先決條件和建議 - AWS AppFabric
註冊一個 AWS 帳戶建立具有管理權限的使用者(必填) 完整的申請先決條件(選擇性) 建立輸出位置(選擇性) 建立 AWS KMS 金鑰

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

先決條件和建議

如果您是新 AWS 客戶,請先完成此頁面上列出的設定先決條件,然後再開始使 AWS AppFabric 用以確保安全性。對於這些設定程序,可以使用 AWS Identity and Access Management (IAM) 服務。如需 IAM 的完整資訊,請參閱《IAM 使用者指南》。

註冊一個 AWS 帳戶

如果您沒有 AWS 帳戶,請完成以下步驟來建立一個。

若要註冊成為 AWS 帳戶

  1. 開啟 https://portal.aws.amazon.com/billing/signup

  2. 請遵循線上指示進行。

    部分註冊程序需接收來電,並在電話鍵盤輸入驗證碼。

    當您註冊一個時 AWS 帳戶,將創建AWS 帳戶根使用者一個。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。安全性最佳做法是將管理存取權指派給使用者,並僅使用 root 使用者來執行需要 root 使用者存取權的工作。

AWS 註冊過程完成後,會向您發送確認電子郵件。您可以隨時登錄 https://aws.amazon.com/ 並選擇 我的帳戶,以檢視您目前的帳戶活動並管理帳戶。

建立具有管理權限的使用者

註冊後,請保護您的 AWS 帳戶 AWS 帳戶根使用者 AWS IAM Identity Center、啟用和建立系統管理使用者,這樣您就不會將 root 使用者用於日常工作。

保護您的 AWS 帳戶根使用者

  1. 選擇 Root 使用者並輸入您的 AWS 帳戶 電子郵件地址,以帳戶擁有者身分登入。AWS Management Console在下一頁中,輸入您的密碼。

    如需使用根使用者登入的說明,請參閱 AWS 登入 使用者指南中的以根使用者身分登入

  2. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

    如需指示,請參閱《IAM 使用者指南》的為 AWS 帳戶 根使用者啟用虛擬 MFA 裝置 (主控台)

建立具有管理權限的使用者

  1. 啟用 IAM Identity Center。

    如需指示,請參閱 AWS IAM Identity Center 使用者指南中的啟用 AWS IAM Identity Center

  2. 在 IAM 身分中心中,將管理存取權授予使用者。

    若要取得有關使用 IAM Identity Center 目錄 做為身分識別來源的自學課程,請參閱《使用指南》 IAM Identity Center 目錄中的「以預設值設定使用AWS IAM Identity Center 者存取」。

以具有管理權限的使用者身分登入
指派存取權給其他使用者

  1. 在 IAM 身分中心中,建立遵循套用最低權限許可的最佳做法的權限集。

    如需指示,請參閱《AWS IAM Identity Center 使用指南》中的「建立權限集」。

  2. 將使用者指派給群組,然後將單一登入存取權指派給群組。

    如需指示,請參閱《AWS IAM Identity Center 使用指南》中的「新增群組」。

(必填) 完整的申請先決條件

若要使 AppFabric 用安全性來接收應用程式的使用者資訊和稽核記錄,許多應用程式都需要您具有特定的角色和計劃類型。請確定您已針對您要授權安全性的每個應用程式複查先決條件,且您擁有適當的計劃與角色。 AppFabric 如需應用程式特定先決條件的相關資訊,請參閱支援的應用程式,或選擇下列其中一個應用程式特定主題。

(選擇性) 建立輸出位置

AppFabric 對於安全性,支持 Amazon Simple Storage Service (Amazon S3) 和 Amazon 數據 Firehose 作為審計日誌導入目的地。

Amazon S3

您可以在建立擷取目的地時,使用主 AppFabric 控台建立新的 Amazon S3 儲存貯體。您也可以使用 Amazon S3 服務建立儲存貯體。如果您選擇使用 Amazon S3 服務建立儲存貯體,則必須在建立 AppFabric 擷取目的地之前建立儲存貯體,然後在建立擷取目標時選取儲存貯體。您可以選擇在您的儲存貯體中使用現有的 Amazon S3 儲存貯體 AWS 帳戶,只要它符合現有儲存貯體的下列要求:

  • AppFabric 為了安全起見,您的 Amazon S3 儲存貯體必須與您的 Amazon S3 資源位於 AWS 區域 相同的位置。

  • 您可以使用下列其中一種方式加密儲存貯體:

    • 使用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密

    • 使用預 AWS 受管金鑰 設值 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS) 進行伺服器端加密。aws/s3

Amazon 數據 Firehose

您可以選擇使用 Amazon 資料 Firehose 做為安全資料的擷取目 AppFabric 的地。若要使用 Firehose,您可以在建立擷取 AWS 帳戶 之前或在中建立擷取目的地時,先在中建立 Firehose 傳送串流。 AppFabric您可以使用 AWS Management Console、 AWS CLI或 AWS API 或 SDK 建立 Firehose 交付串流。如需串流設定指示,請參閱下列主題:

使用 Amazon 資料 Firehose 做為安全輸出目的地的要求如下: AppFabric

  • 您必須建立與您的安全性資源 AWS 區域 相同 AppFabric 的串流。

  • 您必須選取「直接放入」作為來源。

  • AmazonKinesisFirehoseFullAccess AWS 受管理的原則附加至您的使用者,或將下列權限附加至您的使用者:

    {
    "Sid": "TagFirehoseDeliveryStream",
    "Effect": "Allow",
    "Action": ["firehose:TagDeliveryStream"],
    "Condition": {
        "ForAllValues:StringEquals": {"aws:TagKeys": "AWSAppFabricManaged"}
    },
    "Resource": "arn:aws:firehose:*:*:deliverystream/*"
}

Firehose 支援與各種協力廠商安全性工具的整合,例如Splunk和Logz.io. 如需如何正確設定 Amazon Kinesis 以便將資料輸出到這些工具的詳細資訊,請參閱 Amazon 資料 Firehose 開發人員指南中的目的地設定

(選擇性) 建立 AWS KMS 金鑰

在建立 For Security 應用程式 AppFabric 套件組合的過程中,您將選取或設定加密金鑰,以安全地保護您的資料不受所有授權應用程式的攻擊。此金鑰將用於加密您在 AppFabric 服務中的資料。

AppFabric 為了安全默認加密數據。 AppFabric 為了安全起見,可以使用由 AppFabric 您 AWS 擁有的金鑰 創建和管理的代表或您在 AWS Key Management Service (AWS KMS)中創建和管理的客戶管理密鑰。 AWS 擁有的金鑰 是 AWS 服務 擁有和管理以在多個中使用的 AWS KMS 密鑰的集合 AWS 帳戶。客戶管理的 AWS KMS 金鑰是您 AWS 帳戶 建立、擁有及管理的金鑰。如需有關 AWS 擁有的金鑰 和客戶管理金鑰的詳細資訊,請參閱AWS Key Management Service 開發人員指南中的客戶 AWS 金鑰和金鑰

為了安全起見,如果您想使用客戶託管密鑰來加密數據(例如授權令牌),則可以使用 AWS KMS. AppFabric 如需有關授與客戶管理金鑰存取權的權限原則的詳細資訊 AWS KMS,請參閱本指南的「金鑰政策」一節。