View a markdown version of this page

use AWS AppFabric 的先決條件和建議 - AWS AppFabric
註冊 AWS 帳戶(必要) 完成應用程式先決條件(選用) 建立輸出位置(選用) 建立 AWS KMS 金鑰

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

use AWS AppFabric 的先決條件和建議

如果您是新 AWS 客戶,請先完成此頁面列出的設定先決條件,再開始使用 AWS AppFabric 以確保安全。對於這些設定程序,可以使用 AWS Identity and Access Management (IAM) 服務。如需 IAM 的完整資訊,請參閱《IAM 使用者指南》。

註冊 AWS 帳戶

若要開始使用 AWS,您需要 AWS 帳戶。如需建立 的相關資訊 AWS 帳戶,請參閱《 AWS 帳戶管理 參考指南》中的 入門 AWS 帳戶

(必要) 完成應用程式先決條件

若要使用 AppFabric 安全從應用程式接收使用者資訊和稽核日誌,許多應用程式會要求您有特定的角色和計劃類型。請確定您已檢閱您想要使用 AppFabric 授權的每個應用程式的先決條件,以確保安全,而且您有適當的計劃和角色。如需應用程式特定先決條件的詳細資訊,請參閱支援的應用程式,或選擇下列其中一個應用程式特定主題。

(選用) 建立輸出位置

AppFabric for Security 支援 Amazon Simple Storage Service (Amazon S3) 和 Amazon Data Firehose 作為稽核日誌擷取目的地。

Amazon S3

您可以在建立擷取目的地時,使用 AppFabric 主控台建立新的 Amazon S3 儲存貯體。您也可以使用 Amazon S3 服務建立儲存貯體。如果您選擇使用 Amazon S3 服務建立儲存貯體,則必須在建立 AppFabric 擷取目的地之前建立儲存貯體,然後在建立擷取目的地時選取儲存貯體。您可以選擇在 中使用現有的 Amazon S3 儲存貯體 AWS 帳戶,只要其符合下列現有儲存貯體的要求:

  • 基於安全考量AppFabric 需要您的 Amazon S3 儲存貯體與 Amazon S3 資源位於相同的 AWS 區域 中。

  • 您可以使用下列其中一項來加密儲存貯體:

    • 使用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密

    • 使用 default AWS Key Management Service (AWS KMS) 搭配 () 金鑰 (SSE-KMS) 的伺服器端加密 AWS 受管金鑰 aws/s3

Amazon Data Firehose

您可以選擇使用 Amazon Data Firehose 做為 AppFabric 的安全資料的擷取目的地。若要使用 Firehose,您可以在建立擷取 AWS 帳戶 之前或在 AppFabric 中建立擷取目的地時,在 中建立 Firehose 交付串流。您可以使用 AWS 管理主控台、 AWS CLI或 AWS APIs 或 SDKs 建立 Firehose 交付串流。如需串流組態指示,請參閱下列主題:

使用 Amazon Data Firehose 做為安全輸出目的地 AppFabric 的要求如下:

  • 您必須在與安全資源 AppFabric AWS 區域 相同的 中建立串流。

  • 您必須選取直接 PUT 做為來源。

  • AmazonKinesisFirehoseFullAccess AWS 受管政策連接至您的使用者,或將下列許可連接至您的使用者:

    {
    "Sid": "TagFirehoseDeliveryStream",
    "Effect": "Allow",
    "Action": ["firehose:TagDeliveryStream"],
    "Condition": {
        "ForAllValues:StringEquals": {"aws:TagKeys": "AWSAppFabricManaged"}
    },
    "Resource": "arn:aws:firehose:*:*:deliverystream/*"
}

Firehose 支援與各種第三方安全工具整合,例如 Splunk和 Logz.io。如需有關如何正確設定 Amazon Kinesis 以便將資料輸出到這些工具的資訊,請參閱《Amazon Data Firehose 開發人員指南》中的目的地設定

(選用) 建立 AWS KMS 金鑰

在為安全應用程式套件建立 AppFabric 的過程中,您將選取或設定加密金鑰,以安全地保護資料不受所有授權應用程式影響。此金鑰將用於加密 AppFabric 服務中的資料。

安全 AppFabric 預設會加密資料。安全 AppFabric 可以使用 AppFabric 代表您建立和管理的 AWS 擁有的金鑰 ,或您在 AWS Key Management Service () 中建立和管理的客戶受管金鑰AWS KMS。 AWS 擁有的金鑰 是 AWS 服務 擁有和管理的 AWS KMS 金鑰集合,可用於多個 AWS 帳戶。客戶受管金鑰是您建立、擁有和管理 AWS 帳戶 之 中的 AWS KMS 金鑰。如需 AWS 擁有的金鑰 和客戶受管金鑰的詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的客戶金鑰和 AWS 金鑰

如果您想要使用客戶受管金鑰來加密 AppFabric 中的資料,例如授權字符,為了安全起見,您可以使用 建立一個AWS KMS。如需授予存取客戶受管金鑰之許可政策的詳細資訊 AWS KMS,請參閱本指南的金鑰政策一節。