Настройка Центра удостоверений AWS IAM в качестве поставщика удостоверений (предварительная версия)

Если вы являетесь клиентом Amazon Web Services (AWS), использующим Центр удостоверений AWS IAM, вы можете настроить Центр удостоверений в качестве поставщика удостоверений в разделе "Управление разрешениями". Настройка информации центра идентификации AWS IAM позволяет получать более точные данные о ваших идентификациях в системе управления разрешениями.

Заметка

Настройка Центра удостоверений AWS IAM в качестве поставщика удостоверений является необязательным шагом. Настроив информацию о поставщике удостоверений, Управление доступами может считывать настройки доступа пользователей и ролей, установленных в Центре управления удостоверениями IAM в AWS. Администраторы могут видеть расширенный вид назначенных разрешений для идентичностей. Вы можете вернуться к этим шагам для настройки поставщика идентификаций в любое время.

Настройка Центра удостоверений AWS IAM в качестве поставщика удостоверений

1. Если панель мониторинга Сборщики данных не отображается при запуске управления разрешениями, выберите Параметры (значок шестеренки), а затем выберите вкладку Сборщики данных.

2. На панели управления сборщиков данных выберите AWS, а затем выберите Создать конфигурацию. Если сборщик данных уже существует в учетной записи AWS и вы хотите добавить интеграцию AWS IAM, выполните следующие действия.

   • Выберите сборщик данных, для которого требуется настроить AWS IAM.
   • Щелкните многоточие рядом с статус систем авторизации.
   • Выберите поставщика удостоверений для интеграции.

3. На странице Интеграция поставщика удостоверений (IdP) выберите поле для Центра управления удостоверениями AWS IAM.

4. Заполните следующие поля:

   • Регион Центра удостоверений AWS IAM. Укажите регион, в котором установлен центр удостоверений AWS IAM. Все данные, настроенные в Центре удостоверений IAM
     хранится в регионе, где установлен центр идентификации IAM.
   • Идентификатор учетной записи управления AWS
   • Роль учетной записи управления AWS

5. Выберите Запустить шаблон учетной записи управления. Шаблон откроется в новом окне.

6. Если стек учетной записи администратора был создан с использованием шаблона CloudFormation в рамках предыдущих шагов подключения, обновите стек, установив EnableSSO в значение true. При выполнении этой команды создается новый стек при запуске шаблона учетной записи управления.

Выполнение шаблона присоединяет управляемую политику AWS AWSSSOReadOnly и только что созданную пользовательскую политику SSOPolicy к роли AWS IAM, которая позволяет Microsoft Entra Permissions Management собирать сведения о организации. В шаблоне запрашиваются следующие сведения. Все поля предварительно заполнены, и вы можете изменить данные по мере необходимости:

• имя стека. Имя стека — это имя стека AWS для создания необходимых ресурсов AWS для управления доступом и сбора информации об организации. Значение по умолчанию — mciem-org-<tenant-id>.

• Параметры CFT

  • Название роли поставщика OIDC — название роли поставщика OIDC для роли IAM, которую может принимать. Значением по умолчанию является роль учетной записи OIDC (как указано в разделе "Управление разрешениями").

  • Имя роли учетной записи организации — название роли IAM. Значение по умолчанию предварительно заполнено именем роли учетной записи управления (как указано в Microsoft Entra PM).

  • true — включает AWS систему единичной авторизации (SSO). Значение по умолчанию равно true при запуске шаблона со страницы настройки поставщика удостоверений (IdP), в противном случае значение по умолчанию равно false.

  • Идентификатор учетной записи провайдера OIDC — Идентификатор учетной записи, в которой создан провайдер OIDC. Значением по умолчанию является идентификатор учетной записи поставщика OIDC (как указано в разделе "Управление разрешениями").

  • идентификатор арендатора — идентификатор арендатора, в котором создается приложение. Значение по умолчанию — tenant-id (настроенный арендатор).

7. Нажмите кнопку Далее, чтобы просмотреть и подтвердить введенные сведения.

8. Нажмите кнопку Проверить & Сохранить.

Дальнейшие действия

• Для получения информации о том, как присоединять и отсоединять политики к удостоверениям AWS, см. раздел Присоединение и отключение политик для удостоверений AWS.