本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 增值版计划功能
<a name="feature-plans-features-plus"></a>

增值版功能计划为 Amazon Cognito 用户池提供高级安全功能。这些功能会在运行时记录并分析用户上下文，从设备、位置、请求数据和密码中识别潜在的安全问题。然后，它们会通过阻止访问或为用户账户增加安全防护的自动响应措施来缓解这些潜在风险。您也可以将安全日志导出到 Amazon S3、Amazon Data Firehose 或亚马逊 CloudWatch 日志以供进一步分析。

当您从基础版计划切换到增值版计划时，将保留基础版中的所有功能，并额外获得以下功能：包括威胁防护在内的安全选项集，也称为*高级安全功能*。要将您的用户池配置为自动应对身份验证前端中的威胁，请为您的用户池选择增值版计划。

以下各节简要概述了您可以通过增值版计划向应用程序添加的功能。有关详细信息，请参阅以下页面。

**其他资源**
+ 自适应身份验证：[使用自适应身份验证](cognito-user-pool-settings-adaptive-authentication.md)
+ 已泄露的凭证：[使用凭证遭泄露检测功能](cognito-user-pool-settings-compromised-credentials.md)
+ 日志导出：[从 Amazon Cognito 用户池导出日志](exporting-quotas-and-usage.md)

**Topics**
+ [威胁防护：自适应身份验证](#features-adaptive-authentication)
+ [威胁防护：凭证遭泄露检测](#features-compromised-credentials)
+ [威胁防护：用户活动日志记录](#features-user-logs)

## 威胁防护：自适应身份验证
<a name="features-adaptive-authentication"></a>

增值版计划包括*自适应身份验证* 功能。激活此功能后，您的用户池将对每个用户身份验证会话进行风险评估。根据生成的风险评级，对于登录时风险级别超过您设定阈值的用户，您可以阻止身份验证或推送 MFA。使用自适应身份验证，您的用户池和应用程序会自动为您怀疑其账户受到攻击的用户阻止或设置 MFA。您还可以就用户池中的风险评级提供反馈，以调整未来的评级。

**在 Amazon Cognito 控制台中设置自适应身份验证**

1. 选择增值版功能计划。

1. 在用户池的**威胁防护**菜单中，编辑**威胁防护**下的**标准和自定义身份验证**。

1. 将标准或自定义身份验证的**强制执行模式**设置为**全功能**。

1. 在**自适应身份验证**下，为不同风险级别配置自动风险响应。

**了解详情**
+ [使用自适应身份验证](cognito-user-pool-settings-adaptive-authentication.md)
+ [在应用程序中收集威胁防护的数据](user-pool-settings-viewing-threat-protection-app.md)

## 威胁防护：凭证遭泄露检测
<a name="features-compromised-credentials"></a>

增值版计划包括*凭证遭泄露检测* 功能。此功能可防止使用不安全的密码以及这种做法造成的意外访问应用程序的威胁。当您允许用户使用用户名和密码登录时，他们可能会重复使用他们在其他地方使用的密码。该密码可能已被泄露，或者只是属于常见易猜的密码。使用凭证遭泄露检测功能，您的用户池可以读取用户提交的密码，并将其与密码数据库进行比较。如果该操作判定密码很可能已遭泄露，您可以将用户池配置为阻止登录，然后在应用程序中为该用户启动密码重置。

在新用户注册、现有用户登录以及用户尝试重置密码时，凭证遭泄露检测功能可对不安全的密码做出响应。使用此功能，无论用户在何处输入不安全的密码，您的用户池都可以阻止或警告使用不安全密码的登录行为。

**在 Amazon Cognito 控制台中设置凭证遭泄露检测**

1. 选择增值版功能计划。

1. 在用户池的**威胁防护**菜单中，编辑**威胁防护**下的**标准和自定义身份验证**。

1. 将标准或自定义身份验证的**强制执行模式**设置为**全功能**。

1. 在**已泄露的凭证**下，配置您要检查的身份验证操作的类型，以及要从用户池中获得的自动响应。

**了解详情**
+ [使用凭证遭泄露检测功能](cognito-user-pool-settings-compromised-credentials.md)

## 威胁防护：用户活动日志记录
<a name="features-user-logs"></a>

增值版计划增加了日志记录功能，可提供安全分析以及用户身份验证尝试的详细信息。您可以查看风险评估结果、用户 IP 地址、用户代理以及有关连接到您的应用程序的设备的其他信息。您可以使用内置的威胁防护功能基于这些信息采取行动，也可以分析自己系统中的日志并采取适当的措施。您可以将威胁防护中的日志导出到 Amazon S3、 CloudWatch 日志或 Amazon DynamoDB。

**在 Amazon Cognito 控制台中设置用户活动日志记录**

1. 选择增值版功能计划。

1. 在用户池的**威胁防护**菜单中，编辑**威胁防护**下的**标准和自定义身份验证**。

1. 将标准或自定义身份验证的**强制执行模式**设置为**仅限审计**。这是日志的最低设置。您还可以在**全功能**模式下将其激活此模式并配置其他威胁防护功能。

1. 要将日志导出到其他日志以 Amazon Web Services 服务 供第三方分析，请转到用户池的 “**日志流**” 菜单并设置导出目的地。

**了解详情**
+ [导出用户身份验证事件](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-event-user-history-exporting)
+ [从 Amazon Cognito 用户池导出日志](exporting-quotas-and-usage.md)