前提条件と推奨事項 - AWS AppFabric

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

前提条件と推奨事項

初めて AWS のお客様は、セキュリティ AWS AppFabric のために の使用を開始する前に、このページに記載されているセットアップの前提条件を完了してください。セットアップ手順には、 AWS Identity and Access Management (IAM) サービスを使用します。IAM の詳細については、「IAM ユーザーガイド」を参照してください。

にサインアップする AWS アカウント

がない場合は AWS アカウント、次の手順を実行して作成します。

にサインアップするには AWS アカウント
  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。

    にサインアップすると AWS アカウント、 AWS アカウントのルートユーザーが作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

AWS サインアッププロセスが完了すると、 から確認メールが送信されます。https://aws.amazon.com/[マイアカウント] を選んで、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理できます。

管理アクセスを持つユーザーを作成する

にサインアップしたら AWS アカウント、 を保護し AWS アカウントのルートユーザー、 を有効にして AWS IAM Identity Center、日常的なタスクにルートユーザーを使用しないように管理ユーザーを作成します。

のセキュリティ保護 AWS アカウントのルートユーザー
  1. ルートユーザーを選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者AWS Management Consoleとして にサインインします。次のページでパスワードを入力します。

    ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドの「ルートユーザーとしてサインインする」を参照してください。

  2. ルートユーザーの多要素認証 (MFA) を有効にします。

    手順については、「IAM ユーザーガイド」の AWS アカウント 「ルートユーザーの仮想 MFA デバイスを有効にする (コンソール)」を参照してください。

管理アクセスを持つユーザーを作成する
  1. IAM アイデンティティセンターを有効にします。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Centerの有効化」を参照してください。

  2. IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。

    を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、「 ユーザーガイド」の「デフォルト でユーザーアクセス IAM アイデンティティセンターディレクトリを設定するAWS IAM Identity Center 」を参照してください。

管理アクセス権を持つユーザーとしてサインインする
  • IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。

    IAM Identity Center ユーザーを使用してサインインする方法については、「 AWS サインイン ユーザーガイド」の AWS 「 アクセスポータルにサインインする」を参照してください。

追加のユーザーにアクセス権を割り当てる
  1. IAM アイデンティティセンターで、最小特権のアクセス許可を適用するというベストプラクティスに従ったアクセス許可セットを作成します。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」を参照してください。

  2. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「グループの参加」を参照してください。

(必須) アプリケーションの前提条件を完了させてください

セキュリティ AppFabric のために を使用してアプリケーションからユーザー情報と監査ログを受信するには、多くのアプリケーションに特定のロールと計画タイプが必要です。 AppFabric セキュリティのために で承認する各アプリケーションの前提条件を確認し、適切な計画とロールがあることを確認します。アプリケーション別の前提条件の詳細については、「サポートされているアプリケーション」を参照するか、以下のアプリケーション別のトピックのいずれかを選択してください。

(オプション) 出力場所を作成します

AppFabric for security は、監査ログの取り込み先として Amazon Simple Storage Service (Amazon S3) と Amazon Data Firehose をサポートしています。

Amazon S3

取り込み先を作成するときに、 AppFabric コンソールを使用して新しい Amazon S3 バケットを作成できます。また、Amazon S3 サービスを使用してバケットを作成することもできます。Amazon S3 サービスを使用してバケットを作成する場合は、 AppFabric 取り込み先を作成する前にバケットを作成し、取り込み先を作成するときにバケットを選択する必要があります。既存のバケットの次の要件を満たしている限り AWS アカウント、 で既存の Amazon S3 バケットを使用することを選択できます。

  • AppFabric セキュリティ上の理由から、Amazon S3 バケットは Amazon S3 リソースと同じ AWS リージョン にある必要があります。

  • は、次のいずれかを使用してバケットを暗号化できます。

    • Amazon S3 マネージドキーを用いたサーバー側の暗号化 (SSE-S3)

    • デフォルト AWS Key Management Service (AWS KMS) を使用した () キー (SSE-KMS) によるサーバー側の暗号化 AWS マネージドキー aws/s3

Amazon Data Firehose

セキュリティデータの の取り込み先として Amazon Data Firehose AppFabric を使用することを選択できます。Firehose を使用するには、取り込みを作成する AWS アカウント 前、または で取り込み先を作成するときに、 に Firehose 配信ストリームを作成できます AppFabric。Firehose 配信ストリームは、 AWS Management Console、 AWS CLI、または AWS APIs または SDKsを使用して作成できます。ストリーム設定の手順については、以下のトピックを参照してください。

セキュリティ出力の送信 AppFabric 先として Amazon Data Firehose を使用する場合の要件は次のとおりです。

  • セキュリティリソース AppFabric の AWS リージョン と同じ にストリームを作成する必要があります。

  • ソースとしてダイレクト PUT を選択する必要があります。

  • AmazonKinesisFirehoseFullAccess AWS 管理ポリシーをユーザーにアタッチするか、次のアクセス許可をユーザーにアタッチします。

    { "Sid": "TagFirehoseDeliveryStream", "Effect": "Allow", "Action": ["firehose:TagDeliveryStream"], "Condition": { "ForAllValues:StringEquals": {"aws:TagKeys": "AWSAppFabricManaged"} }, "Resource": "arn:aws:firehose:*:*:deliverystream/*" }

Firehose は、 Splunkや などのさまざまなサードパーティーのセキュリティツールとの統合をサポートしていますLogz.io。これらのツールにデータを出力するように Amazon Kinesis を適切に設定する方法については、「Amazon Data Firehose デベロッパーガイド」の「送信先設定」を参照してください。

(オプション) AWS KMS キーを作成する

AppFabric for security アプリケーションバンドルを作成するプロセスでは、暗号化キーを選択または設定して、承認されたすべてのアプリケーションからデータを安全に保護します。このキーは、 AppFabric サービス内のデータを暗号化するために使用されます。

AppFabric for security は、デフォルトでデータを暗号化します。 AppFabric for security は、 AWS 所有のキー AppFabric ユーザーに代わって によって作成および管理される 、または AWS Key Management Service () で作成および管理されるカスタマー管理キーを使用できますAWS KMS。 AWS 所有のキー は、 が AWS のサービス 所有および管理する AWS KMS キーのコレクションであり、複数の で使用できます AWS アカウント。カスタマーマネージドキーは、ユーザーが作成、所有、管理する の AWS KMS キー AWS アカウント です。 AWS 所有のキー およびカスタマーマネージドキーの詳細については、「 AWS Key Management Service デベロッパーガイド」の「カスタマーキーと AWS キー」を参照してください。

カスタマーマネージドキーを使用して、セキュリティ AppFabric のために 内で認証トークンなどのデータを暗号化する場合は、 で作成できますAWS KMS。でカスタマーマネージドキーへのアクセスを許可するアクセス許可ポリシーの詳細については AWS KMS、このガイドの「キーポリシー」セクションを参照してください。