使用するための前提条件と推奨事項 AWS AppFabric

を初めて使用する場合 AWS お客様は、 の使用を開始する前に、このページに記載されているセットアップの前提条件を完了してください。 AWS AppFabric セキュリティの 。これらのセットアップ手順では、 を使用します。 AWS Identity and Access Management （IAM) サービス。の詳細についてはIAM、「 IAMユーザーガイド」を参照してください。

にサインアップする AWS アカウント

をお持ちでない場合 AWS アカウントで、次の手順を実行して作成します。

にサインアップするには AWS アカウント

1. https://portal.aws.amazon.com/billing/サインアップ を開きます。

2. オンラインの手順に従います。

   サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。

   にサインアップするとき AWS アカウント、 AWS アカウントのルートユーザー が作成されます。ルートユーザーはすべての にアクセスできます AWS のサービス アカウントの および リソース。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

AWS サインアッププロセスが完了すると、 から確認メールが送信されます。https://aws.amazon.com/ に移動し、マイアカウント を選択すると、いつでも現在のアカウントアクティビティを表示し、アカウントを管理できます。

管理アクセスを持つユーザーを作成する

にサインアップした後 AWS アカウント、 をセキュリティで保護する AWS アカウントのルートユーザー、有効化 AWS IAM Identity Center、および 管理ユーザーを作成して、日常的なタスクにルートユーザーを使用しないようにします。

のセキュリティ保護 AWS アカウントのルートユーザー

1. にサインインします。AWS Management Console ルートユーザーを選択し、 AWS アカウント E メールアドレス。次のページでパスワードを入力します。

   ルートユーザーを使用してサインインする方法については、「」の「ルートユーザーとしてサインインする」を参照してください。 AWS サインイン ユーザーガイド。

2. ルートユーザーの多要素認証 (MFA) を有効にします。

   手順については、「 の仮想MFAデバイスの有効化」を参照してください。 AWS アカウントIAM ユーザーガイドのルートユーザー (コンソール）。

管理アクセスを持つユーザーを作成する

1. IAM Identity Center を有効にします。

   手順については、「 の有効化」を参照してください。 AWS IAM Identity Center ()AWS IAM Identity Center ユーザーガイド。

2. IAM Identity Center で、ユーザーに管理アクセス権を付与します。

   の使用に関するチュートリアル IAM アイデンティティセンターディレクトリ ID ソースとして、「デフォルトを使用してユーザーアクセスを設定する」を参照してください。 IAM アイデンティティセンターディレクトリ ()AWS IAM Identity Center ユーザーガイド。

管理アクセス権を持つユーザーとしてサインインする

• IAM Identity Center ユーザーでサインインするには、IAMIdentity Center ユーザーの作成時に E メールアドレスにURL送信されたサインインを使用します。

  IAM Identity Center ユーザーを使用してサインインする方法については、「 へのサインイン」を参照してください。 AWS の アクセスポータル AWS サインイン ユーザーガイド。

追加のユーザーにアクセス権を割り当てる

1. IAM Identity Center で、最小特権のアクセス許可を適用するベストプラクティスに従うアクセス許可セットを作成します。

   手順については、「」の「アクセス許可セットの作成」を参照してください。 AWS IAM Identity Center ユーザーガイド。

2. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。

   手順については、「」の「グループの追加」を参照してください。 AWS IAM Identity Center ユーザーガイド。

(必須) アプリケーションの前提条件を完了させてください

セキュリティ AppFabric のために を使用してアプリケーションからユーザー情報と監査ログを受信するには、多くのアプリケーションに特定のロールと計画タイプが必要です。 AppFabric セキュリティのために で承認する各アプリケーションの前提条件を確認し、適切な計画とロールがあることを確認します。アプリケーション別の前提条件の詳細については、「サポートされているアプリケーション」を参照するか、以下のアプリケーション別のトピックのいずれかを選択してください。

• 構成する 1Password の AppFabric

• 構成する Asana の AppFabric

• 構成する Azure Monitor の AppFabric

• 構成する Atlassian Confluence の AppFabric

• 構成する Atlassian Jira suite の AppFabric

• 構成する Box の AppFabric

• 構成する Cisco Duo の AppFabric

• 構成する Dropbox の AppFabric

• 構成する Genesys Cloud の AppFabric

• 構成する GitHub の AppFabric

• 構成する Google Analytics の AppFabric

• 構成する Google Workspace の AppFabric

• 構成する HubSpot の AppFabric

• 構成する IBM Security® Verify の AppFabric

• 構成する JumpCloud の AppFabric

• 構成する Microsoft の場合は 365 AppFabric

• 構成する Miro の AppFabric

• 構成する Okta の AppFabric

• 構成する OneLogin by One Identity の AppFabric

• 構成する PagerDuty の AppFabric

• 構成する Ping Identity の AppFabric

• 構成する Salesforce の AppFabric

• 構成する ServiceNow の AppFabric

• 構成する Singularity Cloud の AppFabric

• 構成する Slack の AppFabric

• 構成する Smartsheet の AppFabric

• 構成する Terraform Cloud の AppFabric

• 構成する Webex by Cisco の AppFabric

• 構成する Zendesk の AppFabric

• 構成する Zoom の AppFabric

(オプション) 出力場所を作成します

AppFabric for security は、監査ログの取り込み先として Amazon Simple Storage Service (Amazon S3) と Amazon Data Firehose をサポートしています。

Amazon S3

取り込み先を作成するときに、 AppFabric コンソールを使用して新しい Amazon S3 バケットを作成できます。また、Amazon S3 サービスを使用してバケットを作成することもできます。Amazon S3 サービスを使用してバケットを作成する場合は、 AppFabric 取り込み先を作成する前にバケットを作成し、取り込み先を作成するときにバケットを選択する必要があります。で既存の Amazon S3 バケットを使用することを選択できます。 AWS アカウント既存のバケットの次の要件を満たしている限り、 。

• AppFabric セキュリティ上の理由から、Amazon S3 バケットが同じ にある必要があります。 AWS リージョン Amazon S3 リソースとしての 。

• は、次のいずれかを使用してバケットを暗号化できます。

  • Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3)

  • によるサーバー側の暗号化 AWS Key Management Service (AWS KMSデフォルトを使用した ) キー (SSE-KMS） AWS マネージドキー (aws/s3).

Amazon Data Firehose

セキュリティデータの の取り込み先として Amazon Data Firehose AppFabric を使用することを選択できます。Firehose を使用するには、 で Firehose 配信ストリームを作成します。 AWS アカウント 取り込みを作成する前、または で取り込み先を作成するときに AppFabric。を使用して Firehose 配信ストリームを作成できます。 AWS Management Console, AWS CLI、または AWS APIs または SDKs。ストリーム設定の手順については、以下のトピックを参照してください。

• AWS Management Console 手順 — Amazon Data Firehose デベロッパーガイドの「Amazon Data Firehose 配信ストリームの作成」

• AWS CLI 手順 – create-delivery-stream ()AWS CLI コマンドリファレンス

• AWS APIs および SDKs の手順 – CreateDeliveryStream 「Amazon Data Firehose APIリファレンス」の「」

セキュリティ出力の送信 AppFabric 先として Amazon Data Firehose を使用する場合の要件は次のとおりです。

• ストリームは同じ で作成する必要があります AWS リージョン セキュリティリソース AppFabric の として。

• ソースとして Direct PUT を選択する必要があります。

• アタッチ AmazonKinesisFirehoseFullAccess AWS 管理ポリシーをユーザーに付与するか、次のアクセス許可をユーザーにアタッチします。

  {
      "Sid": "TagFirehoseDeliveryStream",
      "Effect": "Allow",
      "Action": ["firehose:TagDeliveryStream"],
      "Condition": {
          "ForAllValues:StringEquals": {"aws:TagKeys": "AWSAppFabricManaged"}
      },
      "Resource": "arn:aws:firehose:*:*:deliverystream/*"
  }

Firehose は、 などのさまざまなサードパーティーのセキュリティツールとの統合をサポートしています。Splunk また、Logz.io。 これらのツールにデータを出力するように Amazon Kinesis を適切に設定する方法については、「Amazon Data Firehose デベロッパーガイド」の「送信先設定」を参照してください。

（オプション) を作成する AWS KMS キー

セキュリティアプリケーションバンドル AppFabric 用の を作成するプロセスでは、暗号化キーを選択または設定して、承認されたすべてのアプリケーションからデータを安全に保護します。このキーは、 AppFabric サービス内のデータを暗号化するために使用されます。

AppFabric for security はデフォルトでデータを暗号化します。 AppFabric for security は を使用できます。 AWS 所有のキー AppFabric ユーザーに代わって によって作成および管理される、または で作成および管理されるカスタマーマネージドキー AWS Key Management Service (AWS KMS). AWS 所有のキー は のコレクションです。 AWS KMS のキー AWS のサービス は、複数の で使用するために を所有および管理します。 AWS アカウント。 カスタマーマネージドキーは AWS KMS の キー AWS アカウント ユーザーが作成、所有、管理する 。の詳細については、「」を参照してください。 AWS 所有のキー およびカスタマーマネージドキーについては、「カスタマーキーと」を参照してください。 AWS の キー AWS Key Management Service デベロッパーガイド 。

カスタマーマネージドキーを使用して認証トークンなどのデータを暗号化する場合は、セキュリティ AppFabric のために 内で で作成できます。 AWS KMS。 でカスタマーマネージドキーへのアクセスを許可するアクセス許可ポリシーの詳細については、「」を参照してください。 AWS KMS、このガイドの「キーポリシー」セクションを参照してください。