Udostępnij za pośrednictwem


Dołączanie konta usług Amazon Web Services (AWS)

W tym artykule opisano sposób dołączania konta usług Amazon Web Services (AWS) w Zarządzanie uprawnieniami Microsoft Entra.

Uwaga

Aby wykonać zadania w tym artykule, musisz być administratorem zarządzania uprawnieniami.

Wyjaśnienie

Istnieje kilka ruchomych części na platformie AWS i na platformie Azure, które należy skonfigurować przed dołączaniem.

  • Aplikacja Microsoft Entra OIDC
  • Konto OIDC platformy AWS
  • (opcjonalnie) konto usługi AWS Management
  • (opcjonalnie) konto rejestrowania usługi AWS Central
  • Rola OIDC platformy AWS
  • Rola konta krzyżowego platformy AWS przejęta przez rolę OIDC

Dołączanie konta platformy AWS

  1. Jeśli pulpit nawigacyjny modułów zbierających dane nie jest wyświetlany, gdy zostanie uruchomione zarządzanie uprawnieniami:

    • Na stronie głównej Zarządzanie uprawnieniami wybierz pozycję Ustawienia (ikona koła zębatego), a następnie wybierz podtabę Moduły zbierające dane.
  2. Na pulpicie nawigacyjnym Moduły zbierające dane wybierz pozycję AWS, a następnie wybierz pozycję Utwórz konfigurację.

1. Tworzenie aplikacji Microsoft Entra OIDC

  1. Na stronie Dołączanie do zarządzania uprawnieniami — Tworzenie aplikacji Microsoft Entra OIDC wprowadź nazwę aplikacji platformy Azure OIDC.

    Ta aplikacja służy do konfigurowania połączenia OpenID Connect (OIDC) z kontem platformy AWS. OIDC to interoperowalny protokół uwierzytelniania oparty na rodzinie specyfikacji OAuth 2.0. Skrypty wygenerowane na tej stronie tworzą aplikację tej określonej nazwy w dzierżawie firmy Microsoft Entra z odpowiednią konfiguracją.

  2. Aby utworzyć rejestrację aplikacji, skopiuj skrypt i uruchom go w aplikacji wiersza polecenia platformy Azure.

    Uwaga

    1. Aby potwierdzić, że aplikacja została utworzona, otwórz Rejestracje aplikacji na platformie Azure i na karcie Wszystkie aplikacje znajdź aplikację.
    2. Wybierz nazwę aplikacji, aby otworzyć stronę Uwidaczniaj interfejs API . Identyfikator URI identyfikatora aplikacji wyświetlany na stronie Przegląd jest wartością odbiorców używaną podczas nawiązywania połączenia OIDC z kontem platformy AWS.
  3. Wróć do obszaru Zarządzanie uprawnieniami, a następnie w obszarze Dołączanie do zarządzania uprawnieniami — Tworzenie aplikacji Microsoft Entra OIDC wybierz pozycję Dalej.

2. Konfigurowanie konta OIDC platformy AWS

  1. Na stronie Dołączanie do zarządzania uprawnieniami — Konfiguracja konta usługi AWS OIDC wprowadź identyfikator konta usługi AWS OIDC, w którym jest tworzony dostawca OIDC. Możesz zmienić nazwę roli na wymagania.

  2. Otwórz kolejne okno przeglądarki i zaloguj się do konta platformy AWS, na którym chcesz utworzyć dostawcę OIDC.

  3. Wybierz pozycję Uruchom szablon. Ten link umożliwia przejście do strony tworzenia stosu platformy AWS CloudFormation.

  4. Przewiń do dołu strony, a następnie w polu Możliwości wybierz pozycję Potwierdzam, że platforma AWS CloudFormation może tworzyć zasoby IAM z nazwami niestandardowymi. Następnie wybierz pozycję Utwórz stos.

    Ten stos AWS CloudFormation tworzy dostawcę tożsamości OIDC (IdP) reprezentującego usługę Microsoft Entra STS i rolę usługi AWS IAM z zasadami zaufania, które umożliwiają tożsamości zewnętrzne z identyfikatora Entra firmy Microsoft, aby przyjąć go za pośrednictwem dostawcy tożsamości OIDC. Te jednostki są wyświetlane na stronie Zasoby .

  5. Wróć do pozycji Zarządzanie uprawnieniami, a następnie na stronie Dołączanie do zarządzania uprawnieniami — Konfiguracja konta OIDC platformy AWS wybierz pozycję Dalej.

3. Konfigurowanie połączenia konta usługi AWS Management (opcjonalnie)

  1. Jeśli organizacja ma zasady kontroli usług (SCPs), które zarządzają niektórymi lub wszystkimi kontami członkami, skonfiguruj połączenie konta zarządzania na stronie Dołączanie do zarządzania — szczegóły konta zarządzania platformy AWS.

    Skonfigurowanie połączenia konta zarządzania umożliwia usłudze Permissions Management automatyczne wykrywanie i dołączanie kont członków platformy AWS, które mają prawidłową rolę zarządzania uprawnieniami.

  2. Na stronie Dołączanie do zarządzania uprawnieniami — szczegóły konta zarządzania platformą AWS wprowadź identyfikator konta zarządzania i rolę konta zarządzania.

  3. Otwórz inne okno przeglądarki i zaloguj się do konsoli platformy AWS dla konta zarządzania.

  4. Wróć do pozycji Zarządzanie uprawnieniami, a następnie na stronie Dołączanie do zarządzania uprawnieniami — szczegóły konta zarządzania platformy AWS wybierz pozycję Uruchom szablon.

    Zostanie otwarta strona tworzenia stosu platformy AWS CloudFormation z wyświetlonym szablonem.

  5. Przejrzyj informacje w szablonie, w razie potrzeby wprowadź zmiany, a następnie przewiń do dołu strony.

  6. W polu Możliwości wybierz pozycję Potwierdzam, że platforma AWS CloudFormation może tworzyć zasoby IAM z nazwami niestandardowymi. Następnie wybierz pozycję Utwórz stos.

    Ten stos usługi AWS CloudFormation tworzy rolę na koncie zarządzania z niezbędnymi uprawnieniami (zasadami), aby zebrać scps i wyświetlić listę wszystkich kont w organizacji.

    Zasady zaufania są ustawione na tej roli, aby zezwolić na dostęp do roli OIDC utworzonej na koncie usługi AWS OIDC. Te jednostki są wyświetlane na karcie Zasoby stosu CloudFormation.

  7. Wróć do pozycji Zarządzanie uprawnieniami, a następnie w obszarze Dołączanie do zarządzania uprawnieniami — szczegóły konta zarządzania platformy AWS wybierz pozycję Dalej.

  1. Jeśli Organizacja ma centralne konto rejestrowania, na którym są przechowywane dzienniki z niektórych lub wszystkich kont platformy AWS, na stronie Dołączanie do zarządzania uprawnieniami — szczegóły konta rejestrowania usługi AWS Central skonfiguruj połączenie konta rejestrowania.

    Na stronie Dołączanie do zarządzania uprawnieniami — szczegóły konta rejestrowania centralnego platformy AWS wprowadź identyfikator konta rejestrowania i rolę konta rejestrowania.

  2. W innym oknie przeglądarki zaloguj się do konsoli platformy AWS dla konta platformy AWS używanego do centralnego rejestrowania.

  3. Wróć do pozycji Zarządzanie uprawnieniami, a następnie na stronie Dołączanie do zarządzania uprawnieniami — Centralne rejestrowanie konta platformy AWS wybierz pozycję Uruchom szablon.

    Zostanie otwarta strona tworzenia stosu platformy AWS CloudFormation z wyświetlonym szablonem.

  4. Przejrzyj informacje w szablonie, w razie potrzeby wprowadź zmiany, a następnie przewiń do dołu strony.

  5. W polu Możliwości wybierz pozycję Potwierdzam, że platforma AWS CloudFormation może tworzyć zasoby IAM z nazwami niestandardowymi, a następnie wybierz pozycję Utwórz stos.

    Ten stos AWS CloudFormation tworzy rolę na koncie rejestrowania z niezbędnymi uprawnieniami (zasadami) do odczytywania zasobników S3 używanych do centralnego rejestrowania. Zasady zaufania są ustawione na tej roli, aby zezwolić na dostęp do roli OIDC utworzonej na koncie usługi AWS OIDC. Te jednostki są wyświetlane na karcie Zasoby stosu CloudFormation.

  6. Wróć do pozycji Zarządzanie uprawnieniami, a następnie na stronie Dołączanie do zarządzania uprawnieniami — szczegóły konta rejestrowania centralnego platformy AWS wybierz pozycję Dalej.

5. Konfigurowanie konta członka platformy AWS

Zaznacz pole wyboru Włącz logowanie jednokrotne platformy AWS, jeśli dostęp do konta platformy AWS jest skonfigurowany za pośrednictwem logowania jednokrotnego platformy AWS.

Wybierz jedną z trzech opcji do zarządzania kontami platformy AWS.

Opcja 1. Automatyczne zarządzanie

Wybierz tę opcję, aby automatycznie wykrywać i dodawać do monitorowanej listy kont bez dodatkowej konfiguracji. Kroki wykrywania listy kont i dołączania do kolekcji:

  • Wdróż konto zarządzania CFT (szablon cloudformation), który tworzy rolę konta organizacji, która udziela uprawnień do roli OIDC utworzonej wcześniej w celu wyświetlania listy kont, jednostek organizacyjnych i scPs.
  • Jeśli usługa AWS SSO jest włączona, konto organizacji CFT dodaje również zasady potrzebne do zbierania szczegółów konfiguracji logowania jednokrotnego platformy AWS.
  • Wdróż konto członka CFT we wszystkich kontach, które muszą być monitorowane przez Zarządzanie uprawnieniami Microsoft Entra. Te akcje tworzą rolę konta krzyżowego, która ufa utworzonej wcześniej roli OIDC. Zasady SecurityAudit są dołączone do roli utworzonej na potrzeby zbierania danych.

Wszystkie bieżące lub przyszłe konta zostaną automatycznie dołączone.

Aby wyświetlić stan dołączania po zapisaniu konfiguracji:

  • Przejdź do karty Moduły zbierające dane.
  • Kliknij stan modułu zbierającego dane.
  • Wyświetlanie kont na stronie W toku

Opcja 2. Wprowadź systemy autoryzacji

  1. Na stronie Dołączanie do zarządzania uprawnieniami — szczegóły konta członka platformy AWS wprowadź rolę konta członka i identyfikatory kont członkowskich.

    Możesz wprowadzić maksymalnie 100 identyfikatorów kont. Kliknij ikonę znaku plus obok pola tekstowego, aby dodać więcej identyfikatorów kont.

    Uwaga

    Wykonaj następujące kroki dla każdego dodanego identyfikatora konta:

  2. Otwórz inne okno przeglądarki i zaloguj się do konsoli platformy AWS dla konta członkowskiego.

  3. Wróć do strony Dołączanie do zarządzania uprawnieniami — szczegóły konta członka platformy AWS, wybierz pozycję Uruchom szablon.

    Zostanie otwarta strona tworzenia stosu platformy AWS CloudFormation z wyświetlonym szablonem.

  4. Na stronie CloudTrailBucketName wprowadź nazwę.

    Możesz skopiować i wkleić nazwę CloudTrailBucketName ze strony Szlaki na platformie AWS.

    Uwaga

    Zasobnik chmury zbiera wszystkie działania na jednym koncie, które monitoruje zarządzanie uprawnieniami. W tym miejscu wprowadź nazwę zasobnika w chmurze, aby zapewnić usłudze Permissions Management dostęp wymagany do zbierania danych działań.

  5. Z listy rozwijanej Włącz kontroler wybierz pozycję:

    • Prawda, jeśli chcesz, aby kontroler zapewniał uprawnienia do zarządzania uprawnieniami z dostępem do odczytu i zapisu, aby wszelkie korygowania, które chcesz wykonać z platformy Zarządzania uprawnieniami, można wykonać automatycznie.
    • Fałsz, jeśli chcesz, aby kontroler zapewniał zarządzanie uprawnieniami z dostępem tylko do odczytu.
  6. Przewiń do dołu strony, a następnie w polu Możliwości wybierz pozycję Potwierdzam, że platforma AWS CloudFormation może tworzyć zasoby IAM z nazwami niestandardowymi. Następnie wybierz pozycję Utwórz stos.

    Ten stos AWS CloudFormation tworzy rolę kolekcji na koncie członkowskim z niezbędnymi uprawnieniami (zasadami) do zbierania danych.

    Zasady zaufania są ustawione na tej roli, aby zezwolić na dostęp do roli OIDC utworzonej na koncie usługi AWS OIDC. Te jednostki są wyświetlane na karcie Zasoby stosu CloudFormation.

  7. Wróć do pozycji Zarządzanie uprawnieniami, a następnie na stronie Dołączanie do zarządzania uprawnieniami — Szczegóły konta członka platformy AWS wybierz pozycję Dalej.

    Ten krok umożliwia ukończenie sekwencji wymaganych połączeń z usługi Microsoft Entra STS do konta połączenia OIDC i konta członka platformy AWS.

Opcja 3. Wybieranie systemów autoryzacji

Ta opcja wykrywa wszystkie konta platformy AWS, które są dostępne za pośrednictwem utworzonego wcześniej dostępu do roli OIDC.

  • Wdróż konto zarządzania CFT (szablon cloudformation), który tworzy rolę konta organizacji, która udziela uprawnień do roli OIDC utworzonej wcześniej w celu wyświetlania listy kont, jednostek organizacyjnych i scPs.
  • Jeśli usługa AWS SSO jest włączona, konto organizacji CFT dodaje również zasady potrzebne do zbierania szczegółów konfiguracji logowania jednokrotnego platformy AWS.
  • Wdróż konto członka CFT we wszystkich kontach, które muszą być monitorowane przez Zarządzanie uprawnieniami Microsoft Entra. Te akcje tworzą rolę konta krzyżowego, która ufa utworzonej wcześniej roli OIDC. Zasady SecurityAudit są dołączone do roli utworzonej na potrzeby zbierania danych.
  • Kliknij pozycję Weryfikuj i zapisz.
  • Przejdź do nowo utworzonego wiersza modułu zbierającego dane w obszarze Moduły zbierające dane AWSdata.
  • Kliknij kolumnę Stan, gdy wiersz ma stan Oczekiwanie
  • Aby dołączyć i rozpocząć zbieranie, wybierz określone z wykrytej listy i zgodę na zbieranie.

6. Przejrzyj i zapisz

  1. W obszarze Dołączanie do zarządzania uprawnieniami — podsumowanie przejrzyj dodane informacje, a następnie wybierz pozycję Weryfikuj teraz i zapisz.

    Zostanie wyświetlony następujący komunikat: Pomyślnie utworzono konfigurację.

    Na pulpicie nawigacyjnym Moduły zbierające dane w kolumnie Ostatnio przekazane w kolumnie Zbieranie. W kolumnie Ostatnio przekształcone w kolumnie Przetwarzanie jest wyświetlana wartość Przetwarzanie.

    Kolumna status w interfejsie użytkownika zarządzania uprawnieniami pokazuje, który krok zbierania danych znajduje się w:

    • Oczekujące: Zarządzanie uprawnieniami nie rozpoczęło jeszcze wykrywania ani dołączania.
    • Odnajdywanie: Zarządzanie uprawnieniami wykrywa systemy autoryzacji.
    • W toku: Zarządzanie uprawnieniami zakończyło wykrywanie systemów autoryzacji i dołączanie.
    • Dołączone: zbieranie danych zostało ukończone, a wszystkie wykryte systemy autoryzacji są dołączane do usługi Permissions Management.

7. Wyświetlanie danych

  1. Aby wyświetlić dane, wybierz kartę Systemy autoryzacji.

    W kolumnie Stan w tabeli zostanie wyświetlona kolumna Zbieranie danych.

    Proces zbierania danych zajmuje trochę czasu i występuje w około 4–5 godzinach w większości przypadków. Przedział czasu zależy od rozmiaru posiadanego systemu autoryzacji i ilości danych dostępnych dla kolekcji.

Następne kroki