AWS AppFabric 為了安全起見,開始使用 - AWS AppFabric
必要條件步驟 1:建立應用程式套件步驟 2:授權應用程式步驟 3:設定稽核記錄擷取步驟 4:使用使用者存取工具步驟 5:Connect 以 AppFabric 取得安全性工具和其他目的地中的安全性資料

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS AppFabric 為了安全起見,開始使用

AWS AppFabric 為了安全起見,您必須先創建一個應用程序包,然後授權並將應用程序連接到您的應用程序包。將應用程式授權連線至應用程式後,您可以使用 AppFabric 安全性功能,例如稽核記錄擷取和使用者存取。

本節說明如何 AppFabric 在中開始使用 AWS Management Console。

必要條件

在開始之前,您必須先建立 AWS 帳戶 和管理使用者。如需詳細資訊,請參閱 註冊一個 AWS 帳戶建立具有管理權限的使用者

步驟 1:建立應用程式套件

應用程式套件會儲存您所有 AppFabric 的安全性應用程式授權和擷取。若要建立應用程式套件組合,請設定加密金鑰以安全地保護您授權的應用程式資料。

  1. 請在以下位置開啟 AppFabric 主控台。 https://console.aws.amazon.com/appfabric/

  2. 在頁面右上角的「選取地區」選取器中,選取一個 AWS 區域。 AppFabric 僅在美國東部 (維吉尼亞北部)、歐洲 (愛爾蘭) 和亞太區域 (東京) 區域提供。

  3. 選擇 Getting started (入門)

  4. 在 [開始使用] 頁面上,對於步驟 1。創建應用程序包,選擇創建應用程序包

  5. 在「加密」區段中,設定加密金鑰,以安全地保護資料不受所有授權應用程式的攻擊。此密鑰用於 AppFabric為安全服務中加密您的數據。

    AppFabric 為了安全默認加密數據。 AppFabric 可以使用由您 AWS 擁有的金鑰 創建和管理 AppFabric 的代表或您在 AWS Key Management Service (AWS KMS)中創建和管理的客戶管理密鑰。

  6. 針對AWS KMS 金鑰,選擇使用金鑰 AWS 擁有的金鑰或客戶管理金鑰

    如果您選擇使用客戶受管金鑰,請輸入 Amazon 資源名稱 (ARN) 或要使用之現有金鑰的金鑰 ID,或選擇建立 AWS KMS 金鑰

    選擇 AWS 擁有的金鑰 或客戶管理的金鑰時,請考量下列事項:

    • AWS 擁有的金鑰是 AWS 服務 擁有和管理以在多個中使用的 AWS Key Management Service (AWS KMS)密鑰的集合 AWS 帳戶。雖然不 AWS 擁有的金鑰 在你的 AWS 帳戶,但 AWS 服務 可以使用一個 AWS 擁有的金鑰 來保護您帳戶中的資源。 AWS 擁有的金鑰 請勿計入您帳戶的 AWS KMS 配額。您不需要建立或維護金鑰或其金鑰政策。的輪換 AWS 擁有的金鑰 因服務而異。如需有關的循環的 AWS 擁有的金鑰 資訊 AppFabric,請參閱靜態加密

    • 客戶受管金鑰是您 AWS 帳戶 建立、擁有和管理的 KMS 金鑰。您可以完全控制這些 AWS KMS 按鍵。您可以建立和維護其金鑰政策、 AWS Identity and Access Management (IAM) 政策和授權。您可以啟用和停用它們、旋轉其加密材料、新增標籤、建立參考 AWS KMS 索引鍵的別名,以及排定要刪除的 AWS KMS 金鑰。客戶管理的金鑰會顯示在的 [客戶管理的金鑰] 頁面上 AWS KMS。 AWS Management Console

      若要明確識別客戶管理的金鑰,請使用DescribeKey作業。對於客戶受管金鑰,DescribeKey 回應的 KeyManager 欄位值是 CUSTOMER。您可以在密碼編譯作業中使用客戶管理金鑰,並在 AWS CloudTrail 記錄中稽核使用情況。有了許多與 AWS 服務 之整合的金鑰 AWS KMS,您可以指定客戶管理的金鑰,以保護為您儲存和管理的資料。客戶受管金鑰會產生每月費用和超出 AWS 免費方案的使用費用。客戶管理金鑰會計入您帳戶的 AWS KMS 配額。

    如需有關 AWS 擁有的金鑰 和客戶管理金鑰的詳細資訊,請參閱AWS Key Management Service 開發人員指南中的客戶 AWS 金鑰和金鑰

    注意

    建立應用程式套件組合時, AppFabric 為了安全起見,也會在您 AWS 帳戶 呼叫的服務連結角色 (SLR) 中建立特殊的 IAM 角色。 AppFabric它允許服務將指標發送到 Amazon CloudWatch。新增稽核日誌目的地後,SLR 允許安全服務存取您的 AWS 資源 (Amazon S3 儲存貯體、Amazon 資料 Firehose 交付串流)。 AppFabric 如需詳細資訊,請參閱 使用 AppFabric 的服務連結角色

  7. (可選)對於標籤,您可以選擇將標籤添加到應用程序包中。標籤是索引鍵值配對,可將中繼資料指派給您建立的資源。若要取得更多資訊,請參閱AWS 標籤編輯器使用指南〉中的〈標記 AWS 資源

  8. 若要建立應用程式套件,請選擇 [建立應用程式套件

步驟 2:授權應用程式

成功創建應用程序包後,您現在可以授權安全 AppFabric 性以連接每個應用程序並與其進行交互。授權應用程式會加密並儲存在您的應用程式套件中。要為每個應用程序包設置多個應用程序授權,請根據需要為每個應用程序重複應用程序授權步驟。

在開始授權應用程式的步驟之前,請先檢閱並確認中每個應用程式的必要條件,例如所需的計劃類型支援的應用程式

  1. 在 [開始使用] 頁面上,對於步驟 2。授權應用程序,選擇創建應用授權

  2. 在 [應用程式授權] 區段中,從 [應用程式] 下拉式清單中選取 AppFabric 您要授與安全性連線權限的應用程式。顯示的應用程式是目前受到安全性支援的應 AppFabric 用程式。

  3. 當您選取應用程式時,會顯示必要的資訊欄位。這些欄位包括承租人識別碼和承租人名稱,也可能包括用戶端識別碼、用戶端密碼或個人存取權杖。這些欄位的輸入值會因應用程式而異。如需如何尋找這些值的應用程式特定指示,請參閱支援的應用程式

  4. (可選)對於「標籤」,您可以選擇在應用程序授權中添加標籤。標籤是索引鍵值配對,可將中繼資料指派給您建立的資源。若要取得更多資訊,請參閱AWS 標籤編輯器使用指南〉中的〈標記 AWS 資源

  5. 選擇建立應用程式授權

  6. 如果出現快顯視窗 (視所連線的應用程式而定),請選取 [允許授權 AppFabric 安全性以與您的應用程式連線]。

    如果您的應用程序授權成功,您將在入門頁面上看到已連接應用程序授權的成功消息。

  7. 您可以隨時在功能窗格中列出的 [應用程式授權] 頁面上,在 [每個應用程式的狀態] 下,查看應用程式授權的狀態。「已線」狀態表示您的應用程式授權已獲得授權,以確保連線到應用程式的安全性並且已完成。 AppFabric

  8. 下表顯示可能的應用程式授權狀態,包括您可以採取的疑難排解步驟來修正相關錯誤。

    狀態名稱 狀態描述 疑難排解步驟

    待定

    「待處理」狀態表示已建立應用程式的應用程式授權,但 AppFabric 為了安全起見,尚未連線至應用程式。

    當您看到此狀態時,請從 [應用程式授權] 頁面的 [動作] 下拉式清單中選取 [Connect 線] 以啟動連線。如果此錯誤仍然存在,請檢查瀏覽器的彈出窗口阻止程序是否已禁用。如果有任何錯誤訊息 (例如快顯視窗中的 400 錯誤要求),請檢查是否正確輸入了所有資訊,例如租用戶識別碼、用戶端識別碼和用戶端密碼。也可能未正確建立應用程式的應用程式授權。有關詳情,請參閱支援的應用程式

    連線驗證失敗

    連接驗證失敗的狀態意味著 AppFabric 為了安全起見,無法驗證應用程序授權與應用程序的連接。

    檢查所有信息(例如租用戶 ID,客戶端 ID 和客戶端密鑰)是否正確輸入以進行應用程序授權。

    權杖自動循環失敗

    令牌自動旋轉失敗的狀態意味著 OAuth 刷新令牌在應用授權成功連接後失敗。

    如果此錯誤仍然存在,請檢查應用程式的驗證應用程式。有關詳情,請參閱支援的應用程式

  9. 若要授權其他應用程式,請視需要重複步驟 1 到 8。

步驟 3:設定稽核記錄擷取

在您的應用程式套件中建立至少一個應用程式授權之後,您現在可以設定稽核記錄擷取。稽核記錄擷取會使用授權應用程式的稽核記錄,並將其標準化為開放網路安全結構描述架構 (OCSF)。然後,它將它們傳送到內部的一個或多個目的地 AWS。您也可以選擇將原始 JSON 檔案傳送至目的地。

  1. 在 [開始使用] 頁面上,針對步驟 3。設定稽核記錄擷取區段,選取取快速設定。

    注意

    若要加快設定速度,請使用僅可從 [開始使用] 頁面存取的 [Ingestions 快速設定] 頁面,為具有相同擷取目的地的多個應用程式授權建立擷取。例如,相同的 Amazon S3 存儲桶或 Amazon 數據 Firehose 數據流。

    您也可以從 [擷取] 頁面 (可從導覽窗存取) 建立擷取。在「擷取」頁面上,您可以一次為不同目的地設定一個擷取。在 [取] 頁面上,您也可以建立擷取的標籤。下列說明適用於擷取快速設定頁面。

  2. 針對 [選取應用程式授權],選取您要建立稽核記錄擷取的應用程式授權。出現在 [應用程式授權] 下拉式清單中的租用戶名稱是您先前為安全性建立應用程式授權的應用程式的 AppFabric 租用戶名稱。

  3. 在 [新增目的地] 中,選取所選應用程式之稽核記錄擷取的目的地。目的地選項包括 Amazon S3-現有存儲桶Amazon S3-新存儲桶Amazon 數據 Firehose。如果您選取多個租用戶名稱,則您選擇的目的地會套用至每次擷取應用程式授權。

  4. 當您選擇目的地時,系統會顯示其他必填欄位。

    1. 如果您選擇 Amazon S3 — 新儲存貯體做為目的地,則必須輸入要建立的 S3 儲存貯體的名稱。如需有關如何建立 Amazon S3 儲存貯體的詳細指示,請參閱建立輸出目的地

    2. 如果您選擇 Amazon S3 — 現有儲存貯體做為目的地,請選取您要使用的 Amazon S3 儲存貯體名稱。

    3. 如果您選擇 Amazon 資料 Firehose 做為目的地,請從 Firehose 交付串流名稱下拉式清單中選取交付串流的名稱。如需有關如何建立 Amazon Data Firehose 交付串流的詳細指示,請參閱建立輸出目的地,並記下安全所需 AppFabric 的許可政策。

  5. 對於結構描述和格式,您可以選擇將稽核日誌存放在原始資料-JSON、JSONOCSF 中 (Parquet適用於 Amazon S3 儲存貯體) 或原始 JSON 或 OCSF-JSON (適用於 Firehose)。

    原始資料格式提供從資料字串轉換為 JSON 的稽核記錄資料。OCSF 資料格式會將稽核記錄資料標準化 AppFabric 為安全性開放網路安全結構描述架構 (OCSF) 結構描述。如需如何 AppFabric 使用 OCSF 的詳細資訊,請參閱開放式網路安全架構。您一次只能選取一個結構描述和格式化資料類型以進行擷取。如果您要新增其他結構描述和格式化資料類型,可以重複擷取建立程序來設定其他擷取目的地。

  6. (選擇性) 如果您要將標籤新增至擷取,請從導覽窗格移至 [擷取] 頁面。若要移至擷取詳細資料頁面,請選取承租人名稱。對於「標籤」,您可以選擇在擷取中新增標籤。標籤是索引鍵值配對,可將中繼資料指派給您建立的資源。若要取得更多資訊,請參閱AWS 標籤編輯器使用指南〉中的〈標記 AWS 資源

  7. 選擇 [設定擷取]。

    成功設定擷取後,您會看到 [開始使用] 頁面上建立的擷取成功訊息。

  8. 您也可以隨時在導覽窗格的 [擷取] 頁面上檢查擷取狀態和擷取目的地狀態。在此頁面上,您可以看到在建立應用程式授權、目的地和擷取狀態時建立的租用戶名稱。擷取的 [已啟用] 狀態表示您的擷取已啟用。如果您在此頁面上選擇應用程式授權的租用戶名稱,則會看到該應用程式授權的詳細資料頁面,包括目的地詳細資料和狀態。擷取目的地的態為「作用中」,表示目的地設定正確且處於作用中狀態。如果應用程式授權具有 [已連線] 狀態,且擷取目的地狀態為 [使用中],則應處理並傳送稽核記錄。如果應用程式授權狀態或擷取目的地狀態為任何失敗狀態,即使擷取狀態已啟用,也不會處理或傳送稽核記錄。若要修正應用程式授權失敗,請參閱步驟 2。授權應用程式

  9. 下表顯示可能的擷取和擷取目的地狀態,以及您可以採取的疑難排解步驟來修正任何錯誤狀態。

    狀態或狀態名稱 描述 疑難排解步驟

    已停用

    擷取的 [已停用] 狀態表示您的擷取已停用。

    您可以從 [擷取] 頁面的 [作] 下拉式清單中選取 [啟用] 來啟用取。

    失敗

    擷取目的地的失敗狀態表示擷取目的地不接受稽核記錄。例如,由於儲存位置已滿,可能會發生此狀態。

    若要修正這些問題,請前往 Amazon S3 或 Firehose 主控台。

步驟 4:使用使用者存取工具

使用基 AppFabric 於安全性的使用者存取工具,安全性和 IT 管理團隊可以使用員工的公司電子郵件地址執行簡單搜尋,快速查看有權存取特定應用程式的使用者。這種方法有助於減少使用者取消佈建等工作所花費的時間,這些工作可能需要手動檢查或稽核使用者跨 SaaS 應用程式的存取。如果找到使用者, AppFabric 為了安全起見,會在應用程式中提供使用者的名稱及其應用程式內使用者狀態 (例如,Active) (如果應用程式提供)。 AppFabric in 安全性會搜索應用程序包中的所有授權應用程序,以返回用戶可以訪問的應用程序列表。

  1. 在 [開始使用] 頁面上,針對步驟 4。使用使用者存取工具,選擇 [查詢使用者]。

  2. 在 [電子郵件地址] 欄位中,輸入使用者的電子郵件地址,然後選擇 [搜尋]。

  3. 在 [搜尋結果] 區段中,您會看到使用者有權存取的所有授權應用程式的清單。若要在應用程式中顯示使用者的名稱及其狀態 (如果有的話),請選取搜尋結果。

  4. 在搜索結果列中找到用戶的消息表示用戶可以訪問列出的應用程序。下表顯示可能的搜尋結果、錯誤,以及解決錯誤時可採取的動作。

    搜尋結果 描述

    找不到該用戶

    找不到使用的電子郵件地址的使用者。

    找不到授權令牌。Connect 應用程序的應用程序授權。

    檢查所有資訊 (例如租用戶 ID、用戶端識別碼和用戶端密碼) 是否已正確輸入應用程式授權。

    授權令牌被撤銷。Connect 應用程序的應用程序授權。

    檢查所有資訊 (例如租用戶 ID、用戶端識別碼和用戶端密碼) 是否已正確輸入應用程式授權。

    我們無法輪換授權令牌。Connect 應用程序的應用程序授權。

    成功連接應用程序授權後,OAuth 刷新令牌失敗。如果此錯誤仍然存在,請檢查應用程式的驗證應用程式。有關詳情,請參閱支援的應用程式

    找不到所需的權限。Connect 應用程序的應用程序授權。

    檢查所有資訊 (例如租用戶 ID、用戶端識別碼和用戶端密碼) 是否已正確輸入應用程式授權。

    應用程式授權無效。

    檢查所有資訊 (例如租用戶 ID、用戶端識別碼和用戶端密碼) 是否已正確輸入應用程式授權。

    由於權限不足,我們無法調用應用程序 API。

    檢查所有資訊 (例如租用戶 ID、用戶端識別碼和用戶端密碼) 是否已正確輸入應用程式授權。

    超出應用程式要求限制。

    這是從應用程式收到的錯誤訊息。您可以稍後嘗試搜尋電子郵件地址。

    應用程式發生內部伺服器錯誤

    這是從應用程式收到的錯誤訊息。您可以稍後嘗試搜尋電子郵件地址。

    應用程式遇到錯誤的閘道錯誤

    這是從應用程式收到的錯誤訊息。您可以稍後嘗試搜尋電子郵件地址。

    應用程序沒有準備好處理請求

    這是從應用程式收到的錯誤訊息。您可以稍後嘗試搜尋電子郵件地址。

    應用程式遇到錯誤的要求錯誤。

    這是我們從應用程式收到的錯誤訊息。您可以稍後再次嘗試搜尋電子郵件。

    應用程式遇到服務無法使用的錯誤。

    這是我們從應用程式收到的錯誤訊息。您可以稍後再次嘗試搜尋電子郵件。

步驟 5:Connect 以 AppFabric 取得安全性工具和其他目的地中的安全性資料

來自的標準化 (或原始) 應用程式資料與任何支援 Amazon S3 資料擷取並與 Firehose 整合的工具相容,包括、、、、和等安全工具 Barracuda XDR Dynatrace Logz.io Netskope NetWitness Rapid7Splunk,或 AppFabric 是您專屬的安全解決方案。若要從中取得標準化 (或原始) 應用程式資料 AppFabric,請依照前面的步驟 1 到 3 執行。如需如何設定特定安全性工具和服務的詳細資訊,請參閱相容的安全性工具和服務