção de eventos** e as **Respostas a credenciais comprometidas** que deseja que o Amazon Cognito adote. É possível **Block sign-in** (Bloquear acesso) ou **Allow sign-in** (Permitir acesso) com credenciais comprometidas suspeitas.
1. Escolha como responder a tentativas maliciosas de acesso em **Adaptive authentication** (Autenticação adaptável). Selecione se vai executar uma ação **Custom** (Personalizada) ou usar **Cognito defaults** (Padrões do Cognito) para responder a atividades maliciosas suspeitas. Quando você seleciona **Cognito defaults** (Padrões do Cognito), o Amazon Cognito bloqueia o acesso em todos os níveis de risco e não notifica o usuário.
1. Se tiver selecionado ações **Custom** (Personalizadas) para **Adaptive authentication** (Autenticação adaptável), escolha as ações de **Automatic risk response** (Resposta automática a riscos) que o Amazon Cognito adotará em resposta aos riscos detectados com base no nível de gravidade. Quando você atribui uma resposta a um nível de risco, não é possível atribuir uma resposta menos restritiva a um nível de risco mais alto. Você pode atribuir as seguintes respostas aos níveis de risco:
1. **Allow sign-in** (Permitir acesso): não tomar nenhuma ação preventiva.
1. **Optional MFA** (MFA opcional): se o usuário tiver a MFA configurada, o Amazon Cognito sempre vai exigir que o usuário forneça um fator adicional de SMS ou senha de uso único com marcação temporal (TOTP) quando fizer o acesso. Se o usuário não tiver a MFA configurada, ele poderá continuar fazendo o acesso normalmente.
1. **Require MFA** (Exigir MFA): se o usuário tiver a MFA configurada, o Amazon Cognito sempre vai exigir que o usuário forneça um fator adicional de SMS ou TOTP quando fizer o acesso. Se o usuário não tiver a MFA configurada, o Amazon Cognito solicitará que ele configure a MFA. Antes de exigir automaticamente a MFA de seus usuários, configure um mecanismo em sua aplicação para capturar números de telefone para MFA via SMS ou para registrar aplicações autenticadoras para MFA com TOTP.
1. **Block sign-in** (Bloquear acesso): impedir que o usuário faça o acesso.
1. **Notify user** (Notificar o usuário): enviar uma mensagem de e-mail para o usuário com informações sobre o risco que o Amazon Cognito detectou e a resposta adotada. Você pode personalizar modelos de mensagem de e-mail para as mensagens enviadas.
1. Se tiver escolhido **Notify user** (Notificar o usuário) na etapa anterior, você pode personalizar suas configurações de entrega de e-mail e modelos de mensagem de e-mail para autenticação adaptativa.
1. Em **Configuração de e-mail**, escolha os valores para **Região SES**, **Endereço de e-mail do remetente**, **Nome do remetente** e **Endereço de e-mail do destinatário** que você deseja usar com a autenticação adaptativa. Para obter mais informações sobre como integrar as mensagens de e-mail do grupo de usuários ao Amazon Simple Email Service, consulte [Configurações de e-mail dos grupos de usuários do Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-email.html).
1. Expanda **Email templates** (Modelos de e-mail) para personalizar as notificações de autenticação adaptativa com as versões de mensagens de e-mail HTML e de texto simples. Para saber mais sobre modelos de mensagem de e-mail, consulte [Modelos de mensagens](cognito-user-pool-settings-message-customizations.md#cognito-user-pool-settings-message-templates).
1. Expanda **as exceções de endereço IP** para criar uma lista **sempre permitida** ou **sempre bloqueada** ou intervalos de IPv6 endereços que sempre serão permitidos IPv4 ou bloqueados, independentemente da avaliação de risco de proteção contra ameaças. Especifique os intervalos de endereços IP em [CIDR notation](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing#CIDR_notation) (Notação CIDR) (por exemplo, 192.168.100.0/24).
1. Escolha **Salvar alterações**.
------
#### [ API (user pool) ]
Para definir a configuração de proteção contra ameaças para um grupo de usuários, envie uma solicitação de [SetRiskConfiguration](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetRiskConfiguration.html)API que inclua um `UserPoolId` parâmetro, mas não um `ClientId` parâmetro. Veja a seguir um exemplo de corpo da solicitação para um grupo de usuários. Essa configuração de risco executa uma série crescente de ações com base na gravidade do risco e notifica os usuários em todos os níveis de risco. Ela aplica um bloco de credenciais comprometidas às operações de cadastro.
Para aplicar essa configuração, você deve `AdvancedSecurityMode` defini-la `ENFORCED` em uma solicitação separada [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html)ou de [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html)API. Para obter mais informações sobre os modelos de espaço reservado, como `{username}` neste exemplo, consulte [Configurar mensagens de MFA, autenticação, verificação e convite](cognito-user-pool-settings-message-customizations.md).
```
{
"AccountTakeoverRiskConfiguration": {
"Actions": {
"HighAction": {
"EventAction": "MFA_REQUIRED",
"Notify": true
},
"LowAction": {
"EventAction": "NO_ACTION",
"Notify": true
},
"MediumAction": {
"EventAction": "MFA_IF_CONFIGURED",
"Notify": true
}
},
"NotifyConfiguration": {
"BlockEmail": {
"Subject": "You have been blocked for suspicious activity",
"TextBody": "We blocked {username} at {login-time} from {ip-address}."
},
"From": "admin@example.com",
"MfaEmail": {
"Subject": "Suspicious activity detected, MFA required",
"TextBody": "Unexpected sign-in from {username} on device {device-name}. You must use MFA."
},
"NoActionEmail": {
"Subject": "Suspicious activity detected, secure your user account",
"TextBody": "We noticed suspicious sign-in activity by {username} from {city}, {country} at {login-time}. If this was not you, reset your password."
},
"ReplyTo": "admin@example.com",
"SourceArn": "arn:aws:ses:us-west-2:123456789012:identity/admin@example.com"
}
},
"CompromisedCredentialsRiskConfiguration": {
"Actions": {
"EventAction": "BLOCK"
},
"EventFilter": [ "SIGN_UP" ]
},
"RiskExceptionConfiguration": {
"BlockedIPRangeList": [ "192.0.2.0/24","198.51.100.0/24" ],
"SkippedIPRangeList": [ "203.0.113.0/24" ]
},
"UserPoolId": "us-west-2_EXAMPLE"
}
```
------
#### [ API (app client) ]
Para definir a configuração de proteção contra ameaças para um cliente de aplicativo, envie uma solicitação de [SetRiskConfiguration](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetRiskConfiguration.html)API que inclua um `UserPoolId` parâmetro e um `ClientId` parâmetro. Veja a seguir um exemplo de corpo da solicitação de um cliente de aplicação. Essa configuração de risco é mais severa do que a configuração do grupo de usuários, pois bloqueia entradas de alto risco. Também aplica blocos de credenciais comprometidas às operações de cadastro, login e redefinição de senha.
Para aplicar essa configuração, você deve `AdvancedSecurityMode` defini-la `ENFORCED` em uma solicitação separada [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html)ou de [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html)API. Para obter mais informações sobre os modelos de espaço reservado, como `{username}` neste exemplo, consulte [Configurar mensagens de MFA, autenticação, verificação e convite](cognito-user-pool-settings-message-customizations.md).
```
{
"AccountTakeoverRiskConfiguration": {
"Actions": {
"HighAction": {
"EventAction": "BLOCK",
"Notify": true
},
"LowAction": {
"EventAction": "NO_ACTION",
"Notify": true
},
"MediumAction": {
"EventAction": "MFA_REQUIRED",
"Notify": true
}
},
"NotifyConfiguration": {
"BlockEmail": {
"Subject": "You have been blocked for suspicious activity",
"TextBody": "We blocked {username} at {login-time} from {ip-address}."
},
"From": "admin@example.com",
"MfaEmail": {
"Subject": "Suspicious activity detected, MFA required",
"TextBody": "Unexpected sign-in from {username} on device {device-name}. You must use MFA."
},
"NoActionEmail": {
"Subject": "Suspicious activity detected, secure your user account",
"TextBody": "We noticed suspicious sign-in activity by {username} from {city}, {country} at {login-time}. If this was not you, reset your password."
},
"ReplyTo": "admin@example.com",
"SourceArn": "arn:aws:ses:us-west-2:123456789012:identity/admin@example.com"
}
},
"ClientId": "1example23456789",
"CompromisedCredentialsRiskConfiguration": {
"Actions": {
"EventAction": "BLOCK"
},
"EventFilter": [ "SIGN_UP", "SIGN_IN", "PASSWORD_CHANGE" ]
},
"RiskExceptionConfiguration": {
"BlockedIPRangeList": [ "192.0.2.1/32","192.0.2.2/32" ],
"SkippedIPRangeList": [ "192.0.2.3/32","192.0.2.4/32" ]
},
"UserPoolId": "us-west-2_EXAMPLE"
}
```
------