AWS AppFabric for security の使用を開始する - AWS AppFabric

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS AppFabric for security の使用を開始する

AWS AppFabric for security の使用を開始するには、先にアプリバンドルを作成してから、アプリケーションを認証しアプリバンドルに接続する必要があります。アプリ認証がアプリケーションに接続されると、監査ログの取り込みやユーザーアクセスなどの AppFabric for security の機能を使用できるようになります。

このセクションでは、AWS Management Console で AppFabric の使用を開始する方法について説明します。

前提条件

開始前に、AWS アカウント と管理者ユーザーを作成する必要があります。詳細については、AWS アカウントへのサインアップ および 管理ユーザーの作成 を参照してください。

ステップ 1: アプリケーションバンドルを作成する

アプリバンドルには、AppFabric for security アプリの承認と取り込みがすべて保存されます。アプリバンドルを作成するには、認証されたアプリケーションデータを安全に保護するための暗号化キーを設定します。

  1. https://console.aws.amazon.com/appfabric/ にある AppFabric コンソールを開きます。

  2. ページの右上隅にある [リージョンの選択] セレクターで AWS リージョン を選択します。AppFabric は米国東部 (バージニア北部)、欧州 (アイルランド)、およびアジアパシフィック (東京) の各リージョンでのみご利用いただけます。

  3. [Getting started (開始方法)] を選択します。

  4. 開始方法」ページのステップ 1 を行います。「アプリバンドルの作成」で [アプリバンドルの作成] を選択します。

  5. 暗号化」セクションで、認証されたすべてのアプリケーションからのデータを安全に保護するための暗号化キーを設定します。このキーは、AppFabric for security サービス内の、データの暗号化に使用されます。

    AppFabric for security はデフォルトでデータを暗号化します。AppFabric は、ユーザーに代わって AppFabricが作成および管理する AWS 所有のキー を使用することも、ユーザーがAWS Key Management Service (AWS KMS) で作成して管理するカスタマーマネージドキーを使用することもできます。

  6. AWS KMSキー」には、「使用 AWS 所有のキー」または「カスタマーマネージドキー」を選択します。

    カスタマーマネージドキーを選んで使用する場合は、Amazon リソースネーム (ARN) または使用したい既存のキーのキー ID のいずれかを入力するか、あるいは [ AWS KMS キーの作成] を選択します。

    AWS 所有のキー またはカスタマーマネージドキーを選択するときは、次の点を考慮してください。

    • AWS 所有のキー は、複数の AWS アカウント で使用するために AWS のサービス が所有し管理する AWS Key Management Service (AWS KMS) キーのコレクションです。AWS 所有のキー は AWS アカウント にはありませんが、AWS のサービス は AWS 所有のキー を使用してアカウント内のリソースを保護することができます。AWS 所有のキー はアカウントの AWS KMS クォータにカウントされません。キーまたはそのキーポリシーを作成または管理する必要はありません。AWS 所有のキー のローテーションは、サービスによって異なります。AppFabric の AWS 所有のキー ローテーションの詳細については、「保管データ暗号化」を参照してください。

    • カスタマーマネージドキーは AWS アカウント内の KMS キーで、ユーザーが作成、所有、および管理します。ユーザーは、この AWS KMS キーに関する完全なコントロール権を持ちます。キーポリシー、AWS Identity and Access Management (IAM) ポリシー、グラントを確立し維持することができます。これらの有効化および無効化、暗号化マテリアルのローテーション、タグの追加、AWS KMSキーを参照するエイリアスの作成、削除するAWS KMSキーのスケジューリングを行うことができます。カスタマーマネージドキーは、AWS KMS の AWS Management Console のカスタマーマネージドキーページに表示されます。

      カスタマーマネージドキーを明確に識別するには、DescribeKey オペレーションを使用します。カスタマーマネージドキーでは、DescribeKey レスポンスの KeyManager フィールドの値は CUSTOMER です。暗号化オペレーションでカスタマーマネージドキーを使用し、AWS CloudTrail ログでその使用を監査できます。AWS KMS と統合されている多数の AWS のサービス を使用すると、カスタマーマネージドキーを指定して保存および管理するデータを保護できます。カスタマーマネージドキーの使用には、月額料金と、AWS無料利用枠を超えた使用に対する料金がかかります。カスタマーマネージドキーは、アカウントのAWS KMSクォータにカウントされます。

    AWS 所有のキー およびカスタマーマネージドキーの詳細については、「AWS Key Management Service 開発者ガイド」の「カスタマーキーと AWS キー」を参照してください。

    注記

    アプリバンドルが作成されると、AppFabric for security は AWS アカウント にAppFabric サービスにリンクされたロール (SLR) と呼ばれる特別な IAM ロールも作成します。これにより、サービスは Amazon CloudWatch にメトリクスを送信することができます。監査ログの送信先を入力すると、SLR によって AppFabric for security サービスは AWS のリソース (Amazon S3 バケット、Amazon Kinesis Data Firehose 配信ストリーム) にアクセスできるようになります。詳細については、「 AppFabric のサービスにリンクされたロールの使用」を参照してください。

  7. (オプション) [タグ] で、アプリバンドルにタグを追加することができます。タグは、作成したリソースにメタデータを割り当てるキーと値のペアです。詳細については、「AWS タグエディターユーザーガイド」の「AWSリソースにタグを付ける」を参照してください。

  8. アプリバンドルを作成するには、「アプリバンドルの作成」を選択します。

ステップ 2: アプリケーションを認証する

アプリバンドルが正常に作成されたら、AppFabric for security に各アプリケーションへの接続と操作を許可できるようになります。認証されたアプリケーションは暗号化され、アプリバンドルに保存されます。アプリバンドルごとに複数のアプリ認証を設定するには、アプリケーションごとに必要に応じてアプリ認証手順を繰り返します。

アプリケーションを認証する手順を開始する前に、サポートされているアプリケーションで各アプリケーションの前提条件(必要なプランタイプなど)をよく確認してください。

  1. 開始方法ページのステップ 2 を行います。アプリケーションの認証で、[アプリ認証の作成] を選択します。

  2. [アプリ認証] セクションで、AppFabric for security に接続する許可を付与するアプリケーションを [アプリケーション] ドロップダウンから選択します。表示されるアプリケーションは、現在 AppFabric for security でサポートされているものです。

  3. アプリケーションを選択すると、必須の情報フィールドが表示されます。これらのフィールドには、テナント ID とテナント名のほか、クライアント ID、クライアントシークレット、または個人アクセストークンが含まれる場合があります。これらのフィールドの入力値はアプリケーションによって異なります。これらの値の検索方法に関するアプリケーション別の詳細な手順については、「サポートされているアプリケーション」を参照してください。

  4. (オプション) [タグ] で、アプリ認証にタグを追加することができます。タグは、作成したリソースにメタデータを割り当てるキーと値のペアです。詳細については、「AWS タグエディターユーザーガイド」の「AWSリソースにタグを付ける」を参照してください。

  5. [アプリ認証の作成] を選択します。

  6. ポップアップウィンドウが表示されたら (接続中のアプリケーションによる)、[許可] を選択して AppFabric for security のアプリケーションへの接続を許可します。

    アプリ認証が成功すると、「開始方法」ページに「アプリ認証が接続されました」という成功メッセージが表示されます。

  7. アプリ認証のステータスは、ナビゲーションペインに表示される「アプリ認証」ページの [各アプリケーションのステータス] でいつでも確認できます。[接続済み] ステータスは、アプリケーションに接続するためのアプリ認証が AppFabric for security に付与され、完了したことを意味します。

  8. 関連するエラーを修正するために実行できるトラブルシューティング手順を含め、考えられるアプリ認証ステータスを以下の表に示します。

    ステータス名 ステータス情報 トラブルシューティングのステップ

    [保留中]

    [保留中] というステータスは、アプリケーションのアプリ認証は作成されているが、AppFabric for security がまだアプリケーションに接続されていないことを意味します。

    このステータスが表示されたら、「アプリ認証」ページの [アクション] ドロップダウンで [接続] を選択して接続を開始します。このエラーが解決されない場合は、ブラウザのポップアップブロッカーが無効になっていないか確認してください。ポップアップウィンドウに「400 不良なリクエスト」などのエラーメッセージが表示される場合は、テナント ID、クライアント ID、クライアントシークレットなどのすべての情報が正しく入力されていることを確認してください。また、アプリケーションのアプリ認証が正しく作成されていない可能性もあります。詳細については、「サポートされるアプリケーション」を参照してください。

    接続が検証できませんでした

    「接続が検証できませんでした」のステータスは、AppFabric for security がアプリ認証とアプリケーションとの接続を検証できないことを意味します。

    テナント ID、クライアント ID、クライアントシークレットなどのすべての情報がアプリ認証用に正しく入力されていることを確認してください。

    トークンの自動ローテーションに失敗しました

    「トークンの自動ローテーションに失敗しました」のステータスは、アプリ認証が正常に接続された後に OAuth 更新トークンが失敗したことを意味します。

    このエラーが解決されない場合は、アプリケーションの認証アプリを確認してください。詳細については、「サポートされるアプリケーション」を参照してください。

  9. 他のアプリケーションを認証するには、必要に応じてステップ 1 ~ 8 を繰り返します。

ステップ 3: 監査ログの取り込みの設定

アプリバンドルで少なくとも 1 つのアプリ認証を作成したら、監査ログの取り込みを設定できるようになります。監査ログの取り込みにより、認証アプリからの監査ログが消費され、オープンサイバーセキュリティスキーマフレームワーク (OCSF) に標準化されます。次に、それらは AWS 内の1つまたは複数の転送先に配信されます。Raw JSON ファイルを転送先に配信することもできます。

  1. 開始方法」ページのステップ 3 を行います。「監査ログ取り込みの設定」セクションで、[取り込みの Quick Setup] を選択します。

    注記

    セットアップを迅速に行うには、「開始方法」ページからのみアクセスできる 「取り込みの Quick Setup」ページを使用して、同じ転送先に対する複数のアプリ認証の取り込みを一度に作成します。たとえば、同じ Amazon S3 バケットまたは Amazon Kinesis Data Firehose データストリームなどです。

    ナビゲーションペインからアクセスできる「取り込み」ページから取り込みを作成することもできます。「取り込み」ページでは、異なる転送先への取り込みを一度に 1 つずつ設定できます。「取り込み」ページでは、取り込みのタグを作成することもできます。以下の説明は、「取り込み Quick Setup」ページ用です。

  2. アプリ認証の選択」で、監査ログの取り込みを作成したいアプリ認証を選択します。[アプリ認証] ドロップダウンに表示されるテナント名は、以前に AppFabric for security でアプリ認証を作成したアプリケーションのテナント名です。

  3. 転送先の追加」では、選択したアプリケーションの監査ログの取り込み先を選択します。転送先オプションには、[Amazon S3 - 既存のバケット]、[Amazon S3 - 新しいバケット]、または [Amazon Kinesis Data Firehose] が含まれます。複数のテナント名を選択した場合、選択した転送先がアプリケーション認証の取り込みのたびに適用されます。

  4. 転送先を選択すると、追加の必須フィールドが表示されます。

    1. [Amazon S3 — 新規バケット] を転送先として選択した場合は、作成したい S3 バケットの名前を入力する必要があります。Amazon S3 バケットの作成に関する詳しい手順については、「出力先の作成」を参照してください。

    2. [Amazon S3 — 既存のバケット] を送信先として選択した場合は、使用したい Amazon S3 バケットの名前を選択します。

    3. [Amazon Kinesis Data Firehose] を転送先として選択した場合は、Firehose 配信ストリーム名のドロップダウンリストから配信ストリームの名前を選択します。Amazon Kinesis Data Firehose 配信ストリームを作成する方法の詳細については、「出力先の作成」を参照してください。その際、AppFabric for security に必要なアクセス許可ポリシーに留意してください。

  5. スキーマと形式については、監査ログの保存に、[Raw - JSON]、[OCSF - JSON]、[OCSF - Amazon S3 バケットの Parquet ]、あるいは [Raw - JSON または OCSF - Kinesis Data Firehose の JSON] を選択できます。 

    Raw データ形式では、監査ログデータがデータ文字列から JSON に変換されます。OCSF データ形式は、監査ログデータを AppFabric for security のオープンサイバーセキュリティスキーマフレームワーク (OCSF) スキーマに正規化します。AppFabric がOCSF を使用する方法については、「オープンサイバーセキュリティスキーマフレームワーク」を参照してください。一度に取り込むことができるスキーマと形式のデータタイプは 1 つだけです。スキーマと形式のデータタイプを追加する場合は、取り込み作成プロセスを繰り返すことで追加の取り込み先を設定できます。

  6. (オプション) 取り込みにタグを追加する場合は、ナビゲーションペインの「取り込み」 ページに移動します。「取り込みの詳細」ページに移動するには、テナント名を選択します。[タグ] で、取り込みにタグを追加することができます。タグは、作成したリソースにメタデータを割り当てるキーと値のペアです。詳細については、「AWS タグエディターユーザーガイド」の「AWSリソースにタグを付ける」を参照してください。

  7. [取り込みの設定] を選択します。

    取り込みの設定が正常に完了すると、「開始方法」ページに「取り込みが作成されました」という成功メッセージが表示されます。

  8. また、ナビゲーションペインの「取り込み」ページで、取り込みの状態と取り込み先のステータスをいつでも確認できます。このページでは、アプリ認証の作成時に作成されたテナント名、転送先、および取り込みの状態を確認することができます。取り込みの状態が [有効] の場合は、取り込みが有効になっていることを意味します。このページでアプリ認証のテナント名を選択すると、転送先の詳細やステータスなど、そのアプリ認証の詳細ページが表示されます。取り込み先のステータスが [有効] の場合は、その取り込み先が適切に設定され、有効になっていることを意味します。アプリ認証のステータスが [接続済み] で、取り込み先のステータスが [有効] の場合は、監査ログは処理および配信されているはずです。アプリ認証ステータスまたは取り込み先ステータスがいずれかの「失敗」状態である場合、取り込みステータスが有効になっていても監査ログは処理も配信もされません。アプリ認証の失敗を修正するには、ステップ 2 を参照してください。アプリケーションを認証する

  9. エラーステータスを修正するために実行できるトラブルシューティング手順を含め、考えられる取り込み先と取り込み先ステータスを以下の表に示します。

    状態またはステータス名 説明 トラブルシューティングのステップ

    [Disabled] (無効)

    取り込みが [無効] の状態になっている場合、取り込みは無効になっています。

    取り込みを有効にするには、「取り込み」ページの [アクション] ドロップダウンから [有効にする] を選択します。

    [失敗]

    取り込み先が [失敗] の状態になっている場合、取り込み先が監査ログを受け付けていないことを意味します。たとえば、保存場所がいっぱいのためにこの状態になることがあります。

    これらの問題を解決するには、Amazon S3 または Kinesis Data Firehose コンソールにアクセスしてください。

ステップ 4: ユーザーアクセスツールを使用する

AppFabric for security ユーザーアクセスツールを使用すると、セキュリティチームと IT 管理者チームは、従業員の会社のメールアドレスを使った簡単な検索を実行することで特定のアプリケーションへのアクセス権を持つ人をすばやく確認することができます。このアプローチは、ユーザーのプロビジョニング解除など、SaaS アプリケーション全体にわたるユーザーアクセスを手動で確認または監査する必要があるタスクに費やす時間を削減するのに役立ちます。ユーザーが特定できたら、AppFabric for security はアプリケーション内のユーザー名と、アプリケーションが提供している場合はアプリ内ユーザーステータス (有効など) を表示します。AppFabric for security はアプリバンドル内のすべての認証済みアプリケーションを検索して、ユーザーがアクセスできるアプリケーションのリストを返します。

  1. 開始方法ページのステップ 4 を行います。ユーザーアクセスツールを使用して、[ユーザーの検索] を選択します。

  2. [メールアドレス] フィールドに、ユーザーのメールアドレスを入力し、[検索] を選択します。

  3. 検索結果」セクションには、ユーザーがアクセスできるすべての認証済みアプリケーションのリストが表示されます。アプリケーション内のユーザー名とステータス (可能な場合) を表示するには、検索結果を選択します。

  4. 検索結果列に「ユーザーが見つかりました」というメッセージが表示されている場合は、そのユーザーはリストに表示されているアプリにアクセスできることを意味します。考えられる検索結果、エラー、およびエラーに対処するために実行できるアクションを以下の表で示します。

    検索結果 説明

    ユーザーが見つかりません

    使用されたメールアドレスを持つユーザーが見つかりません。

    認証トークンが見つかりません。アプリケーションのアプリ認証に接続します。

    テナント ID、クライアント ID、クライアントシークレットなどのすべての情報がアプリ認証用に正しく入力されていることを確認してください。

    認証トークンは取り消されました。アプリケーションのアプリ認証に接続します。

    テナント ID、クライアント ID、クライアントシークレットなどのすべての情報がアプリ認証用に正しく入力されていることを確認してください。

    認証トークンをローテーションできませんでした。アプリケーションのアプリ認証に接続します。

    アプリ認証が正常に接続された後、OAuth 更新トークンは失敗しました。このエラーが解決されない場合は、アプリケーションの認証アプリを確認してください。詳細については、「サポートされるアプリケーション」を参照してください。

    必要な許可が見つかりません。アプリケーションのアプリ認証に接続します。

    テナント ID、クライアント ID、クライアントシークレットなどのすべての情報がアプリ認証用に正しく入力されていることを確認してください。

    アプリ認証が無効です。

    テナント ID、クライアント ID、クライアントシークレットなどのすべての情報がアプリ認証用に正しく入力されていることを確認してください。

    アクセス許可が不十分なため、アプリケーション API を呼び出すことができませんでした。

    テナント ID、クライアント ID、クライアントシークレットなどのすべての情報がアプリ認証用に正しく入力されていることを確認してください。

    アプリケーションリクエスト制限を超えました。

    これはアプリケーションから受け取ったエラーメッセージです。後でもう一度メールアドレスを検索してください。

    アプリケーションに内部サーバーエラーが発生しました

    これはアプリケーションから受け取ったエラーメッセージです。後でもう一度メールアドレスを検索してください。

    アプリケーションに不正なゲートウェイエラーが発生しました

    これはアプリケーションから受け取ったエラーメッセージです。後でもう一度メールアドレスを検索してください。

    アプリケーションはリクエストを処理する準備ができていません

    これはアプリケーションから受け取ったエラーメッセージです。後でもう一度メールアドレスを検索してください。

    アプリケーションに不正なリクエストエラーが発生しました。

    これはアプリケーションから受け取ったエラーメッセージです。後でもう一度メールを検索してください。

    アプリケーションでサービス使用不可エラーが発生しました。

    これはアプリケーションから受け取ったエラーメッセージです。後でもう一度メールを検索してください。

ステップ 5: セキュリティツールやその他の転送先にある AppFabric for security データに接続する

AppFabric の正規化された (または未加工の) アプリケーションデータは、Logz.io、Barracuda XDR、Netskope、NetWitness、Rapid7、Splunk などのセキュリティツールや自社開発のセキュリティソリューションを含め、Amazon S3 からのデータインジェストと Kinesis Data Firehose との統合をサポートするあらゆるツールと互換性があります。AppFabric から正規化された (または未加工の) アプリケーションデータを取得するには、前のステップ 1 ~ 3 に従います。特定のセキュリティツールやサービスの設定方法の詳細については、「互換性のあるセキュリティツールとサービス」を参照してください。