多租户安全建议 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

多租户安全建议

为了帮助提高应用程序的安全性,我们有下列建议:

  • 仅使用经过验证的电子邮件地址,根据域匹配授权用户访问租户。仅信任经过您的应用程序验证或者或者外部 IdP 提供了验证证明的电子邮件地址和电话号码。有关设置这些权限的更多详细信息,请参阅属性权限和范围

  • 对标识租户的用户配置文件属性使用不可变 或只读属性。只有在创建用户或用户在用户池中注册时,才能设置不可变属性的值。此外,向应用程序客户端授予对属性的只读访问权。

  • 在外部 IdP 与应用程序客户端之间使用 1:1 映射,以防止未经授权的跨租户访问。已通过外部 IdP 身份验证且具有有效 Amazon Cognito 会话 Cookie 的用户,可以访问信任相同 IdP 的其他租户应用程序。

  • 在应用程序中实施与租户匹配的授权逻辑时,请限制用户,使他们不能修改用于授权用户访问租户的条件。此外,如果使用外部 IdP 进行联合身份验证,请限制租户身份提供商管理员,使其无法修改用户访问权限。