Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan tingkat lanjut dengan perlindungan ancaman
Setelah membuat kumpulan pengguna, Anda memiliki akses ke **Perlindungan ancaman** di menu navigasi di konsol Amazon Cognito. Anda dapat mengaktifkan fitur perlindungan ancaman dan menyesuaikan tindakan yang diambil sebagai respons terhadap risiko yang berbeda. Atau Anda dapat menggunakan mode audit untuk mengumpulkan metrik risiko yang terdeteksi tanpa menerapkan mitigasi keamanan apa pun. Dalam mode audit, perlindungan ancaman menerbitkan metrik ke Amazon. CloudWatch Anda dapat melihat metrik setelah Amazon Cognito menghasilkan acara pertamanya. Lihat [Melihat metrik perlindungan ancaman](metrics-for-cognito-user-pools.md#user-pool-settings-viewing-threat-protection-metrics).
Perlindungan ancaman, sebelumnya disebut *fitur keamanan canggih*, adalah seperangkat alat pemantauan untuk aktivitas yang tidak diinginkan di kumpulan pengguna Anda, dan alat konfigurasi untuk secara otomatis mematikan aktivitas yang berpotensi berbahaya. Perlindungan ancaman memiliki opsi konfigurasi yang berbeda untuk operasi otentikasi standar dan kustom. Misalnya, Anda mungkin ingin mengirim pemberitahuan ke pengguna dengan login autentikasi kustom yang mencurigakan, di mana Anda telah menyiapkan faktor keamanan tambahan, tetapi memblokir pengguna pada tingkat risiko yang sama dengan otentikasi nama pengguna-kata sandi dasar.
Perlindungan ancaman tersedia dalam paket fitur Plus. Untuk informasi selengkapnya, lihat [Paket fitur kumpulan pengguna](cognito-sign-in-feature-plans.md).
Opsi kumpulan pengguna berikut adalah komponen perlindungan ancaman.
**Kredensi yang dikompromikan**
Pengguna menggunakan kembali kata sandi untuk beberapa akun pengguna. Fitur kredensi yang dikompromikan dari Amazon Cognito mengkompilasi data dari kebocoran publik nama pengguna dan kata sandi, dan membandingkan kredensil pengguna Anda dengan daftar kredensional yang bocor. Deteksi kredensil yang dikompromikan juga memeriksa kata sandi yang umum ditebak. Anda dapat memeriksa kredensyal yang dikompromikan dalam alur otentikasi username-and-password standar di kumpulan pengguna. Amazon Cognito tidak mendeteksi kredensi yang dikompromikan dalam kata sandi jarak jauh aman (SRP) atau otentikasi khusus.
Anda dapat memilih tindakan pengguna yang meminta pemeriksaan kredenal yang disusupi, dan tindakan yang Anda ingin dilakukan Amazon Cognito sebagai tanggapan. ****Untuk peristiwa login, pendaftaran, dan perubahan kata sandi, Amazon Cognito dapat Memblokir proses masuk, atau Izinkan masuk.**** Dalam kedua kasus tersebut, Amazon Cognito menghasilkan log aktivitas pengguna tempat Anda dapat menemukan informasi lebih lanjut tentang acara tersebut.
**Pelajari selengkapnya**
[Bekerja dengan deteksi kredensial-terkompromikan](cognito-user-pool-settings-compromised-credentials.md)
**Otentikasi adaptif**
Amazon Cognito dapat meninjau informasi lokasi dan perangkat dari permintaan masuk pengguna Anda dan menerapkan respons otomatis untuk mengamankan akun pengguna di kumpulan pengguna Anda dari aktivitas yang mencurigakan. Anda dapat memantau aktivitas pengguna dan mengotomatiskan respons ke tingkat risiko yang terdeteksi di username-password dan SRP, serta autentikasi kustom.
Saat Anda mengaktifkan perlindungan ancaman, Amazon Cognito memberikan skor risiko untuk aktivitas pengguna. Anda dapat menetapkan respons otomatis terhadap aktivitas mencurigakan: Anda dapat Memerlukan **MFA**, **Memblokir proses masuk**, atau hanya mencatat detail aktivitas dan skor risiko. Anda juga dapat secara otomatis mengirim pesan email yang memberi tahu pengguna Anda tentang aktivitas mencurigakan sehingga mereka dapat mengatur ulang kata sandi mereka atau mengambil tindakan mandiri lainnya.
**Pelajari selengkapnya**
[Bekerja dengan otentikasi adaptif](cognito-user-pool-settings-adaptive-authentication.md)
**Daftar Izin Alamat IP dan Denylist**
Dengan perlindungan ancaman Amazon Cognito dalam mode **fungsi penuh**, Anda dapat membuat alamat IP **Selalu blokir dan Selalu** **izinkan pengecualian**. Sesi dari alamat IP pada daftar pengecualian **Selalu blokir** tidak ditetapkan tingkat risiko dengan autentikasi adaptif, dan tidak dapat masuk ke kumpulan pengguna Anda.
**Hal-hal yang perlu diketahui tentang daftar izin alamat IP dan daftar blokir**
+ Anda harus mengekspresikan **Selalu blokir** dan **Selalu izinkan** dalam format CIDR, misalnya`192.0.2.0/24`, topeng 24-bit, atau`192.0.2.252/32`, satu alamat IP.
+ Perangkat dengan alamat IP dalam rentang IP **Selalu blokir** tidak dapat mendaftar atau masuk dengan aplikasi login berbasis SDK atau terkelola, tetapi mereka dapat masuk dengan pihak ketiga. IdPs
+ **Selalu izinkan** dan **Selalu blokir** daftar tidak memengaruhi penyegaran token.
+ Amazon Cognito tidak menerapkan aturan MFA otentikasi adaptif ke perangkat dari rentang IP **Selalu izinkan**, tetapi menerapkan aturan kredensial-kompromi.
**Ekspor log**
Perlindungan ancaman mencatat detail terperinci dari permintaan otentikasi pengguna ke kumpulan pengguna Anda. Log ini menampilkan penilaian ancaman, informasi pengguna, dan metadata sesi seperti lokasi dan perangkat. Anda dapat membuat arsip eksternal dari log ini untuk retensi dan analisis. Pengguna Amazon Cognito mengumpulkan log perlindungan ancaman ekspor ke Amazon S3 CloudWatch , Log, dan Amazon Data Firehose. Untuk informasi selengkapnya, lihat [Melihat dan mengekspor riwayat acara pengguna](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-event-user-history).
**Pelajari selengkapnya**
[Mengekspor log aktivitas pengguna untuk perlindungan dari ancaman](exporting-quotas-and-usage.md#exporting-quotas-and-usage-user-activity)
**Topics**
+ [Pertimbangan dan batasan untuk perlindungan ancaman](#cognito-user-pool-threat-protection-considerations)
+ [Mengaktifkan perlindungan ancaman di kumpulan pengguna](#cognito-user-pool-threat-protection-activating)
+ [Konsep penegakan perlindungan ancaman](#cognito-user-pool-settings-threat-protection-threat-protection-enforcement)
+ [Perlindungan ancaman untuk otentikasi standar dan otentikasi khusus](#cognito-user-pool-settings-threat-protection-threat-protection-types)
+ [Prasyarat perlindungan ancaman](#cognito-user-pool-threat-protection-prerequisites)
+ [Menyiapkan perlindungan ancaman](#cognito-user-pool-settings-configure-threat-protection)
+ [Bekerja dengan deteksi kredensial-terkompromikan](cognito-user-pool-settings-compromised-credentials.md)
+ [Bekerja dengan otentikasi adaptif](cognito-user-pool-settings-adaptive-authentication.md)
+ [Mengumpulkan data untuk perlindungan ancaman dalam aplikasi](user-pool-settings-viewing-threat-protection-app.md)
## Pertimbangan dan batasan untuk perlindungan ancaman
**Opsi perlindungan ancaman berbeda antara alur otentikasi**
Amazon Cognito mendukung otentikasi adaptif dan deteksi kredensial-kompromi dengan alur otentikasi dan. `USER_PASSWORD_AUTH` `ADMIN_USER_PASSWORD_AUTH` Anda hanya dapat mengaktifkan otentikasi adaptif untuk. `USER_SRP_AUTH` Anda tidak dapat menggunakan perlindungan ancaman dengan login federasi.
**Selalu blokir IPs berkontribusi untuk meminta kuota**
Permintaan yang diblokir dari alamat IP pada daftar pengecualian **Selalu blokir** di kumpulan pengguna Anda berkontribusi pada [kuota tingkat permintaan](https://docs.aws.amazon.com/cognito/latest/developerguide/limits.html#category_operations) untuk kumpulan pengguna Anda.
**Perlindungan ancaman tidak menerapkan batas tarif**
Beberapa lalu lintas berbahaya memiliki karakteristik volume permintaan yang tinggi, seperti serangan penolakan layanan terdistribusi (DDoS). Peringkat risiko yang diterapkan Amazon Cognito untuk lalu lintas masuk adalah per permintaan dan tidak memperhitungkan volume permintaan. Permintaan individu dalam peristiwa volume tinggi mungkin menerima skor risiko dan respons otomatis untuk alasan lapisan aplikasi yang tidak terkait dengan peran mereka dalam serangan volumetrik. Untuk menerapkan pertahanan terhadap serangan volumetrik di kumpulan pengguna Anda, tambahkan web. AWS WAF ACLs Untuk informasi selengkapnya, lihat [Kaitkan ACL AWS WAF web dengan kumpulan pengguna](user-pool-waf.md).
**Perlindungan ancaman tidak memengaruhi permintaan M2M**
Hibah kredensi klien ditujukan untuk otorisasi machine-to-machine (M2M) tanpa koneksi ke akun pengguna. Perlindungan ancaman hanya memantau akun pengguna dan kata sandi di kumpulan pengguna Anda. Untuk menerapkan fitur keamanan dengan aktivitas M2M Anda, pertimbangkan kemampuan AWS WAF untuk memantau tingkat permintaan dan konten. Untuk informasi selengkapnya, lihat [Kaitkan ACL AWS WAF web dengan kumpulan pengguna](user-pool-waf.md).
## Mengaktifkan perlindungan ancaman di kumpulan pengguna
------
#### [ Amazon Cognito user pools console ]
**Untuk mengaktifkan perlindungan ancaman untuk kumpulan pengguna**
1. Masuk ke [Konsol Amazon Cognito](https://console.aws.amazon.com/cognito/home). Jika diminta, masukkan AWS kredensil Anda.
1. Pilih **Kolam Pengguna**.
1. Pilih kolam pengguna yang ada dari daftar, atau [buat kolam pengguna](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).
1. Jika Anda belum melakukannya, aktifkan paket fitur Plus dari menu **Pengaturan**.
1. Pilih menu **Perlindungan ancaman** dan pilih **Aktifkan**.
1. Pilih **Simpan perubahan**.
------
#### [ API ]
Tetapkan paket fitur Anda ke Plus dalam permintaan [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html)atau [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html)API. Contoh sebagian badan permintaan berikut menetapkan perlindungan ancaman ke mode fungsi penuh. Untuk permintaan contoh lengkap, lihat [Contoh](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html#API_CreateUserPool_Examples).
```
"UserPoolAddOns": {
"AdvancedSecurityMode": "ENFORCED"
}
```
------
Perlindungan ancaman adalah istilah kolektif untuk fitur yang memantau operasi pengguna untuk tanda-tanda pengambilalihan akun dan secara otomatis merespons akun pengguna yang aman yang terpengaruh. Anda dapat menerapkan pengaturan perlindungan ancaman kepada pengguna saat mereka masuk dengan alur otentikasi standar dan kustom.
Perlindungan ancaman [menghasilkan log](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-event-user-history) yang merinci proses masuk, keluar, dan aktivitas pengguna lainnya. Anda dapat mengekspor log ini ke sistem pihak ketiga. Untuk informasi selengkapnya, lihat [Melihat dan mengekspor riwayat acara pengguna](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-event-user-history).
## Konsep penegakan perlindungan ancaman
Perlindungan ancaman dimulai dalam mode *audit saja* di mana kumpulan pengguna Anda memantau aktivitas pengguna, menetapkan tingkat risiko, dan menghasilkan log. Sebagai praktik terbaik, jalankan dalam mode audit saja selama dua minggu atau lebih sebelum Anda mengaktifkan mode fungsi *penuh*. Mode fungsi penuh mencakup serangkaian reaksi otomatis terhadap aktivitas berisiko yang terdeteksi dan kata sandi yang dikompromikan. Dengan mode khusus audit, Anda dapat memantau penilaian ancaman yang dilakukan Amazon Cognito. Anda juga dapat [memberikan umpan balik](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-feedback) yang melatih fitur pada positif palsu dan negatif.
Anda dapat mengonfigurasi penegakan perlindungan ancaman di tingkat kumpulan pengguna untuk mencakup semua klien aplikasi di kumpulan pengguna, dan pada tingkat klien aplikasi individual. Konfigurasi perlindungan ancaman klien aplikasi mengesampingkan konfigurasi kumpulan pengguna. Untuk mengonfigurasi perlindungan ancaman untuk klien aplikasi, navigasikan ke setelan klien **aplikasi dari menu Klien aplikasi** kumpulan pengguna Anda di konsol Amazon Cognito. Di sana, Anda dapat **Menggunakan pengaturan tingkat klien** dan mengonfigurasi penegakan hukum eksklusif untuk klien aplikasi.
Selain itu, Anda dapat mengonfigurasi perlindungan ancaman secara terpisah untuk jenis otentikasi standar dan kustom.
## Perlindungan ancaman untuk otentikasi standar dan otentikasi khusus
Cara Anda dapat mengonfigurasi perlindungan ancaman bergantung pada jenis otentikasi yang Anda lakukan di kumpulan pengguna dan klien aplikasi Anda. Masing-masing jenis otentikasi berikut dapat memiliki mode penegakan dan respons otomatis mereka sendiri.
**Otentikasi standar**
*Otentikasi standar* adalah login pengguna, sign-out dan manajemen kata sandi dengan alur nama pengguna-kata sandi dan login terkelola. Perlindungan ancaman Amazon Cognito memantau operasi untuk indikator risiko saat masuk dengan login terkelola atau menggunakan parameter API `AuthFlow` berikut:
**[InitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html#CognitoUserPools-InitiateAuth-request-AuthFlow)**
`USER_PASSWORD_AUTH`,`USER_SRP_AUTH`. Fitur kredensi yang disusupi tidak memiliki akses ke kata sandi `USER_SRP_AUTH` saat masuk, dan tidak memantau atau menindaklanjuti peristiwa dengan alur ini.
**[AdminInitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html#CognitoUserPools-AdminInitiateAuth-request-AuthFlow)**
`ADMIN_USER_PASSWORD_AUTH`,`USER_SRP_AUTH`. Fitur kredensi yang disusupi tidak memiliki akses ke kata sandi `USER_SRP_AUTH` saat masuk, dan tidak memantau atau menindaklanjuti peristiwa dengan alur ini.
Anda dapat mengatur **mode Penegakan** untuk otentikasi standar **hanya untuk Audit** atau **fungsi Penuh**. Untuk menonaktifkan pemantauan ancaman untuk otentikasi standar, tetapkan perlindungan ancaman ke **No enforcement**.
**Autentikasi kustom**
*Otentikasi khusus* adalah login pengguna dengan pemicu [Lambda tantangan khusus](user-pool-lambda-challenge.md). Anda tidak dapat melakukan otentikasi khusus di login terkelola. Perlindungan ancaman Amazon Cognito memantau operasi untuk indikator risiko saat mereka masuk dengan `AuthFlow` parameter API `CUSTOM_AUTH` dan`InitiateAuth`. `AdminInitiateAuth`
Anda dapat mengatur **mode Penegakan** untuk autentikasi kustom **hanya untuk Audit**, **Fungsi penuh**, atau **Tidak ada penegakan hukum**. Opsi **Tanpa penegakan** menonaktifkan pemantauan ancaman untuk otentikasi khusus tanpa memengaruhi fitur perlindungan ancaman lainnya.
## Prasyarat perlindungan ancaman
Sebelum memulai, Anda perlu melakukan hal berikut:
+ Kolam pengguna dengan klien aplikasi. Untuk informasi selengkapnya, lihat [Memulai dengan kumpulan pengguna](getting-started-user-pools.md).
+ Atur Autentikasi Multi-Faktor (MFA) ke **Opsional** di konsol Amazon Cognito untuk menggunakan fitur autentikasi adaptif berbasis risiko. Untuk informasi selengkapnya, lihat [Menambahkan MFA ke kumpulan pengguna](user-pool-settings-mfa.md).
+ Jika Anda menggunakan notifikasi email, buka [konsol Amazon SES](https://console.aws.amazon.com/ses/home) untuk mengonfigurasi dan memverifikasi alamat email atau domain yang akan digunakan dengan notifikasi email Anda. Untuk informasi lebih lanjut tentang Amazon SES, lihat [Memverifikasi Identitas di Amazon SES](https://docs.aws.amazon.com/ses/latest/dg/verify-addresses-and-domains.html).
## Menyiapkan perlindungan ancaman
Ikuti petunjuk ini untuk mengatur perlindungan ancaman kumpulan pengguna.
**catatan**
Untuk menyiapkan konfigurasi perlindungan ancaman yang berbeda untuk klien aplikasi di konsol kumpulan pengguna Amazon Cognito, pilih klien aplikasi dari menu Klien aplikasi dan pilih **Gunakan** setelan tingkat **klien**.
------
#### [ Konsol Manajemen AWS ]
**Untuk mengonfigurasi perlindungan ancaman untuk kumpulan pengguna**
1. Masuk ke [Konsol Amazon Cognito](https://console.aws.amazon.com/cognito/home). Jika diminta, masukkan AWS kredensil Anda.
1. Pilih **Kolam Pengguna**.
1. Pilih kolam pengguna yang ada dari daftar, atau [buat kolam pengguna](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).
1. Pilih menu **Perlindungan ancaman** dan pilih **Aktifkan**.
1. Pilih metode perlindungan ancaman yang ingin Anda konfigurasikan: **Otentikasi standar dan kustom**. Anda dapat mengatur mode penegakan yang berbeda untuk otentikasi kustom dan standar, tetapi mereka berbagi konfigurasi respons otomatis dalam mode **fungsi penuh**.
1. Pilih **Edit**.
1. Pilih **mode Penegakan**. Untuk segera merespons risiko yang terdeteksi, pilih **Fungsi lengkap** dan konfigurasikan respons otomatis untuk kredensi yang dikompromikan dan otentikasi adaptif. Untuk mengumpulkan informasi di log tingkat pengguna dan masuk CloudWatch, pilih **Audit** saja.
Kami menyarankan agar Anda menjaga perlindungan ancaman dalam mode audit selama dua minggu sebelum mengaktifkan tindakan. Selama waktu ini, Amazon Cognito dapat mempelajari pola penggunaan pengguna aplikasi Anda dan Anda dapat memberikan umpan balik peristiwa untuk menyesuaikan respons.
1. Jika Anda memilih **Audit saja**, pilih **Simpan perubahan**. Jika Anda memilih **Fungsi penuh**:
1. **Pilih apakah Anda akan mengambil tindakan **Kustom** atau menggunakan atau **Cognito default untuk menanggapi dugaan kredensial** Terkompromi.** **Cognito default** adalah:
1. **Mendeteksi kredenal yang dikompromikan **saat Masuk, **Mendaftar****, dan Perubahan Kata Sandi.**
1. **Menanggapi kredenal yang dikompromikan dengan tindakan Blokir login.**
1. Jika Anda memilih Tindakan **kustom** untuk **kredensial yang dikompromikan**, pilih tindakan kumpulan pengguna yang akan digunakan Amazon Cognito untuk **deteksi Peristiwa** dan tanggapan **kredenal yang dikompromikan yang Anda** ingin diambil oleh Amazon Cognito. Anda dapat **Memblokir proses masuk atau **Izinkan masuk**** dengan kredenal yang dicurigai disusupi.
1. Pilih cara menanggapi upaya masuk berbahaya di bawah Autentikasi **adaptif**. Pilih apakah Anda akan mengambil tindakan **Kustom** atau menggunakan atau **Cognito default** untuk menanggapi aktivitas berbahaya yang dicurigai. Saat Anda memilih **Cognito default,** Amazon Cognito memblokir proses masuk di semua tingkat risiko dan tidak memberi tahu pengguna.
1. Jika Anda memilih Tindakan **kustom** untuk **otentikasi Adaptif**, pilih Tindakan **respons risiko otomatis** yang akan diambil Amazon Cognito sebagai respons terhadap risiko yang terdeteksi berdasarkan tingkat keparahan. Ketika Anda menetapkan respons terhadap tingkat risiko, Anda tidak dapat menetapkan respons yang kurang membatasi ke tingkat risiko yang lebih tinggi. Anda dapat menetapkan tanggapan berikut untuk tingkat risiko:
1. **Izinkan masuk** - Jangan mengambil tindakan pencegahan.
1. **MFA opsional** - Jika pengguna memiliki MFA yang dikonfigurasi, Amazon Cognito akan selalu meminta pengguna untuk memberikan SMS tambahan atau faktor kata sandi satu kali berbasis waktu (TOTP) saat mereka masuk. Jika pengguna belum mengonfigurasikan autentikasi multifaktor (MFA), mereka dapat melanjutkan masuk seperti biasa.
1. **Memerlukan MFA** - Jika pengguna memiliki MFA yang dikonfigurasi, Amazon Cognito akan selalu meminta pengguna untuk memberikan SMS atau faktor TOTP tambahan saat mereka masuk. Jika pengguna belum mengonfigurasikan autentikasi multifaktor (MFA), Amazon Cognito akan meminta mereka mengonfigurasikan MFA. Sebelum Anda secara otomatis memerlukan MFA untuk pengguna Anda, konfigurasikan mekanisme di aplikasi Anda untuk menangkap nomor telepon untuk SMS MFA, atau untuk mendaftarkan aplikasi autentikator untuk TOTP MFA.
1. **Blokir masuk** - Cegah pengguna masuk.
1. **Beri tahu pengguna** - Kirim pesan email ke pengguna dengan informasi tentang risiko yang terdeteksi Amazon Cognito dan respons yang telah Anda ambil. Anda dapat menyesuaikan template pesan email untuk pesan yang Anda kirim.
1. Jika Anda memilih **Beri tahu pengguna** pada langkah sebelumnya, Anda dapat menyesuaikan pengaturan pengiriman email dan templat pesan email untuk autentikasi adaptif.
1. Di bawah **Konfigurasi email**, pilih **Wilayah SES**, **DARI alamat email**, **DARI nama pengirim**, dan alamat **email BALAS-KE yang ingin Anda gunakan dengan autentikasi** adaptif. Untuk informasi selengkapnya tentang mengintegrasikan pesan email kumpulan pengguna Anda dengan Amazon Simple Email Service, lihat [Pengaturan email untuk kumpulan pengguna Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-email.html).
1. Perluas **template Email** untuk menyesuaikan notifikasi autentikasi adaptif dengan pesan email versi HTML dan teks biasa. Untuk mempelajari lebih lanjut tentang templat pesan email, lihat[Template pesan](cognito-user-pool-settings-message-customizations.md#cognito-user-pool-settings-message-templates).
1. Perluas **pengecualian alamat IP** untuk membuat daftar **Always-allow** atau **Always-block** atau rentang IPv6 alamat yang akan selalu diizinkan IPv4 atau diblokir, terlepas dari penilaian risiko perlindungan ancaman. Tentukan rentang alamat IP di [Notasi CIDR](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing#CIDR_notation) (seperti 192.168.100.0/24).
1. Pilih **Simpan perubahan**.
------
#### [ API (user pool) ]
Untuk mengatur konfigurasi perlindungan ancaman untuk kumpulan pengguna, kirim permintaan [SetRiskConfiguration](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetRiskConfiguration.html)API yang menyertakan `UserPoolId` parameter, tetapi bukan `ClientId` parameter. Berikut ini adalah contoh badan permintaan untuk kumpulan pengguna. Konfigurasi risiko ini mengambil serangkaian tindakan yang meningkat berdasarkan tingkat keparahan risiko dan memberi tahu pengguna di semua tingkat risiko. Ini menerapkan blok kredensial-dikompromikan untuk operasi pendaftaran.
Untuk menerapkan konfigurasi ini, Anda harus menyetel `AdvancedSecurityMode` ke `ENFORCED` dalam permintaan terpisah [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html)atau [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html)API. Untuk informasi selengkapnya tentang template placeholder seperti `{username}` dalam contoh ini, lihat. [Mengkonfigurasi MFA, otentikasi, verifikasi, dan pesan undangan](cognito-user-pool-settings-message-customizations.md)
```
{
"AccountTakeoverRiskConfiguration": {
"Actions": {
"HighAction": {
"EventAction": "MFA_REQUIRED",
"Notify": true
},
"LowAction": {
"EventAction": "NO_ACTION",
"Notify": true
},
"MediumAction": {
"EventAction": "MFA_IF_CONFIGURED",
"Notify": true
}
},
"NotifyConfiguration": {
"BlockEmail": {
"Subject": "You have been blocked for suspicious activity",
"TextBody": "We blocked {username} at {login-time} from {ip-address}."
},
"From": "admin@example.com",
"MfaEmail": {
"Subject": "Suspicious activity detected, MFA required",
"TextBody": "Unexpected sign-in from {username} on device {device-name}. You must use MFA."
},
"NoActionEmail": {
"Subject": "Suspicious activity detected, secure your user account",
"TextBody": "We noticed suspicious sign-in activity by {username} from {city}, {country} at {login-time}. If this was not you, reset your password."
},
"ReplyTo": "admin@example.com",
"SourceArn": "arn:aws:ses:us-west-2:123456789012:identity/admin@example.com"
}
},
"CompromisedCredentialsRiskConfiguration": {
"Actions": {
"EventAction": "BLOCK"
},
"EventFilter": [ "SIGN_UP" ]
},
"RiskExceptionConfiguration": {
"BlockedIPRangeList": [ "192.0.2.0/24","198.51.100.0/24" ],
"SkippedIPRangeList": [ "203.0.113.0/24" ]
},
"UserPoolId": "us-west-2_EXAMPLE"
}
```
------
#### [ API (app client) ]
Untuk mengatur konfigurasi perlindungan ancaman untuk klien aplikasi, kirim permintaan [SetRiskConfiguration](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetRiskConfiguration.html)API yang menyertakan `UserPoolId` parameter dan `ClientId` parameter. Berikut ini adalah contoh badan permintaan untuk klien aplikasi. Konfigurasi risiko ini lebih parah daripada konfigurasi kumpulan pengguna, memblokir entri berisiko tinggi. Ini juga menerapkan blok kredensial-kompromi untuk operasi pendaftaran, masuk, dan mengatur ulang kata sandi.
Untuk menerapkan konfigurasi ini, Anda harus menyetel `AdvancedSecurityMode` ke `ENFORCED` dalam permintaan terpisah [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html)atau [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html)API. Untuk informasi selengkapnya tentang template placeholder seperti `{username}` dalam contoh ini, lihat. [Mengkonfigurasi MFA, otentikasi, verifikasi, dan pesan undangan](cognito-user-pool-settings-message-customizations.md)
```
{
"AccountTakeoverRiskConfiguration": {
"Actions": {
"HighAction": {
"EventAction": "BLOCK",
"Notify": true
},
"LowAction": {
"EventAction": "NO_ACTION",
"Notify": true
},
"MediumAction": {
"EventAction": "MFA_REQUIRED",
"Notify": true
}
},
"NotifyConfiguration": {
"BlockEmail": {
"Subject": "You have been blocked for suspicious activity",
"TextBody": "We blocked {username} at {login-time} from {ip-address}."
},
"From": "admin@example.com",
"MfaEmail": {
"Subject": "Suspicious activity detected, MFA required",
"TextBody": "Unexpected sign-in from {username} on device {device-name}. You must use MFA."
},
"NoActionEmail": {
"Subject": "Suspicious activity detected, secure your user account",
"TextBody": "We noticed suspicious sign-in activity by {username} from {city}, {country} at {login-time}. If this was not you, reset your password."
},
"ReplyTo": "admin@example.com",
"SourceArn": "arn:aws:ses:us-west-2:123456789012:identity/admin@example.com"
}
},
"ClientId": "1example23456789",
"CompromisedCredentialsRiskConfiguration": {
"Actions": {
"EventAction": "BLOCK"
},
"EventFilter": [ "SIGN_UP", "SIGN_IN", "PASSWORD_CHANGE" ]
},
"RiskExceptionConfiguration": {
"BlockedIPRangeList": [ "192.0.2.1/32","192.0.2.2/32" ],
"SkippedIPRangeList": [ "192.0.2.3/32","192.0.2.4/32" ]
},
"UserPoolId": "us-west-2_EXAMPLE"
}
```
------