Amazon Web Services (AWS) アカウントをオンボードする
この記事では、Microsoft Entra Permissions Management でアマゾン ウェブ サービス (AWS) アカウントをオンボードする方法について説明します。
Note
この記事のタスクを実行するには、Permissions Management 管理者である必要があります。
説明
AWS と Azure にはいくつかの可動部分があり、オンボードの前に構成する必要があります。
- Microsoft Entra OIDC アプリ
- AWS OIDC アカウント
- AWS 管理アカウント (オプション)
- (オプション) AWS Central ロギング アカウント
- AWS OIDC ロール
- OIDC ロールによって引き受けられる AWS クロス アカウント ロール
AWS アカウントをオンボードする
Permissions Management の起動時に [データ コレクター] ダッシュボードが表示されない場合:
- Permissions Management のホーム ページで、[設定] (歯車アイコン) を選択し、[データ コレクター] サブタブを選択します。
[データ コレクター] ダッシュボードで、[AWS] を選択し、[構成の作成] を選択します。
1. Microsoft Entra OIDC アプリを作成する
[Permissions Management のオンボード - Microsoft Entra OIDC アプリの作成] ページで、[OIDC Azure アプリ名] を入力します。
このアプリは、AWS アカウントへの OpenID Connect (OIDC) 接続を設定するために使用します。 OIDC は、OAuth 2.0 ファミリの仕様をベースにした相互運用可能な認証プロトコルです。 このページで生成されたスクリプトは、Microsoft Entra テナントでこの指定された名前のアプリを、正しい構成を使用して作成します。
アプリ登録を作成するには、スクリプトをコピーして、それを Azure コマンド ライン アプリで実行します。
Note
- アプリが作成されたことを確認するには、Azure で [アプリの登録] を開き、[すべてのアプリケーション] タブでアプリを見つけます。
- アプリ名を選択して [API の公開] ページを開きます。 [概要] ページに表示される [アプリケーション ID URI] は、AWS アカウントで OIDC 接続を行うときに使用される "対象ユーザー値" です。
Permissions Management に戻り、[Permissions Management のオンボード - Microsoft Entra OIDC アプリの作成] で [次へ] を選択します。
2. AWS OIDC アカウントを設定する
[Permissions Management Onboarding - AWS OIDC Account Setup](Permissions Management のオンボード - AWS OIDC アカウントのセットアップ) ページで、OIDC プロバイダーが作成される AWS OIDC アカウント ID を入力します。 ロール名は要件に応じて変更できます。
別のブラウザー ウィンドウを開き、OIDC プロバイダーを作成する AWS アカウントにサインインします。
[テンプレートの起動] を選択します。 このリンクをクリックすると、[AWS CloudFormation スタック作成] ページに移動します。
ページの一番下までスクロールし、[機能] ボックスで [AWS CloudFormation がカスタム名を持つ IAM リソースを作成することを承認する] を選択します。 次に [スタックの作成] を選択します。
この AWS CloudFormation スタックでは、Microsoft Entra STS を表す OIDC ID プロバイダー (IdP) と、Microsoft Entra ID から外部 ID が OIDC IdP を介してそれを想定できるようになる信頼ポリシーを持つ AWS IAM ロールが作成されます。 これらのエンティティは、[リソース] ページに一覧表示されます。
Permissions Management に戻り、[Permissions Management Onboarding - AWS OIDC Account Setup](Permissions Management のオンボード - AWS OIDC アカウントのセットアップ) ページで [次へ] を選択します。
3. AWS 管理アカウント接続を設定する (オプション)
組織に、一部またはすべてのメンバー アカウントを管理するサービス制御ポリシー (SCP) がある場合は、[Permissions Management Onboarding - AWS Management Account Details] (Permissions Management のオンボード - AWS 管理アカウントの詳細) ページで管理アカウント接続を設定します。
管理アカウント接続を設定することで、Permissions Management が、正しい Permissions Management ロールを持つ AWS メンバー アカウントを自動検出してオンボードできるようになります。
[Permissions Management Onboarding - AWS Management Account Details] (Permissions Management のオンボード - AWS 管理アカウントの詳細) ページで、[管理アカウント ID] と [管理アカウント ロール] を入力します。
別のブラウザー ウィンドウを開き、管理アカウントの AWS コンソールにサインインします。
Permissions Management に戻り、[Permissions Management Onboarding - AWS Management Account Details] (Permissions Management のオンボード - AWS 管理アカウントの詳細) ページで [テンプレートの起動] を選択します。
[AWS CloudFormation スタック作成] ページが開いて、テンプレートが表示されます。
テンプレートの情報を確認し、必要に応じて変更を加え、ページの下部までスクロールします。
[機能] ボックスで、[AWS CloudFormation がカスタム名を持つ IAM リソースを作成することを承認する] を選択します。 次に [スタックの作成] を選択します。
この AWS CloudFormation スタックは、SCP を収集し、組織内のすべてのアカウントを一覧表示するために必要なアクセス許可 (ポリシー) を持つロールを管理アカウントに作成します。
このロールには信頼ポリシーが設定されています。これにより、AWS OIDC アカウントで作成された OIDC ロールが、このロールにアクセスできます。 これらのエンティティは、CloudFormation スタックの [リソース] タブにリストされます。
Permissions Management に戻り、[Permissions Management Onboarding - AWS Management Account Details] (Permissions Management のオンボード - AWS 管理アカウントの詳細) で、[次へ] を選択します。
4. AWS Central ロギング アカウント接続を設定する (オプションですが推奨)
組織に、一部またはすべての AWS アカウントのログが格納されている中央ロギング アカウントがある場合は、[Permissions Management Onboarding - AWS Central Logging Account Details](Permissions Management のオンボード - AWS Central ロギング アカウントの詳細) ページで、ロギング アカウント接続を設定します。
[Permissions Management Onboarding - AWS Central Logging Account Details](Permissions Management のオンボード - AWS Central ロギング アカウントの詳細) ページで、[ロギング アカウント ID] と [ロギング アカウント ロール] を入力します。
別のブラウザー ウィンドウで、中央ロギングに使用する AWS アカウントの AWS コンソールにサイン インします。
Permissions Management に戻り、[Permissions Management Onboarding - AWS Central Logging Account Details](Permissions Management のオンボード - AWS Central ロギング アカウントの詳細) ページで [テンプレートの起動] を選択します。
[AWS CloudFormation スタック作成] ページが開いて、テンプレートが表示されます。
テンプレートの情報を確認し、必要に応じて変更を加え、ページの下部までスクロールします。
[機能] ボックスで、[AWS CloudFormation がカスタム名を持つ IAM リソースを作成することを承認する] を選択してから、[スタックの作成] を選択します。
この AWS CloudFormation スタックは、中央ロギングに使用される S3 バケットを読み取るのに必要なアクセス許可 (ポリシー) を持つロールをロギング アカウントに作成します。 このロールには信頼ポリシーが設定されています。これにより、AWS OIDC アカウントで作成された OIDC ロールが、このロールにアクセスできます。 これらのエンティティは、CloudFormation スタックの [リソース] タブにリストされます。
Permissions Management に戻り、[Permissions Management Onboarding - AWS Central Logging Account Details](Permissions Management のオンボード - AWS Central ロギング アカウントの詳細) ページで、[次へ] を選択します。
5. AWS メンバー アカウントを設定する
AWS アカウントのアクセスが AWS SSO を使用して構成されている場合は、[AWS SSO を有効にする] チェック ボックスをオンにします。
AWS アカウントを管理するには、3 つのオプションから選択します。
オプション 1: 自動的に管理する
このオプションを選択すると、監視対象アカウントのリストが自動的に検出され、追加の構成なしで追加されます。 アカウントのリストを検出し、収集のためにオンボードする手順は、次のとおりです。
- 管理アカウント CFT (Cloudformation テンプレート) をデプロイします。このテンプレートでは、先ほど作成した OIDC ロールに、アカウント、OU、SCP を一覧表示するためのアクセス許可を付与する組織アカウント ロールを作成します。
- AWS SSO が有効になっている場合、組織アカウント CFT では、AWS SSO 構成の詳細を収集するために必要なポリシーも追加されます。
- Microsoft Entra Permissions Management で監視する必要があるすべてのアカウントにメンバー アカウント CFT をデプロイします。 これらのアクションにより、先ほど作成した OIDC ロールを信頼するクロス アカウント ロールが作成されます。 SecurityAudit ポリシーは、データ収集用に作成されたロールにアタッチされます。
見つかった現在または将来のアカウントはすべて自動的にオンボードされます。
構成を保存した後にオンボードの状態を表示するには、次の手順に従います。
- [データ コレクター] タブに移動します。
- データ コレクターの状態をクリックします。
- [進行中] ページでアカウントを表示します
オプション 2: 認可システムを入力する
[Permissions Management Onboarding - AWS Member Account Details](Permissions Management のオンボード - AWS メンバー アカウントの詳細) ページで、[メンバー アカウント ロール] と [メンバー アカウント ID] を入力します。
最大 100 件のアカウント ID を入力できます。 テキスト ボックスの横にあるプラス アイコンをクリックして、アカウント ID を追加します。
Note
追加するアカウント ID ごとに次の手順を実行します。
別のブラウザー ウィンドウを開き、メンバー アカウントの AWS コンソールにサインインします。
[Permissions Management Onboarding - AWS Member Account Details](Permissions Management のオンボード - AWS メンバー アカウントの詳細) ページで、[テンプレートの起動] を選択します。
[AWS CloudFormation スタック作成] ページが開いて、テンプレートが表示されます。
[CloudTrailBucketName] ページに、名前を入力します。
AWS の [証跡] ページから [CloudTrailBucketName] 名をコピーして貼り付けることができます。
Note
クラウド バケット により、Permissions Management が監視する 1 つのアカウントのすべてのアクティビティが収集されます。 ここにクラウド バケットの名前を入力して、アクティビティ データを収集するために必要なアクセス許可を Permissions Management に付与します。
[Enable Controller] (コントローラーの有効化) ドロップダウンから、以下を選択します。
- コントローラーで、Permissions Management に読み取りと書き込みのアクセス権を付与する場合は [True]。これにより、Permissions Management プラットフォームから行う修復を自動的に実行できます。
- コントローラーで、Permissions Management に読み取り専用アクセス権を付与する場合は [False]。
ページの一番下までスクロールし、[機能] ボックスで [AWS CloudFormation がカスタム名を持つ IAM リソースを作成することを承認する] を選択します。 次に [スタックの作成] を選択します。
この AWS CloudFormation スタックにより、データ収集に必要なアクセス許可 (ポリシー) を持つ収集ロールがメンバー アカウントに作成されます。
このロールには信頼ポリシーが設定されています。これにより、AWS OIDC アカウントで作成された OIDC ロールが、このロールにアクセスできます。 これらのエンティティは、CloudFormation スタックの [リソース] タブにリストされます。
Permissions Management に戻り、[Permissions Management Onboarding - AWS Member Account Details](Permissions Management のオンボード - AWS メンバー アカウントの詳細) ページで、[次へ] を選択します。
この手順では、Microsoft Entra STS から OIDC 接続アカウントおよび AWS メンバー アカウントへの必要な接続のシーケンスを完了します。
オプション 3: 認可システムを選択する
このオプションでは、前に作成した OIDC ロール アクセスを通じてアクセス可能なすべての AWS アカウントが検出されます。
- 管理アカウント CFT (Cloudformation テンプレート) をデプロイします。このテンプレートでは、先ほど作成した OIDC ロールに、アカウント、OU、SCP を一覧表示するためのアクセス許可を付与する組織アカウント ロールを作成します。
- AWS SSO が有効になっている場合、組織アカウント CFT では、AWS SSO 構成の詳細を収集するために必要なポリシーも追加されます。
- Microsoft Entra Permissions Management で監視する必要があるすべてのアカウントにメンバー アカウント CFT をデプロイします。 これらのアクションにより、先ほど作成した OIDC ロールを信頼するクロス アカウント ロールが作成されます。 SecurityAudit ポリシーは、データ収集用に作成されたロールにアタッチされます。
- [確認して保存] をクリックします。
- AWSdata コレクターの下にある新しく作成したデータ コレクター行に移動します。
- 行の状態が "保留中" の場合は、[状態] 列をクリックします
- オンボードして収集を開始するには、検出されたリストから特定のものを選択し、収集に同意します。
6. 確認して保存する
[Permissions Management Onboarding – Summary](Permissions Management のオンボード – 概要) で、追加した情報を確認して、[すぐに確認して保存] を選択します。
メッセージ「Successfully created configuration (構成が正常に作成されました)」が表示されます。
[データ コレクター] ダッシュボードの [Recently Uploaded On] (最近のアップロード日) 列に収集中と表示されます。 [Recently Transformed On] (最近の変換日) 列に処理中と表示されます。
Permissions Management UI の [状態] 列には、現在のデータ収集のステップが表示されます。
- 保留中: Permissions Management はまだ検出もオンボードも開始していません。
- 検出中: Permissions Management は認可システムを検出しています。
- 進行中: Permissions Management は認可システムの検出を完了し、オンボード中です。
- オンボード済み: データ収集が完了し、検出されたすべての認可システムが Permissions Management にオンボードされます。
7. データを表示する
データを表示するには、[Authorization Systems] (認可システム) タブを選択します。
テーブルの [状態] 列に [Collecting Data] (データを収集中) と表示されます。
データ収集プロセスには時間がかかり、ほとんどの場合、約 4 から 5 時間かかります。 期間は、使用している承認システムのサイズと、収集に使用できるデータの量によって異なります。
次のステップ
- オンボードの完了後にコントローラーを有効または無効にする方法については、コントローラーの有効化または無効化に関する記事を参照してください。
- オンボードの完了後にアカウント、サブスクリプション、プロジェクトを追加する方法については、「オンボードの完了後にアカウント、サブスクリプション、プロジェクトを追加する」を参照してください。