使用的先決條件和建議 AWS AppFabric - AWS AppFabric
註冊一個 AWS 帳戶建立具有管理存取權的使用者(必填) 完整的申請先決條件(選擇性) 建立輸出位置(選擇性) 建立 AWS KMS 金錀

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用的先決條件和建議 AWS AppFabric

如果您是新手 AWS 客戶,請先完成此頁面上列出的設定先決條件,然後再開始使用 AWS AppFabric 為了安全起見。對於這些安裝程序,您可以使用 AWS Identity and Access Management (IAM) 服務。如需有關的完整資訊IAM,請參閱《IAM使用者指南》

註冊一個 AWS 帳戶

如果您沒有 AWS 帳戶,請完成下列步驟來建立一個步驟。

若要註冊成為 AWS 帳戶

  1. 打開https://portal.aws.amazon.com/billing/註冊

  2. 請遵循線上指示進行。

    部分註冊程序需接收來電,並在電話鍵盤輸入驗證碼。

    當您註冊一個 AWS 帳戶,一個 AWS 帳戶根使用者已建立。根使用者可以存取所有 AWS 服務 和帳戶中的資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務

AWS 註冊過程完成後,會向您發送確認電子郵件。您可以隨時前往 https://aws.amazon.com/並選擇「我的帳戶」,檢視目前的帳戶活動並管理您的帳戶

建立具有管理存取權的使用者

在您註冊一個 AWS 帳戶,保護您的 AWS 帳戶根使用者,啟用 AWS IAM Identity Center,並建立系統管理使用者,這樣您就不會將 root 使用者用於日常工作。

保護您的 AWS 帳戶根使用者

  1. 登入 AWS Management Console通過選擇 Root 用戶並輸入您的帳戶所有者 AWS 帳戶 電子郵件地址。在下一頁中,輸入您的密碼。

    如需使用 root 使用者登入的說明,請參閱以 root 使用者身分登AWS 登入 使用者指南

  2. 為您的 root 使用者開啟多因素驗證 (MFA)。

    如需指示,請參閱為您的MFA裝置啟用虛擬裝置 AWS 帳戶 使用者指南中的 root IAM 使用者 (主控台)。

建立具有管理存取權的使用者

  1. 啟用IAM身分識別中心。

    如需指示,請參閱啟用 AWS IAM Identity Center 中的 AWS IAM Identity Center 使用者指南

  2. 在IAM身分識別中心中,將管理存取權授與使用者。

    若要取得有關使用 IAM Identity Center 目錄 做為您的身分識別來源,請參閱以預設值設定使用者存取 IAM Identity Center 目錄 中的 AWS IAM Identity Center 使用者指南

以具有管理存取權的使用者身分登入

  • 若要使用您的 IAM Identity Center 使用者登入URL,請使用建立IAM身分識別中心使用者時傳送至您電子郵件地址的登入資訊。

    如需使用IAM身分識別中心使用者登入的說明,請參閱登入 AWS 存取入口網站 AWS 登入 使用者指南

指派存取權給其他使用者

  1. 在 IAM Identity Center 中,建立遵循套用最低權限權限的最佳作法的權限集。

    如需指示,請參閱 AWS IAM Identity Center 使用者指南

  2. 將使用者指派至群組,然後對該群組指派單一登入存取權。

    如需指示,請參閱新增群組 AWS IAM Identity Center 使用者指南

(必填) 完整的申請先決條件

若要使 AppFabric 用安全性來接收應用程式的使用者資訊和稽核記錄,許多應用程式都需要您具有特定的角色和計劃類型。請確定您已針對您要授權安全性的每個應用程式複查先決條件,且您擁有適當的計劃與角色。 AppFabric 如需應用程式特定先決條件的相關資訊,請參閱支援的應用程式,或選擇下列其中一個應用程式特定主題。

(選擇性) 建立輸出位置

AppFabric 對於安全性,支持 Amazon Simple Storage Service (Amazon S3) 和 Amazon 數據 Firehose 作為審計日誌導入目的地。

Amazon S3

您可以在建立擷取目的地時,使用主 AppFabric 控台建立新的 Amazon S3 儲存貯體。您也可以使用 Amazon S3 服務建立儲存貯體。如果您選擇使用 Amazon S3 服務建立儲存貯體,則必須在建立 AppFabric 擷取目的地之前建立儲存貯體,然後在建立擷取目標時選取儲存貯體。您可以選擇在您的儲存貯體中使用現有的 Amazon S3 儲存貯體 AWS 帳戶,只要符合現有值區的下列需求:

  • AppFabric 為了安全起見,您的 Amazon S3 存儲桶要在相同的位置 AWS 區域 作為您的 Amazon S3 資源。

  • 您可以使用下列其中一種方式加密儲存貯體:

    • 使用 Amazon S3 受管金鑰 (SSE-S3) 進行伺服器端加密

    • 伺服器端加密 AWS Key Management Service (AWS KMS) 鍵 (SSE-KMS) 使用預設值 AWS 受管金鑰 (aws/s3).

Amazon 數據 Firehose

您可以選擇使用 Amazon 資料 Firehose 做為安全資料的擷取目 AppFabric 的地。若要使用 Firehose,您可以在您的 AWS 帳戶 在建立擷取之前,或在中建立擷取目的地時。 AppFabric您 Firehose 使用 AWS Management Console, AWS CLI,或 AWS APIs或SDKs。如需串流設定指示,請參閱下列主題:

使用 Amazon 資料 Firehose 做為安全輸出目的地的要求如下: AppFabric

  • 您必須以相同的方式創建流 AWS 區域 作為您 AppFabric 的安全資源。

  • 您必須選取「直接」PUT 作為來源。

  • 貼附 AmazonKinesisFirehoseFullAccess AWS 託管策略給您的用戶,或將以下權限附加到您的用戶:

    {
    "Sid": "TagFirehoseDeliveryStream",
    "Effect": "Allow",
    "Action": ["firehose:TagDeliveryStream"],
    "Condition": {
        "ForAllValues:StringEquals": {"aws:TagKeys": "AWSAppFabricManaged"}
    },
    "Resource": "arn:aws:firehose:*:*:deliverystream/*"
}

Firehose 支援與各種第三方安全性工具整合,例如 Splunk 以及 Logz.io。 如需如何正確設定 Amazon Kinesis 以便將資料輸出到這些工具的詳細資訊,請參閱 Amazon 資料 Firehose 開發人員指南中的目的地設定

(選擇性) 建立 AWS KMS 金錀

在建立 For Security 應用程式 AppFabric 套件組合的過程中,您將選取或設定加密金鑰,以安全地保護您的資料不受所有授權應用程式的攻擊。此金鑰將用於加密您在 AppFabric 服務中的資料。

AppFabric 為了安全默認加密數據。 AppFabric 為了安全起見,可以使用 AWS 擁有的金鑰 由您代表或您 AppFabric 在其中建立和管理的客戶管理金鑰建立和管理 AWS Key Management Service (AWS KMS). AWS 擁有的金鑰 是一個集合 AWS KMS 一個鑰匙 AWS 服務 擁有和管理多個使用 AWS 帳戶。 客戶管理的金鑰是 AWS KMS 鑰匙, 在, 你 AWS 帳戶 您創建,擁有和管理。如需關於 AWS 擁有的金鑰 和客戶管理的金鑰,請參閱客戶金鑰和 AWS 按鍵AWS Key Management Service 開發人員指南

為了安全起見,如果您想使用客戶託管密鑰來加密數據(例如授權令牌),則可以使用 AppFabric AWS KMS。 如需有關授與客戶管理金鑰存取權的權限原則的詳細資訊,請參閱 AWS KMS,請參閱本指南的「金鑰政策」一節。