如何通过对用户和用户群体使用 MFA 设置来提高 Amazon Cognito 的安全性？

简短描述

对于用户和用户群体，Amazon Cognito 的 MFA 设置可以设置为关闭、可选或必需。

如果 MFA 处于关闭状态，则在登录期间不会向任何用户提出 MFA 质询。如果 MFA 处于可选状态，则会在用户级别添加 MFA。登录期间，只会向配置了 MFA 的用户提出 MFA 质询。如果 MFA 处于必需状态，则在登录期间会向每位用户提出 MFA 质询。

短信和基于时间的一次性密码（TOTP）都是 Amazon Cognito 用户和用户群体的第二重身份验证选项。

解决方法

1.    为您的 Amazon Cognito 用户群体设置 MFA。

**重要提示：**用户群体的 MFA 设置可以更改身份验证流程。有关详细信息，请参阅用户群体身份验证流程。

2.    为 Amazon Cognito 用户设置第二重身份验证。

要将短信配置为用户的第二重身份验证选项，请执行以下操作：

• 确保每位用户都有一个电话号码。确认短信后，电话号码将标记为已验证。
• 设置短信 MFA。
• 在 Amazon Cognito 用户群体中设置短信。
• 根据用例，选择使用 AdminSetUserMFAPreference API 还是 SetUserMFAPreference API。对于 SMSMfaSettings，请将 Enabled（启用）和 PreferredMfa（首选 MFA）均设置为 True。
• 根据 API 提供其他必需的所有参数，然后调用 API。

要将 TOTP 配置为用户的第二重身份验证选项，请执行以下操作：

• 设置 TOTP 软件令牌 MFA。
• 根据用例，选择使用 AdminSetUserMFAPreference API 还是 SetUserMFAPreference API。对于 SoftwareTokenMfaSettings，请将 Enabled（启用）和 PreferredMfa（首选 MFA）均设置为 True。
• 根据 API 提供其他必需的所有参数，然后调用 API。

**注意：**您可以使用 AWS 命令行界面（AWS CLI）关联 TOTP 软件令牌 MFA，然后将 TOTP 设置为第二重身份验证选项。有关更多信息，请参阅如何为 Amazon Cognito 用户群体激活 TOTP MFA？

---