Intégrer un compte Amazon Web Services (AWS)
Cet article explique comment intégrer un compte Amazon Web Services (AWS) dans Gestion des autorisations Microsoft Entra.
Remarque
Vous devez disposer du rôle Administrateur de gestion des autorisations pour effectuer les tâches décrites dans cet article.
Explication
Il existe plusieurs parties mobiles dans AWS et Azure, qui doivent être configurées avant l’intégration.
- Une application OIDC Microsoft Entra
- Compte AWS OIDC
- Compte de gestion AWS (facultatif)
- Compte de journalisation AWS Central (facultatif)
- Rôle AWS OIDC
- Rôle de compte AWS Cross pris par le rôle OIDC
Intégrer un compte AWS
Si le tableau de bord Data Collectors ne s’affiche pas au lancement de Permissions Management :
- Dans la page d’accueil Permissions Management, sélectionnez Settings (icône en forme d’engrenage), puis le sous-onglet Data Collectors.
Dans le tableau de bord Data Collectors, sélectionnez AWS, puis Create Configuration.
1. Créer une application OIDC Microsoft Entra
Dans la page Permissions Management Onboarding - Microsoft Entra OIDC App Creation, entrez le nom de l’application OIDC Azure.
Cette application est utilisée pour configurer une connexion OpenID Connecter (OIDC) à votre compte AWS. OIDC est un protocole d’authentification interopérable basé sur la famille de spécifications OAuth 2.0. Les scripts générés dans cette page créent l’application sous ce nom dans votre locataire Microsoft Entra avec la configuration appropriée.
Pour créer l’inscription de l’application, copiez le script et exécutez-le dans votre application de ligne de commande Azure.
Notes
- Pour vérifier que l’application a été créée, ouvrez Inscriptions d’applications dans Azure et, sous l’onglet Toutes les applications, recherchez votre application.
- Sélectionnez le nom de l’application pour ouvrir la page Exposer une API. L’URI d’ID d’application affiché dans la page Vue d’ensemble correspond à la valeur d’audience utilisée lors de l’établissement d’une connexion OIDC avec votre compte AWS.
Retournez dans la fenêtre Permissions Management, et dans Permissions Management Onboarding - Microsoft Entra OIDC App Creation, sélectionnez Next.
2. Configurer un compte OIDC AWS
Dans la page Permissions Management Onboarding - AWS OIDC Account Setup, entrez l’ID du compte OIDC AWS où le fournisseur OIDC est créé. Vous pouvez changer le nom de rôle en fonction de vos besoins.
Ouvrez une autre fenêtre de navigateur et connectez-vous au compte AWS dans lequel vous souhaitez créer le fournisseur OIDC.
Sélectionnez Launch Template. Ce lien vous amène à la page AWS CloudFormation create stack.
Faites défiler la page jusqu’en bas puis, dans la zone Capabilities, sélectionnez I acknowledge that AWS CloudFormation might create IAM resources with custom names (Je reconnais que AWS CloudFormation peut créer des ressources IAM avec des noms personnalisés). Sélectionnez ensuite Create stack.
Cette pile AWS CloudFormation crée un fournisseur d’identité OIDC qui représente Microsoft Entra STS et un rôle IAM AWS avec une stratégie d’approbation qui permet aux identités externes Microsoft Entra ID de les assumer via le fournisseur d’identité OIDC. Ces entités sont listées dans la page Resources.
Retournez dans Permissions Management, et dans Permissions Management Onboarding - AWS OIDC Account Setup, sélectionnez Next.
3. Configurer la connexion du compte de gestion AWS (facultatif)
Si votre organisation dispose de stratégies de contrôle des services (SCP) qui régissent une partie ou l’ensemble des comptes des membres, configurez la connexion du compte de gestion sur la page Permissions Management Onboarding - AWS Management Account Details.
La configuration de la connexion de compte de gestion permet à Permissions Management de détecter automatiquement et d’intégrer tous les comptes de membres AWS qui ont le rôle Permissions Management correct.
Sur la page Permissions Management Onboarding - AWS Management Account Details, entrez l’ID de compte de gestion et le rôle de compte de gestion.
Ouvrez une autre fenêtre de navigateur et connectez-vous à la console AWS pour votre compte de gestion.
Retournez dans Permissions Management, et dans Permissions Management Onboarding - AWS Management Account Details, sélectionnez Launch Template.
La page AWS CloudFormation create stack s’ouvre et affiche le modèle.
Passez en revue les informations contenues dans le modèle, apportez les modifications nécessaires, puis faites défiler la page vers le bas.
Dans la zone Capabilities, sélectionnez I acknowledge that AWS CloudFormation might create IAM resources with custom names. Sélectionnez ensuite Create stack.
Cette pile AWS CloudFormation crée un rôle dans le compte de gestion avec les autorisations (stratégies) nécessaires pour collecter les stratégies SCP et répertorier tous les comptes de votre organisation.
Une stratégie d’approbation est définie sur ce rôle pour autoriser le rôle OIDC créé dans votre compte OIDC AWS à y accéder. Ces entités sont listées sous l’onglet Resources de votre pile CloudFormation.
Retournez dans Permissions Management, et dans Permissions Management Onboarding - AWS Management Account Details, sélectionnez Next.
4. Configurer la connexion du compte de journalisation AWS Central (facultatif mais recommandé)
Si votre organisation dispose d’un compte de journalisation centralisé dans lequel sont stockés les journaux de tout ou partie de votre compte AWS, dans la page Permissions Management Onboarding - AWS Central Logging Account Details, configurez la connexion au compte de journalisation.
Dans la page Permissions Management Onboarding - AWS Central Logging Account Details, entrez l’ID de compte de journalisation et le rôle de compte de journalisation.
Dans une autre fenêtre de navigateur, connectez-vous à la console AWS correspondant au compte AWS que vous utilisez pour la journalisation centrale.
Retournez dans Permissions Management, et dans Permissions Management Onboarding - AWS Central Logging Account Details, sélectionnez Launch Template.
La page AWS CloudFormation create stack s’ouvre et affiche le modèle.
Passez en revue les informations contenues dans le modèle, apportez les modifications nécessaires, puis faites défiler la page vers le bas.
Dans la zone Capabilities, sélectionnez I acknowledge that AWS CloudFormation might create IAM resources with custom names, puis sélectionner Create stack.
Cette pile CloudFormation AWS crée un rôle dans le compte de journalisation avec les autorisations nécessaires (stratégies) pour lire les compartiments S3 utilisés pour la journalisation centrale. Une stratégie d’approbation est définie sur ce rôle pour autoriser le rôle OIDC créé dans votre compte OIDC AWS à y accéder. Ces entités sont listées sous l’onglet Resources de votre pile CloudFormation.
Retournez dans Permissions Management, et dans Permissions Management Onboarding - AWS Central Logging Account Details, sélectionnez Next.
5. Configurer un compte de membre AWS
Cochez la case Enable AWS SSO (Activer l’authentification SSO AWS) si l’accès au compte AWS est configuré via l’authentification SSO AWS.
Choisissez l’une des 3 options pour gérer les comptes AWS.
Option 1 : Gérer automatiquement
Choisissez cette option pour détecter et ajouter automatiquement des comptes à la liste des comptes surveillés, sans configuration supplémentaire. Étapes de détection de la liste des compte, et de leur intégration pour la collecte :
- Déployez le CFT (modèle CloudFormation) du compte de gestion, qui crée un rôle de compte d’organisation octroyant au rôle OIDC créé plus tôt, l’autorisation de répertorier les comptes, les UO et les SCP (points de connexion de service).
- Si l’authentification SSO AWS est activée, le CFT du compte d’organisation ajoute également la stratégie nécessaire pour collecter les détails de configuration de l’authentification SSO AWS.
- Déployez le CFT du compte de membre sur tous les comptes qui doivent faire l’objet d’un monitoring par la solution Gestion des autorisations Microsoft Entra. Ces actions ont pour effet de créer un rôle inter-comptes, qui approuve le rôle OIDC créé précédemment. La stratégie SecurityAudit est attachée au rôle créé pour la collecte de données.
Tous les comptes actuels ou futurs trouvés sont automatiquement intégrés.
Pour voir l’état de l’intégration après l’enregistrement de la configuration :
- Accédez à l’onglet Collecteurs de données.
- Cliquez sur l’état du collecteur de données.
- Visualiser les comptes dans la page En cours
Option 2 : Entrer les systèmes d’autorisation
Dans la page Permissions Management - AWS Member Account Details, entrez le rôle de compte de membre et les ID de compte de membre.
Vous pouvez entrer jusqu’à 100 ID de compte. Cliquez sur l’icône plus en regard de la zone de texte pour ajouter d’autres ID de compte.
Remarque
Procédez comme suit pour chaque ID de compte que vous ajoutez :
Ouvrez une autre fenêtre de navigateur et connectez-vous à la console AWS correspondant au compte de membre.
Revenez à la page Permissions Management Onboarding - AWS Member Account Details et sélectionnez Launch Template.
La page AWS CloudFormation create stack s’ouvre et affiche le modèle.
Dans la page CloudTrailBucketName, entrez un nom.
Vous pouvez copier et coller le nom CloudTrailBucketName à partir de la page Trails dans AWS.
Notes
Un compartiment cloud collecte toute l’activité dans un seul compte supervisé par la Gestion des autorisations. Entrez le nom d’un compartiment cloud ici afin de fournir à Permissions Management l’accès nécessaire pour collecter les données d’activité.
Dans la liste déroulante Enable Controller, sélectionnez :
- True si vous souhaitez que le contrôleur fournisse à Permissions Management un accès en lecture et en écriture afin que les corrections que vous souhaitez effectuer à partir de la plateforme Permissions Management puissent être effectuées automatiquement.
- False, si vous souhaitez que le contrôleur fournisse à Permissions Management un accès en lecture seule.
Faites défiler la page jusqu’en bas puis, dans la zone Capabilities, sélectionnez I acknowledge that AWS CloudFormation might create IAM resources with custom names (Je reconnais que AWS CloudFormation peut créer des ressources IAM avec des noms personnalisés). Sélectionnez ensuite Create stack.
Cette pile AWS CloudFormation crée un rôle de collecte dans le compte membre avec les autorisations nécessaires (stratégies) pour la collecte de données.
Une stratégie d’approbation est définie sur ce rôle pour autoriser le rôle OIDC créé dans votre compte OIDC AWS à y accéder. Ces entités sont listées sous l’onglet Resources de votre pile CloudFormation.
Retournez dans Permissions Management, et dans Permissions Management Onboarding - AWS Member Account Details, sélectionnez Next.
Cette étape termine la séquence des connexions requises entre Microsoft Entra STS et le compte de connexion OIDC et le compte membre AWS.
Option 3 : Sélectionner les systèmes d’autorisation
Cette option détecte tous les comptes AWS accessibles via le rôle OIDC créé.
- Déployez le CFT (modèle CloudFormation) du compte de gestion, qui crée un rôle de compte d’organisation octroyant au rôle OIDC créé plus tôt, l’autorisation de répertorier les comptes, les UO et les SCP (points de connexion de service).
- Si l’authentification SSO AWS est activée, le CFT du compte d’organisation ajoute également la stratégie nécessaire pour collecter les détails de configuration de l’authentification SSO AWS.
- Déployez le CFT du compte de membre sur tous les comptes qui doivent faire l’objet d’un monitoring par la solution Gestion des autorisations Microsoft Entra. Ces actions ont pour effet de créer un rôle inter-comptes, qui approuve le rôle OIDC créé précédemment. La stratégie SecurityAudit est attachée au rôle créé pour la collecte de données.
- Cliquez sur Verify and Save (Vérifier et enregistrer).
- Accédez à la ligne de Collecteur de données créée sous les collecteurs AWSdata.
- Cliquer sur la colonne État quand la ligne a l’état En attente
- Pour intégrer et démarrer la collecte, choisissez des éléments spécifiques dans la liste des éléments détectés, puis donnez votre consentement pour la collecte.
6. Passez en revue et enregistrez
Dans Intégration de la gestion des autorisations : résumé, passez en revue les informations que vous avez ajoutées, puis sélectionnez Vérifier maintenant et enregistrer.
Le message suivant s’affiche : Successfully created configuration.
Dans le tableau de bord Data Collectors, la colonne Recently Uploaded On affiche Collecting. La colonne Recently Transformed On affiche Processing.
La colonne état de votre interface utilisateur Gestion des autorisations vous indique à quelles étape de collecte des données vous vous trouvez :
- En attente : Gestion des autorisations n’a pas encore démarré la détection ou l’intégration.
- Découverte : Gestion des autorisations détecte les systèmes d’autorisation.
- En cours : Gestion des autorisations a terminé la détection des systèmes d’autorisation et est en cours d’intégration.
- Intégration : La collecte des données est terminée et tous les systèmes d’autorisation détectés sont intégrés à Gestion des Autorisations.
7. Afficher les données
Pour afficher les données, sélectionnez l’onglet Authorization Systems.
La colonne Status du tableau affiche Collecting Data.
Le processus de collecte de données prend un certain temps et se produit dans environ quatre à cinq heures dans la plupart des cas. Le délai d’exécution dépend de la taille du système d’autorisation dont vous disposez et de la quantité de données disponibles pour la collecte.
Étapes suivantes
- Pour plus d’informations sur la façon d’activer ou de désactiver le contrôleur une fois l’intégration terminée, consultez Activer ou désactiver le contrôleur.
- Pour plus d’informations sur la façon d’ajouter un compte/abonnement/projet une fois l’intégration terminée, consultez Ajouter un compte/abonnement/projet une fois l’intégration terminée.