Een AWS-account (Amazon Web Services) onboarden

In dit artikel wordt beschreven hoe u een AWS-account (Amazon Web Services) onboardt in Microsoft Entra-machtigingsbeheer.

Notitie

U moet een beheerder voor machtigingenbeheer zijn om de taken in dit artikel uit te voeren.

Uitleg

Er zijn verschillende bewegende onderdelen in AWS en Azure, die moeten worden geconfigureerd voordat onboarding wordt uitgevoerd.

• Een Microsoft Entra OIDC-app
• Een AWS OIDC-account
• Een (optioneel) AWS-beheeraccount
• Een (optioneel) AWS Central-logboekregistratieaccount
• Een AWS OIDC-rol
• Een AWS-cross-accountrol die wordt aangenomen door een OIDC-rol

Een AWS-account onboarden

1. Als het dashboard Gegevensverzamelaars niet wordt weergegeven wanneer Machtigingenbeheer wordt gestart:

   • Ga naar de startpagina van Machtigingenbeheer, selecteer Instellingen (het tandwielpictogram) en selecteer vervolgens het subtabblad Gegevensverzamelaars.

2. Selecteer AWS op het dashboard Gegevensverzamelaars en selecteer vervolgens Configuratie maken.

1. Een Microsoft Entra OIDC-app maken

1. Voer op de pagina Onboarding voor machtigingenbeheer - Microsoft Entra OIDC-app maken de naam van de OIDC Azure-app in.

   Deze app wordt gebruikt om een OpenID Connect-verbinding (OIDC) in te stellen met uw AWS-account. OIDC is een interoperabel verificatieprotocol op basis van de OAuth 2.0-serie specificaties. De scripts die op deze pagina worden gegenereerd, maken de app van deze opgegeven naam in uw Microsoft Entra-tenant met de juiste configuratie.

2. Als u de app-registratie wilt maken, kopieert u het script en voert u het uit in uw Azure-opdrachtregel-app.

   Notitie

   1. Als u wilt controleren of de app is gemaakt, opent u App-registraties in Azure en zoekt u uw app op het tabblad Alle toepassingen.
   2. Selecteer de naam van de app om de pagina Een API beschikbaar maken te openen. De URI van de toepassings-id die wordt weergegeven op de pagina Overzicht is de doelgroepwaarde die wordt gebruikt tijdens het maken van een OIDC-verbinding met uw AWS-account.

3. Ga terug naar Machtigingsbeheer en in de Machtigingsbeheer Onboarding - Microsoft Entra OIDC App Maken selecteer je Volgende.

2. Een AWS OIDC-account instellen

1. Voer op de pagina Onboarding voor machtigingenbeheer - AWS OIDC-accountconfiguratie de id van het AWS OIDC-account in waar de OIDC-provider is gemaakt. U kunt de rolnaam wijzigen naar uw wensen.

2. Open een ander browservenster en meld u aan bij het AWS-account waar u de OIDC-provider wilt maken.

3. Selecteer Sjabloon starten. Met deze koppeling gaat u naar de AWS CloudFormation stack maken pagina.

4. Schuif naar de onderkant van de pagina en selecteer in het vak Mogelijkheden dat ik bevestig dat AWS CloudFormation IAM-resources met aangepaste namen kan maken. Vervolgens Stack aanmaken.

   Met deze AWS CloudFormation-stack maakt u een OIDC Identity Provider (IdP) die Microsoft Entra STS en een AWS IAM-rol vertegenwoordigt met een vertrouwensbeleid waarmee externe identiteiten van Microsoft Entra-id deze kunnen aannemen via de OIDC IdP. Deze entiteiten worden weergegeven op de pagina Resources .

5. Ga terug naar Machtigingenbeheer en selecteer op de pagina Onboarding voor Machtigingenbeheer - AWS OIDC-accountinstellingenVolgende.

3. De verbinding met het AWS-beheeraccount instellen (optioneel)

1. Als uw organisatie servicebeheerbeleidsregels (SCPS's) heeft die een of meer van de lidaccounts beheren, stelt u de verbinding met het beheeraccount in op de pagina Onboarding voor beheer van machtigingen - AWS-beheeraccountdetails .

   Door de verbinding met het beheeraccount in te stellen, kan Machtigingenbeheer alle AWS-lidaccounts met de juiste rol Machtigingenbeheer automatisch detecteren en onboarden.

2. Voer op de pagina Onboarding machtigingen - AWS-beheeraccountgegevens de ID van het beheeraccount en rol van het beheeraccount in.

3. Open een ander browservenster en meld u aan bij de AWS-console voor uw beheeraccount.

4. Ga terug naar Machtigingenbeheer, en selecteer op de pagina Permissions Management Onboarding - AWS Management Account Details de optie Sjabloon starten.

   De pagina AWS CloudFormation-stack maken wordt geopend, en geeft de sjabloon weer.

5. Controleer de informatie in de sjabloon, breng zo nodig wijzigingen aan en schuif naar de onderkant van de pagina.

6. Selecteer in het vak Capabilities de optie Ik bevestig dat AWS CloudFormation IAM-resources met aangepaste namen kan maken. Selecteer vervolgens Stack maken.

   Deze AWS CloudFormation-stack maakt een rol in het beheeraccount met de benodigde machtigingen (beleidsregels) om SCPS's te verzamelen en alle accounts in uw organisatie weer te geven.

   Er is een vertrouwensbeleid ingesteld op deze rol, zodat de OIDC-rol die in uw AWS OIDC-account is gemaakt toegang ertoe heeft. Deze entiteiten worden weergegeven op het tabblad Resources van uw CloudFormation-stack.

7. Ga terug naar Machtigingsbeheer en in Machtigingsbeheer Onboarding - AWS-beheeraccountdetails, kies Volgende.

4. Stel de verbinding van het AWS Central-logboekregistratieaccount in (optioneel maar aanbevolen)

1. Als uw organisatie een centraal loggingaccount heeft waarin logs van enkele of al uw AWS-accounts worden opgeslagen, stelt u op de pagina Machtigingenbeheer Onboarding - Details van het AWS Central Logging Account de verbinding voor het loggingaccount in.

   Voer op de pagina Permissions Management Onboarding - AWS Central Logging Account Details de Logging Account ID en Logging Account Role in.

2. Meld u in een ander browservenster aan bij de AWS-console voor het AWS-account dat u gebruikt voor centrale logboekregistratie.

3. Ga terug naar Machtigingsbeheer en selecteer op de pagina Accountdetails van aws Central-logboekregistratie de optie Sjabloon starten.

   De pagina AWS CloudFormation-stack maken wordt geopend en toont de sjabloon.

4. Controleer de informatie in de sjabloon, breng zo nodig wijzigingen aan en schuif naar de onderkant van de pagina.

5. Selecteer in het vak Capabilities de optie Ik bevestig dat AWS CloudFormation IAM-resources met aangepaste namen kan maken en selecteer vervolgens Stack maken.

   Deze AWS CloudFormation-stack creëert een rol in het logaccount met de nodige machtigingen (beleid) om S3-buckets te lezen die worden gebruikt voor centrale logging. Er is een vertrouwensbeleid ingesteld op deze rol, zodat de OIDC-rol die in uw AWS OIDC-account is gemaakt toegang ertoe heeft. Deze entiteiten worden weergegeven op het tabblad Resources van uw CloudFormation-stack.

6. Ga terug naar Machtigingenbeheer en op de pagina Machtigingsbeheer Onboarding - AWS centrale logboekaccountdetails selecteer je Volgende.

5. Een AWS-lidaccount instellen

Schakel het selectievakje AWS SSO inschakelen in, als de toegang tot het AWS-account via AWS SSO is geconfigureerd.

Kies uit drie opties voor het beheren van AWS-accounts.

Optie 1: Automatisch beheren

Kies deze optie om automatisch te detecteren en toe te voegen aan de lijst met bewaakte accounts, zonder extra configuratie. Stappen voor het identificeren van een lijst met accounts en het invoeren voor collectie:

• Implementeer CFT (Cloudformation-sjabloon) voor het beheeraccount waarmee een organisatieaccountrol wordt gemaakt die toestemming verleent aan de OIDC-rol die eerder is gemaakt om accounts, OE's en SCPS weer te geven.
• Als AWS SSO is ingeschakeld, voegt CFT van het organisatieaccount ook het beleid toe dat nodig is voor het verzamelen van AWS SSO-configuratiegegevens.
• Implementeer CFT van lidaccount in alle accounts die moeten worden bewaakt door Microsoft Entra-machtigingsbeheer. Met deze acties wordt een cross-account rol gemaakt die de eerder gemaakte OIDC-rol vertrouwt. Het SecurityAudit-beleid is gekoppeld aan de rol die is gemaakt voor het verzamelen van gegevens.

Alle huidige of toekomstige gevonden accounts worden automatisch onboard.

De status van onboarding weergeven nadat u de configuratie hebt opgeslagen:

• Ga naar het tabblad Gegevensverzamelaars .
• Klik op de status van de gegevensverzamelaar.
• Accounts weergeven op de pagina In uitvoering

Optie 2: Autorisatiesystemen invoeren

1. Voer op de pagina Onboarding voor machtigingenbeheer - AWS-lidaccountgegevens de rol van het lidaccount en de account-id's van het lid in.

   U kunt maximaal 100 account-id's invoeren. Klik op het pluspictogram naast het tekstvak om meer account-id's toe te voegen.

   Notitie

   Volg de volgende stappen voor elke account-id die u toevoegt:

2. Open een ander browservenster en meld u aan bij de AWS-console voor het lidaccount.

3. Ga terug naar de pagina Toestemmingen Beheer Onboarding - AWS Lid Accountdetails en selecteer Startsjabloon.

   De pagina AWS CloudFormation create stack wordt geopend, die de sjabloon weergeeft.

4. Voer op de pagina CloudTrailBucketName een naam in.

   U kunt de CloudTrailBucketName kopiëren en plakken vanaf de pagina Trails in AWS.

   Notitie

   Een cloudbucket verzamelt alle activiteiten in één account dat Machtigingenbeheer bewaakt. Voer hier de naam in van een cloudbucket om Machtigingenbeheer te de toegang te geven die nodig is voor het verzamelen van activiteitsgegevens.

5. Selecteer in de vervolgkeuzelijst Inschakelen Controller

   • Waar, als u wilt dat de controller machtigingenbeheer met lees- en schrijftoegang biedt, zodat herstel dat u wilt doen via het Platform machtigingenbeheer automatisch kan worden uitgevoerd.
   • Onwaar, als u wilt dat de controller machtigingenbeheer biedt met alleen-lezentoegang.

6. Schuif naar de onderkant van de pagina en selecteer in het vak Mogelijkheden dat ik bevestig dat AWS CloudFormation IAM-resources met aangepaste namen kan maken. Selecteer vervolgens Stack maken.

   Deze AWS CloudFormation-stack maakt een verzamelingsrol in het lidaccount met de benodigde machtigingen (beleidsregels) voor gegevensverzameling.

   Er is een vertrouwensbeleid ingesteld op deze rol, zodat de OIDC-rol die in uw AWS OIDC-account is gemaakt toegang ertoe heeft. Deze entiteiten worden weergegeven op het tabblad Resources van uw CloudFormation-stack.

7. Ga terug naar Machtigingsbeheer en selecteer op de pagina Machtigingsbeheer Onboarding - AWS-lidaccountgegevensVolgende.

   Deze stap voltooit de reeks vereiste verbindingen van Microsoft Entra STS met het OIDC-verbindingsaccount en het AWS-lidaccount.

Optie 3: Autorisatiesystemen selecteren

Met deze optie worden alle AWS-accounts gedetecteerd die toegankelijk zijn via OIDC-roltoegang die eerder is gemaakt.

• Implementeer CFT (Cloudformation-sjabloon) voor het beheeraccount waarmee een organisatieaccountrol wordt gemaakt die toestemming verleent aan de OIDC-rol die eerder is gemaakt om accounts, OE's en SCPS weer te geven.
• Als AWS SSO is ingeschakeld, voegt de CFT van het organisatieaccount ook het beleid toe dat nodig is om de configuratiegegevens van AWS SSO te verzamelen.
• Implementeer CFT van lidaccount in alle accounts die moeten worden bewaakt door Microsoft Entra-machtigingsbeheer. Deze acties creëren een cross-account rol die de eerder gemaakte OIDC-rol vertrouwt. Het SecurityAudit-beleid is gekoppeld aan de rol die is gemaakt voor het verzamelen van gegevens.
• Klik op Verifiëren en Opslaan.
• Ga naar de zojuist gemaakte rij van de gegevensverzamelaar onder AWS data-collectors.
• Klik op de kolom Status wanneer de rij de status In behandeling heeft
• Om de verzameling in te stellen en te starten, kiest u specifieke items uit de gedetecteerde lijst en geeft u toestemming voor de verzameling.

6. Controleren en opslaan

1. Controleer de informatie die u hebt toegevoegd in Onboarding van Machtigingenbeheer - Samenvatting, en selecteer Nu verifiëren en opslaan.

   Het volgende bericht wordt weergegeven: De configuratie is gemaakt.

   Op het Gegevensverzamelaars-dashboard toont de kolom Recent geüpload opVerzamelen. In de kolom Onlangs getransformeerd wordt verwerken weergegeven.

   In de statuskolom in de gebruikersinterface voor machtigingenbeheer ziet u in welke stap gegevensverzameling u zich bevindt:

   • In behandeling: Het beheer van machtigingen is nog niet gestart met detecteren of onboarden.
   • Detecteren: Machtigingenbeheer detecteert de autorisatiesystemen.
   • Wordt uitgevoerd: Machtigingenbeheer is klaar met het detecteren van de autorisatiesystemen en onboarding.
   • Onboarding: het verzamelen van gegevens is voltooid en alle gedetecteerde autorisatiesystemen worden toegevoegd aan Machtigingsbeheer.

7. De gegevens weergeven

1. Als u de gegevens wilt weergeven, selecteert u het tabblad Autorisatiesystemen.

   In de kolom Status in de tabel wordt Gegevens verzamelen weergegeven.

   Het proces voor het verzamelen van gegevens duurt enige tijd en vindt plaats in de meeste gevallen in ongeveer 4-5 uursintervallen. Het tijdsbestek is afhankelijk van de grootte van het autorisatiesysteem dat u hebt en hoeveel gegevens beschikbaar zijn voor verzameling.

Volgende stappen

• Zie De controller in- of uitschakelen voor informatie over het in- of uitschakelen van de controller nadat de onboarding is voltooid.
• Zie Een account/abonnement/project toevoegen nadat de onboarding is voltooid voor informatie over het toevoegen van een account/abonnement/project nadat de onboarding is voltooid.