如何透過針對使用者和使用者集區使用 MFA 設定來提高 Amazon Cognito 的安全？

簡短描述

Amazon Cognito 的 MFA 設定可以為使用者和使用者集區設定為關閉、選擇性或必要。

如果 MFA 為關閉，則在登入期間不會提示使用者進行 MFA 挑戰。如果 MFA 為選擇性，則會在使用者層級新增 MFA。只有已設定 MFA 的使用者才會在登入期間收到 MFA 挑戰的提示。如果 MFA 為必要，則在登入期間會提示每位使用者進行 MFA 挑戰。

SMS 文字訊息和以時間為基礎的一次性密碼 (TOTP) 都是 Amazon Cognito 使用者和使用者集區的第二個身分驗證要素選項。

解決方案

1.    為您的 Amazon Cognito 使用者集區設定 MFA。

**重要：**使用者集區的 MFA 設定可以變更驗證流程。如需詳細資訊，請參閱使用者集區驗證流程。

2.    為 Amazon Cognito 使用者設定第二個身分驗證要素。

若要將 SMS 文字訊息設定為使用者的第二個要素：

• 確保每個使用者都有一個電話號碼。確認 SMS 文字訊息之後，電話號碼會標示為已驗證。
• 設定 SMS 文字訊息 MFA。
• 在 Amazon Cognito 使用者集區中設定 SMS 文字訊息。
• 根據使用案例，使用 AdminSetUserMFAPreference API 或 SetUserMFAPreference API。針對 SMSMfaSettings，將 Enabled 和 PreferredMfa 都設定為 True。
• 根據 API 提供任何其他必要參數，然後叫用 API。

若要將 TOTP 設定為使用者的第二個要素：

• 設定 TOTP 軟體權杖 MFA。
• 根據使用案例，使用 AdminSetUserMFAPreference API 或 SetUserMFAPreference API。針對 SoftwareTokenMfaSettings，將 Enabled 和 PreferredMfa 都設定為 True。
• 根據 API 提供任何其他必要參數，然後叫用 API。

**注意：**您可以使用 AWS Command Line Interface (AWS CLI) 建立 TOTP 軟體權杖 MFA 的關聯，然後將 TOTP 設定為第二個身分驗證要素。如需詳細資訊，請參閱如何為 Amazon Cognito 使用者集區啟動 TOTP MFA？

---