Prérequis et recommandations

Si vous êtes un nouveau AWS client, répondez aux exigences de configuration répertoriées sur cette page avant de commencer à utiliser AWS AppFabric pour des raisons de sécurité. Pour ces procédures de configuration, vous utilisez le service AWS Identity and Access Management (IAM). Pour des informations complètes sur IAM, consultez le Guide de l'utilisateur IAM.

Inscrivez-vous pour un Compte AWS

Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.

Pour vous inscrire à un Compte AWS

1. Ouvrez https://portal.aws.amazon.com/billing/signup.

2. Suivez les instructions en ligne.

   Dans le cadre de la procédure d‘inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

   Lorsque vous vous inscrivez à un Compte AWS, un Utilisateur racine d'un compte AWSest créé. Par défaut, seul l‘utilisateur racine a accès à l‘ensemble des Services AWS et des ressources de ce compte. La meilleure pratique en matière de sécurité consiste à attribuer un accès administratif à un utilisateur et à n'utiliser que l'utilisateur root pour effectuer les tâches nécessitant un accès utilisateur root.

AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. Vous pouvez afficher l‘activité en cours de votre compte et gérer votre compte à tout moment en accédant à https://aws.amazon.com/ et en choisissant Mon compte.

Création d'un utilisateur doté d'un accès administratif

Une fois que vous vous êtes inscrit à un utilisateur administratif Compte AWS, que vous Utilisateur racine d'un compte AWS l'avez sécurisé AWS IAM Identity Center, que vous l'avez activé et que vous en avez créé un, afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.

Sécurisez votre Utilisateur racine d'un compte AWS

1. Connectez-vous en AWS Management Consoletant que propriétaire du compte en choisissant Utilisateur root et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.

   Pour obtenir de l‘aide pour vous connecter en utilisant l‘utilisateur racine, consultez Connexion en tant qu‘utilisateur racine dans le Guide de l‘utilisateur Connexion à AWS .

2. Activez l‘authentification multifactorielle (MFA) pour votre utilisateur racine.

   Pour obtenir des instructions, consultez la section Activer un périphérique MFA virtuel pour votre utilisateur Compte AWS root (console) dans le guide de l'utilisateur IAM.

Création d'un utilisateur doté d'un accès administratif

1. Activez IAM Identity Center.

   Pour obtenir des instructions, consultez Activation d’ AWS IAM Identity Center dans le Guide de l’utilisateur AWS IAM Identity Center .

2. Dans IAM Identity Center, accordez un accès administratif à un utilisateur.

   Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir Configurer l'accès utilisateur par défaut Répertoire IAM Identity Center dans le Guide de AWS IAM Identity Center l'utilisateur.

Connectez-vous en tant qu'utilisateur disposant d'un accès administratif

• Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l‘URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l‘utilisateur IAM Identity Center.

  Pour obtenir de l'aide pour vous connecter en utilisant un utilisateur d'IAM Identity Center, consultez la section Connexion au portail AWS d'accès dans le guide de l'Connexion à AWS utilisateur.

Attribuer l'accès à des utilisateurs supplémentaires

1. Dans IAM Identity Center, créez un ensemble d'autorisations conforme aux meilleures pratiques en matière d'application des autorisations du moindre privilège.

   Pour obtenir des instructions, voir Création d'un ensemble d'autorisations dans le guide de AWS IAM Identity Center l'utilisateur.

2. Affectez des utilisateurs à un groupe, puis attribuez un accès d'authentification unique au groupe.

   Pour obtenir des instructions, consultez la section Ajouter des groupes dans le guide de AWS IAM Identity Center l'utilisateur.

(Obligatoire) Compléter les prérequis de candidature

AppFabric Pour pouvoir recevoir des informations sur les utilisateurs et des journaux d'audit de la part des applications à des fins de sécurité, de nombreuses applications nécessitent que vous disposiez de rôles et de types de plans spécifiques. Assurez-vous d'avoir examiné les conditions requises pour chaque application que vous souhaitez autoriser AppFabric pour des raisons de sécurité, et que vous disposez des plans et des rôles appropriés. Pour plus d'informations sur les prérequis spécifiques à l'application, consultez la section Applications prises en charge ou choisissez l'une des rubriques spécifiques à l'application suivantes.

• 1Password

• Asana

• Azure Monitor

• Atlassian Confluence

• Atlassian Jira suite

• Box

• Cisco Duo

• Dropbox

• Genesys Cloud

• GitHub

• Google Analytics

• Google Workspace

• HubSpot

• IBM Security® Verify

• JumpCloud

• Microsoft365

• Miro

• Okta

• OneLogin by One Identity

• PagerDuty

• Ping Identity

• Salesforce

• ServiceNow

• Singularity Cloud

• Slack

• Smartsheet

• Terraform Cloud

• Webex by Cisco

• Zendesk

• Zoom

(Facultatif) Créez un emplacement de sortie

AppFabric pour la sécurité, prend en charge Amazon Simple Storage Service (Amazon S3) et Amazon Data Firehose en tant que destinations d'ingestion des journaux d'audit.

Amazon S3

Vous pouvez créer un nouveau compartiment Amazon S3 à l'aide de la AppFabric console lorsque vous créez une destination d'ingestion. Vous pouvez également créer un compartiment à l'aide du service Amazon S3. Si vous choisissez de créer votre compartiment à l'aide du service Amazon S3, vous devez le créer avant de créer la destination d' AppFabric ingestion, puis sélectionner le compartiment lorsque vous créez la destination d'ingestion. Vous pouvez choisir d'utiliser un compartiment Amazon S3 existant dans votre compartiment Compte AWS, à condition qu'il réponde aux exigences suivantes pour les compartiments existants :

• AppFabric pour des raisons de sécurité, votre compartiment Amazon S3 doit se trouver dans le même Région AWS emplacement que vos ressources Amazon S3.

• Vous pouvez chiffrer votre bucket à l'aide de l'une des méthodes suivantes :

  • Chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)

  • Chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS) en utilisant la valeur par défaut (). Clé gérée par AWS aws/s3

Amazon Data Firehose

Vous pouvez choisir d'utiliser Amazon Data Firehose comme destination d'ingestion AppFabric pour les données de sécurité. Pour utiliser Firehose, vous pouvez créer le flux de diffusion Firehose dans votre flux Compte AWS avant de créer une ingestion ou pendant que vous créez une destination d'ingestion dans. AppFabric Vous pouvez créer un flux de diffusion Firehose à l'aide de AWS Management Console, AWS CLI, des AWS API ou des SDK. Pour les instructions de configuration des flux, consultez les rubriques suivantes :

• AWS Management Console instructions — Création d'un flux de diffusion Amazon Data Firehose dans le manuel du développeur Amazon Data Firehose

• AWS CLI instructions — create-delivery-streamdans le manuel de référence des AWS CLI commandes

• AWS Instructions relatives aux API et aux SDK, CreateDeliveryStreamdans le manuel Amazon Data Firehose API Reference

Les exigences relatives à l'utilisation d'Amazon Data Firehose comme destination de sortie AppFabric pour des raisons de sécurité sont les suivantes :

• Vous devez créer le flux de la même manière Région AWS que vos ressources AppFabric de sécurité.

• Vous devez sélectionner Direct PUT comme source.

• Associez une politique AmazonKinesisFirehoseFullAccess AWS gérée à votre utilisateur ou associez les autorisations suivantes à votre utilisateur :

  {
      "Sid": "TagFirehoseDeliveryStream",
      "Effect": "Allow",
      "Action": ["firehose:TagDeliveryStream"],
      "Condition": {
          "ForAllValues:StringEquals": {"aws:TagKeys": "AWSAppFabricManaged"}
      },
      "Resource": "arn:aws:firehose:*:*:deliverystream/*"
  }

Firehose prend en charge l'intégration avec divers outils de sécurité tiers, tels que Splunk et. Logz.io Pour savoir comment configurer correctement Amazon Kinesis afin qu'il génère des données vers ces outils, consultez les paramètres de destination dans le manuel Amazon Data Firehose Developer Guide.

(Facultatif) Créez une AWS KMS clé

Lors de la création d'un ensemble AppFabric d'applications de sécurité, vous devez sélectionner ou configurer une clé de chiffrement pour protéger vos données de manière sécurisée contre toutes les applications autorisées. Cette clé sera utilisée pour chiffrer vos données au sein du AppFabric service.

AppFabric pour des raisons de sécurité, chiffre les données par défaut. AppFabric pour des raisons de sécurité, vous pouvez utiliser une clé Clé détenue par AWS créée et gérée par en AppFabric votre nom ou une clé gérée par le client que vous créez et gérez dans AWS Key Management Service (AWS KMS). Clés détenues par AWS sont un ensemble de AWS KMS clés qu'un utilisateur Service AWS possède et gère pour une utilisation multiple Comptes AWS. Les clés gérées par le client sont des AWS KMS clés Compte AWS que vous créez, détenez et gérez. Pour plus d'informations sur Clés détenues par AWS les clés gérées par le client, consultez la section Clés et AWS clés client dans le guide du AWS Key Management Service développeur.

Si vous souhaitez utiliser une clé gérée par le client pour chiffrer vos données, telles que des jetons d'autorisation, AppFabric pour des raisons de sécurité, vous pouvez en créer une avec AWS KMS. Pour plus d'informations sur la politique d'autorisation qui accorde l'accès à votre clé d'accès gérée par le client AWS KMS, consultez la section Politique relative aux clés de ce guide.