本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 開始使用 AWS AppFabric 以確保安全
<a name="getting-started-security"></a>

若要開始使用 AWS AppFabric 以確保安全，您必須先建立應用程式套件，然後將應用程式授權並連接至應用程式套件。應用程式授權連線至應用程式後，您可以使用 AppFabric 進行安全功能，例如稽核日誌擷取和使用者存取。

本節說明如何在 中開始使用 AppFabric AWS 管理主控台。

**Topics**
+ [先決條件](#getting-started-prerequisites)
+ [步驟 1：建立應用程式套件](#getting-started-1-create-app-bundle)
+ [步驟 2：授權應用程式](#getting-started-2-authorize-application)
+ [步驟 3：設定稽核日誌擷取](#getting-started-3-set-up-ingestion)
+ [步驟 4：使用使用者存取工具](#getting-started-4-user-access-tool)
+ [步驟 5：連線 AppFabric 以取得安全工具和其他目的地中的安全資料](#getting-started-5-connect-appfabric-to-security-tools)

## 先決條件
<a name="getting-started-prerequisites"></a>

開始之前，您必須先建立 AWS 帳戶 和管理使用者。如需詳細資訊，請參閱[註冊 AWS 帳戶](prerequisites.md#sign-up-for-aws)及[建立具有管理存取權的使用者](prerequisites.md#create-an-admin)。

## 步驟 1：建立應用程式套件
<a name="getting-started-1-create-app-bundle"></a>

應用程式套件會存放所有 AppFabric 以進行安全應用程式授權和擷取。若要建立應用程式套件，請設定加密金鑰以安全地保護您的授權應用程式資料。

1. 在 https：//[https://console.aws.amazon.com/appfabric/](https://console.aws.amazon.com/appfabric/) 開啟 AppFabric 主控台。

1. 在頁面右上角的**選取區域**選擇器中，選取 AWS 區域。AppFabric 僅適用於美國東部 （維吉尼亞北部）、歐洲 （愛爾蘭） 和亞太區域 （東京） 區域。

1. 選擇 **Getting started (入門)**。

1. 在**入門**頁面上，針對**步驟 1。建立應用程式套件**，選擇**建立應用程式套件**。

1. 在**加密**區段中，設定加密金鑰以安全地保護您的資料不受所有授權應用程式影響。此金鑰用於加密 AppFabric 中的安全服務資料。

   安全 AppFabric 預設會加密資料。AppFabric 可以代表您使用 AppFabric AWS 擁有的金鑰 建立和管理的 ，也可以使用您在 () 中 AWS Key Management Service 建立和管理的客戶受管金鑰AWS KMS。

1. 針對**AWS KMS 金鑰**，選擇**使用 AWS 擁有的金鑰**或**客戶受管金鑰**。

   如果您選擇使用客戶受管金鑰，請輸入您要使用的現有金鑰的 Amazon Resource Name (ARN) 或金鑰 ID，或選擇**建立 AWS KMS 金鑰**。

   選擇 AWS 擁有的金鑰 或客戶受管金鑰時，請考慮下列事項：
   + **AWS 擁有的金鑰** 是 AWS 服務 擁有和管理用於多個 的 AWS Key Management Service (AWS KMS) 金鑰集合 AWS 帳戶。雖然 AWS 擁有的金鑰 不在您的 中 AWS 帳戶，但 AWS 服務 可以使用 AWS 擁有的金鑰 來保護您帳戶中的資源。 AWS 擁有的金鑰 不計入 AWS KMS 您帳戶的配額。您不需要建立或維護金鑰或其金鑰政策。的輪換 AWS 擁有的金鑰 會因服務而異。如需 AWS 擁有的金鑰 針對 AppFabric 輪換 的相關資訊，請參閱[靜態加密](data-protection.md#encryption-rest)。
   + 客戶受管金鑰是您建立、擁有和管理 AWS 帳戶 之 中的 KMS 金鑰。您可以完全控制這些 AWS KMS 金鑰。您可以建立和維護其金鑰政策、 AWS Identity and Access Management (IAM) 政策和授權。您可以啟用和停用它們、輪換其密碼編譯材料、新增標籤、建立參考 AWS KMS 金鑰的別名，以及排定要刪除的 AWS KMS 金鑰。客戶受管金鑰會出現在 AWS 管理主控台 的客戶**受管金鑰頁面上** AWS KMS。

     若要明確識別客戶受管金鑰，請使用 `DescribeKey`操作。對於客戶受管金鑰，`DescribeKey` 回應的 `KeyManager` 欄位值是 `CUSTOMER`。您可以在密碼編譯操作中使用客戶受管金鑰，並在 AWS CloudTrail 日誌中稽核用量。透過與 整合 AWS 服務 的許多 AWS KMS，您可以指定客戶受管金鑰來保護為您存放和管理的資料。客戶受管金鑰會產生月費，以及超過 AWS 免費方案的使用費。客戶受管金鑰會計入您帳戶的 AWS KMS 配額。

   如需 AWS 擁有的金鑰 和客戶受管金鑰的詳細資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的[客戶金鑰和 AWS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)。
**注意**  
建立應用程式套件時，AppFabric for Security 也會在 AWS 帳戶 稱為 AppFabric 服務連結角色 (SLR) 的 中建立特殊 IAM 角色。它允許服務將指標傳送至 Amazon CloudWatch。新增稽核日誌目的地之後，SLR 允許 AppFabric 存取您的 AWS 資源 (Amazon S3 儲存貯體、Amazon Data Firehose 交付串流）。如需詳細資訊，請參閱[使用 AppFabric 的服務連結角色](using-service-linked-roles.md)。

1. （選用） 對於**標籤**，您可以選擇將標籤新增至應用程式套件。標籤是金鑰值對，可將中繼資料指派給您建立的資源。如需詳細資訊，請參閱*AWS 《標籤編輯器使用者指南*》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

1. 若要建立應用程式套件，請選擇**建立應用程式套件**。

## 步驟 2：授權應用程式
<a name="getting-started-2-authorize-application"></a>

成功建立應用程式套件後，您現在可以授權 AppFabric 進行安全連線，並與每個應用程式互動。授權的應用程式會加密並存放在您的應用程式套件中。若要為每個應用程式套件設定多個應用程式授權，請視需要為每個應用程式重複應用程式授權步驟。

在開始授權應用程式的步驟之前，請在 中檢閱和驗證每個應用程式的先決條件，例如所需的計劃類型[AppFabric 中支援的應用程式以確保安全](supported-applications.md)。

1. 在**入門**頁面上，針對**步驟 2。授權應用程式**，選擇**建立應用程式授權**。

1. 在**應用程式授權**區段中，從應用程式下拉式清單中選取您要授予 AppFabric 安全連線許可**的應用程式**。顯示的應用程式是 AppFabric 目前支援的應用程式，以確保安全。

1. 當您選取應用程式時，會顯示必要的資訊欄位。這些欄位包含租戶 ID 和租戶名稱，也可能包含用戶端 ID、用戶端秘密或個人存取字符。這些欄位的輸入值因應用程式而異。如需如何尋找這些值的詳細應用程式特定指示，請參閱 [AppFabric 中支援的應用程式以確保安全](supported-applications.md)。

1. （選用） 對於**標籤**，您可以選擇將標籤新增至應用程式授權。標籤是金鑰值對，可將中繼資料指派給您建立的資源。如需詳細資訊，請參閱*AWS 《標籤編輯器使用者指南*》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

1. 選擇**建立應用程式授權**。

1. 如果出現快顯視窗 （取決於正在連線的應用程式），請選取**允許** 授權 AppFabric 以與您的應用程式連線。

   如果您的應用程式授權成功，您會在**入門**頁面上看到**連線的應用程式授權**成功訊息。

1. 您可以在導覽窗格中列出的應用程式授權頁面上，於每個應用程式的狀態下，隨時檢查應用程式**授權**的狀態。**已連線**狀態表示您的應用程式授權已授予 AppFabric 以安全連線至應用程式，且已完成。

1. 下表顯示可能的應用程式授權狀態，包括您可以採取來修正相關錯誤的疑難排解步驟。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/appfabric/latest/adminguide/getting-started-security.html)

1. 若要授權其他應用程式，請視需要重複步驟 1 到 8。

## 步驟 3：設定稽核日誌擷取
<a name="getting-started-3-set-up-ingestion"></a>

在應用程式套件中建立至少一個應用程式授權之後，您現在可以設定稽核日誌擷取。稽核日誌擷取會使用授權應用程式的稽核日誌，並將其標準化為開放式網路安全結構描述架構 (OCSF)。然後，它會將其交付至其中的一或多個目的地 AWS。您也可以選擇將原始 JSON 檔案交付至目的地。

1. 在**入門**頁面上，針對**步驟 3。設定稽核日誌擷取**區段，選取**擷取快速設定**。
**注意**  
為了加快設定速度，請使用**擷取快速設定**頁面，只能從**入門**頁面存取，以相同的擷取目的地一次為多個應用程式授權建立擷取。例如，相同的 Amazon S3 儲存貯體或 Amazon Data Firehose 資料串流。  
您也可以從擷取頁面建立**擷取**，可從導覽窗格存取。在**擷取**頁面上，您可以一次設定一個擷取至不同的目的地。在**擷取**頁面上，您也可以為擷取建立標籤。下列指示適用於**擷取快速設定**頁面。

1. 針對**選取應用程式授權**，選取您要為其建立稽核日誌擷取的應用程式授權。出現在**應用程式授權**下拉式清單中的租用戶名稱是您先前使用 AppFabric 建立應用程式授權的應用程式租用戶名稱，以確保安全。

1. 對於**新增目的地**，請為您選取的應用程式選取稽核日誌擷取的目的地。目的地選項包括 **Amazon S3 - 現有儲存貯體**、**Amazon S3 - 新儲存貯體**或 **Amazon Data Firehose**。如果您選取多個租用戶名稱，您選擇的目的地會套用至應用程式授權的每個擷取。

1. 當您選擇目的地時，會顯示其他必要欄位。

   1. 如果您選擇 **Amazon S3 — 新儲存貯**體做為目的地，則必須輸入要建立的 S3 儲存貯體名稱。如需如何建立 Amazon S3 儲存貯體的詳細資訊，請參閱[建立輸出目的地](prerequisites.md#create-output-location)。

   1. 如果您選擇 **Amazon S3 — 現有的儲存貯**體做為目的地，請選取您要使用的 Amazon S3 儲存貯體名稱。

   1. 如果您選擇 **Amazon Data Firehose** 做為目的地，請從 Firehose 交付串流名稱下拉式清單中選取交付串流的名稱。如需如何建立 Amazon Data Firehose 交付串流的更多說明，請參閱[建立輸出目的地](prerequisites.md#create-output-location)，並記下 AppFabric 所需的許可政策，以確保安全。

1. 對於**結構描述和格式**，您可以選擇將稽核日誌存放在**原始 - JSON**、**OCSF - JSON**、**OCSF - Parquet Amazon S3 儲存貯**體，或**原始 - JSON 或 OCSF-JSON for Firehose**。

   原始資料格式提供從資料字串轉換為 JSON 的稽核日誌資料。OCSF 資料格式會將稽核日誌資料標準化為 AppFabric，以實現安全性開放式網路安全結構描述架構 (OCSF) 結構描述。如需 AppFabric 如何使用 OCSF 的詳細資訊，請參閱 [開放式網路安全結構描述架構 for AWS AppFabric](ocsf-schema.md)。您一次只能為擷取選取一個結構描述和格式資料類型。如果您想要新增額外的結構描述和格式資料類型，您可以透過重複擷取建立程序來設定額外的擷取目的地。

1. （選用） 如果您想要將標籤新增至擷取，請從導覽窗格前往**擷取**頁面。若要前往擷取詳細資訊頁面，請選取租戶名稱。對於**標籤**，您可以選擇將標籤新增至擷取。標籤是金鑰值對，可將中繼資料指派給您建立的資源。如需詳細資訊，請參閱*AWS 《標籤編輯器使用者指南*》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

1. 選擇**設定擷取**。

   當您成功設定擷取時，您會在**入門**頁面上看到**建立的擷取**成功訊息。

1. 您也可以隨時在導覽窗格的擷取頁面上檢查**擷取**狀態和擷取目的地的狀態。在此頁面上，您可以看到在建立應用程式授權、目的地和擷取狀態時建立的租戶名稱。**啟用**擷取的狀態表示您的擷取已啟用。如果您在此頁面選擇應用程式授權的租戶名稱，您可以看到該應用程式授權的詳細資訊頁面，包括目的地詳細資訊和狀態。擷取目的地的狀態為**作用中**，表示目的地設定正確且作用中。如果應用程式授權的狀態為**已連線**，且擷取目的地狀態為**作用中**，則應處理並交付稽核日誌。如果應用程式授權狀態或擷取目的地狀態是任何失敗狀態，即使啟用擷取狀態，也不會處理或交付稽核日誌。若要修正應用程式授權失敗，請參閱[步驟 2。授權應用程式](#getting-started-2-authorize-application)。

1. 下表顯示可能的擷取和擷取目的地狀態，其中包含您可以採取的故障診斷步驟來修正任何錯誤狀態。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/appfabric/latest/adminguide/getting-started-security.html)

## 步驟 4：使用使用者存取工具
<a name="getting-started-4-user-access-tool"></a>

使用 AppFabric 進行安全使用者存取工具，安全與 IT 管理員團隊可以使用員工的公司電子郵件地址執行簡單的搜尋，快速查看誰可以存取特定應用程式。此方法有助於減少在使用者取消佈建等任務上花費的時間，這些任務可能需要在 SaaS 應用程式中手動檢查或稽核使用者的存取權。如果找到使用者，AppFabric for Security 會在應用程式中提供使用者名稱及其應用程式內使用者狀態 （例如 Active)。AppFabric 會搜尋應用程式套件中的所有授權應用程式，以傳回使用者可存取的應用程式清單。

1. 在**入門**頁面上，針對**步驟 4。使用使用者存取工具**，選擇**查詢使用者**。

1. 在**電子郵件地址**欄位中，輸入使用者的電子郵件地址，然後選擇**搜尋**。

1. 在**搜尋結果**區段中，您會看到使用者可存取的所有授權應用程式清單。若要在應用程式中顯示使用者名稱及其狀態 （如果有的話），請選取搜尋結果。

1. 在搜尋結果欄中**找到的使用者**訊息表示使用者可以存取列出的應用程式。下表顯示可能的搜尋結果、錯誤，以及您可以採取以解決錯誤的動作。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/appfabric/latest/adminguide/getting-started-security.html)

## 步驟 5：連線 AppFabric 以取得安全工具和其他目的地中的安全資料
<a name="getting-started-5-connect-appfabric-to-security-tools"></a>

來自 AppFabric 的標準化 （或原始） 應用程式資料與支援從 Amazon S3 擷取資料並與 Firehose 整合的任何工具相容，包括 Barracuda XDR、Dynatrace、、Rapid7、、 Logz.io Netskope NetWitness和 等安全工具Splunk，或您的專屬安全解決方案。若要從 AppFabric 取得標準化 （或原始） 應用程式資料，請遵循先前的步驟 1 到 3。如需如何設定特定安全工具和服務的詳細資訊，請參閱[相容的安全工具和服務](security-tools.md)。