Подключение учетной записи Amazon Web Services (AWS)

В этой статье описывается, как подключить учетную запись Amazon Web Services (AWS) в Управление разрешениями Microsoft Entra.

Примечание.

Для выполнения задач в этой статье необходимо быть администратором управления разрешениями.

Описание

Перед подключением необходимо настроить несколько перемещающихся частей в AWS и Azure.

• Приложение Microsoft Entra OIDC
• Учетная запись AWS OIDC
• Учетная запись управления AWS (необязательно)
• Учетная запись ведения журнала AWS Central (необязательно)
• Роль AWS OIDC
• Роль между учетными записями AWS, предполагаемая ролью OIDC

Подключение учетной записи AWS

1. Выполните указанные ниже действия, если панель мониторинга Сборщики данных не отображается при запуске службы "Управление разрешениями":

   • На домашней странице службы "Управление разрешениями" выберите Параметры (значок шестеренки), а затем перейдите на вложенную вкладку Сборщики данных.

2. На панели мониторинга Сборщики данных выберите AWS и нажмите Создать конфигурацию.

1. Создание приложения Microsoft Entra OIDC

1. На странице создания приложений Microsoft Entra OIDC введите имя приложения OIDC Azure.

   Это приложение используется для настройки подключения по протоколу OpenID Connect (OIDC) в учетной записи AWS. OIDC — это протокол проверки подлинности с возможностью взаимодействия на основе семейства спецификаций OAuth 2.0. Скрипты, созданные на этой странице, создают приложение указанного имени в клиенте Microsoft Entra с правильной конфигурацией.

2. Чтобы создать регистрацию приложения, скопируйте сценарий и запустите его в приложении командной строки Azure.

   Примечание.

   1. Чтобы убедиться, что приложение создано, откройте Регистрация приложений в Azure, а затем на вкладке Все приложения выберите свое приложение.
   2. Выберите имя приложения, чтобы открыть страницу Предоставление API. URI идентификатора приложения, отображаемый на странице Обзор, — это значение аудитории, используемое при создании подключения OIDC к вашей учетной записи AWS.

3. Вернитесь к управлению разрешениями и в области подключения управления разрешениями — создание приложений Microsoft Entra OIDC нажмите кнопку "Далее".

2. Настройка учетной записи AWS OIDC

1. На странице Подключение службы "Управление разрешениями" — настройка учетной записи OIDC AWS введите идентификатор учетной записи OIDC AWS, в которой создан поставщик OIDC. Имя роли можно изменить по необходимости соответствия вашим стандартам именования.

2. Откройте другое окно браузера и войдите в учетную запись AWS, в которой нужно создать поставщик OIDC.

3. Выберите Запустить шаблон. Эта ссылка позволяет перейти на страницу создания стека AWS CloudFormation.

4. Прокрутите страницу вниз и в поле Capabilities (Возможности) выберите I acknowledge that AWS CloudFormation might create IAM resources with custom names (Я подтверждаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами). Затем выберите Create stack (Создать стек).

   Этот стек CloudFormation AWS создает поставщик удостоверений OIDC (IdP), представляющий microsoft Entra STS и роль AWS IAM с политикой доверия, которая позволяет внешним удостоверениям из идентификатора Microsoft Entra id предполагать его через поставщик OIDC IdP. Эти сущности перечислены на странице Ресурсы.

5. Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — настройка учетной записи OIDC AWS нажмите кнопку Далее.

3. Настройка подключения учетной записи управления AWS (необязательно)

1. Если у вашей организации есть политики управления службами (SCPs), которые управляют некоторыми или всеми учетными записями участников, настройте подключение учетной записи управления в разделе "Подключение управления разрешениями" — страница сведений об учетной записи управления AWS.

   Настройка подключения учетной записи управления позволяет управлению разрешениями автоматически обнаруживать и подключить все учетные записи участников AWS, имеющие правильную роль управления разрешениями.

2. На странице сведений о подключении управления разрешениями — сведения об учетной записи управления AWS введите идентификатор учетной записи управления и роль учетной записи управления.

3. Откройте другое окно браузера и войдите в консоль AWS для учетной записи управления.

4. Вернитесь к управлению разрешениями и на странице сведений об учетной записи управления AWS выберите "Запустить шаблон".

   Откроется страница Создание стека AWS CloudFormation, на которой отобразится шаблон.

5. Просмотрите сведения в шаблоне, внесите необходимые изменения, а затем прокрутите страницу вниз.

6. В поле Capabilities (Возможности) выберите I acknowledge that AWS CloudFormation might create IAM resources with custom names (Я подтверждаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами). Затем выберите Create stack (Создать стек).

   Этот стек CloudFormation AWS создает роль в учетной записи управления с необходимыми разрешениями (политиками) для сбора scPs и перечисления всех учетных записей в организации.

   Для этой роли задана политика доверия, которая разрешает роли OIDC, созданной в учетной записи OIDC AWS, для доступа к нему. Эти сущности перечислены на вкладке Resources (Ресурсы) в стеке CloudFormation.

7. Вернитесь к управлению разрешениями и в разделе "Подключение управления разрешениями" — сведения об учетной записи управления AWS, нажмите кнопку "Далее".

4. Настройка подключения учетной записи ведения журнала AWS Central (необязательно, но рекомендуется)

1. Если в вашей организации есть учетная запись для централизованного ведения журнала, где хранятся журналы некоторых или всех учетных записей AWS, настройте подключение к учетной записи ведения журнала на странице Подключение службы "Управление разрешениями" — сведения об учетной записи централизованного ведения журнала AWS.

   На странице Подключение службы "Управление разрешениями" — сведения об учетной записи централизованного ведения журнала AWS введите идентификатор учетной записи и роль учетной записи ведения журнала.

2. В другом окне браузера войдите в консоль AWS для учетной записи AWS, используемой для централизованного ведения журнала.

3. Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — сведения об учетной записи централизованного ведения журнала AWS нажмите кнопку Запустить шаблон.

   Откроется страница Создание стека AWS CloudFormation, на которой отобразится шаблон.

4. Просмотрите сведения в шаблоне, внесите необходимые изменения, а затем прокрутите страницу вниз.

5. В поле Capabilities (Возможности) выберите I acknowledge that AWS CloudFormation might create IAM resources with custom names (Я подтверждаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами), а затем выберите Create stack (Создать стек).

   Этот стек AWS CloudFormation создает роль в учетной записи ведения журнала с необходимыми разрешениями (политиками) для чтения контейнеров S3, используемых для централизованного ведения журнала. Для этой роли задана политика доверия, которая разрешает роли OIDC, созданной в учетной записи OIDC AWS, для доступа к нему. Эти сущности перечислены на вкладке Resources (Ресурсы) в стеке CloudFormation.

6. Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — сведения об учетной записи централизованного ведения журнала AWS нажмите кнопку Далее.

5. Настройка учетной записи участника AWS

Установите Флажок "Включить AWS SSO", если доступ к аккаунту AWS настроен через AWS SSO.

Выберите один из трех вариантов управления учетными записями AWS.

Вариант 1. Автоматическое управление

Выберите этот параметр для автоматического обнаружения и добавления в список отслеживаемых учетных записей без дополнительной настройки. Шаги для определения списка учетных записей и подключений для коллекции:

• Развертывание CFT учетной записи управления (шаблон Cloudformation), создающее роль учетной записи организации, которая предоставляет разрешение роли OIDC, созданной ранее для перечисления учетных записей, подразделений и scPs.
• Если AWS SSO включен, CFT учетной записи организации также добавляет политику, необходимую для сбора сведений о конфигурации AWS SSO.
• Разверните CFT учетной записи участника во всех учетных записях, которые необходимо отслеживать Управление разрешениями Microsoft Entra. Эти действия создают перекрестную роль учетной записи, которая доверяет созданной ранее роли OIDC. Политика SecurityAudit привязана к роли, созданной для сбора данных.

Любые найденные текущие или будущие учетные записи подключаются автоматически.

Чтобы просмотреть состояние подключения после сохранения конфигурации, сделайте следующее:

• Перейдите на вкладку "Сборщики данных".
• Щелкните статус сборщика данных.
• Просмотр учетных записей на странице "Ход выполнения "

Вариант 2. Ввод систем авторизации

1. На странице Подключение службы "Управление разрешениями" — сведения об учетной записи участника AWS введите роль учетной записи участника и идентификаторы учетных записей участников.

   Идентификаторы учетных записей можно ввести до 100. Щелкните значок "плюс" рядом с текстовым полем, чтобы добавить дополнительные идентификаторы учетных записей.

   Примечание.

   Выполните следующие действия для каждого добавляемого идентификатора учетной записи:

2. Откройте другое окно браузера и войдите в консоль AWS для учетной записи участника.

3. На странице Подключение службы "Управление разрешениями" — сведения об учетной записи участника AWS выберите Запустить шаблон.

   Откроется страница Создание стека AWS CloudFormation, на которой отобразится шаблон.

4. На странице CloudTrailBucketName введите имя.

   Вы можете скопировать и вставить имя CloudTrailBucketName со страницы Trails (Журналы) в AWS.

   Примечание.

   Облачный контейнер собирает все действия в одной учетной записи, которую отслеживает служба "Управление разрешениями". Введите имя облачного контейнера, чтобы предоставить службе "Управление разрешениями" доступ, необходимый для получения данных о действиях.

5. В раскрывающемся списке Включить контроллер выберите один из следующих пунктов:

   • Значение true, если требуется, чтобы контроллер предоставил службе "Управление разрешениями"доступ на чтение и запись, чтобы любое исправление, которое вы делаете с платформы управления разрешениями, выполнялось автоматически.
   • Значение false, если требуется, чтобы контроллер предоставил службе управления разрешениями доступ только для чтения.

6. Прокрутите страницу вниз и в поле Capabilities (Возможности) выберите I acknowledge that AWS CloudFormation might create IAM resources with custom names (Я подтверждаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами). Затем выберите Create stack (Создать стек).

   Этот стек AWS CloudFormation создаст роль коллекции в учетной записи участника с необходимыми разрешениями (политиками) для сбора данных.

   Для этой роли задана политика доверия, которая разрешает роли OIDC, созданной в учетной записи OIDC AWS, для доступа к нему. Эти сущности перечислены на вкладке Resources (Ресурсы) в стеке CloudFormation.

7. Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — сведения об учетной записи участника AWS нажмите кнопку Далее.

   На этом шаге выполняется последовательность необходимых подключений от microsoft Entra STS к учетной записи подключения OIDC и учетной записи участника AWS.

Вариант 3. Выбор систем авторизации

Этот вариант обнаруживает все учетные записи AWS, доступные через созданный ранее доступ к роли OIDC.

• Развертывание CFT учетной записи управления (шаблон Cloudformation), создающее роль учетной записи организации, которая предоставляет разрешение роли OIDC, созданной ранее для перечисления учетных записей, подразделений и scPs.
• Если AWS SSO включен, CFT учетной записи организации также добавляет политику, необходимую для сбора сведений о конфигурации AWS SSO.
• Разверните CFT учетной записи участника во всех учетных записях, которые необходимо отслеживать Управление разрешениями Microsoft Entra. Эти действия создают перекрестную роль учетной записи, которая доверяет созданной ранее роли OIDC. Политика SecurityAudit привязана к роли, созданной для сбора данных.
• Щелкните "Проверить и сохранить".
• Перейдите к новой строке сборщика данных под сборщиками AWSdata.
• Щелкните столбец "Состояние", если строка имеет состояние "Ожидание "
• Чтобы подключиться и начать сбор, выберите определенные пункты из обнаруженного списка и дайте согласие на сбор.

6. Проверка и сохранение

1. В разделе "Подключение управления разрешениями" — сводка, просмотрите добавленные сведения и нажмите кнопку "Проверить сейчас и сохранить".

   Появится следующее сообщение: Конфигурация успешно создана.

   На панели мониторинга Сборщики данных в столбце Недавно отправлено отображается значение Сбор. В столбце Недавно преобразовано отображается Обработка.

   Столбец состояния в пользовательском интерфейсе управления разрешениями показывает, на каком этапе сбора данных вы находитесь:

   • Ожидание. Управление разрешениями еще не начало обнаруживать или подключиться.
   • Обнаружение. Управление разрешениями обнаруживает системы авторизации.
   • В ходе выполнения: управление разрешениями завершило обнаружение систем авторизации и подключение.
   • Подключено: сбор данных завершен, и все обнаруженные системы авторизации подключены к управлению разрешениями.

7. Просмотр данных

1. Чтобы просмотреть данные, перейдите на вкладку Системы авторизации.

   В столбце Состояние в таблице отображается сообщение Сбор данных.

   Процесс сбора данных занимает некоторое время и в большинстве случаев выполняется примерно через 4–5 часов. Интервал времени зависит от размера используемой системы авторизации и объема данных, доступных для сбора.

Следующие шаги

• Сведения о том, как включить или отключить контроллер после подключения, см. в разделе Включение или отключение контроллера.
• Сведения о том, как добавить учетную запись, подписку или проект после завершения подключения, см. в статье Добавление учетной записи, подписки или проекта после завершения подключения.