向用户池添加高级安全
在创建用户池之后,即可访问 Amazon Cognito 控制台中导航栏上的 Advanced security (高级安全)。可以打开用户池高级安全功能并自定义为响应不同风险要执行的操作。也可以使用审核模式收集有关检测到的风险的指标,而不执行操作。在审核模式下,高级安全功能会将指标发布到 Amazon CloudWatch。请参阅 查看高级安全指标。
Amazon Cognito 高级安全功能适用其他定价。请参阅 Amazon Cognito 定价页面
Prerequisites
在开始之前,您需要:
-
用户池和应用程序客户端。有关更多信息,请参阅 用户池入门。
-
在 Amazon Cognito 控制台中将多重身份验证(MFA)设置为 Optional (可选),以使用基于风险的自适应身份验证功能。有关更多信息,请参阅 向用户池添加多重验证 (MFA)。
-
如果使用电子邮件进行通知,请转到 Amazon SES 控制台
配置并验证要用于通知电子邮件的电子邮件地址或域。有关 Amazon SES 的更多信息,请参阅在 Amazon SES 中验证身份。
配置高级安全功能
为用户池配置高级安全
-
从左侧导航栏中,选择高级安全。
-
对于是否要为此用户池启用高级安全功能?,选择是以启用高级安全功能。或选择 Audit only (仅审核) 来收集信息并将用户池数据发送到 Amazon CloudWatch。
建议在启用操作之前,先将高级安全功能保持在审核模式下两周。这允许 Amazon Cognito 了解应用程序用户的使用模式。
-
从下拉列表中,选择您希望自定义哪个应用程序客户端的设置? 默认为对于所有应用程序客户端将设置保留为全局。
-
对于对于对遭盗用的凭证,您希望采取什么操作?,选择允许或阻止使用。
-
选择自定义何时阻止遭盗用的凭证以选择哪些事件应触发遭盗用的凭证检查:
-
登录
-
注册
-
密码更改
-
-
在当登录尝试被评为低、中和高风险时,您希望如何使用自适应身份验证?下选择如何响应恶意登录尝试。可以允许或阻止登录尝试,或者在允许登录前要求额外的质询。
要在检测到异常登录尝试时发送电子邮件通知,请选择通知用户。
-
如果在上一步中选择了通知用户,则可通过使用通知消息自定义表单自定义电子邮件通知消息:
-
选择自定义以自定义包含 HTML 和明文电子邮件版本的自适应身份验证通知。要了解有关电子邮件模板的更多信息,请参阅 消息模板。
-
键入不管高级安全风险评估如何都要始终允许或始终阻止的任何 IP 地址。用 CIDR 表示法
指定 IP 地址范围(例如,192.168.100.0/24)。 -
选择保存更改。