本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 先决条件和使用建议 AWS AppFabric
<a name="prerequisites"></a>

如果您是新 AWS 客户，请先完成本页列出的设置先决条件，然后再开始使用 AWS AppFabric 以提高安全性。对于这些设置过程，您可以使用 AWS Identity and Access Management （IAM）服务。有关 IAM 的完整信息，请参阅[《IAM 用户指南》](https://docs.aws.amazon.com/IAM/latest/UserGuide/)。

**Topics**
+ [注册获取 AWS 账户](#sign-up-for-aws)
+ [创建具有管理访问权限的用户](#create-an-admin)
+ [（必需）完成应用程序先决条件](#application-prerequisites)
+ [（可选）创建输出位置](#create-output-location)
+ [（可选）创建 AWS KMS 密钥](#create-kms-keys)

## 注册获取 AWS 账户
<a name="sign-up-for-aws"></a>

如果您没有 AWS 账户，请完成以下步骤来创建一个。

**报名参加 AWS 账户**

1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)

1. 按照屏幕上的说明操作。

   在注册时，将接到电话或收到短信，要求使用电话键盘输入一个验证码。

   当您注册时 AWS 账户，就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践，请为用户分配管理访问权限，并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”，查看您当前的账户活动并管理您的账户**。

## 创建具有管理访问权限的用户
<a name="create-an-admin"></a>

注册后，请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center，启用并创建管理用户，这样您就不会使用 root 用户执行日常任务。

**保护你的 AWS 账户根用户**

1.  选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址，以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上，输入您的密码。

   要获取使用根用户登录方面的帮助，请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。

1. 为您的根用户启用多重身份验证（MFA）。

   有关说明，请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。

**创建具有管理访问权限的用户**

1. 启用 IAM Identity Center。

   有关说明，请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。

1. 在 IAM Identity Center 中，为用户授予管理访问权限。

   有关使用 IAM Identity Center 目录 作为身份源的教程，请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。

**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录，请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。

  有关使用 IAM Identity Center 用户[登录的帮助，请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。

**将访问权限分配给其他用户**

1. 在 IAM Identity Center 中，创建一个权限集，该权限集遵循应用最低权限的最佳做法。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。

1. 将用户分配到一个组，然后为该组分配单点登录访问权限。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。

## （必需）完成应用程序先决条件
<a name="application-prerequisites"></a>

 AppFabric 为了确保从应用程序接收用户信息和审核日志的安全性，许多应用程序都要求您具有特定的角色和计划类型。为了安全起见，请确保您已查看要授权的每个应用程序 AppFabric 的先决条件，并且您有正确的计划和角色。有关特定于应用程序的先决条件的更多信息，请参阅[支持的应用程序](supported-applications.md)，或选择以下应用程序特定主题之一。
+ [配置1Password为 AppFabric](1password.md)
+ [配置Asana为 AppFabric](asana.md)
+ [配置Azure Monitor为 AppFabric](azure-monitor.md)
+ [配置Atlassian Confluence为 AppFabric](confluence.md)
+ [配置Atlassian Jira suite为 AppFabric](jira.md)
+ [配置Box为 AppFabric](box.md)
+ [配置Cisco Duo为 AppFabric](cisco-duo.md)
+ [配置Dropbox为 AppFabric](dropbox.md)
+ [配置Genesys Cloud为 AppFabric](genesys.md)
+ [配置GitHub为 AppFabric](github.md)
+ [配置Google Analytics为 AppFabric](google-analytics.md)
+ [配置Google Workspace为 AppFabric](google-workspace.md)
+ [配置HubSpot为 AppFabric](hubspot.md)
+ [配置IBM Security® Verify为 AppFabric](ibm-security.md)
+ [配置JumpCloud为 AppFabric](jumpcloud.md)
+ [将 Microsoft 365 配置为 AppFabric](microsoft-365.md)
+ [配置Miro为 AppFabric](miro.md)
+ [配置Okta为 AppFabric](okta.md)
+ [配置OneLogin by One Identity为 AppFabric](onelogin.md)
+ [配置PagerDuty为 AppFabric](pagerduty.md)
+ [配置Ping Identity为 AppFabric](pingidentity.md)
+ [配置Salesforce为 AppFabric](salesforce.md)
+ [配置ServiceNow为 AppFabric](servicenow.md)
+ [配置Singularity Cloud为 AppFabric](singularity-cloud.md)
+ [配置Slack为 AppFabric](slack.md)
+ [配置Smartsheet为 AppFabric](smartsheet.md)
+ [配置Terraform Cloud为 AppFabric](terraform.md)
+ [配置Webex by Cisco为 AppFabric](webex.md)
+ [配置Zendesk为 AppFabric](zendesk.md)
+ [配置Zoom为 AppFabric](zoom.md)

## （可选）创建输出位置
<a name="create-output-location"></a>

AppFabric 为了安全起见，支持将亚马逊简单存储服务 (Amazon S3) Service 和 Amazon Data Firehose 作为审核日志摄取目标。

### Amazon S3
<a name="output-location-s3"></a>

在创建接收目标时，您可以使用 AppFabric 控制台创建新的 Amazon S3 存储桶。您还可以使用 Amazon S3 服务创建存储桶。如果您选择使用 Amazon S3 服务创建存储桶，则必须在创建 AppFabric 提取目标之前创建存储桶，然后在创建接收目标时选择存储桶。只要现有的 Amazon S3 存储桶满足现有存储桶的以下要求 AWS 账户，您就可以选择使用其中的现有 Amazon S3 存储桶：
+ AppFabric 为了安全起见，要求您的 Amazon S3 存储桶与您的 Amazon S3 资源 AWS 区域 相同。
+ 您可以使用以下方法之一对存储桶进行加密：
  + 具有 Amazon S3 托管密钥的服务器端加密（SSE-S3）
  + 使用 AWS Key Management Service (AWS KMS) 密钥进行服务器端加密 (SSE-KMS)，使用默认值 AWS 托管式密钥 ()。`aws/s3`

### Amazon Data Firehose
<a name="output-location-firehose"></a>

您可以选择使用 Amazon Data Firehose 作为安全数据的接收目的地。 AppFabric 要使用 Firehose，您可以在创建摄取 AWS 账户 之前或在中创建摄取目标时在中创建 Firehose 传送流。 AppFabric您可以使用 AWS 管理控制台、 AWS CLI、或创建 Firehose 传送流。 AWS APIs SDKs有关流配置说明，请参阅以下主题：
+ AWS 管理控制台 说明 — [在《亚马逊数据 Firehose 开发者指南》中创建*亚马逊数据 Firehose* 传送流](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html)
+ AWS CLI 指令 — [https://docs.aws.amazon.com/](https://docs.aws.amazon.com/)在《*AWS CLI 命令参考*》中 
+ AWS APIs 和 SDKs 说明 — [https://docs.aws.amazon.com/firehose/latest/APIReference/API_CreateDeliveryStream.html](https://docs.aws.amazon.com/firehose/latest/APIReference/API_CreateDeliveryStream.html)在 *Amazon Data Firehos* e API 参考中 

出于安全考虑，使用 Amazon Data Fireh AppFabric ose 作为输出目标时的要求如下：
+  AppFabric 对于安全资源，您必须使用与您 AWS 区域 相同的方法创建直播。
+ 必须选择**直接 PUT** 作为来源。
+ 将**AmazonKinesisFirehoseFullAccess** AWS 托管策略附加到您的用户，或者为您的用户附加以下权限：

  ```
  {
      "Sid": "TagFirehoseDeliveryStream",
      "Effect": "Allow",
      "Action": ["firehose:TagDeliveryStream"],
      "Condition": {
          "ForAllValues:StringEquals": {"aws:TagKeys": "AWSAppFabricManaged"}
      },
      "Resource": "arn:aws:firehose:*:*:deliverystream/*"
  }
  ```

Firehose 支持与各种第三方安全工具集成，例如Splunk和。Logz.io有关如何正确配置 Amazon Kinesis 以使其向这些工具输出数据的信息，请参阅《*亚马逊数据 Firehose* 开发者指南》中的[目标设置](https://docs.aws.amazon.com/firehose/latest/dev/create-destination.html)。

## （可选）创建 AWS KMS 密钥
<a name="create-kms-keys"></a>

在创建安全应用程序捆绑包的过程中，您将选择或设置加密密钥，以安全地保护您的数据免受所有授权应用程序的侵害。 AppFabric 此密钥将用于在 AppFabric 服务中加密您的数据。

AppFabric 为了安全起见，默认情况下会加密数据。 AppFabric 为了安全起见，可以使用代表您 AWS 拥有的密钥 创建和管理的 AppFabric 密钥，也可以使用您在 AWS Key Management Service (AWS KMS) 中创建和管理的客户托管密钥。 AWS 拥有的密钥 是 a AWS 服务 拥有并管理的 AWS KMS 密钥集合，用于多个密钥 AWS 账户。客户管理的密 AWS KMS 钥 AWS 账户 是您创建、拥有和管理的密钥。有关客户托管密钥 AWS 拥有的密钥 的更多信息，请参阅*《AWS Key Management Service 开发人员指南》*中的[客户 AWS 密钥和密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)。

为了安全起见，如果您想使用客户管理的密钥来加密数据（例如授权令牌），则可以使用创建一个[AWS KMS](https://aws.amazon.com/kms/)。 AppFabric 有关授予客户托管密钥访问权限的权限策略的更多信息 AWS KMS，请参阅本指南的[密钥策略](data-protection.md#key-policy)部分。