ユーザーおよびユーザープール向けに MFA 設定を使用して Amazon Cognito におけるセキュリティを強化するにはどうすればよいですか?

簡単な説明

Amazon Cognito の MFA の設定は、ユーザーおよびユーザープール向けに、オフ、オプション、または必須に設定できます。

MFA がオフである場合、いかなるユーザーにも、サインイン中に MFA チャレンジを求めるプロンプトは表示されません。MFA がオプションである場合、MFA はユーザーレベルで追加されます。MFA を設定しているユーザーにのみ、サインイン中に MFA チャレンジを求めるプロンプトが表示されます。MFA が必須である場合、各ユーザーに、サインイン中に MFA チャレンジを求めるプロンプトが表示されます。

SMS テキストメッセージとタイムベースドワンタイムパスワード (TOTP) は両方とも、Amazon Cognito のユーザーおよびユーザープール向けの 2 つ目の認証要素オプションです。

解決方法

1.    Amazon Cognito ユーザープール向けに MFA を設定します。

重要: ユーザープールの MFA の設定によって、認証フローに変更が生じる可能性があります。詳細については、「ユーザープール認証フロー」を参照してください。

2.    Amazon Cognito のユーザー向けに 2 つ目の認証要素を設定します。

SMS テキストメッセージをユーザー向けの 2 つ目の要素として設定するには:

• 各ユーザーが電話番号を持っていることを確認してください。SMS テキストメッセージの受信が確認されると、電話番号が検証済みとしてマークされます。
• SMS テキストメッセージ MFA を設定します。
• Amazon Cognito のユーザープールで SMS テキストメッセージを設定します。
• ユースケースに応じて、AdminSetUserMFAPreference API または SetUserMFAPreference API を使用します。[SMSMfaSettings] で、[Enabled] (有効) と [PreferredMfa] の両方を [True] に設定します。
• API に応じてその他の必須パラメータを指定し、API を呼び出します。

TOTP をユーザー向けの 2 つ目の要素として設定するには:

• TOTP ソフトウェアトークン MFA を設定します。
• ユースケースに応じて、AdminSetUserMFAPreference API または SetUserMFAPreference API を使用します。[SoftwareTokenMfaSettings] で、[Enabled] (有効) と [PreferredMfa] の両方を [True] に設定します。
• API に応じてその他の必須パラメータを指定し、API を呼び出します。

注: AWS コマンドラインインターフェイス (AWS CLI) を使用して TOTP ソフトウェアトークン MFA を関連付け、TOTP を 2 つ目の認証要素として設定できます。詳細については、「How do I activate TOTP MFA for Amazon Cognito user pools?」(Amazon Cognito ユーザープール向けに TOTP MFA をアクティブ化するにはどうすればよいですか?) を参照してください。

---