Cognito

Aby uzyskać więcej informacji, odwiedź:

Trwałość użytkownika

Cognito to usługa, która pozwala nadawać role nieuwierzytelnionym i uwierzytelnionym użytkownikom oraz kontrolować katalog użytkowników. Można zmieniać kilka różnych konfiguracji, aby utrzymać pewną trwałość, takie jak:

• Dodanie puli użytkowników kontrolowanej przez użytkownika do puli tożsamości

• Przypisanie roli IAM nieuwierzytelnionej puli tożsamości i zezwolenie na podstawowy przepływ uwierzytelniania

• Lub do uwierzytelnionej puli tożsamości, jeśli atakujący może się zalogować

• Lub ulepszenie uprawnień przypisanych rolom

• Tworzenie, weryfikacja i eskalacja uprawnień za pomocą kontrolowanych atrybutów użytkowników lub nowych użytkowników w puli użytkowników

• Zezwolenie na zewnętrzne dostawcy tożsamości do logowania się w puli użytkowników lub w puli tożsamości

Sprawdź, jak wykonać te czynności w

cognito-idp:SetRiskConfiguration

Atakujący posiadający to uprawnienie mógłby zmodyfikować konfigurację ryzyka, aby móc zalogować się jako użytkownik Cognito bez wywoływania alarmów. Sprawdź cli, aby zobaczyć wszystkie opcje:

aws cognito-idp set-risk-configuration --user-pool-id <pool-id> --compromised-credentials-risk-configuration EventFilter=SIGN_UP,Actions={EventAction=NO_ACTION}

Domyślnie to jest wyłączone: