Amazon Cognito
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

向用户池添加高级安全

在创建用户池之后,即可访问 Amazon Cognito 控制台中导航栏上的高级安全。可以打开用户池高级安全功能并自定义为响应不同风险要执行的操作。也可以使用审核模式收集有关检测到的风险的指标,而不执行操作。在审核模式下,高级安全功能会将指标发布到 Amazon CloudWatch。请参阅 查看高级安全指标

注意

Amazon Cognito 高级安全功能适用其他定价。请参阅 Amazon Cognito 定价页面

先决条件

在开始之前,您需要:

配置高级安全功能

为用户池配置高级安全

  1. 从左侧导航栏中,选择高级安全

  2. 对于是否要为此用户池启用高级安全功能?,请选择以启用高级安全。或选择仅审核以收集信息并将用户池数据发送到 Amazon CloudWatch。

    建议在启用操作之前,先将高级安全功能保持在审核模式下两周。这允许 Amazon Cognito 了解应用程序用户的使用模式。

  3. 从下拉列表中,选择您希望自定义哪个应用程序客户端的设置?。默认为对于所有应用程序客户端将设置保留为全局。

  4. 对于对遭盗用的凭证,您希望采取什么操作?,选择允许禁止使用

  5. 选择自定义何时阻止遭盗用的凭证 以选择哪些事件应触发遭盗用的凭证检查:

    • 登录

    • 注册

    • 密码更改

  6. 选择如何响应恶意登录尝试,位置在当登录尝试被评为低、中和高风险时,您希望如何使用自适应身份验证?下。可以允许或阻止登录尝试,或者在允许登录前要求额外的质询。

    要在检测到异常登录尝试时发送电子邮件通知,请选择通知用户

     通知用户
  7. 如果在上一步中选择了通知用户,则可通过使用通知消息自定义窗体自定义电子邮件通知消息:

     用户事件历史记录
  8. 选择自定义以自定义包含 HTML 和明文电子邮件版本的自适应身份验证通知。要了解有关电子邮件模板的更多信息,请参阅消息模板

  9. 键入不管高级安全风险评估如何都要始终允许始终阻止的任何 IP 地址。用 CIDR 表示法指定 IP 地址范围(例如,192.168.100.0/24)。

  10. 选择 Save changes