向用户池添加高级安全

为用户池配置高级安全功能

1. 从左侧导航栏中，选择 Advanced security（高级安全功能）。

2. 对于 Do you want to enable advanced security features for this user pool?（是否要为此用户池启用高级安全功能？），选择 Yes（是）以启用高级安全功能。或者，选择 Audit only（仅审核）来收集信息并将用户池数据发送到 CloudWatch。

   建议在启用操作之前，先将高级安全功能保持在审核模式下两周。在此期间，Amazon Cognito 可以了解应用程序用户的使用模式。

3. 从下拉列表中，选择 What app client do you want to customize settings for?（您希望自定义哪个应用程序客户端的设置？） 默认情况下，对于所有应用程序客户端将设置保留为全局。

4. 对于 Which action do you want to take with the compromised credentials?（对于对遭盗用的凭证，您希望采取什么操作？），选择 Allow（允许）或 Block use（阻止使用）。

5. 选择 Customize when compromised credentials are blocked（自定义何时阻止遭盗用的凭证），以选择哪些事件应发起遭盗用的凭证检查：

   • 登录

   • 注册

   • 密码更改

6. 在 How do you want to use adaptive authentication for sign-in attempts rated as low, medium and high risk?（当登录尝试被评为低、中和高风险时，您希望如何使用自适应身份验证？）下选择如何响应恶意登录尝试。可以允许或阻止登录尝试，或者在允许登录前要求额外的质询。

   要在检测到异常登录尝试时发送电子邮件通知，请选择 Notify users（通知用户）。

   

7. 如果在上一步中选择了 Notify users（通知用户），则可通过使用 Notification message customization（通知消息自定义）表单自定义电子邮件通知消息。

8. 选择 Customize（自定义）以自定义包含 HTML 和纯文本版本的电子邮件消息的自适应身份验证通知。要了解有关电子邮件消息模板的更多信息，请参阅消息模板。

9. 键入不管高级安全风险评估如何都要 Always allow（始终允许）或 Always block（始终阻止）的任何 IP 地址。用 CIDR 表示法指定 IP 地址范围（例如，192.168.100.0/24）。

10. 选择保存更改。

为用户池配置高级安全功能

1. 转到 Amazon Cognito 控制台。如果出现提示，请输入 Amazon 凭证。

2. 选择 User Pools（用户池）。

3. 从列表中选择一个现有用户池，或创建一个用户池。

4. 选择 App integration（应用程序集成）选项卡。找到 Advanced security（高级安全），然后选择 Enable（启用）。如果之前启用了高级安全，请选择 Edit（编辑）。

5. 选择 Full function（完整功能）以配置对盗用凭证和自适应身份验证的高级安全响应。选择 Audit only（仅审计）以收集信息并将用户池数据发送到 CloudWatch。高级安全定价适用于 Audit only（仅审计）和 Full function（完整功能）模式。有关更多信息，请参阅 Amazon Cognito 定价。

   建议在启用操作之前，先将高级安全功能保持在审核模式下两周。在此期间，Amazon Cognito 可以了解应用程序用户的使用模式。

6. 如果您已选择 Audit only（仅审计），请选择 Save changes（保存更改）。如果您已选择 Full function（完整功能）：

   1. 选择是否要进行 Custom（自定义）操作或使用 Cognito defaults（Cognito 默认设置）响应可疑 Compromised credentials（盗用凭证）。Cognito defaults（Cognito 默认设置）：

      1. 检测 Sign-in（登录）、Sign-up（注册）和 Password change（密码更改）中的盗用凭证。

      2. 使用 Block sign-in（阻止登录）操作响应盗用凭证。

   2. 如果您为 Compromised credentials（盗用凭证）选择了 Custom（自定义）操作，请选择 Amazon Cognito 将用于 Event detection（事件检测）的用户池操作，以及您希望 Amazon Cognito 执行的 Compromised credentials responses（盗用凭证响应）。您可以使用可疑盗用凭证进行 Block sign-in（阻止登录）或 Allow sign-in（允许登录）。

   3. 在 Adaptive authentication（自适应身份验证）下，选择如何响应恶意登录尝试。选择是否要进行 Custom（自定义）操作或使用 Cognito defaults（Cognito 默认设置）响应可疑恶意活动。当您选择 Cognito defaults（Cognito 默认设置）时，Amazon Cognito 会阻止所有风险级别的登录，并且不会通知用户。

   4. 如果您针对 Adaptive authentication（自适应身份验证）已选择 Custom（自定义操作)，请根据严重性级别选择 Amazon Cognito 对检测到的风险执行的 Automatic risk response（自动风险响应）操作。当您针对风险级别分配响应时，您无法为较高风险级别分配限制性较小的响应。您可以为风险级别分配以下响应：

      1. Allow sign-in（允许登录）– 不采取任何预防性操作。

      2. Optional MFA（可选 MFA）– 如果用户配置了 MFA，Amazon Cognito 将始终要求用户在登录时提供其它 SMS 或基于时间的一次性密码（TOTP）因素。如果用户没有配置 MFA，他们可以继续正常登录。

      3. Require MFA（需要 MFA）– 如果用户配置了 MFA，Amazon Cognito 将始终要求用户在登录时提供其它短信或 TOTP 因素。如果用户没有配置 MFA，Amazon Cognito 将提示他们设置 MFA。在您自动要求用户使用 MFA 之前，请在应用程序中配置一种机制来捕获 SMS MFA 的电话号码，或为 TOTP MFA 注册身份验证器应用程序。

      4. Block sign-in（阻止登录）– 阻止用户登录。

      5. Notify user（通知用户）– 向用户发送电子邮件，其中包含有关 Amazon Cognito 检测到的风险以及您所采取的响应的信息。您可以为发送的消息自定义电子邮件消息模板。

7. 如果您在上一步骤中选择了 Notify user（通知用户），您可以自定义电子邮件发送设置和电子邮件消息模板以进行自适应身份验证。

   1. 在 Email configuration（邮件配置）下，选择您希望与自适应身份验证一起使用的 SES Region（SES 区域）、FROM email address（FROM 电子邮件地址）、FROM sender name（FROM 发件人名称）和 REPLY-TO email address（REPLY-TO 电子邮件地址）。有关将用户池电子邮件消息与 Amazon Simple Email Service 集成的更多信息，请参阅 Amazon Cognito 用户池的电子邮件设置。

      

   2. 展开 Email templates（电子邮件模板）以自定义包含 HTML 和纯文本版本电子邮件消息的自适应身份验证通知。要了解有关电子邮件消息模板的更多信息，请参阅消息模板。

8. 展开 IP address exceptions（IP 地址异常）以创建 Always-allow（始终允许）或者 Always-block（始终阻止）的 IPv4 或 IPv6 地址清单，该清单将始终允许或阻止其 IPv4 或 IPv6 地址范围，无论高级安全风险评估如何。用 CIDR 表示法指定 IP 地址范围（例如，192.168.100.0/24）。

9. 选择保存更改。