Dołączanie konta usług Amazon Web Services (AWS)

W tym artykule opisano sposób dołączania konta usług Amazon Web Services (AWS) w Zarządzanie uprawnieniami Microsoft Entra.

Uwaga

Aby wykonać zadania w tym artykule, musisz być administratorem zarządzania uprawnieniami.

Wyjaśnienie

Istnieje kilka elementów wymagających konfiguracji na platformie AWS i na platformie Azure, które należy skonfigurować przed rozpoczęciem pracy.

• Aplikacja Microsoft Entra OIDC
• Konto OIDC w AWS
• (opcjonalnie) konto usługi AWS Management
• (opcjonalnie) konto rejestrowania usługi AWS Central
• Rola OIDC AWS
• Rola międzykontowa AWS przejęta przez rolę OIDC

Dołączanie konta platformy AWS

1. Jeśli pulpit nawigacyjny Zbieraczy Danych nie jest wyświetlany przy uruchomieniu Zarządzania Uprawnieniami:

   • Na stronie głównej Zarządzania uprawnieniami wybierz Ustawienia (ikona koła zębatego), a następnie wybierz kartę podrzędną Moduły zbierające dane.

2. Na pulpicie nawigacyjnym Moduły zbierające dane wybierz pozycję AWS, a następnie wybierz pozycję Utwórz konfigurację.

1. Tworzenie aplikacji Microsoft Entra OIDC

1. Na stronie Dołączanie do zarządzania uprawnieniami — Tworzenie aplikacji OIDC Microsoft Entra wprowadź nazwę aplikacji OIDC Azure.

   Ta aplikacja służy do konfigurowania połączenia OpenID Connect (OIDC) z kontem platformy AWS. OIDC to interoperowalny protokół uwierzytelniania oparty na rodzinie specyfikacji OAuth 2.0. Skrypty wygenerowane na tej stronie tworzą aplikację o określonej nazwie w dzierżawie Microsoft Entra z odpowiednią konfiguracją.

2. Aby utworzyć rejestrację aplikacji, skopiuj skrypt i uruchom go w aplikacji wiersza polecenia platformy Azure.

   Uwaga

   1. Aby potwierdzić, że aplikacja została utworzona, otwórz Rejestracje aplikacji na platformie Azure i na karcie Wszystkie aplikacje znajdź aplikację.
   2. Wybierz nazwę aplikacji, aby otworzyć stronę Uwidaczniaj interfejs API . URI identyfikatora aplikacji wyświetlany na stronie Przegląd jest wartością odbiorcy używaną podczas nawiązywania połączenia OIDC z twoim kontem AWS.

3. Wróć do obszaru Zarządzanie uprawnieniami, a następnie w obszarze Dołączanie do zarządzania uprawnieniami — Tworzenie aplikacji Microsoft Entra OIDC wybierz pozycję Dalej.

2. Konfigurowanie konta OIDC platformy AWS

1. Na stronie Dołączanie do zarządzania uprawnieniami — Konfiguracja konta AWS OIDC wprowadź identyfikator konta AWS OIDC, gdzie dostawca OIDC jest utworzony. Możesz zmienić nazwę roli według swoich wymagań.

2. Otwórz kolejne okno przeglądarki i zaloguj się do konta platformy AWS, na którym chcesz utworzyć dostawcę OIDC.

3. Wybierz pozycję Uruchom szablon. Ten link prowadzi do strony tworzenia stosu platformy AWS CloudFormation.

4. Przewiń do dołu strony, a następnie w polu Możliwości wybierz pozycję Potwierdzam, że platforma AWS CloudFormation może tworzyć zasoby IAM z nazwami niestandardowymi. Następnie wybierz Utwórz stos.

   Ten stos AWS CloudFormation tworzy dostawcę tożsamości OIDC (IdP) reprezentującego Microsoft Entra STS oraz rolę AWS IAM z zasadą zaufania, która umożliwia zewnętrznym tożsamościom z Microsoft Entra ID przejęcie tej roli za pośrednictwem dostawcy tożsamości OIDC. Te jednostki są wyświetlane na stronie Zasoby .

5. Wróć do pozycji Zarządzanie uprawnieniami, a następnie na stronie Dołączanie do zarządzania uprawnieniami — Konfiguracja konta OIDC platformy AWS wybierz pozycję Dalej.

3. Konfigurowanie połączenia konta usługi AWS Management (opcjonalnie)

1. Jeśli twoja organizacja ma zasady kontroli usług (SCP), które dotyczą niektórych lub wszystkich kont członkowskich, skonfiguruj połączenie konta zarządzania na stronie Zarządzanie uprawnieniami - szczegóły konta zarządzania platformy AWS.

   Skonfigurowanie połączenia konta zarządzania umożliwia usłudze Permissions Management automatyczne wykrywanie i dołączanie kont członków platformy AWS, które mają prawidłową rolę zarządzania uprawnieniami.

2. Na stronie Dołączanie do zarządzania uprawnieniami — szczegóły konta zarządzania platformą AWS wprowadź identyfikator konta zarządzania i rolę konta zarządzania.

3. Otwórz inne okno przeglądarki i zaloguj się do konsoli platformy AWS dla konta zarządzania.

4. Wróć do pozycji Zarządzanie uprawnieniami, a następnie na stronie Dołączanie do zarządzania uprawnieniami — szczegóły konta zarządzania platformy AWS wybierz pozycję Uruchom szablon.

   Otwiera się strona tworzenia stosu platformy AWS CloudFormation, na której wyświetlany jest szablon.

5. Przejrzyj informacje w szablonie, w razie potrzeby wprowadź zmiany, a następnie przewiń do dołu strony.

6. W polu Możliwości wybierz pozycję Potwierdzam, że platforma AWS CloudFormation może tworzyć zasoby IAM z nazwami niestandardowymi. Następnie wybierz pozycję Utwórz stos.

   Ten stos usługi AWS CloudFormation tworzy rolę na koncie Menedżera z niezbędnymi uprawnieniami (politykami), aby zebrać SCPs i wyświetlić listę wszystkich kont w organizacji.

   Na tym poziomie zastosowano zasady zaufania, aby umożliwić dostęp do roli OIDC utworzonej na koncie AWS OIDC. Te jednostki są wyświetlane na karcie Zasoby stosu CloudFormation.

7. Wróć do pozycji Zarządzanie uprawnieniami, a następnie w obszarze Dołączanie do zarządzania uprawnieniami — szczegóły konta zarządzania platformy AWS wybierz pozycję Dalej.

4. Konfigurowanie połączenia konta rejestrowania usługi AWS Central (opcjonalne, ale zalecane)

1. Jeśli twoja organizacja ma centralne konto logowania, na którym są przechowywane dzienniki z niektórych lub wszystkich kont AWS, na stronie Dołączanie do zarządzania uprawnieniami — Szczegóły Centralnego Konta Logowania AWS skonfiguruj połączenie z kontem logowania.

   Na stronie Wprowadzenie do zarządzania uprawnieniami — Szczegóły centralnego konta logowania AWS wprowadź Identyfikator konta logowania i Rolę konta logowania.

2. W innym oknie przeglądarki zaloguj się do konsoli platformy AWS dla konta platformy AWS używanego do centralnego rejestrowania.

3. Wróć do Zarządzania uprawnieniami, a następnie na stronie Dołączanie do zarządzania uprawnieniami – szczegóły konta centralnego logowania platformy AWS wybierz pozycję Uruchom szablon.

   Otwiera się strona tworzenia stosu platformy AWS CloudFormation, na której wyświetlany jest szablon.

4. Przejrzyj informacje w szablonie, w razie potrzeby wprowadź zmiany, a następnie przewiń do dołu strony.

5. W polu Możliwości wybierz pozycję Potwierdzam, że platforma AWS CloudFormation może tworzyć zasoby IAM z nazwami niestandardowymi, a następnie wybierz pozycję Utwórz stos.

   Ten stos AWS CloudFormation tworzy rolę na koncie logowania z niezbędnymi uprawnieniami (politykami) do odczytu zasobników S3 używanych do centralnego logowania. Na tym poziomie zastosowano zasady zaufania, aby umożliwić dostęp do roli OIDC utworzonej na koncie AWS OIDC. Te jednostki są wyświetlane na karcie Zasoby stosu CloudFormation.

6. Wróć do Zarządzania uprawnieniami, a następnie na stronie Wprowadzanie do zarządzania uprawnieniami — szczegóły konta centralnego logowania AWS wybierz Dalej.

5. Konfigurowanie konta członka platformy AWS

Zaznacz pole wyboru Włącz AWS SSO, jeśli dostęp do konta AWS jest skonfigurowany za pomocą AWS SSO.

Wybierz jedną z trzech opcji do zarządzania kontami platformy AWS.

Opcja 1. Automatyczne zarządzanie

Wybierz tę opcję, aby automatycznie wykrywać i dodawać do monitorowanej listy kont bez dodatkowej konfiguracji. Procedura wykrywania listy kont i włączania do procesu windykacji:

• Wdróż szablon zarządzania CloudFormation (CFT), który tworzy rolę konta organizacyjnego, nadającą uprawnienia wcześniej utworzonej roli OIDC do wyświetlania listy kont, jednostek organizacyjnych i SCP.
• Jeśli usługa AWS SSO jest włączona, konto organizacji CFT również dodaje politykę potrzebną do zbierania szczegółów konfiguracji AWS SSO.
• Wdróż konto członka CFT we wszystkich kontach, które muszą być monitorowane przez Microsoft Entra Permissions Management. Te działania tworzą rolę międzykontową, która ufa utworzonej wcześniej roli OIDC. Zasady SecurityAudit są dołączone do roli utworzonej na potrzeby zbierania danych.

Wszystkie bieżące lub przyszłe konta zostaną automatycznie dołączone.

Aby wyświetlić status wdrażania po zapisaniu konfiguracji:

• Przejdź do karty Zbieracze danych.
• Kliknij stan modułu zbierającego dane.
• Wyświetlanie kont na stronie W toku

Opcja 2. Wprowadź systemy autoryzacji

1. Na stronie Dołączanie do zarządzania uprawnieniami — szczegóły konta członka platformy AWS wprowadź rolę konta członka i identyfikatory kont członkowskich.

   Możesz wprowadzić maksymalnie 100 identyfikatorów kont. Kliknij ikonę znaku plus obok pola tekstowego, aby dodać więcej identyfikatorów kont.

   Uwaga

   Wykonaj następujące kroki dla każdego dodanego identyfikatora konta:

2. Otwórz inne okno przeglądarki i zaloguj się do konsoli platformy AWS dla konta członkowskiego.

3. Wróć do strony Dołączanie do Zarządzania Uprawnieniami — Szczegóły Konta Członka AWS i wybierz opcję Uruchom szablon.

   Otwiera się strona tworzenia stosu platformy AWS CloudFormation, na której wyświetlany jest szablon.

4. Na stronie CloudTrailBucketName wprowadź nazwę.

   Możesz skopiować i wkleić nazwę CloudTrailBucketName ze strony Ścieżki na platformie AWS.

   Uwaga

   Koszyk chmurowy zbiera wszystkie działania na jednym koncie, które są monitorowane przez zarządzanie uprawnieniami. W tym miejscu wprowadź nazwę zasobnika w chmurze, aby zapewnić usłudze Permissions Management dostęp wymagany do zbierania danych działań.

5. Z listy rozwijanej Włącz kontroler wybierz pozycję:

   • Prawda, jeśli chcesz, aby kontroler umożliwiał Zarządzanie Uprawnieniami dostęp do odczytu i zapisu, tak aby wszelkie działania naprawcze, które chcesz podjąć z tej platformy, mogły być wykonywane automatycznie.
   • Fałsz, jeśli chcesz, aby kontroler zapewniał zarządzanie uprawnieniami z dostępem tylko do odczytu.

6. Przewiń do dołu strony, a następnie w polu Możliwości wybierz pozycję Potwierdzam, że platforma AWS CloudFormation może tworzyć zasoby IAM z nazwami niestandardowymi. Następnie wybierz pozycję Utwórz stos.

   Ten stos AWS CloudFormation tworzy rolę do zbierania danych na koncie członkowskim z niezbędnymi uprawnieniami (zasadami) do zbierania danych.

   Na tym poziomie zastosowano zasady zaufania, aby umożliwić dostęp do roli OIDC utworzonej na koncie AWS OIDC. Te jednostki są wyświetlane na karcie Zasoby stosu CloudFormation.

7. Wróć do pozycji Zarządzanie uprawnieniami, a następnie na stronie Dołączanie do zarządzania uprawnieniami — Szczegóły konta członka platformy AWS wybierz pozycję Dalej.

   Ten krok umożliwia ukończenie sekwencji wymaganych połączeń z usługi Microsoft Entra STS do konta połączenia OIDC i konta członka platformy AWS.

Opcja 3. Wybieranie systemów autoryzacji

Ta opcja wykrywa wszystkie konta platformy AWS, które są dostępne za pośrednictwem utworzonego wcześniej dostępu do roli OIDC.

• Wdróż szablon zarządzania CloudFormation (CFT), który tworzy rolę konta organizacyjnego, nadającą uprawnienia wcześniej utworzonej roli OIDC do wyświetlania listy kont, jednostek organizacyjnych i SCP.
• Jeśli usługa AWS SSO jest włączona, konto organizacji CFT również dodaje politykę potrzebną do zbierania szczegółów konfiguracji AWS SSO.
• Wdróż konto członka CFT we wszystkich kontach, które muszą być monitorowane przez Microsoft Entra Permissions Management. Te działania tworzą rolę konta krzyżowego, która ufa utworzonej wcześniej roli OIDC. Zasady SecurityAudit są dołączone do roli utworzonej na potrzeby zbierania danych.
• Kliknij pozycję Weryfikuj i zapisz.
• Przejdź do nowo utworzonego wiersza Kolektora danych w sekcji Kolektory danych AWS.
• Kliknij kolumnę Stan, gdy wiersz ma stan Oczekiwanie
• Aby dołączyć i rozpocząć zbieranie, wybierz określone elementy z wykrytej listy i wyraź zgodę na zbieranie.

6. Przejrzyj i zapisz

1. W obszarze Dołączanie do zarządzania uprawnieniami — podsumowanie przejrzyj dodane informacje, a następnie wybierz pozycję Weryfikuj teraz i zapisz.

   Zostanie wyświetlony następujący komunikat: Pomyślnie utworzono konfigurację.

   Na pulpicie Kolektory danych w kolumnie Ostatnio przesłane w wyświetla się Zbieranie. Kolumna Ostatnio przekształcono w wyświetla Przetwarzanie.

   Kolumna statusu w interfejsie użytkownika zarządzania uprawnieniami pokazuje, na którym etapie zbierania danych się obecnie znajdujesz.

   • Oczekujące: Zarządzanie uprawnieniami jeszcze nie rozpoczęło rozpoznawania ani wprowadzania.
   • Odnajdywanie: Zarządzanie uprawnieniami wykrywa systemy autoryzacji.
   • Trwa: Zarządzanie uprawnieniami zakończyło wykrywanie systemów autoryzacji i wdrażanie.
   • Włączone: Zbieranie danych zostało zakończone, a wszystkie wykryte systemy autoryzacji zostały włączone do usługi Permissions Management.

7. Wyświetlanie danych

1. Aby wyświetlić dane, wybierz kartę Systemy autoryzacji.

   W kolumnie Stan w tabeli zostanie wyświetlona kolumna Zbieranie danych.

   Proces zbierania danych zajmuje trochę czasu i występuje w około 4–5 godzinach w większości przypadków. Przedział czasu zależy od rozmiaru posiadanego systemu autoryzacji i ilości danych dostępnych dla kolekcji.

Następne kroki

• Aby uzyskać informacje na temat włączania lub wyłączania kontrolera po zakończeniu dołączania, zobacz Włączanie lub wyłączanie kontrolera.
• Aby uzyskać informacje na temat dodawania konta/subskrypcji/projektu po zakończeniu dołączania, zobacz Dodawanie konta/subskrypcji/projektu po zakończeniu dołączania.