Como faço para aumentar a segurança no Amazon Cognito usando as configurações de MFA para usuários e grupos de usuários?

Breve descrição

As configurações de MFA do Amazon Cognito podem ser definidas como desativadas, opcionais ou obrigatórias para usuários e grupos de usuários.

Se a MFA estiver desativada, nenhum usuário receberá um desafio de MFA durante o login. Se a MFA for opcional, ela será adicionada no nível do usuário. Somente usuários que têm a MFA configurada recebem um desafio de MFA durante o login. Se a MFA for necessária, cada usuário receberá um desafio de MFA durante o login.

As mensagens de texto SMS e as senhas de uso único com marcação temporal (TOTP) são opções de segundo fator de autenticação para usuários e grupos de usuários do Amazon Cognito.

Resolução

1.    Configure a MFA para seu grupo de usuários do Amazon Cognito.

Importante: as configurações de MFA do grupo de usuários podem alterar o fluxo de autenticação. Para obter mais informações, consulte User pool authentication flow (Fluxo de autenticação do grupo de usuários).

2.    Configure um segundo fator de autenticação para usuários do Amazon Cognito.

Para configurar mensagens de texto SMS como o segundo fator para os usuários:

• Certifique-se de que cada usuário tenha um número de telefone. Os números de telefone são marcados como verificados após a confirmação das mensagens de texto SMS.
• Configure uma MFA de mensagem de texto SMS.
• Configure mensagens de texto SMS nos grupos de usuários do Amazon Cognito.
• Use a API AdminSetUserMFAPreference ou a API SetUserMFAPreference, dependendo do caso de uso. Para SMSMfaSettings, defina Enabled (Habilitado) e PreferredMfa como True (Verdadeiro).
• Forneça quaisquer outros parâmetros necessários, dependendo da API, e invoque a API.

Para configurar a TOTP como o segundo fator para os usuários:

• Configure uma MFA de token de software TOTP..
• Use a API AdminSetUserMFAPreference ou a API SetUserMFAPreference, dependendo do caso de uso. Para SoftwareTokenMfaSettings, defina Enabled (Habilitado) e PreferredMfa como True (Verdadeiro).
• Forneça quaisquer outros parâmetros necessários, dependendo da API, e invoque a API.

Observação: você pode usar a AWS Command Line Interface (AWS CLI) para associar uma MFA de token de software TOTP e, em seguida, definir a TOTP como o segundo fator de autenticação. Para obter mais informações, consulte How do I activate TOTP MFA for Amazon Cognito user pools? (Como faço para ativar a MFA de TOTP para grupos de usuários do Amazon Cognito?)