Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Prérequis et recommandations d'utilisation AWS AppFabric
Si vous êtes un nouveau AWS client, répondez aux exigences de configuration répertoriées sur cette page avant de commencer à utiliser AWS AppFabric pour des raisons de sécurité. Pour ces procédures de configuration, vous utilisez le service Gestion des identités et des accès AWS (IAM). Pour des informations complètes sur IAM, consultez le Guide de l'utilisateur IAM.
Rubriques
Inscrivez-vous pour un Compte AWS
Pour commencer AWS, vous avez besoin d'un Compte AWS. Pour plus d'informations sur la création d'un Compte AWS, voir Getting started with an Compte AWS dans le Guide de Gestion de compte AWS référence.
(Obligatoire) Compléter les prérequis de candidature
AppFabric Pour pouvoir recevoir des informations sur les utilisateurs et des journaux d'audit de la part des applications à des fins de sécurité, de nombreuses applications nécessitent que vous disposiez de types de rôles et de plans spécifiques. Assurez-vous d'avoir examiné les conditions requises pour chaque application que vous souhaitez autoriser AppFabric pour des raisons de sécurité, et que vous disposez des plans et des rôles appropriés. Pour plus d'informations sur les prérequis spécifiques à l'application, consultez la section Applications prises en charge ou choisissez l'une des rubriques spécifiques à l'application suivantes.
(Facultatif) Créez un emplacement de sortie
AppFabric for security prend en charge Amazon Simple Storage Service (Amazon S3) et Amazon Data Firehose en tant que destinations d'ingestion des journaux d'audit.
Amazon S3
Vous pouvez créer un nouveau compartiment Amazon S3 à l'aide de la AppFabric console lorsque vous créez une destination d'ingestion. Vous pouvez également créer un compartiment à l'aide du service Amazon S3. Si vous choisissez de créer votre compartiment à l'aide du service Amazon S3, vous devez le créer avant de créer la destination d' AppFabric ingestion, puis sélectionner le compartiment lorsque vous créez la destination d'ingestion. Vous pouvez choisir d'utiliser un compartiment Amazon S3 existant dans votre compartiment Compte AWS, à condition qu'il réponde aux exigences suivantes pour les compartiments existants :
-
AppFabric pour des raisons de sécurité, votre compartiment Amazon S3 doit se trouver dans le même Région AWS emplacement que vos ressources Amazon S3.
-
Vous pouvez chiffrer votre bucket à l'aide de l'une des méthodes suivantes :
-
Server-side chiffrement avec des clés gérées par Amazon S3 (SSE-S3)
-
Server-side chiffrement avec AWS Key Management Service (AWS KMS) keys (SSE-KMS) en utilisant la valeur par défaut Clé gérée par AWS (
aws/s3).
-
Amazon Data Firehose
Vous pouvez choisir d'utiliser Amazon Data Firehose comme destination d'ingestion AppFabric pour les données de sécurité. Pour utiliser Firehose, vous pouvez créer le flux de diffusion Firehose dans votre flux Compte AWS avant de créer une ingestion ou pendant que vous créez une destination d'ingestion dans. AppFabric Vous pouvez créer un flux de diffusion Firehose à l'aide AWS Management Console des AWS CLI AWS API ou des SDK. Pour les instructions de configuration des flux, consultez les rubriques suivantes :
-
AWS Management Console instructions — Création d'un flux de diffusion Amazon Data Firehose dans le manuel du développeur Amazon Data Firehose
-
AWS CLI instructions — create-delivery-streamdans le manuel de référence des AWS CLI commandes
-
AWS Instructions relatives aux API et aux SDK, CreateDeliveryStreamdans le manuel Amazon Data Firehose API Reference
Les exigences relatives à l'utilisation d'Amazon Data Firehose comme destination de sortie AppFabric pour des raisons de sécurité sont les suivantes :
-
Vous devez créer le flux de la même manière Région AWS que vos ressources AppFabric de sécurité.
-
Vous devez sélectionner Direct PUT comme source.
-
Associez une politique AmazonKinesisFirehoseFullAccess AWS gérée à votre utilisateur ou associez les autorisations suivantes à votre utilisateur :
{ "Sid": "TagFirehoseDeliveryStream", "Effect": "Allow", "Action": ["firehose:TagDeliveryStream"], "Condition": { "ForAllValues:StringEquals": {"aws:TagKeys": "AWSAppFabricManaged"} }, "Resource": "arn:aws:firehose:*:*:deliverystream/*" }
Firehose prend en charge l'intégration avec divers outils de sécurité tiers, tels que Splunk et. Logz.io Pour savoir comment configurer correctement Amazon Kinesis afin qu'il génère des données vers ces outils, consultez les paramètres de destination dans le manuel Amazon Data Firehose Developer Guide.
(Facultatif) Créez un AWS KMS clé
Lors de la création d'un ensemble AppFabric d'applications de sécurité, vous devez sélectionner ou configurer une clé de chiffrement pour protéger vos données de manière sécurisée contre toutes les applications autorisées. Cette clé sera utilisée pour chiffrer vos données au sein du AppFabric service.
AppFabric pour des raisons de sécurité, chiffre les données par défaut. AppFabric pour des raisons de sécurité, vous pouvez utiliser une clé Clé détenue par AWS créée et gérée en votre nom ou une clé gérée par AppFabric le client que vous créez et gérez dans AWS Key Management Service (AWS KMS). Clés détenues par AWS sont un ensemble de AWS KMS clés qu'un utilisateur Service AWS possède et gère pour une utilisation multiple Comptes AWS. Les clés gérées par le client sont des AWS KMS clés Compte AWS que vous créez, détenez et gérez. Pour plus d'informations sur Clés détenues par AWS les clés gérées par le client, consultez la section Clés et AWS clés client dans le guide du AWS Key Management Service développeur.
Si vous souhaitez utiliser une clé gérée par le client pour chiffrer vos données, telles que des jetons d'autorisation, AppFabric pour des raisons de sécurité, vous pouvez en créer une avec AWS KMS
