翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# セキュリティのための AWS AppFabric の使用を開始する
AWS AppFabric for security の使用を開始するには、先にアプリバンドルを作成してから、アプリケーションを認可しアプリバンドルに接続する必要があります。アプリ認証がアプリケーションに接続されると、監査ログの取り込みやユーザーアクセスなどの AppFabric for security の機能を使用できるようになります。
このセクションでは、 で AppFabric の使用を開始する方法について説明します AWS マネジメントコンソール。
**Topics**
+ [
## 前提条件
](#getting-started-prerequisites)
+ [
## ステップ 1: アプリケーションバンドルを作成する
](#getting-started-1-create-app-bundle)
+ [
## ステップ 2: アプリケーションを認可する
](#getting-started-2-authorize-application)
+ [
## ステップ 3: 監査ログの取り込みの設定
](#getting-started-3-set-up-ingestion)
+ [
## ステップ 4: ユーザーアクセスツールを使用する
](#getting-started-4-user-access-tool)
+ [
## ステップ 5: セキュリティツールやその他の転送先にある AppFabric for security データに接続する
](#getting-started-5-connect-appfabric-to-security-tools)
## 前提条件
開始する前に、まず AWS アカウント と管理ユーザーを作成する必要があります。詳細については、「[にサインアップする AWS アカウント](prerequisites.md#sign-up-for-aws)」および「[管理アクセスを持つユーザーを作成する](prerequisites.md#create-an-admin)」を参照してください。
## ステップ 1: アプリケーションバンドルを作成する
アプリバンドルには、AppFabric for security アプリの承認と取り込みがすべて保存されます。アプリバンドルを作成するには、認証されたアプリケーションデータを安全に保護するための暗号化キーを設定します。
1. [https://console.aws.amazon.com/appfabric/](https://console.aws.amazon.com/appfabric/) にある AppFabric コンソールを開きます。
1. ページの右上隅にある **[リージョンの選択]** セレクターで AWS リージョンを選択します。AppFabric は米国東部 (バージニア北部)、欧州 (アイルランド)、およびアジアパシフィック (東京) の各リージョンでのみご利用いただけます。
1. [**開始方法**] を選択します。
1. **[開始方法]** ページの **[ステップ 1] を行います。[アプリバンドルの作成]** で **[アプリバンドルの作成]** を選択します。
1. **[暗号化]** セクションで、認証されたすべてのアプリケーションからのデータを安全に保護するための暗号化キーを設定します。このキーは、AppFabric for security サービス内の、データの暗号化に使用されます。
AppFabric for security はデフォルトでデータを暗号化します。AppFabric は、ユーザーに代わって AppFabric によって AWS 所有のキー 作成および管理される 、または () で AWS Key Management Service 作成および管理されるカスタマーマネージドキーを使用できますAWS KMS。
1. **[AWS KMS キー]** には、**[使用 AWS 所有のキー]** または **[カスタマーマネージドキー]** を選択します。
カスタマーマネージドキーを選んで使用する場合は、Amazon リソースネーム (ARN) または使用したい既存のキーのキー ID のいずれかを入力するか、あるいは **[ AWS KMS キーの作成]** を選択します。
AWS 所有のキー またはカスタマーマネージドキーを選択するときは、次の点を考慮してください。
+ **AWS 所有のキー** は、 が複数の で使用するために AWS のサービス 所有および管理する AWS Key Management Service (AWS KMS) キーのコレクションです AWS アカウント。 AWS 所有のキー は にはありませんが AWS アカウント、 は AWS 所有のキー を使用してアカウントのリソースを保護 AWS のサービス できます。アカウントのクォータには AWS KMS カウント AWS 所有のキー されません。キーまたはそのキーポリシーを作成または管理する必要はありません。のローテーションはサービス AWS 所有のキー によって異なります。AppFabric の AWS 所有のキー ローテーションの詳細については、「[保管データ暗号化](data-protection.md#encryption-rest)」を参照してください。
+ カスタマーマネージドキーは、ユーザーが作成、所有、管理する の KMS キー AWS アカウント です。これらの AWS KMS キーは完全に制御できます。キーポリシー、 AWS Identity and Access Management (IAM) ポリシー、グラントを確立し維持することができます。それらを有効または無効にしたり、暗号化マテリアルをローテーションしたり、タグを追加したり、 AWS KMS キーを参照するエイリアスを作成したり、 AWS KMS キーの削除をスケジュールしたりできます。カスタマーマネージドキーは、 AWS マネジメントコンソール の**カスタマーマネージドキーページ**に表示されます AWS KMS。
カスタマーマネージドキーを明確に識別するには、`DescribeKey` オペレーションを使用します。カスタマーマネージドキーでは、`DescribeKey` レスポンスの `KeyManager` フィールドの値は `CUSTOMER` です。暗号化オペレーションではカスタマーマネージドキーを使用し、 AWS CloudTrail ログでは使用状況を監査できます。と統合 AWS のサービス する多くの では AWS KMS、カスタマーマネージドキーを指定して、保存および管理されるデータを保護できます。カスタマーマネージドキーには、月額料金と AWS 無料利用枠を超える使用料が発生します。カスタマーマネージドキーは、アカウントの AWS KMS クォータに対してカウントされます。
AWS 所有のキー およびカスタマーマネージドキーの詳細については、 *AWS Key Management Service デベロッパーガイド*の[「カスタマーキーと AWS キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)」を参照してください。
**注記**
アプリバンドルが作成されると、AppFabric for security は AWS アカウント にAppFabric サービスにリンクされたロール (SLR) と呼ばれる特別な IAM ロールも作成します。これにより、サービスは Amazon CloudWatch にメトリクスを送信することができます。監査ログの送信先を追加すると、SLR は AppFabric for security サービスに AWS リソース (Amazon S3 バケット、Amazon Data Firehose 配信ストリーム) へのアクセスを許可します。詳細については、「[AppFabric のサービスリンクロールの使用](using-service-linked-roles.md)」を参照してください。
1. (オプション) **[タグ]** で、アプリバンドルにタグを追加することができます。タグは、作成したリソースにメタデータを割り当てるキーと値のペアです。詳細については、[「タグエディタユーザーガイド」の AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)「リソースのタグ付け」を参照してください。 *AWS *
1. アプリバンドルを作成するには、**[アプリバンドルの作成]** を選択します。
## ステップ 2: アプリケーションを認可する
アプリバンドルが正常に作成されたら、AppFabric for security に各アプリケーションへの接続と操作を許可できるようになります。認証されたアプリケーションは暗号化され、アプリバンドルに保存されます。アプリバンドルごとに複数のアプリ認可を設定するには、アプリケーションごとに必要に応じてアプリ認可手順を繰り返します。
アプリケーションを認可する手順を開始する前に、[AppFabric for security でサポートされているアプリケーション](supported-applications.md)で各アプリケーションの前提条件 (必要なプランタイプなど) をよく確認してください。
1. **[開始方法]** ページの **[ステップ 2] を行います。アプリケーションを承認**し、**アプリケーション認可の作成**を選択します。
1. **アプリ認可**セクションで、アプリケーションドロップダウンから AppFabric for security が に接続するためのアクセス許可を付与する**アプリケーション**を選択します。表示されるアプリケーションは、現在 AppFabric for security でサポートされているものです。
1. アプリケーションを選択すると、必須の情報フィールドが表示されます。これらのフィールドには、テナント ID とテナント名のほか、クライアント ID、クライアントシークレット、または個人アクセストークンが含まれる場合があります。これらのフィールドの入力値はアプリケーションによって異なります。これらの値の検索方法に関するアプリケーション別の詳細な手順については、「[AppFabric for security でサポートされているアプリケーション](supported-applications.md)」を参照してください。
1. (オプション) **タグ**には、アプリ認可にタグを追加するオプションがあります。タグは、作成したリソースにメタデータを割り当てるキーと値のペアです。詳細については、[「タグエディタユーザーガイド」の AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)「リソースのタグ付け」を参照してください。 *AWS *
1. **「アプリ認可の作成**」を選択します。
1. ポップアップウィンドウが表示されたら (接続中のアプリケーションによる)、**[許可]** を選択して AppFabric for security のアプリケーションへの接続を許可します。
アプリ認可が成功すると、**「開始方法**」ページ**にアプリ認可**の成功メッセージが表示されます。
1. アプリ認可のステータスは、ナビゲーションペインに一覧表示されている**アプリ認可**ページで、各アプリケーションのステータスでいつでも確認できます。**接続**ステータスは、AppFabric for security がアプリケーションに接続するためのアプリ認可が付与され、完了したことを意味します。
1. 関連するエラーを修正するために実行できるトラブルシューティング手順を含め、考えられるアプリ認可ステータスを以下の表に示します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/appfabric/latest/adminguide/getting-started-security.html)
1. 他のアプリケーションを認可するには、必要に応じてステップ 1 ~ 8 を繰り返します。
## ステップ 3: 監査ログの取り込みの設定
アプリバンドルで少なくとも 1 つのアプリ認可を作成したら、監査ログの取り込みを設定できるようになります。監査ログの取り込みにより、認証アプリからの監査ログが消費され、オープンサイバーセキュリティスキーマフレームワーク (OCSF) に標準化されます。次に、それらは AWS内の1つまたは複数の転送先に配信されます。Raw JSON ファイルを転送先に配信することもできます。
1. **[開始方法]** ページの **[ステップ 3] を行います。[監査ログ取り込みの設定]** セクションで、**[取り込みの Quick Setup]** を選択します。
**注記**
セットアップを迅速に行うには、**[開始方法]** ページからのみアクセスできる **[取り込みの Quick Setup]** ページを使用して、同じ転送先に対する複数のアプリ認証の取り込みを一度に作成します。たとえば、同じ Amazon S3 バケットまたは Amazon Data Firehose データストリームなどです。
ナビゲーションペインからアクセスできる **[取り込み]** ページから取り込みを作成することもできます。**[取り込み]** ページでは、異なる転送先への取り込みを一度に 1 つずつ設定できます。**[取り込み]** ページでは、取り込みのタグを作成することもできます。以下は、**[取り込みのクイックセットアップ]** ページの説明です。
1. **[アプリ認証の選択]** で、監査ログの取り込みを作成したいアプリ認証を選択します。**App Authorizations** ドロップダウンに表示されるテナント名は、AppFabric for security で のアプリケーション認可を以前に作成したアプリケーションのテナント名です。
1. **[転送先の追加]** では、選択したアプリケーションの監査ログの取り込み先を選択します。送信先オプションには、**Amazon S3 - 既存のバケット**、**Amazon S3 - 新しいバケット**、または **Amazon Data Firehose** が含まれます。複数のテナント名を選択した場合、選択した転送先がアプリケーション認可の取り込みのたびに適用されます。
1. 転送先を選択すると、追加の必須フィールドが表示されます。
1. **[Amazon S3 — 新規バケット]** を転送先として選択した場合は、作成したい S3 バケットの名前を入力する必要があります。Amazon S3 バケットの作成に関する詳しい手順については、「[出力先の作成](prerequisites.md#create-output-location)」を参照してください。
1. **[Amazon S3 — 既存のバケット]** を送信先として選択した場合は、使用したい Amazon S3 バケットの名前を選択します。
1. 送信先として **Amazon Data Firehose** を選択した場合は、Firehose 配信ストリーム名のドロップダウンリストから配信ストリームの名前を選択します。Amazon Data Firehose 配信ストリームを作成する方法の詳細については、[「出力先の作成](prerequisites.md#create-output-location)」およびAppFabric for security」に必要なアクセス許可ポリシーを書き留めてください。
1. **Schema & Format** では、監査ログを Amazon S3 バケットの場合は **Raw - JSON**、**OCSF - JSON**、OCSF - に、**Firehose の場合は Raw - JSON または OCSF-JSON **に保存できます。 ** Parquet Amazon S3 **
Raw データ形式では、監査ログデータがデータ文字列から JSON に変換されます。OCSF データ形式は、監査ログデータを AppFabric for security のオープンサイバーセキュリティスキーマフレームワーク (OCSF) スキーマに正規化します。AppFabric がOCSF を使用する方法については、「[AWS AppFabric 用のオープンサイバーセキュリティスキーマフレームワーク](ocsf-schema.md)」を参照してください。一度に取り込むことができるスキーマと形式のデータタイプは 1 つだけです。スキーマと形式のデータタイプを追加する場合は、取り込み作成プロセスを繰り返すことで追加の取り込み先を設定できます。
1. (オプション) 取り込みにタグを追加する場合は、ナビゲーションペインの **[取り込み]** ページに移動します。「取り込みの詳細」ページに移動するには、テナント名を選択します。**[タグ]** で、取り込みにタグを追加することができます。タグは、作成したリソースにメタデータを割り当てるキーと値のペアです。詳細については、[「タグエディタユーザーガイド」の AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)「リソースのタグ付け」を参照してください。 *AWS *
1. **[取り込みの設定]** を選択します。
取り込みの設定が正常に完了すると、**[開始方法]** ページに **[取り込みが作成されました]** という成功メッセージが表示されます。
1. また、ナビゲーションペインの **[取り込み]** ページで、取り込みの状態と取り込み先のステータスをいつでも確認できます。このページでは、アプリ認可の作成時に作成されたテナント名、転送先、および取り込みの状態を確認することができます。取り込みの状態が **[有効]** の場合は、取り込みが有効になっていることを意味します。このページでアプリ認可のテナント名を選択すると、転送先の詳細やステータスなど、そのアプリ認可の詳細ページが表示されます。取り込み先のステータスが **[有効]** の場合は、その取り込み先が適切に設定され、有効になっていることを意味します。アプリ認可のステータスが**接続**済みで、取り込み先のステータスが**アクティブ**の場合、監査ログを処理して配信する必要があります。アプリ認可ステータスまたは取り込み先ステータスがいずれかの「失敗」状態である場合、取り込みステータスが有効になっていても監査ログは処理も配信もされません。アプリケーション認可の失敗を修正するには、[「ステップ 2」を参照してください。アプリケーションを認可する](#getting-started-2-authorize-application)。
1. エラーステータスを修正するために実行できるトラブルシューティング手順を含め、考えられる取り込み先と取り込み先ステータスを以下の表に示します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/appfabric/latest/adminguide/getting-started-security.html)
## ステップ 4: ユーザーアクセスツールを使用する
AppFabric for security ユーザーアクセスツールを使用すると、セキュリティチームと IT 管理者チームは、従業員の会社のメールアドレスを使った簡単な検索を実行することで特定のアプリケーションへのアクセス権を持つ人をすばやく確認することができます。このアプローチは、ユーザーのプロビジョニング解除など、SaaS アプリケーション全体にわたるユーザーアクセスを手動で確認または監査する必要があるタスクに費やす時間を削減するのに役立ちます。ユーザーが特定できたら、AppFabric for security はアプリケーション内のユーザー名と、アプリケーションが提供している場合はアプリ内ユーザーステータス (有効など) を表示します。AppFabric for security はアプリバンドル内のすべての認証済みアプリケーションを検索して、ユーザーがアクセスできるアプリケーションのリストを返します。
1. **[開始方法]** ページの **[ステップ 4] を行います。[ユーザーアクセスツール]** を使用して、[**ユーザーの検索**] を選択します。
1. **[メールアドレス]** フィールドに、ユーザーのメールアドレスを入力し、**[検索]** を選択します。
1. **[検索結果]** セクションには、ユーザーがアクセスできるすべての認証済みアプリケーションのリストが表示されます。アプリケーション内のユーザー名とステータス (可能な場合) を表示するには、検索結果を選択します。
1. 検索結果列に **[ユーザーが見つかりました]** というメッセージが表示されている場合は、そのユーザーはリストに表示されているアプリにアクセスできることを意味します。考えられる検索結果、エラー、およびエラーに対処するために実行できるアクションを以下の表で示します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/appfabric/latest/adminguide/getting-started-security.html)
## ステップ 5: セキュリティツールやその他の転送先にある AppFabric for security データに接続する
AppFabric からの正規化された (または raw) アプリケーションデータは、、、Barracuda XDR、、Dynatrace、、、 などのセキュリティツールSplunkや独自のセキュリティソリューションなど、Amazon S3 からのデータ取り込みと Firehose Logz.io Netskope NetWitness Rapid7との統合をサポートする任意のツールと互換性があります。AppFabric から正規化された (または未加工の) アプリケーションデータを取得するには、前のステップ 1 ~ 3 に従います。特定のセキュリティツールやサービスの設定方法の詳細については、「[互換性のあるセキュリティツールとサービス](security-tools.md)」を参照してください。