本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
先决条件和使用建议 AWS AppFabric
如果您是新 AWS 客户,请先完成本页列出的设置先决条件,然后再开始使用 AWS AppFabric 以提高安全性。对于这些设置过程,您可以使用 AWS Identity and Access Management (IAM)服务。有关 IAM 的完整信息,请参阅《IAM 用户指南》。
注册获取 AWS 账户
如果您没有 AWS 账户,请完成以下步骤来创建一个。
报名参加 AWS 账户
打开https://portal.aws.amazon.com/billing/注册。
按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建AWS 账户根用户一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行需要根用户访问权限的任务。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 https://aws.amazon.com/
创建具有管理访问权限的用户
注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。
保护你的 AWS 账户根用户
-
选择 Root 用户并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。AWS Management Console
在下一页上,输入您的密码。 要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》中的 Signing in as the root user。
-
为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I A M 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)。
创建具有管理访问权限的用户
-
启用 IAM Identity Center。
有关说明,请参阅《AWS IAM Identity Center 用户指南》中的 Enabling AWS IAM Identity Center。
-
在 IAM Identity Center 中,为用户授予管理访问权限。
有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《用户指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户访问权限。
以具有管理访问权限的用户身份登录
-
要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录网址。
有关使用 IAM Identity Center 用户登录的帮助,请参阅AWS 登录 用户指南中的登录 AWS 访问门户。
将访问权限分配给其他用户
-
在 IAM Identity Center 中,创建一个权限集,该权限集遵循应用最低权限的最佳做法。
有关说明,请参阅《AWS IAM Identity Center 用户指南》中的 Create a permission set。
-
将用户分配到一个组,然后为该组分配单点登录访问权限。
有关说明,请参阅《AWS IAM Identity Center 用户指南》中的 Add groups。
(必需)完成应用程序先决条件
AppFabric 为了确保从应用程序接收用户信息和审核日志的安全性,许多应用程序都要求您具有特定的角色和计划类型。为了安全起见,请确保您已查看要授权的每个应用程序 AppFabric 的先决条件,并且您有正确的计划和角色。有关特定于应用程序的先决条件的更多信息,请参阅支持的应用程序,或选择以下应用程序特定主题之一。
(可选)创建输出位置
AppFabric 为了安全起见,支持将亚马逊简单存储服务 (Amazon S3) Service 和 Amazon Data Firehose 作为审核日志摄取目标。
Amazon S3
在创建接收目标时,您可以使用 AppFabric 控制台创建新的 Amazon S3 存储桶。您还可以使用 Amazon S3 服务创建存储桶。如果您选择使用 Amazon S3 服务创建存储桶,则必须在创建 AppFabric 提取目标之前创建存储桶,然后在创建接收目标时选择存储桶。只要现有的 Amazon S3 存储桶满足现有存储桶的以下要求 AWS 账户,您就可以选择使用该存储桶中的现有 Amazon S3 存储桶:
-
AppFabric 为了安全起见,要求您的 Amazon S3 存储桶与您的 Amazon S3 资源 AWS 区域 相同。
-
您可以使用以下方法之一对存储桶进行加密:
-
具有 Amazon S3 托管密钥的服务器端加密(SSE-S3)
-
使用 AWS Key Management Service (AWS KMS) 密钥进行服务器端加密 (SSE-KMS),使用默认值 AWS 托管式密钥 ()。
aws/s3
-
Amazon Data Firehose
您可以选择使用 Amazon Data Firehose 作为安全数据的接收目的地。 AppFabric 要使用 Firehose,您可以在创建摄取 AWS 账户 之前或在中创建摄取目标时在中创建 Firehose 传送流。 AppFabric您可以使用 AWS Management Console、 AWS CLI、或创建 Firehose 传送流。 AWS APIs SDKs有关流配置说明,请参阅以下主题:
-
AWS Management Console 说明 — 在《亚马逊数据 Firehose 开发者指南》中创建亚马逊数据 Firehose 传送流
-
AWS CLI 指令 — create-delivery-stream在《AWS CLI 命令参考》中
-
AWS APIs 和 SDKs 说明 — CreateDeliveryStream在 Amazon Data Firehos e API 参考中
出于安全考虑,使用 Amazon Data Fireh AppFabric ose 作为输出目标时的要求如下:
-
AppFabric 对于安全资源,您必须使用与您 AWS 区域 相同的方法创建直播。
-
必须选择直接 PUT 作为来源。
-
将AmazonKinesisFirehoseFullAccess AWS 托管策略附加到您的用户,或者为您的用户附加以下权限:
{ "Sid": "TagFirehoseDeliveryStream", "Effect": "Allow", "Action": ["firehose:TagDeliveryStream"], "Condition": { "ForAllValues:StringEquals": {"aws:TagKeys": "AWSAppFabricManaged"} }, "Resource": "arn:aws:firehose:*:*:deliverystream/*" }
Firehose 支持与各种第三方安全工具集成,例如Splunk和。Logz.io有关如何正确配置 Amazon Kinesis 以使其向这些工具输出数据的信息,请参阅《亚马逊数据 Firehose 开发者指南》中的目标设置。
(可选)创建 AWS KMS 密钥
在创建安全应用程序捆绑包的过程中,您将选择或设置加密密钥,以安全地保护您的数据免受所有授权应用程序的侵害。 AppFabric 此密钥将用于在 AppFabric 服务中加密您的数据。
AppFabric 为了安全起见,默认情况下会加密数据。 AppFabric 为了安全起见,可以使用代表您 AWS 拥有的密钥 创建和管理的 AppFabric 密钥,也可以使用您在 AWS Key Management Service (AWS KMS) 中创建和管理的客户托管密钥。 AWS 拥有的密钥 是 a AWS 服务 拥有并管理的 AWS KMS 密钥集合,用于多个密钥 AWS 账户。客户管理的密 AWS KMS 钥 AWS 账户 是您创建、拥有和管理的密钥。有关客户托管密钥 AWS 拥有的密钥 的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的客户 AWS 密钥和密钥。
为了安全起见,如果您想使用客户管理的密钥来加密数据(例如授权令牌),则可以使用创建一个AWS KMS
