Freigeben über


Integrieren eines AWS-Kontos (Amazon Web Services)

In diesem Artikel erfahren Sie, wie Sie das Onboarding für ein Amazon Web Services (AWS)-Konto in Microsoft Entra Permissions Management durchführen.

Hinweis

Sie müssen über die Rolle Administrator für die Berechtigungsverwaltung verfügen, um die Aufgaben in diesem Artikel ausführen zu können.

Erklärung

Es gibt mehrere miteinander interagierende Teile in AWS und Azure, die vor dem Onboarding konfiguriert werden müssen.

  • Eine Microsoft Entra-OIDC-App
  • Ein AWS-OIDC-Konto
  • Ein (optionales) AWS-Verwaltungskonto
  • Ein zentrales AWS-Protokollierungskonto
  • Eine AWS-OIDC-Rolle
  • Eine kontoübergreifende AWS-Rolle, die von der OIDC-Rolle eingenommen wird

Integrieren eines AWS-Kontos

  1. Sollte das Dashboard Data Collectors (Datensammler) beim Start von Permissions Management nicht angezeigt werden, gehen Sie wie folgt vor:

    • Wählen Sie auf der Permissions Management-Startseite die Option Einstellungen (Zahnradsymbol) und anschließend die Unterregisterkarte Data Collectors (Datensammler) aus.
  2. Wählen Sie auf dem Dashboard Data Collectors (Datensammler) die Option AWS und anschließend Create Configuration (Konfiguration erstellen) aus.

1. Erstellen Sie eine Microsoft Entra-OIDC-App.

  1. Geben Sie auf der Seite Permissions Management Onboarding: Microsoft Entra-OIDC-App erstellen den Namen der OIDC-Azure-App ein.

    Diese App wird verwendet, um eine OIDC-Verbindung (OpenID Connect) mit Ihrem AWS-Konto einzurichten. OIDC ist ein interoperables Authentifizierungsprotokoll auf Basis der OAuth 2.0-Spezifikationsfamilie. Die auf dieser Seite generierten Skripts erstellen die App mit dem angegebenen Namen mit der richtigen Konfiguration in Ihrem Microsoft Entra-Mandanten.

  2. Kopieren Sie das Skript, und führen Sie es in Ihrer Azure-Befehlszeilen-App aus, um die App-Registrierung zu erstellen.

    Hinweis

    1. Vergewissern Sie sich, dass die App erstellt wurde. Öffnen Sie hierzu App-Registrierungen in Azure, und suchen Sie auf der Registerkarte Alle Anwendungen nach Ihrer App.
    2. Wählen Sie den App-Namen aus, um die Seite Eine API verfügbar machen zu öffnen. Der auf der Seite Übersicht angezeigte Anwendungs-ID-URI ist der Zielgruppenwert, der beim Herstellen einer OIDC-Verbindung mit Ihrem AWS-Konto verwendet wird.
  3. Navigieren Sie zurück zur Berechtigungsverwaltung, und wählen Sie auf der Seite Permissions Management Onboarding: Microsoft Entra-OIDC-App erstellen die Option Weiter aus.

2. Einrichten eines AWS-OIDC-Kontos

  1. Geben Sie auf der Seite Permissions Management-Onboarding: AWS-OIDC-Konto einrichten die AWS-OIDC-Konto-ID ein, unter der der OIDC-Anbieter erstellt wird. Sie können den Rollennamen gemäß Ihren Anforderungen anpassen.

  2. Öffnen Sie ein weiteres Browserfenster, und melden Sie sich bei dem AWS-Konto an, unter dem Sie den OIDC-Anbieter erstellen möchten.

  3. Wählen Sie Launch Template (Vorlage starten) aus. Über diesen Link gelangen Sie zur Seite AWS CloudFormation create stack (AWS CloudFormation: Stapel erstellen).

  4. Scrollen Sie auf der Seite ganz nach unten, und wählen Sie im Feld Capabilities (Funktionen) die Option I acknowledge that AWS CloudFormation might create IAM resources with custom names (Ich bestätige, dass von AWS CloudFormation möglicherweise IAM-Ressourcen mit benutzerdefinierten Namen erstellt werden.) aus. Wählen Sie anschließend Create Stack (Stapel erstellen) aus.

    Dieser AWS CloudFormation-Stapel erstellt einen OIDC-Identitätsanbieter (Identity Provider, IdP), der den Microsoft Entra-Sicherheitstokendienst (Security Token Service, STS) und eine AWS-IAM-Rolle mit einer Vertrauensstellungsrichtlinie darstellt, die es externen Identitäten aus Microsoft Entra ID ermöglicht, diese Rolle über den OIDC-Identitätsanbieter anzunehmen. Diese Entitäten sind auf der Seite Resources (Ressourcen) aufgeführt.

  5. Navigieren Sie zu Permissions Management zurück, und wählen Sie auf der Seite Permissions Management-Onboarding: AWS-OIDC-Konto einrichten die Option Weiter aus.

3. Einrichten der AWS-Verwaltungskontoverbindung (optional)

  1. Wenn Ihre Organisation über Dienststeuerungsrichtlinien (Service Control Policies, SCPs) verfügt, die einige oder alle Mitgliedskonten regelt, richten Sie auf der Seite Permissions Management-Onboarding – AWS-Verwaltungskontodetails die Verbindung mit dem Verwaltungskonto ein.

    Durch das Einrichten einer Verbindung mit dem Verwaltungskonto kann Permissions Management alle AWS-Mitgliedskonten automatisch erkennen und integrieren, die über die korrekte Berechtigungsverwaltungsrolle verfügen.

  2. Geben Sie auf der Seite Permissions Management-Onboarding – AWS-Verwaltungskontodetails die Verwaltungskonto-ID und die Verwaltungskontorolle ein.

  3. Öffnen Sie ein weiteres Browserfenster, und melden Sie sich bei der AWS-Konsole für Ihr Verwaltungskonto an.

  4. Kehren Sie zu Permissions Management zurück, und wählen Sie auf der Seite Permissions Management-Onboarding – AWS-Verwaltungskontodetails die Option Vorlage starten aus.

    Die Seite AWS CloudFormation create stack (AWS CloudFormation: Stapel erstellen) wird geöffnet, und die Vorlage wird angezeigt.

  5. Überprüfen Sie die Informationen in der Vorlage, nehmen Sie ggf. Änderungen vor, und scrollen Sie dann auf der Seite ganz nach unten.

  6. Wählen Sie im Feld Capabilities (Funktionen) die Option I acknowledge that AWS CloudFormation might create IAM resources with custom names (Ich bestätige, dass von AWS CloudFormation möglicherweise IAM-Ressourcen mit benutzerdefinierten Namen erstellt werden.) aus. Wählen Sie anschließend Create Stack (Stapel erstellen) aus.

    Dieser AWS CloudFormation-Stapel erstellt eine Rolle im Verwaltungskonto mit den erforderlichen Berechtigungen (Richtlinien), um SCPs zu erfassen und alle Konten in Ihrer Organisation aufzulisten.

    Für diese Rolle wird eine Vertrauensstellungsrichtlinie festgelegt, damit die in Ihrem AWS-OIDC-Konto erstellte OIDC-Rolle darauf zugreifen kann. Diese Entitäten werden auf der Registerkarte Resources (Ressourcen) Ihres CloudFormation-Stapels aufgeführt.

  7. Kehren Sie zu Permissions Management zurück, und wählen Sie unter Permissions Management-Onboarding – AWS-Verwaltungskontodetails die Option Weiter aus.

  1. Wenn Ihre Organisation über ein zentrales Protokollierungskonto verfügt, in dem Protokolle von einigen oder allen AWS-Konten gespeichert werden, richten Sie auf der Seite Permissions Management-Onboarding: Details zum zentralen AWS-Protokollierungskonto die Verbindung mit dem Protokollierungskonto ein.

    Geben Sie auf der Seite Permissions Management-Onboarding: Details zum zentralen AWS-Protokollierungskonto die Protokollierungskonto-ID und die Protokollierungskontorolle ein.

  2. Melden Sie sich in einem anderen Browserfenster bei der AWS-Konsole für das AWS-Konto an, das Sie für die zentrale Protokollierung verwenden.

  3. Navigieren Sie zu Permissions Management zurück, und wählen Sie auf der Seite Permissions Management-Onboarding: Details zum zentralen AWS-Protokollierungskonto die Option Vorlage starten aus.

    Die Seite AWS CloudFormation create stack (AWS CloudFormation: Stapel erstellen) wird geöffnet, und die Vorlage wird angezeigt.

  4. Überprüfen Sie die Informationen in der Vorlage, nehmen Sie ggf. Änderungen vor, und scrollen Sie dann auf der Seite ganz nach unten.

  5. Wählen Sie im Feld Capabilities (Funktionen) die Option I acknowledge that AWS CloudFormation might create IAM resources with custom names (Ich bestätige, dass von AWS CloudFormation möglicherweise IAM-Ressourcen mit benutzerdefinierten Namen erstellt werden.) und anschließend die Option Create stack (Stapel erstellen) aus.

    Dieser AWS CloudFormation-Stapel erstellt eine Rolle im Protokollierungskonto mit den erforderlichen Berechtigungen (Richtlinien) zum Lesen von S3-Buckets, die für die zentrale Protokollierung verwendet werden. Für diese Rolle wird eine Vertrauensstellungsrichtlinie festgelegt, damit die in Ihrem AWS-OIDC-Konto erstellte OIDC-Rolle darauf zugreifen kann. Diese Entitäten werden auf der Registerkarte Resources (Ressourcen) Ihres CloudFormation-Stapels aufgeführt.

  6. Navigieren Sie zu Permissions Management zurück, und wählen Sie auf der Seite Permissions Management-Onboarding: Details zum zentralen AWS-Protokollierungskonto die Option Weiter aus.

5. Einrichten eines AWS-Mitgliedskontos

Aktivieren Sie das Kontrollkästchen AWS SSO aktivieren, wenn der AWS-Kontozugriff über AWS SSO konfiguriert wird.

Wählen Sie zwischen drei Optionen zum Verwalten von AWS-Konten.

Option 1: Automatisch verwalten

Wählen Sie diese Option aus, um die überwachte Kontoliste ohne zusätzliche Konfiguration automatisch zu erkennen und hinzuzufügen. Schritte zum Erkennen der Liste von Konten und zum Integrieren in die Sammlung:

  • Stellen Sie die Verwaltungskonto-CFT (Cloudformation Template) bereit, welche die Organisationskontorolle erstellt, die der zuvor erstellten OIDC-Rolle Berechtigungen zum Auflisten von Konten, OEs und SCPs gewährt.
  • Wenn AWS SSO aktiviert wird, fügt die Organisationskonto-CFT auch Richtlinien hinzu, die zum Sammeln von AWS SSO-Konfigurationsdetails erforderlich sind.
  • Stellen Sie die CFT des Mitgliedskontos in allen Konten bereit, die von Microsoft Entra Permissions Management überwacht werden müssen. Durch diese Schritte wird eine kontoübergreifende Rolle erstellt, die der zuvor erstellten OIDC-Rolle vertraut. Die SecurityAudit-Richtlinie wird an die Rolle angefügt, die für die Datensammlung erstellt wurde.

Alle gefundenen aktuellen oder künftigen Konten werden automatisch integriert.

So zeigen Sie den Status der Integration nach Speichern der Konfiguration an

  • Gehen zu Sie zur Registerkarte Datensammler.
  • Klicken Sie auf den Status des Datensammlers.
  • Anzeigen von Konten auf der Seite In Bearbeitung

Option 2: Autorisierungssysteme eingeben

  1. Geben Sie auf der Seite Permissions Management-Onboarding: Details zum AWS-Mitgliedskonto die Mitgliedskontorolle und die Mitgliedskonto-IDs ein.

    Sie können bis zu 100 Konto-IDs eingeben. Klicken Sie neben dem Textfeld auf das Pluszeichen, um weitere Konto-IDs hinzuzufügen.

    Hinweis

    Führen Sie die folgenden Schritte für jede von Ihnen hinzugefügte Konto-ID aus:

  2. Öffnen Sie ein weiteres Browserfenster, und melden Sie sich bei der AWS-Konsole für das Mitgliedskonto an.

  3. Navigieren Sie zur Seite Permissions Management-Onboarding: Details zum AWS-Mitgliedskonto zurück, und wählen Sie die Option Vorlage starten aus.

    Die Seite AWS CloudFormation create stack (AWS CloudFormation: Stapel erstellen) wird geöffnet, und die Vorlage wird angezeigt.

  4. Geben Sie auf der Seite CloudTrailBucketName einen Namen ein.

    Sie können den Namen für CloudTrailBucketName in AWS auf der Seite Trails (Spuren) kopieren und einfügen.

    Hinweis

    Ein Cloudbucket erfasst alle Aktivitäten in einem einzelnen Konto, das von Permissions Management überwacht wird. Geben Sie hier den Namen eines Cloudbuckets ein, um Permissions Management den nötigen Zugriff für die Sammlung von Aktivitätsdaten zu gewähren.

  5. Wählen Sie in der Dropdownliste Enable Controller (Controller aktivieren) Folgendes aus:

    • True, um Permissions Management Lese- und Schreibzugriff zu gewähren, sodass alle Korrekturen, die Sie über die Permissions Management-Plattform vornehmen möchten, automatisch durchgeführt werden können.
    • False, wenn Permissions Management nur Lesezugriff gewährt werden soll.
  6. Scrollen Sie auf der Seite ganz nach unten, und wählen Sie im Feld Capabilities (Funktionen) die Option I acknowledge that AWS CloudFormation might create IAM resources with custom names (Ich bestätige, dass von AWS CloudFormation möglicherweise IAM-Ressourcen mit benutzerdefinierten Namen erstellt werden.) aus. Wählen Sie anschließend Create Stack (Stapel erstellen) aus.

    Dieser AWS CloudFormation-Stapel erstellt eine Sammlungsrolle im Mitgliedskonto mit den erforderlichen Berechtigungen (Richtlinien) für die Datensammlung.

    Für diese Rolle wird eine Vertrauensstellungsrichtlinie festgelegt, damit die in Ihrem AWS-OIDC-Konto erstellte OIDC-Rolle darauf zugreifen kann. Diese Entitäten werden auf der Registerkarte Resources (Ressourcen) Ihres CloudFormation-Stapels aufgeführt.

  7. Navigieren Sie zu Permissions Management zurück, und wählen Sie auf der Seite Permissions Management-Onboarding: Details zum AWS-Mitgliedskonto die Option Weiter aus.

    In diesem Schritt wird die Sequenz der erforderlichen Verbindungen vom Microsoft Entra-STS mit dem OIDC-Verbindungskonto und dem AWS-Mitgliedskonto abgeschlossen.

Option 3: Autorisierungssysteme auswählen

Diese Option erkennt alle AWS-Konten, die über den zuvor erstellten OIDC-Rollenzugriff zugänglich sind.

  • Stellen Sie die Verwaltungskonto-CFT (Cloudformation Template) bereit, welche die Organisationskontorolle erstellt, die der zuvor erstellten OIDC-Rolle Berechtigungen zum Auflisten von Konten, OEs und SCPs gewährt.
  • Wenn AWS SSO aktiviert wird, fügt die Organisationskonto-CFT auch Richtlinien hinzu, die zum Sammeln von AWS SSO-Konfigurationsdetails erforderlich sind.
  • Stellen Sie die CFT des Mitgliedskontos in allen Konten bereit, die von Microsoft Entra Permissions Management überwacht werden müssen. Durch diese Schritte wird eine kontoübergreifende Rolle erstellt, die der zuvor erstellten OIDC-Rolle vertraut. Die SecurityAudit-Richtlinie wird an die Rolle angefügt, die für die Datensammlung erstellt wurde.
  • Klicken Sie auf „Überprüfen und speichern“.
  • Navigieren Sie unter „AWS-Datensammler“ zu einer neu erstellten Datensammlerzeile.
  • Klicken Sie auf die Spalte „Status“, wenn die Zeile den Status Ausstehend hat.
  • Zum Integrieren und Starten der Sammlung wählen Sie bestimmte Einträge in der Liste erkannter Projekte und die Einwilligung für die Sammlung aus.

6. Überprüfen und Speichern

  1. Überprüfen Sie auf der Seite Berechtigungs-Management-Onboarding – Zusammenfassung Ihre Angaben, und wählen Sie anschließend Jetzt überprüfen und speichern aus.

    Die folgende Meldung wird angezeigt: Successfully created configuration. (Die Konfiguration wurde erfolgreich erstellt.)

    Auf dem Dashboard Data Collectors (Datensammler) wird in der Spalte Recently Uploaded On (Zuletzt hochgeladen am) der Text Collecting (Sammeln) angezeigt. In der Spalte Recently Transformed On (Zuletzt transformiert am) wird Processing (Verarbeitung läuft) angezeigt.

    In der Statusspalte auf der Benutzeroberfläche für die Berechtigungsverwaltung wird angezeigt, in welchem Schritt der Datensammlung Sie sich befinden:

    • Ausstehend: Die Berechtigungsverwaltung hat noch nicht mit der Ermittlung oder dem Onboarding begonnen.
    • Entdecken: Die Berechtigungsverwaltung befindet sich im Prozess der Ermittlung der Autorisierungssysteme.
    • In Bearbeitung: Die Berechtigungsverwaltung hat die Ermittlung der Autorisierungssysteme abgeschlossen und führt das Onboarding durch.
    • Integriert: Die Datensammlung ist abgeschlossen, und alle ermittelten Autorisierungssysteme wurden in die Berechtigungsverwaltung integriert.

7. Anzeigen der Daten

  1. Wählen Sie zum Anzeigen der Daten die Registerkarte Authorization Systems (Autorisierungssysteme) aus.

    In der Spalte Status der Tabelle wird Collecting Data (Daten werden gesammelt...) angezeigt.

    Die Datenerfassung nimmt einige Zeit in Anspruch und erfolgt in den meisten Fällen in Intervallen von etwa 4–5 Stunden. Der Zeitrahmen hängt davon ab, wie groß Ihr Autorisierungssystem ist und wie viele Daten für die Erfassung zur Verfügung stehen.

Nächste Schritte