Inscreva-se para um Conta da AWS Criar um usuário com acesso administrativo (Obrigatório) Concluir os pré-requisitos do aplicativo (Opcional) Crie um local de saída (Opcional) Crie um AWS KMS chave

Pré-requisitos e recomendações para usar AWS AppFabric

Se você é um novo AWS cliente, preencha os pré-requisitos de configuração listados nesta página antes de começar a usar AWS AppFabric para segurança. Para esses procedimentos de configuração, você usa o AWS Identity and Access Management (IAM) serviço. Para obter informações completas sobreIAM, consulte o Guia IAM do usuário.

Tópicos

Inscreva-se para um Conta da AWS
Criar um usuário com acesso administrativo
(Obrigatório) Concluir os pré-requisitos do aplicativo
(Opcional) Crie um local de saída
(Opcional) Crie um AWS KMS chave

Se você não tiver um Conta da AWS, conclua as etapas a seguir para criar uma.

Para se inscrever em um Conta da AWS

Abra a https://portal.aws.amazon.com/billing/inscrição.
Siga as instruções online.

Parte do procedimento de inscrição envolve receber uma chamada telefônica e inserir um código de verificação no teclado do telefone.

Quando você se inscreve em um Conta da AWS, um Usuário raiz da conta da AWSé criado. O usuário root tem acesso a todos Serviços da AWS e recursos na conta. Como prática recomendada de segurança, atribua o acesso administrativo a um usuário e use somente o usuário-raiz para executar tarefas que exigem acesso de usuário-raiz.

AWS envia um e-mail de confirmação após a conclusão do processo de inscrição. A qualquer momento, você pode visualizar a atividade atual da sua conta e gerenciar sua conta acessando https://aws.amazon.com/e escolhendo Minha conta.

Criar um usuário com acesso administrativo

Depois de se inscrever em um Conta da AWS, proteja seu Usuário raiz da conta da AWS, habilitar AWS IAM Identity Center e crie um usuário administrativo para que você não use o usuário root nas tarefas diárias.

Proteja seu Usuário raiz da conta da AWS

Faça login no AWS Management Consolecomo proprietário da conta, escolhendo o usuário root e inserindo seu Conta da AWS endereço de e-mail. Na próxima página, insira sua senha.

Para obter ajuda para fazer login usando o usuário root, consulte Como fazer login como usuário root no Início de Sessão da AWS Guia do usuário.
Ative a autenticação multifator (MFA) para seu usuário root.

Para obter instruções, consulte Habilitar um MFA dispositivo virtual para seu Conta da AWS usuário root (console) no Guia do IAM usuário.

Criar um usuário com acesso administrativo

Ative o IAM Identity Center.

Para obter instruções, consulte Habilitando AWS IAM Identity Center no AWS IAM Identity Center Guia do usuário.
No IAM Identity Center, conceda acesso administrativo a um usuário.

Para um tutorial sobre como usar o Diretório do Centro de Identidade do IAM como sua fonte de identidade, consulte Configurar o acesso do usuário com o padrão Diretório do Centro de Identidade do IAM no AWS IAM Identity Center Guia do usuário.

Iniciar sessão como o usuário com acesso administrativo

Para entrar com seu usuário do IAM Identity Center, use o login URL que foi enviado ao seu endereço de e-mail quando você criou o usuário do IAM Identity Center.

Para obter ajuda para fazer login usando um usuário do IAM Identity Center, consulte Como fazer login no AWS portal de acesso no Início de Sessão da AWS Guia do usuário.

Atribuir acesso a usuários adicionais

No IAM Identity Center, crie um conjunto de permissões que siga as melhores práticas de aplicação de permissões com privilégios mínimos.

Para obter instruções, consulte Criar um conjunto de permissões no AWS IAM Identity Center Guia do usuário.
Atribua usuários a um grupo e, em seguida, atribua o acesso de autenticação única ao grupo.

Para obter instruções, consulte Adicionar grupos no AWS IAM Identity Center Guia do usuário.

(Obrigatório) Concluir os pré-requisitos do aplicativo

AppFabric Para usar como segurança o recebimento de informações do usuário e registros de auditoria dos aplicativos, muitos aplicativos exigem que você tenha tipos específicos de funções e planos. Verifique se você revisou os pré-requisitos de segurança de cada aplicativo que deseja autorizar e se tem os planos e funções adequados. AppFabric Para obter mais informações sobre os pré-requisitos específicos do aplicativo, consulte Aplicativos compatíveis ou escolha um dos seguintes tópicos específicos do aplicativo.

(Opcional) Crie um local de saída

AppFabric para fins de segurança, oferece suporte ao Amazon Simple Storage Service (Amazon S3) e ao Amazon Data Firehose como destinos de ingestão de registros de auditoria.

Amazon S3

Você pode criar um novo bucket do Amazon S3 usando o AppFabric console ao criar um destino de ingestão. Você também pode criar um bucket usando o serviço do Amazon S3. Se você optar por criar seu bucket usando o serviço Amazon S3, deverá criar o bucket antes de criar o destino de AppFabric ingestão e, em seguida, selecionar o bucket ao criar o destino de ingestão. Você pode optar por usar um bucket Amazon S3 existente em seu Conta da AWS, desde que atenda aos seguintes requisitos para os buckets existentes:

AppFabric para fins de segurança, requer que seu bucket do Amazon S3 esteja no mesmo Região da AWS como seus recursos do Amazon S3.
Você pode criptografar seu bucket usando uma das seguintes opções:
- Criptografia do lado do servidor com chaves gerenciadas do Amazon S3 (-S3) SSE
- Criptografia do lado do servidor com AWS Key Management Service (AWS KMS) teclas (SSE-KMS) usando o padrão Chave gerenciada pela AWS (aws/s3).

Amazon Data Firehose

Você pode optar por usar o Amazon Data Firehose como seu destino de ingestão AppFabric para dados de segurança. Para usar o Firehose, você pode criar o stream de entrega do Firehose no seu Conta da AWS antes de criar uma ingestão ou enquanto você cria um destino de ingestão em. AppFabric Você pode criar um stream de entrega do Firehose usando o AWS Management Console, AWS CLI, ou o AWS APIsouSDKs. Para obter instruções de configuração de stream, consulte os tópicos a seguir:

AWS Management Console instruções — Criação de um stream de entrega do Amazon Data Firehose no Guia do desenvolvedor do Amazon Data Firehose
AWS CLI instruções — create-delivery-stream no AWS CLI Referência de comando
AWS APIse SDKs instruções — CreateDeliveryStreamna referência do Amazon Data Firehose API

Os requisitos ao usar o Amazon Data Firehose como destino de saída AppFabric de segurança são os seguintes:

Você deve criar o stream no mesmo Região da AWS como seu AppFabric para recursos de segurança.
Você deve selecionar Direto PUT como fonte.

Anexar AmazonKinesisFirehoseFullAccess AWS política gerenciada para seu usuário ou anexe as seguintes permissões ao seu usuário:


{
    "Sid": "TagFirehoseDeliveryStream",
    "Effect": "Allow",
    "Action": ["firehose:TagDeliveryStream"],
    "Condition": {
        "ForAllValues:StringEquals": {"aws:TagKeys": "AWSAppFabricManaged"}
    },
    "Resource": "arn:aws:firehose:*:*:deliverystream/*"
}

O Firehose suporta a integração com uma variedade de ferramentas de segurança de terceiros, como Splunk e Logz.io. Para obter informações sobre como configurar adequadamente o Amazon Kinesis para que ele envie dados para essas ferramentas, consulte Configurações de destino no Guia do desenvolvedor do Amazon Data Firehose.

(Opcional) Crie um AWS KMS chave

No processo de criação de um pacote AppFabric de aplicativos de segurança, você selecionará ou configurará uma chave de criptografia para proteger com segurança seus dados de todos os aplicativos autorizados. Essa chave será usada para criptografar seus dados no AppFabric serviço.

AppFabric por segurança, criptografa os dados por padrão. AppFabric para segurança pode usar um Chave pertencente à AWS criada e gerenciada AppFabric em seu nome ou por uma chave gerenciada pelo cliente que você cria e gerencia no AWS Key Management Service (AWS KMS). Chaves pertencentes à AWS são uma coleção de AWS KMS chaves que um AWS service (Serviço da AWS) possui e gerencia para uso em vários Contas da AWS. As chaves gerenciadas pelo cliente são AWS KMS chaves em seu Conta da AWS que você cria, possui e gerencia. Para obter mais informações sobre Chaves pertencentes à AWS e chaves gerenciadas pelo cliente, consulte Chaves do cliente e AWS chaves no AWS Key Management Service Guia do desenvolvedor.

Se você quiser usar uma chave gerenciada pelo cliente para criptografar seus dados, como tokens de autorização, AppFabric por segurança, você pode criar uma com AWS KMS. Para obter mais informações sobre a política de permissões que concede acesso à sua chave gerenciada pelo cliente em AWS KMS, consulte a seção Política principal deste guia.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

OCSFesquema

Conceitos básicos