セキュリティ AWS AppFabric のための の開始方法 - AWS AppFabric

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティ AWS AppFabric のための の開始方法

セキュリティ AWS AppFabric のために の使用を開始するには、まずアプリケーションバンドルを作成し、次にアプリケーションを認可してアプリケーションバンドルに接続する必要があります。アプリケーション認証がアプリケーションに接続されたら、監査ログの取り込みやユーザーアクセスなどのセキュリティ機能 AppFabric に を使用できます。

このセクションでは、 AppFabric で の使用を開始する方法について説明します AWS Management Console。

前提条件

開始する前に、まず AWS アカウント と管理ユーザーを作成する必要があります。詳細については、「にサインアップする AWS アカウント」および「管理アクセスを持つユーザーを作成する」を参照してください。

ステップ 1: アプリケーションバンドルを作成する

アプリケーションバンドルは、セキュリティアプリケーションの認証と取り込み AppFabric のためにすべての を保存します。アプリバンドルを作成するには、認証されたアプリケーションデータを安全に保護するための暗号化キーを設定します。

  1. https://console.aws.amazon.com/appfabric/ で AppFabric コンソールを開きます。

  2. ページの右上隅にあるリージョンの選択セレクターで、米国東部 (バージニア北部)、欧州 (アイルランド)、アジアパシフィック (東京) リージョンでのみ利用可能な AWS リージョン AppFabric を選択します。

  3. [開始方法] を選択します。

  4. 開始方法」ページのステップ 1 を行います。「アプリバンドルの作成」で [アプリバンドルの作成] を選択します。

  5. 暗号化」セクションで、認証されたすべてのアプリケーションからのデータを安全に保護するための暗号化キーを設定します。このキーは、セキュリティサービスのために 内の AppFabricデータを暗号化するために使用されます。

    AppFabric for security は、デフォルトでデータを暗号化します。 AppFabric は AppFabric 、ユーザーに代わって によって AWS 所有のキー 作成および管理される 、または () で AWS Key Management Service 作成および管理されるカスタマーマネージドキーを使用できますAWS KMS。

  6. AWS KMS キー」には、「使用 AWS 所有のキー」または「カスタマーマネージドキー」を選択します。

    カスタマーマネージドキーを選んで使用する場合は、Amazon リソースネーム (ARN) または使用したい既存のキーのキー ID のいずれかを入力するか、あるいは [ AWS KMS キーの作成] を選択します。

    AWS 所有のキー またはカスタマーマネージドキーを選択するときは、次の点を考慮してください。

    • AWS 所有のキー は、 が複数の で使用するために AWS のサービス 所有および管理する AWS Key Management Service (AWS KMS) キーのコレクションです AWS アカウント。 AWS 所有のキー は にはありませんが AWS アカウント、 AWS のサービス は AWS 所有のキー を使用してアカウントのリソースを保護できます。 AWS 所有のキー アカウントのクォータには AWS KMS カウントされません。キーまたはそのキーポリシーを作成または管理する必要はありません。のローテーションはサービス AWS 所有のキー によって異なります。 AWS 所有のキー の のローテーションの詳細については AppFabric、「保管時の暗号化」を参照してください。

    • カスタマーマネージドキーは、ユーザーが作成、所有、管理する の KMS キー AWS アカウント です。これらの AWS KMS キーは完全に制御できます。キーポリシー、 AWS Identity and Access Management (IAM) ポリシー、グラントを確立し維持することができます。これらを有効または無効にしたり、暗号化マテリアルをローテーションしたり、タグを追加したり、 AWS KMS キーを参照するエイリアスを作成したり、 AWS KMS キーの削除をスケジュールしたりできます。カスタマーマネージドキーは、 AWS Management Console の のカスタマーマネージドキーページに表示されます AWS KMS。

      カスタマーマネージドキーを明確に識別するには、DescribeKey オペレーションを使用します。カスタマーマネージドキーでは、DescribeKey レスポンスの KeyManager フィールドの値は CUSTOMER です。暗号化オペレーションではカスタマーマネージドキーを使用し、 AWS CloudTrail ログでは使用状況を監査できます。と統合 AWS のサービス されている多くの では AWS KMS、カスタマーマネージドキーを指定して、保存および管理されるデータを保護できます。カスタマーマネージドキーには、 AWS 無料利用枠を超える月額料金と使用料が発生します。カスタマーマネージドキーは、アカウントの AWS KMS クォータに対してカウントされます。

    AWS 所有のキー およびカスタマーマネージドキーの詳細については、「 AWS Key Management Service デベロッパーガイド」の「カスタマーキーと AWS キー」を参照してください。

    注記

    アプリケーションバンドルが作成されると、セキュリティ AppFabric 上の理由から、 のサービスにリンクされたロール (SLR) AWS アカウント と呼ばれる特別な IAM ロールも に作成されます AppFabric。これにより、サービスは Amazon にメトリクスを送信できます CloudWatch。監査ログの送信先を追加すると、SLR は AWS リソース (Amazon S3 バケット、Amazon Data Firehose 配信ストリーム) へのセキュリティサービスアクセス AppFabric を に許可します。詳細については、「 AppFabric のサービスにリンクされたロールの使用」を参照してください。

  7. (オプション) [タグ] で、アプリバンドルにタグを追加することができます。タグは、作成したリソースにメタデータを割り当てるキーと値のペアです。詳細については、「タグエディタユーザーガイド」の AWS「リソースのタグ付け」を参照してください。 AWS

  8. アプリバンドルを作成するには、「アプリバンドルの作成」を選択します。

ステップ 2: アプリケーションを認証する

アプリケーションバンドルが正常に作成されたら、セキュリティ AppFabric が各アプリケーションに接続して操作することを承認できるようになりました。認証されたアプリケーションは暗号化され、アプリバンドルに保存されます。アプリバンドルごとに複数のアプリ認証を設定するには、アプリケーションごとに必要に応じてアプリ認証手順を繰り返します。

アプリケーションを認証する手順を開始する前に、サポートされているアプリケーションで各アプリケーションの前提条件(必要なプランタイプなど)をよく確認してください。

  1. 開始方法ページのステップ 2 を行います。アプリケーションの認証で、[アプリ認証の作成] を選択します。

  2. アプリケーション認証セクションで、アプリケーションドロップダウンから、セキュリティ AppFabric が に接続するためのアクセス許可を付与するアプリケーションを選択します。表示されるアプリケーションは、セキュリティ AppFabric のために で現在サポートされているアプリケーションです。

  3. アプリケーションを選択すると、必須の情報フィールドが表示されます。これらのフィールドには、テナント ID とテナント名のほか、クライアント ID、クライアントシークレット、または個人アクセストークンが含まれる場合があります。これらのフィールドの入力値はアプリケーションによって異なります。これらの値の検索方法に関するアプリケーション別の詳細な手順については、「サポートされているアプリケーション」を参照してください。

  4. (オプション) [タグ] で、アプリ認証にタグを追加することができます。タグは、作成したリソースにメタデータを割り当てるキーと値のペアです。詳細については、「タグエディタユーザーガイド」の AWS「リソースのタグ付け」を参照してください。 AWS

  5. [アプリ認証の作成] を選択します。

  6. ポップアップウィンドウが表示された場合 (接続されているアプリケーションに応じて)、「セキュリティがアプリケーションに接続することを許可する AppFabric 」を選択します。

    アプリ認証が成功すると、「開始方法」ページに「アプリ認証が接続されました」という成功メッセージが表示されます。

  7. アプリ認証のステータスは、ナビゲーションペインに表示される「アプリ認証」ページの [各アプリケーションのステータス] でいつでも確認できます。接続ステータスは、アプリケーションに接続するためのセキュリティ AppFabric のためにアプリケーション認証が付与され、完了していることを意味します。

  8. 関連するエラーを修正するために実行できるトラブルシューティング手順を含め、考えられるアプリ認証ステータスを以下の表に示します。

    ステータス名 ステータス情報 トラブルシューティングのステップ

    [保留中]

    ステータスが Pending の場合、アプリケーションのアプリケーション認証が作成されますが、セキュリティ AppFabric 上の はまだアプリケーションに接続されていません。

    このステータスが表示されたら、「アプリ認証」ページの [アクション] ドロップダウンで [接続] を選択して接続を開始します。このエラーが解決されない場合は、ブラウザのポップアップブロッカーが無効になっていないか確認してください。ポップアップウィンドウに「400 不良なリクエスト」などのエラーメッセージが表示される場合は、テナント ID、クライアント ID、クライアントシークレットなどのすべての情報が正しく入力されていることを確認してください。また、アプリケーションのアプリ認証が正しく作成されていない可能性もあります。詳細については、「サポートされるアプリケーション」を参照してください。

    接続が検証できませんでした

    接続検証に失敗したステータスは、セキュリティ AppFabric 上の がアプリケーションとのアプリケーション認証の接続を検証できないことを意味します。

    テナント ID、クライアント ID、クライアントシークレットなどのすべての情報がアプリ認証用に正しく入力されていることを確認してください。

    トークンの自動ローテーションに失敗しました

    「トークンの自動ローテーションに失敗しました」のステータスは、アプリ認証が正常に接続された後に OAuth 更新トークンが失敗したことを意味します。

    このエラーが解決されない場合は、アプリケーションの認証アプリを確認してください。詳細については、「サポートされるアプリケーション」を参照してください。

  9. 他のアプリケーションを認証するには、必要に応じてステップ 1 ~ 8 を繰り返します。

ステップ 3: 監査ログの取り込みの設定

アプリバンドルで少なくとも 1 つのアプリ認証を作成したら、監査ログの取り込みを設定できるようになります。監査ログの取り込みにより、認証アプリからの監査ログが消費され、オープンサイバーセキュリティスキーマフレームワーク (OCSF) に標準化されます。次に、それらは AWS内の1つまたは複数の転送先に配信されます。Raw JSON ファイルを転送先に配信することもできます。

  1. 開始方法」ページのステップ 3 を行います。「監査ログ取り込みの設定」セクションで、[取り込みの Quick Setup] を選択します。

    注記

    セットアップを迅速に行うには、「開始方法」ページからのみアクセスできる 「取り込みの Quick Setup」ページを使用して、同じ転送先に対する複数のアプリ認証の取り込みを一度に作成します。例えば、同じ Amazon S3 バケットまたは Amazon Data Firehose データストリームなどです。

    ナビゲーションペインからアクセスできる「取り込み」ページから取り込みを作成することもできます。「取り込み」ページでは、異なる転送先への取り込みを一度に 1 つずつ設定できます。「取り込み」ページでは、取り込みのタグを作成することもできます。以下の説明は、「取り込み Quick Setup」ページ用です。

  2. アプリ認証の選択」で、監査ログの取り込みを作成したいアプリ認証を選択します。アプリ認証ドロップダウンに表示されるテナント名は、セキュリティ AppFabric のために でアプリ認証を以前に作成したアプリケーションのテナント名です。

  3. 転送先の追加」では、選択したアプリケーションの監査ログの取り込み先を選択します。送信先オプションには、Amazon S3 - 既存のバケット、Amazon S3 - 新しいバケット、または Amazon Data Firehose が含まれます。複数のテナント名を選択した場合、選択した転送先がアプリケーション認証の取り込みのたびに適用されます。

  4. 転送先を選択すると、追加の必須フィールドが表示されます。

    1. [Amazon S3 — 新規バケット] を転送先として選択した場合は、作成したい S3 バケットの名前を入力する必要があります。Amazon S3 バケットの作成に関する詳しい手順については、「出力先の作成」を参照してください。

    2. [Amazon S3 — 既存のバケット] を送信先として選択した場合は、使用したい Amazon S3 バケットの名前を選択します。

    3. 送信先として Amazon Data Firehose を選択した場合は、Firehose 配信ストリーム名のドロップダウンリストから配信ストリームの名前を選択します。Amazon Data Firehose 配信ストリームを作成する方法の詳細については、「出力先 を作成する」および「セキュリティのために に必要なアクセス許可ポリシー AppFabric 」を参照してください。

  5. Schema & Format では、監査ログを Raw - JSON OCSF - JSON OCSF - Amazon S3 バケットParquetの場合は Raw - JSON または Firehose の場合は OCSF-JSON に保存することを選択できます。

    Raw データ形式では、監査ログデータがデータ文字列から JSON に変換されます。OCSF データ形式は、セキュリティオープンサイバーセキュリティスキーマフレームワーク (OCSF) スキーマ AppFabric の監査ログデータを に正規化します。が OCSF AppFabric を使用する方法の詳細については、「」を参照してくださいオープンサイバーセキュリティスキーマフレームワーク。一度に取り込むことができるスキーマと形式のデータタイプは 1 つだけです。スキーマと形式のデータタイプを追加する場合は、取り込み作成プロセスを繰り返すことで追加の取り込み先を設定できます。

  6. (オプション) 取り込みにタグを追加する場合は、ナビゲーションペインの「取り込み」 ページに移動します。「取り込みの詳細」ページに移動するには、テナント名を選択します。[タグ] で、取り込みにタグを追加することができます。タグは、作成したリソースにメタデータを割り当てるキーと値のペアです。詳細については、「タグエディタユーザーガイド」の AWS「リソースのタグ付け」を参照してください。 AWS

  7. [取り込みの設定] を選択します。

    取り込みの設定が正常に完了すると、「開始方法」ページに「取り込みが作成されました」という成功メッセージが表示されます。

  8. また、ナビゲーションペインの「取り込み」ページで、取り込みの状態と取り込み先のステータスをいつでも確認できます。このページでは、アプリ認証の作成時に作成されたテナント名、転送先、および取り込みの状態を確認することができます。取り込みの状態が [有効] の場合は、取り込みが有効になっていることを意味します。このページでアプリ認証のテナント名を選択すると、転送先の詳細やステータスなど、そのアプリ認証の詳細ページが表示されます。取り込み先のステータスが [有効] の場合は、その取り込み先が適切に設定され、有効になっていることを意味します。アプリ認証のステータスが [接続済み] で、取り込み先のステータスが [有効] の場合は、監査ログは処理および配信されているはずです。アプリ認証ステータスまたは取り込み先ステータスがいずれかの「失敗」状態である場合、取り込みステータスが有効になっていても監査ログは処理も配信もされません。アプリ認証の失敗を修正するには、ステップ 2 を参照してください。アプリケーションを認証する

  9. エラーステータスを修正するために実行できるトラブルシューティング手順を含め、考えられる取り込み先と取り込み先ステータスを以下の表に示します。

    状態またはステータス名 説明 トラブルシューティングのステップ

    [Disabled] (無効)

    取り込みが [無効] の状態になっている場合、取り込みは無効になっています。

    取り込みを有効にするには、「取り込み」ページの [アクション] ドロップダウンから [有効にする] を選択します。

    [失敗]

    取り込み先が [失敗] の状態になっている場合、取り込み先が監査ログを受け付けていないことを意味します。たとえば、保存場所がいっぱいのためにこの状態になることがあります。

    これらの問題を解決するには、Amazon S3 または Firehose コンソールに移動します。

ステップ 4: ユーザーアクセスツールを使用する

セキュリティユーザーアクセスツール AppFabric の を使用すると、セキュリティチームと IT 管理者チームは、従業員の会社の E メールアドレスを使用して簡単な検索を実行することで、特定のアプリケーションにアクセスできるユーザーをすばやく確認できます。このアプローチは、ユーザーのプロビジョニング解除など、SaaS アプリケーション全体にわたるユーザーアクセスを手動で確認または監査する必要があるタスクに費やす時間を削減するのに役立ちます。ユーザーが見つかった場合、セキュリティ AppFabric 上、アプリケーション内のユーザー名と、アプリケーションから提供された場合はアプリケーション内のユーザーステータス (アクティブなど) を指定します。セキュリティ AppFabric 上、 はアプリケーションバンドル内のすべての承認されたアプリケーションを検索して、ユーザーがアクセスできるアプリケーションのリストを返します。

  1. 開始方法ページのステップ 4 を行います。ユーザーアクセスツールを使用して、[ユーザーの検索] を選択します。

  2. [メールアドレス] フィールドに、ユーザーのメールアドレスを入力し、[検索] を選択します。

  3. 検索結果」セクションには、ユーザーがアクセスできるすべての認証済みアプリケーションのリストが表示されます。アプリケーション内のユーザー名とステータス (可能な場合) を表示するには、検索結果を選択します。

  4. 検索結果列に「ユーザーが見つかりました」というメッセージが表示されている場合は、そのユーザーはリストに表示されているアプリにアクセスできることを意味します。考えられる検索結果、エラー、およびエラーに対処するために実行できるアクションを以下の表で示します。

    検索結果 説明

    ユーザーが見つかりません

    使用されたメールアドレスを持つユーザーが見つかりません。

    認証トークンが見つかりません。アプリケーションのアプリ認証に接続します。

    テナント ID、クライアント ID、クライアントシークレットなどのすべての情報がアプリ認証用に正しく入力されていることを確認してください。

    認証トークンは取り消されました。アプリケーションのアプリ認証に接続します。

    テナント ID、クライアント ID、クライアントシークレットなどのすべての情報がアプリ認証用に正しく入力されていることを確認してください。

    認証トークンをローテーションできませんでした。アプリケーションのアプリ認証に接続します。

    アプリ認証が正常に接続された後、OAuth 更新トークンは失敗しました。このエラーが解決されない場合は、アプリケーションの認証アプリを確認してください。詳細については、「サポートされるアプリケーション」を参照してください。

    必要な許可が見つかりません。アプリケーションのアプリ認証に接続します。

    テナント ID、クライアント ID、クライアントシークレットなどのすべての情報がアプリ認証用に正しく入力されていることを確認してください。

    アプリ認証が無効です。

    テナント ID、クライアント ID、クライアントシークレットなどのすべての情報がアプリ認証用に正しく入力されていることを確認してください。

    アクセス許可が不十分なため、アプリケーション API を呼び出すことができませんでした。

    テナント ID、クライアント ID、クライアントシークレットなどのすべての情報がアプリ認証用に正しく入力されていることを確認してください。

    アプリケーションリクエスト制限を超えました。

    これはアプリケーションから受け取ったエラーメッセージです。後でもう一度メールアドレスを検索してください。

    アプリケーションに内部サーバーエラーが発生しました

    これはアプリケーションから受け取ったエラーメッセージです。後でもう一度メールアドレスを検索してください。

    アプリケーションに不正なゲートウェイエラーが発生しました

    これはアプリケーションから受け取ったエラーメッセージです。後でもう一度メールアドレスを検索してください。

    アプリケーションはリクエストを処理する準備ができていません

    これはアプリケーションから受け取ったエラーメッセージです。後でもう一度メールアドレスを検索してください。

    アプリケーションに不正なリクエストエラーが発生しました。

    これはアプリケーションから受け取ったエラーメッセージです。後でもう一度メールを検索してください。

    アプリケーションでサービス使用不可エラーが発生しました。

    これはアプリケーションから受け取ったエラーメッセージです。後でもう一度メールを検索してください。

ステップ 5: セキュリティツールやその他の送信先のセキュリティデータ AppFabric に接続する

からの正規化された (または raw) アプリケーションデータは AppFabric 、、、、、、Dynatrace、Barracuda XDR、 などのセキュリティツールSplunkや独自のセキュリティソリューションなど、Amazon S3 からのデータ取り込みLogz.ioNetskopeNetWitnessRapid7と Firehose との統合をサポートするすべてのツールと互換性があります。から正規化 (または raw) されたアプリケーションデータを取得するには AppFabric、前のステップ 1 ~ 3 に従います。特定のセキュリティツールやサービスの設定方法の詳細については、「互換性のあるセキュリティツールとサービス」を参照してください。