本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# use AWS AppFabric 的先決條件和建議
<a name="prerequisites"></a>

如果您是新 AWS 客戶，請先完成此頁面列出的設定先決條件，再開始使用 AWS AppFabric 以確保安全。對於這些設定程序，可以使用 AWS Identity and Access Management (IAM) 服務。如需 IAM 的完整資訊，請參閱《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)》。

**Topics**
+ [註冊 AWS 帳戶](#sign-up-for-aws)
+ [建立具有管理存取權的使用者](#create-an-admin)
+ [（必要） 完成應用程式先決條件](#application-prerequisites)
+ [（選用） 建立輸出位置](#create-output-location)
+ [（選用） 建立 AWS KMS 金鑰](#create-kms-keys)

## 註冊 AWS 帳戶
<a name="sign-up-for-aws"></a>

如果您沒有 AWS 帳戶，請完成下列步驟來建立一個。

**註冊 AWS 帳戶**

1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。

1. 請遵循線上指示進行。

   部分註冊程序需接收來電或簡訊，並在電話鍵盤輸入驗證碼。

   當您註冊 時 AWS 帳戶，*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務，請將管理存取權指派給使用者，並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**，以檢視您目前的帳戶活動並管理帳戶。

## 建立具有管理存取權的使用者
<a name="create-an-admin"></a>

註冊 後 AWS 帳戶，請保護您的 AWS 帳戶根使用者 AWS IAM Identity Center、啟用和建立管理使用者，以免將根使用者用於日常任務。

**保護您的 AWS 帳戶根使用者**

1.  選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址，以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中，輸入您的密碼。

   如需使用根使用者登入的說明，請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。

1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

   如需說明，請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 （主控台） 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。

**建立具有管理存取權的使用者**

1. 啟用 IAM Identity Center。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。

1. 在 IAM Identity Center 中，將管理存取權授予使用者。

   如需使用 IAM Identity Center 目錄 做為身分來源的教學課程，請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。

**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署，請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。

  如需使用 IAM Identity Center 使用者登入的說明，請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。

**指派存取權給其他使用者**

1. 在 IAM Identity Center 中，建立一個許可集來遵循套用最低權限的最佳實務。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。

1. 將使用者指派至群組，然後對該群組指派單一登入存取權。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。

## （必要） 完成應用程式先決條件
<a name="application-prerequisites"></a>

若要使用 AppFabric 的安全性從應用程式接收使用者資訊和稽核日誌，許多應用程式會要求您有特定的角色和計劃類型。請確定您已檢閱您想要使用 AppFabric 授權的每個應用程式的先決條件，以確保安全，而且您擁有適當的計劃和角色。如需應用程式特定先決條件的詳細資訊，請參閱[支援的應用程式](supported-applications.md)，或選擇下列其中一個應用程式特定主題。
+ [1Password 為 AppFabric 設定](1password.md)
+ [Asana 為 AppFabric 設定](asana.md)
+ [Azure Monitor 為 AppFabric 設定](azure-monitor.md)
+ [Atlassian Confluence 為 AppFabric 設定](confluence.md)
+ [Atlassian Jira suite 為 AppFabric 設定](jira.md)
+ [Box 為 AppFabric 設定](box.md)
+ [Cisco Duo 為 AppFabric 設定](cisco-duo.md)
+ [Dropbox 為 AppFabric 設定](dropbox.md)
+ [Genesys Cloud 為 AppFabric 設定](genesys.md)
+ [GitHub 為 AppFabric 設定](github.md)
+ [Google Analytics 為 AppFabric 設定](google-analytics.md)
+ [Google Workspace 為 AppFabric 設定](google-workspace.md)
+ [HubSpot 為 AppFabric 設定](hubspot.md)
+ [IBM Security® Verify 為 AppFabric 設定](ibm-security.md)
+ [JumpCloud 為 AppFabric 設定](jumpcloud.md)
+ [為 AppFabric 設定 Microsoft 365](microsoft-365.md)
+ [Miro 為 AppFabric 設定](miro.md)
+ [Okta 為 AppFabric 設定](okta.md)
+ [OneLogin by One Identity 為 AppFabric 設定](onelogin.md)
+ [PagerDuty 為 AppFabric 設定](pagerduty.md)
+ [Ping Identity 為 AppFabric 設定](pingidentity.md)
+ [Salesforce 為 AppFabric 設定](salesforce.md)
+ [ServiceNow 為 AppFabric 設定](servicenow.md)
+ [Singularity Cloud 為 AppFabric 設定](singularity-cloud.md)
+ [Slack 為 AppFabric 設定](slack.md)
+ [Smartsheet 為 AppFabric 設定](smartsheet.md)
+ [Terraform Cloud 為 AppFabric 設定](terraform.md)
+ [Webex by Cisco 為 AppFabric 設定](webex.md)
+ [Zendesk 為 AppFabric 設定](zendesk.md)
+ [Zoom 為 AppFabric 設定](zoom.md)

## （選用） 建立輸出位置
<a name="create-output-location"></a>

AppFabric for security 支援 Amazon Simple Storage Service (Amazon S3) 和 Amazon Data Firehose 作為稽核日誌擷取目的地。

### Amazon S3
<a name="output-location-s3"></a>

您可以在建立擷取目的地時，使用 AppFabric 主控台建立新的 Amazon S3 儲存貯體。您也可以使用 Amazon S3 服務建立儲存貯體。如果您選擇使用 Amazon S3 服務建立儲存貯體，您必須在建立 AppFabric 擷取目的地之前建立儲存貯體，然後在建立擷取目的地時選取儲存貯體。您可以選擇在 中使用現有的 Amazon S3 儲存貯體 AWS 帳戶，只要其符合下列現有儲存貯體的需求：
+ 基於安全考量AppFabric 需要您的 Amazon S3 儲存貯體與 Amazon S3 資源位於相同的 AWS 區域 中。
+ 您可以使用下列其中一項來加密儲存貯體：
  + 使用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密
  + 使用 default AWS Key Management Service (AWS KMS) 搭配 () 金鑰 (SSE-KMS) 的伺服器端加密 AWS 受管金鑰 `aws/s3`。

### Amazon Data Firehose
<a name="output-location-firehose"></a>

您可以選擇使用 Amazon Data Firehose 做為 AppFabric 的安全資料的擷取目的地。若要使用 Firehose，您可以在建立擷取 AWS 帳戶 之前或在 AppFabric 中建立擷取目的地時，在 中建立 Firehose 交付串流。您可以使用 AWS 管理主控台、 AWS CLI或 AWS APIs 或 SDKs 建立 Firehose 交付串流。如需串流組態指示，請參閱下列主題：
+ AWS 管理主控台 指示 – [《Amazon Data Firehose 開發人員指南》中的建立 Amazon Data Firehose 交付串流](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html) **
+ AWS CLI 指示 – 在 *AWS CLI 命令參考*[https://docs.aws.amazon.com/](https://docs.aws.amazon.com/)中 
+ AWS APIs和 SDKs 指示 – 請參閱《*Amazon Data Firehose API 參考*[https://docs.aws.amazon.com/firehose/latest/APIReference/API_CreateDeliveryStream.html](https://docs.aws.amazon.com/firehose/latest/APIReference/API_CreateDeliveryStream.html)》中的 

使用 Amazon Data Firehose 做為安全輸出目的地 AppFabric 的要求如下：
+ 您必須在與安全資源 AppFabric AWS 區域 相同的 中建立串流。
+ 您必須選取**直接 PUT** 做為來源。
+ 將 **AmazonKinesisFirehoseFullAccess** AWS 受管政策連接至您的使用者，或將下列許可連接至您的使用者：

  ```
  {
      "Sid": "TagFirehoseDeliveryStream",
      "Effect": "Allow",
      "Action": ["firehose:TagDeliveryStream"],
      "Condition": {
          "ForAllValues:StringEquals": {"aws:TagKeys": "AWSAppFabricManaged"}
      },
      "Resource": "arn:aws:firehose:*:*:deliverystream/*"
  }
  ```

Firehose 支援與各種第三方安全工具整合，例如 Splunk和 Logz.io。如需有關如何正確設定 Amazon Kinesis 以便將資料輸出到這些工具的資訊，請參閱《*Amazon Data Firehose 開發人員指南*》中的[目的地設定](https://docs.aws.amazon.com/firehose/latest/dev/create-destination.html)。

## （選用） 建立 AWS KMS 金鑰
<a name="create-kms-keys"></a>

在為安全應用程式套件建立 AppFabric 的過程中，您將選取或設定加密金鑰，以安全地保護資料不受所有授權應用程式影響。此金鑰將用於加密 AppFabric 服務中的資料。

安全 AppFabric 預設會加密資料。安全 AppFabric 可以使用 AppFabric 代表您建立和管理的 AWS 擁有的金鑰 ，或您在 AWS Key Management Service () 中建立和管理的客戶受管金鑰AWS KMS。 AWS 擁有的金鑰 是 AWS 服務 擁有和管理的 AWS KMS 金鑰集合，可用於多個 AWS 帳戶。客戶受管金鑰是您建立、擁有和管理 AWS 帳戶 之 中的 AWS KMS 金鑰。如需 AWS 擁有的金鑰 和客戶受管金鑰的詳細資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的[客戶金鑰和 AWS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)。

如果您想要使用客戶受管金鑰來加密 AppFabric 中的資料，例如授權字符，為了安全起見，您可以使用 建立一個[AWS KMS](https://aws.amazon.com/kms/)。如需授予存取客戶受管金鑰之許可政策的詳細資訊 AWS KMS，請參閱本指南的[金鑰政策](data-protection.md#key-policy)一節。