AWS CDK で Amazon Cognito user pools に AWS WAF Web ACL を関連付けてみた

若槻龍太

2024.02.29

こんにちは、CX 事業本部製造ビジネステクノロジー部の若槻です。

2 年ほど前ですが、Amazon Cognito user pools の AWS WAF Web ACL による保護がサポートされました。

これにより、Cognito の次の認証エンドポイントが保護されるようになります。

  • サインアップ、サインインおよびサインアップに関連するエンドポイント
    • フェデレーションエンドポイント
    • Hosted UI エンドポイント
  • 公開 API オペレーションのエンドポイント
    • InitiateAuth
    • RespondToAuthChallenge
    • GetUser

今回は、Amazon Cognito user pools に AWS WAF Web ACL を関連付ける構成を AWS CDK で作成してみました。

やってみた

CDK コード

AWS CDK のコード(TypeScript)は以下の通りです。aws_wafv2 は現時点で L1 Construct のみの提供となっています。CfnWebACLAssociation メソッドにより Web ACL と User Pool の関連付けを行います。

lib/cdk-sample-stack.ts

import {
  aws_wafv2,
  aws_cognito,
  Stack,
  CfnOutput,
  RemovalPolicy,
} from 'aws-cdk-lib';
import { Construct } from 'constructs';

const MY_IP_V6_ADDRESS =
  process.env.MY_IP_V6_ADDRESS || '2001:db8:a0b:12f0::1/128';
const USER_POOL_DOMAIN = '20240229-cm-wakatsuki';

export class CdkSampleStack extends Stack {
  constructor(scope: Construct, id: string) {
    super(scope, id);

    // WAFv2 の IPSet(IPv6)の作成
    const ipV6Set = new aws_wafv2.CfnIPSet(this, 'IPV6Set', {
      ipAddressVersion: 'IPV6',
      scope: 'REGIONAL',
      addresses: [MY_IP_V6_ADDRESS],
    });

    // WAFv2 の WebACL の作成
    const webAclForUserPool = new aws_wafv2.CfnWebACL(
      this,
      'WebAclForUserPool',
      {
        defaultAction: { block: {} },
        scope: 'REGIONAL',
        visibilityConfig: {
          cloudWatchMetricsEnabled: true,
          sampledRequestsEnabled: true,
          metricName: 'WebAclForUserPool',
        },
        rules: [
          {
            name: 'IpV6SetRule',
            priority: 0,
            statement: {
              ipSetReferenceStatement: {
                arn: ipV6Set.attrArn,
              },
            },
            action: { allow: {} },
            visibilityConfig: {
              sampledRequestsEnabled: false,
              cloudWatchMetricsEnabled: false,
              metricName: 'IpV6SetRule',
            },
          },
        ],
      }
    );

    // Cognito User Pool の作成
    const userPool = new aws_cognito.UserPool(this, 'UserPool', {
      selfSignUpEnabled: true,
      signInAliases: { email: true },
      removalPolicy: RemovalPolicy.DESTROY,
    });

    // Web ACL と User Pool の関連付け
    new aws_wafv2.CfnWebACLAssociation(this, 'WebAclUserPoolAssociation', {
      resourceArn: userPool.userPoolArn,
      webAclArn: webAclForUserPool.attrArn,
    });

    // Cognito User Pool Client の作成
    const userPoolClient = userPool.addClient('UserPoolClient', {
      generateSecret: false,
      oAuth: {
        callbackUrls: ['https://dev.classmethod.jp/'],
        logoutUrls: ['https://classmethod.jp/'],
        flows: { authorizationCodeGrant: true },
        scopes: [
          aws_cognito.OAuthScope.EMAIL,
          aws_cognito.OAuthScope.PROFILE,
          aws_cognito.OAuthScope.OPENID,
        ],
      },
    });

    // Cognito User Pool Domain の追加
    const a = userPool.addDomain('UserPoolDomain', {
      cognitoDomain: { domainPrefix: USER_POOL_DOMAIN },
    });

    // Cognito User Pool の ID を出力
    new CfnOutput(this, 'UserPoolId', {
      value: userPool.userPoolId,
    });

    // Cognito User Pool Client の ID を出力
    new CfnOutput(this, 'UserPoolClientId', {
      value: userPoolClient.userPoolClientId,
    });
  }
}

Web ACL はデフォルトでブロックとし、IPv6 の IPSet を使って指定の IP アドレスからのアクセスを許可するようにルールを設定してします。

上記を CDK デプロイしてリソースを作成します。この時、MY_IP_V6_ADDRESS は未指定なので私のネットワーク環境のものではないデフォルト値のアドレスからのアクセスのみ許可されます。

cdk deploy --require-approval never --method=direct

ユーザー作成

User Pool にユーザーを作成します。

aws cognito-idp admin-create-user \
  --user-pool-id ${userPoolId} \
  --username ${mailAddress}

Hosted UI の URI 取得

User Pool Domain と Client ID を使って Hosted UI の URI を取得します。

echo "https://${userPoolDomain}.auth.ap-northeast-1.amazoncognito.com/oauth2/authorize?client_id=${userPoolClientId}&response_type=code&scope=email+openid+profile&redirect_uri=https://dev.classmethod.jp/"

アクセス確認(ブロック)

まず、IP Set で未許可の IP アドレスからアクセスしてみると、403 Forbidden が返されてブロックされました。

マネジメントコンソールから Web ACL の Sampled request を確認すると、私のネットワーク環境の IpV6 アドレスからのリクエストがブロックされていることが分かります。

アクセス確認(許可)

確認した IPv6 アドレスを指定して、再度デプロイを行います。

export MY_IP_V6_ADDRESS=2a09:XXXX:XXXX:XXXX:XXXX:XXXX/128

cdk deploy --require-approval never --method=direct

再デプロイ完了後に改めて Hosted UI にアクセスしてみると、正常にアクセスできました。リクエストが許可されたようです。

Hosted UI でのサインインが成功すると、コールバックアドレスへのリダイレクトも正常に行われました。

マネージドルールを設定するなら

今回は IPSet を使用したルールによるアクセス制限を AWS WAF で実装しましたが、必要に応じてマネージドルールも設定しましょう。

推奨

  • AWSManagedRulesCommonRuleSet(コアルールセット (CRS) マネージドルールグループ)
  • AWSManagedRulesKnownBadInputsRuleSet(既知の不正な入力マネージドルールグループ)
  • AWSManagedRulesAmazonIpReputationList(Amazon IP 評価リストマネージドルールグループ)

匿名アクセス対策を強化したい場合

  • AWSManagedRulesAnonymousIpList(匿名 IP リストマネージドルールグループ)

Lambda トリガーで RDB にアクセスする場合

  • AWSManagedRulesSQLiRuleSet(SQL データベースマネージドルールグループ)

ボット対策を強化したい場合

  • AWSManagedRulesBotControlRuleSet(Bot Control ルールグループ)

Cognito では使えないマネージドルールも一部ある

逆に、下記のマネージドルールは Cognito では使用できません。

  • AWSManagedRulesACFPRuleSet(AWS WAF Fraud Control Account Creation Fraud Prevention (ACFP) ルールグループ)
  • AWSManagedRulesATPRuleSet(アカウント乗っ取り防止 (ATP) のルールグループ)

REST API や ALB 、CloudFront などのリソースに対して使用するものとなります。

おわりに

AWS CDK で Amazon Cognito user pools に AWS WAF Web ACL を関連付けてみました。

認証機能の保護を強化することは、不正アクセスや認証機能自体の可用性を維持するうえで非常に重要です。忘れずに設定しておきましょう。

以上

customer-story-analytics

関連記事

[AWS CDK] ALBとCognitoを使ってOktaをIdPとするSAML認証をしてみた

のんピ

2024.04.26

[アップデート] Amazon Verified Permission の新しいセットアップオプションで、API Gateway + Cognito を対象とした認可ロジックやポリシーストアを簡単に作成出来るようになりました

いわさ

2024.04.07

Amazon Cognito를 AWS CloudFormation 코드로 작성하여 로그인 및 회원 가입 로직 구현

Kim Jaewook

2024.04.06

Cognito にユーザーを追加する際、ユーザー名にメールアドレスが使用できないのはなぜですか

吉本光希

2024.03.19