As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para o Amazon Cognito
Esses AWS Security Hub controles avaliam o serviço e os recursos do Amazon Cognito. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação padrão
Categoria: Proteger > Gerenciamento de acesso seguro
Severidade: média
Tipo de recurso: AWS::Cognito::UserPool
Regra do AWS Config : cognito-user-pool-advanced-security-enabled
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
O modo de fiscalização da proteção contra ameaças que o controle verifica. |
String |
|
|
Esse controle verifica se um grupo de usuários do Amazon Cognito tem a proteção contra ameaças ativada com o modo de fiscalização definido como funcional completo para autenticação padrão. O controle falhará se o grupo de usuários tiver a proteção contra ameaças desativada ou se o modo de fiscalização não estiver configurado para funcionar totalmente para a autenticação padrão. A menos que você forneça valores de parâmetros personalizados, o Security Hub usa o valor padrão do ENFORCED modo de imposição definido como função completa para autenticação padrão.
Depois de criar um grupo de usuários do Amazon Cognito, você pode ativar a proteção contra ameaças e personalizar as ações que são tomadas em resposta a diferentes riscos. Ou você pode usar o modo de auditoria para coletar métricas sobre os riscos detectados sem aplicar nenhuma mitigação de segurança. No modo de auditoria, a proteção contra ameaças publica métricas na Amazon CloudWatch. Você pode ver as métricas depois que o Amazon Cognito gera seu primeiro evento.
Correção
Para obter informações sobre a ativação da proteção contra ameaças para um grupo de usuários do Amazon Cognito, consulte Segurança avançada com proteção contra ameaças no Guia do desenvolvedor do Amazon Cognito.
[Cognito.2] Os pools de identidade do Cognito não devem permitir identidades não autenticadas
Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
Severidade: média
Tipo de recurso: AWS::Cognito::IdentityPool
Regra do AWS Config : cognito-identity-pool-unauth-access-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um pool de identidades do Amazon Cognito está configurado para permitir identidades não autenticadas. O controle falhará se o acesso de convidado for ativado (o AllowUnauthenticatedIdentities parâmetro está definido comotrue) para o grupo de identidades.
Se um grupo de identidades do Amazon Cognito permitir identidades não autenticadas, o grupo de identidades fornecerá AWS credenciais temporárias aos usuários que não se autenticaram por meio de um provedor de identidade (convidados). Isso cria riscos de segurança porque permite acesso anônimo aos AWS recursos. Se você desativar o acesso de convidado, poderá ajudar a garantir que somente usuários devidamente autenticados possam acessar seus AWS recursos, o que reduz o risco de acesso não autorizado e possíveis violações de segurança. Como prática recomendada, um grupo de identidades deve exigir autenticação por meio de provedores de identidade compatíveis. Se o acesso não autenticado for necessário, é importante restringir cuidadosamente as permissões para identidades não autenticadas e revisar e monitorar seu uso regularmente.
Correção
Para obter informações sobre como desativar o acesso de convidados a um grupo de identidades do Amazon Cognito, consulte Ativar ou desativar o acesso de convidados no Guia do Desenvolvedor do Amazon Cognito.
