本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Cognito 的 Security Hub 控制項
此 AWS Security Hub 控制項會評估 Amazon Cognito 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性。
【Cognito.1】 Cognito 使用者集區應以標準身分驗證的完整功能強制執行模式啟用威脅防護
類別:保護 > 安全存取管理
嚴重性:中
資源類型: AWS::Cognito::UserPool
AWS Config 規則:cognito-user-pool-advanced-security-enabled
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
控制項檢查的威脅防護強制執行模式。 |
字串 |
|
|
此控制項會檢查 Amazon Cognito 使用者集區是否已啟用威脅防護,並將強制執行模式設定為標準身分驗證的完整函數。如果使用者集區已停用威脅防護,或者如果強制執行模式未設定為標準身分驗證的完整函數,則控制項會失敗。除非您提供自訂參數值,否則 Security Hub 會將強制執行模式的預設值 ENFORCED 設為標準身分驗證的完整函數。
建立 Amazon Cognito 使用者集區之後,您可以啟用威脅防護,並自訂為了回應不同風險而採取的動作。或者,您可以使用稽核模式來收集偵測到風險的指標,而無需套用任何安全性緩解措施。在稽核模式中,威脅防護會將指標發佈至 Amazon CloudWatch。您可以在 Amazon Cognito 產生第一個事件後看到指標。
修補
如需有關啟用 Amazon Cognito 使用者集區威脅防護的資訊,請參閱《Amazon Cognito 開發人員指南》中的進階安全性與威脅防護。
