向用户池添加高级安全
在创建用户池之后,即可访问 Amazon Cognito 控制台中导航栏上的高级安全。可以打开用户池高级安全功能并自定义为响应不同风险要执行的操作。也可以使用审核模式收集有关检测到的风险的指标,而不执行操作。在审核模式下,高级安全功能会将指标发布到 Amazon CloudWatch。请参阅 查看高级安全指标。
注意
Amazon Cognito 高级安全功能适用其他定价。请参阅 Amazon Cognito 定价页面。
先决条件
在开始之前,您需要:
-
用户池和应用程序客户端。有关更多信息,请参阅 用户池入门。
-
在 Amazon Cognito 控制台中将多重验证 (MFA) 设置为可选以使用基于风险的自适应身份验证功能。有关更多信息,请参阅 向用户池添加多重验证 (MFA)。
-
如果使用电子邮件进行通知,请转到 Amazon SES 控制台配置并验证要用于通知电子邮件的电子邮件地址或域。有关 Amazon SES 的更多信息,请参阅在 Amazon SES 中验证身份。
配置高级安全功能
为用户池配置高级安全
-
从左侧导航栏中,选择高级安全。
-
对于是否要为此用户池启用高级安全功能?,请选择是以启用高级安全。或选择仅审核以收集信息并将用户池数据发送到 Amazon CloudWatch。
建议在启用操作之前,先将高级安全功能保持在审核模式下两周。这允许 Amazon Cognito 了解应用程序用户的使用模式。
-
从下拉列表中,选择您希望自定义哪个应用程序客户端的设置?。默认为对于所有应用程序客户端将设置保留为全局。
-
对于对遭盗用的凭证,您希望采取什么操作?,选择允许或禁止使用。
-
选择自定义何时阻止遭盗用的凭证 以选择哪些事件应触发遭盗用的凭证检查:
-
登录
-
注册
-
密码更改
-
-
选择如何响应恶意登录尝试,位置在当登录尝试被评为低、中和高风险时,您希望如何使用自适应身份验证?下。可以允许或阻止登录尝试,或者在允许登录前要求额外的质询。
要在检测到异常登录尝试时发送电子邮件通知,请选择通知用户。
-
如果在上一步中选择了通知用户,则可通过使用通知消息自定义窗体自定义电子邮件通知消息:
-
选择自定义以自定义包含 HTML 和明文电子邮件版本的自适应身份验证通知。要了解有关电子邮件模板的更多信息,请参阅消息模板。
-
键入不管高级安全风险评估如何都要始终允许或始终阻止的任何 IP 地址。用 CIDR 表示法指定 IP 地址范围(例如,192.168.100.0/24)。
-
选择 Save changes。