Integre uma conta da Amazon Web Services (AWS)

Este artigo descreve como integrar uma conta da Amazon Web Services (AWS) no Microsoft Entra Permissions Management.

Nota

Você deve ser um administrador de gerenciamento de permissões para executar as tarefas neste artigo.

Explicação

Há várias partes móveis na AWS e no Azure, que precisam ser configuradas antes da integração.

• Uma aplicação Microsoft Entra OIDC
• Uma conta OIDC da AWS
• Uma conta de gerenciamento da AWS (opcional)
• Uma conta de registro em log (opcional) do AWS Central
• Uma função OIDC da AWS
• Uma função entre contas da AWS assumida pela função OIDC

Integre uma conta da AWS

1. Se o painel Coletores de Dados não for exibido quando o Gerenciamento de Permissões for lançado:

   • Na página inicial da Gestão de Permissões, selecione Configurações (o ícone de engrenagem) e, em seguida, selecione o separador de Coletores de Dados.

2. No painel Coletores de dados, selecione AWS e, em seguida, selecione Criar configuração.

1. Crie um aplicativo Microsoft Entra OIDC

1. Na página de Integração de Gestão de Permissões - Criação de Aplicativo OIDC, do Microsoft Entra, insira o nome do aplicativo OIDC Azure.

   Este aplicativo é usado para configurar uma conexão OpenID Connect (OIDC) com sua conta da AWS. OIDC é um protocolo de autenticação interoperável baseado na família OAuth 2.0 de especificações. Os scripts gerados nesta página criam o aplicativo com esse nome especificado em seu locatário do Microsoft Entra com a configuração correta.

2. Para criar o registro do aplicativo, copie o script e execute-o em seu aplicativo de linha de comando do Azure.

   Nota

   1. Para confirmar que o aplicativo foi criado, abra Registros de aplicativo no Azure e, na guia Todos os aplicativos , localize seu aplicativo.
   2. Selecione o nome do aplicativo para abrir a página Expor uma API . O URI do ID da Aplicação exibido na página Visão Geral é o valor de audiência usado ao fazer uma ligação OIDC com a sua conta da AWS.

3. Retorne para a Gestão de Permissões e, em Integração do Gerenciamento de Permissões - Criação do aplicativo OIDC do Microsoft Entra, selecione Avançar.

2. Configurar uma conta do AWS OIDC

1. Na página Permissions Management Onboarding - AWS OIDC Account Setup, insira o ID da conta do AWS OIDC onde o provedor OIDC foi criado. Você pode alterar o nome da função de acordo com seus requisitos.

2. Abra outra janela do navegador e faça login na conta da AWS onde você deseja criar o provedor OIDC.

3. Selecione Iniciar modelo. Este link leva-o para a página de criação de stack do AWS CloudFormation.

4. Role até a parte inferior da página e, na caixa Recursos, selecione Reconheço que o AWS CloudFormation pode criar recursos do IAM com nomes personalizados. Em seguida, selecione Criar pilha.

   Essa stack do AWS CloudFormation cria um Provedor de Identidade OIDC (IdP) que representa o Microsoft Entra STS e uma função do AWS IAM com uma política de confiança que permite que identidades externas do Microsoft Entra ID assumam essa função por meio do IdP OIDC. Essas entidades estão listadas na página Recursos .

5. Retorne ao Gerenciamento de permissões e, na página Integração do gerenciamento de permissões - Configuração da conta do AWS OIDC, selecione Avançar.

3. Configure a conexão da conta de gerenciamento da AWS (opcional)

1. Se sua organização tiver políticas de controle de serviço (SCPs) que regem algumas ou todas as contas de membro, configure a conexão da conta de gerenciamento na página Integração de gerenciamento de permissões - Detalhes da conta de gerenciamento da AWS.

   A configuração da conexão da conta de gerenciamento permite que o gerenciamento de permissões detete automaticamente e integre todas as contas de membro da AWS que tenham a função correta de gerenciamento de permissões.

2. Na página Integração do gerenciamento de permissões - Detalhes da conta de gerenciamento da AWS, insira o ID da conta de gerenciamento e a Função da conta de gerenciamento.

3. Abra outra janela do navegador e faça login no console da AWS para sua conta de gerenciamento.

4. Retorne ao Gerenciamento de permissões e, na página Integração do gerenciamento de permissões - Detalhes da conta de gerenciamento da AWS, selecione Iniciar modelo.

   A página de criação de pilha do AWS CloudFormation é aberta, exibindo o modelo.

5. Revise as informações no modelo, faça alterações, se necessário, e role até a parte inferior da página.

6. Na caixa Recursos, selecione Reconheço que o AWS CloudFormation pode criar recursos do IAM com nomes personalizados. Em seguida, selecione Criar pilha.

   Esta stack do AWS CloudFormation cria uma role na conta de gestão com as permissões necessárias (políticas) para obter SCPs e listar todas as contas na sua organização.

   Uma política de confiança é definida nesta função para permitir que a função OIDC, criada na sua conta AWS OIDC, aceda até ela. Essas entidades são listadas na guia Recursos da sua pilha da CloudFormation.

7. Volte para a Gestão de Permissões e, em Integração à Gestão de Permissões - Detalhes da Conta de Gestão da AWS, selecione Avançar.

4. Configure a conexão da conta central de logging do AWS (opcional, mas recomendado)

1. Se a sua organização tiver uma conta de registo central onde os logs de parte ou da totalidade da sua conta AWS são armazenados, na página Permissions Management Onboarding - AWS Central Logging Account Details, configure a ligação à conta de registo.

   Na página Permissions Management Onboarding - AWS Central Logging Account Details, insira o ID da conta de registro e a função da conta de registro.

2. Em outra janela do navegador, faça login no console da AWS para a conta da AWS que você usa para registro central.

3. De volta à Gestão de permissões, e na página Integração da Gestão de permissões - Detalhes da Conta de Registo Central da AWS, selecione Modelo de Lançamento.

   A página de criação de pilha do AWS CloudFormation é aberta, exibindo o modelo.

4. Revise as informações no modelo, faça alterações, se necessário, e role até a parte inferior da página.

5. Na caixa Capacidades, selecione Reconheço que o AWS CloudFormation pode criar recursos do IAM com nomes personalizados, e, em seguida, selecione Criar pilha.

   Essa pilha do AWS CloudFormation cria um papel na conta de logging com as permissões (políticas) necessárias para ler buckets do S3 usados para logging central. Uma política de confiança é definida nessa função para permitir que a função OIDC criada em sua conta do AWS OIDC a acesse. Essas entidades são listadas no separador Recursos da sua pilha do CloudFormation.

6. Volte ao gerenciamento de permissões e, na página de integração do gerenciamento de permissões - detalhes da conta de registro central da AWS, selecione Avançar.

5. Configure uma conta de membro da AWS

Marque a caixa de seleção Ativar AWS SSO, se o acesso à conta da AWS estiver configurado por meio do AWS SSO.

Escolha entre três opções para gerenciar contas da AWS.

Opção 1: Gerir automaticamente

Escolha esta opção para detetar e adicionar automaticamente à lista de contas monitoradas, sem configuração extra. Passos para detectar lista de contas e integração inicial para o processo de cobrança:

• Implante a conta de gerenciamento CFT (modelo Cloudformation) que cria a função de conta da organização que concede permissão à função OIDC criada anteriormente para listar contas, UOs e SCPs.
• Se o AWS SSO estiver habilitado, o CFT da conta da organização também adicionará a política necessária para coletar os detalhes de configuração do AWS SSO.
• Implante o CFT da conta de Membro em todas as contas que precisam ser monitoradas pelo Gerenciamento de Permissões do Microsoft Entra. Essas ações criam uma função entre contas que confia na função OIDC criada anteriormente. A política SecurityAudit é anexada à função criada para a coleta de dados.

Todas as contas atuais ou futuras encontradas são integradas automaticamente.

Para visualizar o status da integração depois de salvar a configuração:

• Vá para a guia Coletores de Dados.
• Clique no status do coletor de dados.
• Ver contas na página Em Curso

Opção 2: Introduzir sistemas de autorização

1. Na página Integração do gerenciamento de permissões - Detalhes da conta de membro da AWS, insira a função da conta de membro e os IDs da conta de membro.

   Pode introduzir até 100 IDs de conta. Clique no ícone de adição ao lado da caixa de texto para adicionar mais IDs de conta.

   Nota

   Execute as seguintes etapas para cada ID de conta adicionado:

2. Abra outra janela do navegador e faça login no console da AWS para a conta de membro.

3. Volte para a página Integração do gerenciamento de permissões - Detalhes da conta de membro da AWS e selecione Modelo de Lançamento.

   A página AWS CloudFormation create stack é aberta, exibindo o modelo.

4. Na página CloudTrailBucketName, insira um nome.

   Você pode copiar e colar o nome CloudTrailBucketName na página Trilhas na AWS.

   Nota

   Um bucket de nuvem coleta toda a atividade em uma única conta que o Gerenciamento de permissões monitora. Insira o nome de um bucket de nuvem aqui para fornecer ao Gerenciamento de Permissões o acesso necessário para coletar dados de atividade.

5. Na lista suspensa Habilitar Controlador, selecione:

   • True, se você quiser que o controlador forneça ao Gerenciamento de Permissões acesso de leitura e gravação para que qualquer correção que você queira fazer a partir da plataforma de Gerenciamento de Permissões possa ser feita automaticamente.
   • False, se quiser que o controlador forneça à Gestão de Permissões acesso de leitura.

6. Role até a parte inferior da página e, na caixa Recursos, selecione Reconheço que o AWS CloudFormation pode criar recursos do IAM com nomes personalizados. Em seguida, selecione Criar stack.

   Essa pilha do AWS CloudFormation cria uma função de coleta na conta de membro com as permissões (políticas) necessárias para a coleta de dados.

   Uma política de confiança é definida nessa função para permitir que a função OIDC criada em sua conta do AWS OIDC a acesse. Essas entidades são listadas no separador Recursos da sua pilha do CloudFormation.

7. retorne ao Gerenciamento de Permissões e, na página Iniciação do Gerenciamento de Permissões - Detalhes da Conta de Membro da AWS, selecione Avançar.

   Esta etapa completa a sequência de conexões necessárias do Microsoft Entra STS para a conta de conexão OIDC e a conta de membro da AWS.

Opção 3: Selecionar sistemas de autorização

Essa opção deteta todas as contas da AWS acessíveis por meio do acesso à função OIDC criado anteriormente.

• Implante a conta de gerenciamento CFT (modelo Cloudformation) que cria a função de conta da organização que concede permissão à função OIDC criada anteriormente para listar contas, UOs e SCPs.
• Se o AWS SSO estiver habilitado, o CFT da conta da organização também adicionará a política necessária para coletar os detalhes de configuração do AWS SSO.
• Implante o CFT da conta de Membro em todas as contas que precisam ser monitoradas pelo Gerenciamento de Permissões do Microsoft Entra. Essas ações criam uma função entre contas que confia na função OIDC criada anteriormente. A política SecurityAudit é anexada à função criada para a coleta de dados.
• Clique em Verificar e Salvar.
• Vá para a linha Data Collector recém-criada em AWSdata collectors.
• Clique na coluna Status quando a linha tiver o status Pendente
• Para integrar e iniciar a recolha, escolha opções específicas da lista detetada e autorize a recolha.

6. Reveja e guarde

1. Em Integração de Gerenciamento de Permissões – Resumo, revise as informações adicionadas e selecione Verificar Agora & Salvar.

   A seguinte mensagem é exibida: Configuração criada com êxito.

   No painel Coletores de dados, a coluna Carregado Recente Em exibe Coleta. A coluna Recentemente transformado em exibe Processamento.

   A coluna de status na interface do usuário do Gerenciamento de Permissões mostra em qual etapa da coleta de dados você está:

   • Pendente: o Gerenciamento de permissões ainda não começou a ser detetado ou integrado.
   • Descubra: O Gerenciamento de Permissões está detetando os sistemas de autorização.
   • Em progresso: o Gerenciamento de Permissões concluiu a deteção dos sistemas de autorização e está a integrar-se.
   • Integrado: a coleta de dados está concluída e todos os sistemas de autorização detetados são integrados ao Gerenciamento de Permissões.

7. Ver os dados

1. Para visualizar os dados, selecione a guia Sistemas de autorização .

   A coluna Status na tabela exibe Coletando dados.

   O processo de coleta de dados leva algum tempo e ocorre em intervalos de aproximadamente 4-5 horas na maioria dos casos. O período de tempo depende do tamanho do sistema de autorização que você tem e da quantidade de dados disponíveis para coleta.

Próximos passos

• Para obter informações sobre como habilitar ou desabilitar o controlador após a conclusão da integração, consulte Habilitar ou desabilitar o controlador.
• Para obter informações sobre como adicionar uma conta/assinatura/projeto após a conclusão da integração, consulte Adicionar uma conta/assinatura/projeto após a conclusão da integração.