多要素認証 (MFA) を実装することによって、Amazon Cognito のユーザーおよびユーザープールのセキュリティを強化したいと考えています。これを実行するにはどうすればよいですか?
簡単な説明
Amazon Cognito の MFA の設定は、ユーザーおよびユーザープール向けに、オフ、オプション、または必須に設定できます。
MFA がオフである場合、いかなるユーザーにも、サインイン中に MFA チャレンジを求めるプロンプトは表示されません。MFA がオプションである場合、MFA はユーザーレベルで追加されます。MFA を設定しているユーザーにのみ、サインイン中に MFA チャレンジを求めるプロンプトが表示されます。MFA が必須である場合、各ユーザーに、サインイン中に MFA チャレンジを求めるプロンプトが表示されます。
SMS テキストメッセージとタイムベースドワンタイムパスワード (TOTP) は両方とも、Amazon Cognito のユーザーおよびユーザープール向けの 2 つ目の認証要素オプションです。
解決方法
1. Amazon Cognito ユーザープール向けに MFA を設定します。
重要: ユーザープールの MFA の設定によって、認証フローに変更が生じる可能性があります。詳細については、「ユーザープール認証フロー」を参照してください。
2. Amazon Cognito のユーザー向けに 2 つ目の認証要素を設定します。
SMS テキストメッセージをユーザー向けの 2 つ目の要素として設定するには:
TOTP をユーザー向けの 2 つ目の要素として設定するには:
注: AWS コマンドラインインターフェイス (AWS CLI) を使用して TOTP ソフトウェアトークン MFA を関連付け、TOTP を 2 つ目の認証要素として設定できます。詳細については、「How do I activate TOTP MFA for Amazon Cognito user pools?」(Amazon Cognito ユーザープール向けに TOTP MFA をアクティブ化するにはどうすればよいですか?) を参照してください。