¿Cómo aumento la seguridad en Amazon Cognito mediante la configuración de MFA para los usuarios y los grupos de usuarios?

Descripción breve

La configuración de MFA de Amazon Cognito pueden establecerse como desactivada, opcional u obligatoria para los usuarios y grupos de usuarios.

Si la MFA está desactivada, no se solicitará a ningún usuario un desafío de MFA al iniciar sesión. Si la MFA es opcional, se agrega en el nivel de usuario. Solo a los usuarios que tengan configurada la MFA se les solicitará un desafío de MFA al iniciar sesión. Si la MFA es obligatoria, a cada usuario se le solicitará un desafío de MFA al iniciar sesión.

Tanto los mensajes de texto SMS como las contraseñas temporales de un solo uso (TOTP) son opciones de segundo factor de autenticación para los usuarios y grupos de usuarios de Amazon Cognito.

Resolución

1.    Configure la MFA para su grupo de usuarios de Amazon Cognito.

Importante: La configuración de MFA del grupo de usuarios puede cambiar el flujo de autenticación. Para obtener más información, consulte Flujo de autenticación de los grupos de usuarios.

2.    Configure un segundo factor de autenticación para los usuarios de Amazon Cognito.

Para configurar los mensajes de texto SMS como segundo factor para los usuarios:

• Asegúrese de que cada usuario tenga un número de teléfono. Los números de teléfono se marcan como verificados después de confirmar los mensajes de texto SMS.
• Configure una MFA con mensajes de texto SMS.
• Configure los mensajes de texto SMS en los grupos de usuarios de Amazon Cognito.
• Utilice la API AdminSetUserMFAPreference o la API SetUserMFAPreference, según el caso de uso. En SMSMfaSettings, establezca Enabled y PreferredMfa como True.
• Proporcione cualquier otro parámetro obligatorio en función de la API y, a continuación, invóquela.

Para configurar TOTP como segundo factor para los usuarios:

• Configure una MFA con token de software de TOTP.
• Utilice la API AdminSetUserMFAPreference o la API SetUserMFAPreference, según el caso de uso. En SoftwareTokenMfaSettings, establezca Enabled y PreferredMfa en True.
• Proporcione cualquier otro parámetro obligatorio en función de la API y, a continuación, invóquela.

Nota: Puede utilizar la Interfaz de la línea de comandos de AWS (AWS CLI) para asociar una MFA con token de software de TOTP y, a continuación, establecer la TOTP como segundo factor de autenticación. Para obtener más información, consulte How do I activate TOTP MFA for Amazon Cognito user pools? (¿Cómo activo la MFA con TOTP para grupos de usuarios de Amazon Cognito?).