Подключение учетной записи Amazon Web Services (AWS)
В этой статье описывается, как подключить учетную запись Amazon Web Services (AWS) в Управление разрешениями Microsoft Entra.
Примечание.
Для выполнения задач в этой статье необходимо быть администратором управления разрешениями.
Объяснение
Перед подключением к системе необходимо настроить несколько подвижных частей в AWS и Azure.
- Приложение Microsoft Entra OIDC
- Учетная запись AWS OIDC
- Учетная запись управления AWS (необязательно)
- Необязательная учетная запись для центрального логирования в AWS
- Роль AWS OIDC
- Роль между учетными записями AWS, принимаемая через роль OIDC
Подключение учетной записи AWS
Если панель мониторинга Сборщики данных не отображается при запуске Управления разрешениями, выполните следующие действия:
- На домашней странице службы "Управление разрешениями" выберите Параметры (значок шестеренки), а затем перейдите на вложенную вкладку Сборщики данных.
На панели мониторинга Сборщики данных выберите AWS и нажмите Создать конфигурацию.
1. Создание приложения Microsoft Entra OIDC
На странице Permissions Management Onboarding - Microsoft Entra OIDC App Creation введите название приложения OIDC Azure.
Это приложение используется для настройки подключения по протоколу OpenID Connect (OIDC) в учетной записи AWS. OIDC — это протокол проверки подлинности с возможностью взаимодействия на основе семейства спецификаций OAuth 2.0. Скрипты, созданные на этой странице, создают приложение указанного имени в клиенте Microsoft Entra с правильной конфигурацией.
Чтобы создать регистрацию приложения, скопируйте сценарий и запустите его в приложении командной строки Azure.
Примечание.
- Чтобы убедиться, что приложение создано, откройте Регистрация приложений в Azure, а затем на вкладке Все приложения выберите свое приложение.
- Выберите имя приложения, чтобы открыть страницу Предоставление API. URI идентификатора приложения, отображаемый на странице Обзор, — это значение аудитории, используемое при создании подключения OIDC к вашей учетной записи AWS.
Вернитесь в управление разрешениями и в области подключения к управлению разрешениями — создание приложения Microsoft Entra OIDC выберите «Далее».
2. Настройка учетной записи AWS OIDC
На странице Подключение службы "Управление разрешениями" — настройка учетной записи OIDC AWS введите идентификатор учетной записи OIDC AWS, в которой создан поставщик OIDC. Вы можете изменить имя роли в соответствии с вашими требованиями.
Откройте другое окно браузера и войдите в ту учетную запись AWS, в которой нужно создать поставщика OIDC.
Выберите Запустить шаблон. Эта ссылка позволяет перейти на страницу создания стека AWS CloudFormation.
Прокрутите страницу вниз и в поле Capabilities (Возможности) выберите I acknowledge that AWS CloudFormation might create IAM resources with custom names (Я подтверждаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами). Затем выберите Create stack (Создать стек).
Этот стек AWS CloudFormation создает поставщика удостоверений OIDC (IdP), представляющего Microsoft Entra STS, и роль AWS IAM с политикой доверия, которая позволяет внешним удостоверениям из Microsoft Entra ID принимать эту роль через поставщика OIDC IdP. Эти сущности перечислены на странице Ресурсы.
Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — настройка учетной записи OIDC AWS нажмите кнопку Далее.
3. Настройка подключения учетной записи управления AWS (необязательно)
Если у вашей организации есть политики управления службами (SCPs), которые управляют некоторыми или всеми учетными записями участников, настройте подключение учетной записи управления в разделе "Подключение управления разрешениями" — страница сведений об учетной записи управления AWS.
Настройка подключения учетной записи управления позволяет управлению разрешениями автоматически обнаруживать и подключить все учетные записи участников AWS, имеющие правильную роль управления разрешениями.
На странице сведений о подключении управления разрешениями — сведения об учетной записи управления AWS введите идентификатор учетной записи управления и роль учетной записи управления.
Откройте другое окно браузера и войдите в консоль AWS для учетной записи управления.
Вернитесь к управлению разрешениями и на странице сведений об учетной записи управления AWS выберите "Запустить шаблон".
Откроется страница Создание стека AWS CloudFormation, на которой отобразится шаблон.
Просмотрите сведения в шаблоне, внесите необходимые изменения, а затем прокрутите страницу вниз.
В поле Capabilities (Возможности) выберите I acknowledge that AWS CloudFormation might create IAM resources with custom names (Я подтверждаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами). Затем выберите Create stack (Создать стек).
Этот стек AWS CloudFormation создает роль в управляющей учетной записи с необходимыми разрешениями (политиками) для сбора SCP и составления списка всех учетных записей в вашей организации.
Для этой роли установлена политика доверия, которая разрешает роли OIDC, созданной в вашей учетной записи AWS OIDC, доступ к ней. Эти сущности перечислены на вкладке Resources (Ресурсы) в стеке CloudFormation.
Вернитесь к управлению разрешениями и в разделе "Подключение управления разрешениями" — сведения об учетной записи управления AWS, нажмите кнопку "Далее".
4. Настройка подключения учетной записи ведения журнала AWS Central (необязательно, но рекомендуется)
Если в вашей организации есть учетная запись для централизованного ведения журнала, где хранятся журналы некоторых или всех учетных записей AWS, настройте подключение к учетной записи ведения журнала на странице Подключение службы "Управление разрешениями" — сведения об учетной записи централизованного ведения журнала AWS.
На странице Подключение службы "Управление разрешениями" — сведения об учетной записи централизованного ведения журнала AWS введите идентификатор учетной записи ведения журнала и роль учетной записи ведения журнала.
В другом окне браузера войдите в консоль AWS для учетной записи AWS, используемой для централизованного ведения журнала.
Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — сведения об учетной записи централизованного ведения журнала AWS нажмите кнопку Запустить шаблон.
Откроется страница Создание стека AWS CloudFormation, на которой отобразится шаблон.
Просмотрите сведения в шаблоне, внесите необходимые изменения, а затем прокрутите страницу вниз.
В поле Capabilities (Возможности) выберите I acknowledge that AWS CloudFormation might create IAM resources with custom names (Я подтверждаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами), а затем выберите Create stack (Создать стек).
Этот стек AWS CloudFormation создает роль в учетной записи ведения журнала с необходимыми разрешениями (политиками) для чтения контейнеров S3, используемых для централизованного ведения журнала. Для этой роли задана политика доверия, которая разрешает роли OIDC, созданной в вашей учетной записи OIDC AWS, доступ к этой роли. Эти сущности перечислены на вкладке Resources (Ресурсы) в стеке CloudFormation.
Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — сведения об учетной записи централизованного ведения журнала AWS нажмите кнопку Далее.
5. Настройка учетной записи участника AWS
Установите Флажок "Включить AWS SSO", если доступ к аккаунту AWS настроен через AWS SSO.
Выберите один из трех вариантов управления учетными записями AWS.
Вариант 1. Автоматическое управление
Выберите этот параметр для автоматического обнаружения и добавления в список отслеживаемых учетных записей без дополнительной настройки. Шаги для определения списка учетных записей и подключения для сбора:
- Разверните CloudFormation шаблон (CFT) для учетной записи управления, который создает роль учетной записи организации, предоставляющую разрешение ранее созданной роли OIDC перечислять учетные записи, организационные единицы и SCP.
- Если AWS SSO включен, CFT учетной записи организации также добавляет политику, необходимую для сбора сведений о конфигурации AWS SSO.
- Разверните CFT учетной записи участника во всех учетных записях, которые необходимо отслеживать с помощью Microsoft Entra Permissions Management. Эти действия создают перекрестную роль учетной записи, которая доверяет созданной ранее роли OIDC. Политика SecurityAudit привязана к роли, созданной для сбора данных.
Любые найденные текущие или будущие учетные записи подключаются автоматически.
Чтобы просмотреть состояние подключения после сохранения конфигурации, сделайте следующее:
- Перейдите на вкладку "Сборщики данных".
- Щелкните на статус сборщика данных.
- Просмотр учетных записей на странице "Ход выполнения "
Вариант 2. Ввод систем авторизации
На странице Подключение службы "Управление разрешениями" — сведения об учетной записи участника AWS введите роль учетной записи участника и идентификаторы учетных записей участников.
Вы можете ввести до 100 идентификаторов учетных записей. Щелкните значок "плюс" рядом с текстовым полем, чтобы добавить дополнительные идентификаторы учетных записей.
Примечание.
Выполните следующие действия для каждого добавляемого идентификатора учетной записи:
Откройте другое окно браузера и войдите в консоль AWS для учетной записи участника.
Вернитесь на страницу Подключение службы "Управление разрешениями" — сведения об учетной записи участника AWS и выберите Шаблон запуска.
Откроется страница Создание стека AWS CloudFormation, на которой отобразится шаблон.
На странице CloudTrailBucketName введите имя.
Вы можете скопировать и вставить имя CloudTrailBucketName со страницы Trails в AWS.
Примечание.
Облачный контейнер собирает все действия в одной учетной записи, которую отслеживает служба "Управление разрешениями". Введите имя облачного контейнера, чтобы предоставить службе "Управление разрешениями" доступ, необходимый для получения данных о действиях.
В раскрывающемся списке Включить контроллер выберите один из следующих пунктов:
- Значение true, если требуется, чтобы контроллер предоставил службе "Управление разрешениями" доступ на чтение и запись, чтобы любое исправление, которое вы хотите выполнить с платформы "Permissions Management", выполнялось автоматически.
- Значение false, если требуется, чтобы контроллер предоставил службе управления разрешениями доступ только для чтения.
Прокрутите страницу вниз и в поле Capabilities (Возможности) выберите I acknowledge that AWS CloudFormation might create IAM resources with custom names (Я подтверждаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами). Затем выберите Create stack (Создать стек).
Этот стек AWS CloudFormation создаст роль коллекции в учетной записи участника с необходимыми разрешениями (политиками) для сбора данных.
Для этой роли установлена политика доверия, которая разрешает роли OIDC, созданной в AWS OIDC учетной записи, доступ к ней. Эти сущности перечислены на вкладке Resources (Ресурсы) в стеке CloudFormation.
Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — сведения об учетной записи участника AWS нажмите кнопку Далее.
На этом шаге завершается последовательность необходимых подключений от Microsoft Entra STS к учетной записи подключения OIDC и учетной записи участника AWS.
Вариант 3. Выбор систем авторизации
Этот вариант обнаруживает все учетные записи AWS, доступные через созданный ранее доступ к роли OIDC.
- Развертывание CFT учетной записи управления (шаблон Cloudformation), создающее роль учетной записи организации, которая предоставляет разрешение роли OIDC, созданной ранее для перечисления учетных записей, подразделений и scPs.
- Если AWS SSO включён, CFT учётной записи организации также добавляет политику, необходимую для сбора информации о конфигурации AWS SSO.
- Разверните CFT учетной записи участника во всех учетных записях, которые необходимо отслеживать Управление разрешениями Microsoft Entra. Эти действия создают перекрестную роль учетной записи, которая доверяет созданной ранее роли OIDC. Политика SecurityAudit привязана к роли, созданной для сбора данных.
- Щелкните "Проверить и сохранить".
- Перейдите к новой строке сборщика данных под сборщиками AWSdata.
- Щелкните столбец "Состояние", если строка имеет состояние "Ожидание "
- Чтобы подключиться и начать сбор, выберите определенные пункты из обнаруженного списка и дайте согласие на сбор.
6. Проверка и сохранение
В разделе "Подключение управления разрешениями" — сводка, просмотрите добавленные сведения и нажмите кнопку "Проверить сейчас и сохранить".
Появится следующее сообщение: Конфигурация успешно создана.
На панели мониторинга Сборщики данных в столбце Дата недавней загрузки отображается значение Сбор данных. В столбце Недавно преобразовано отображается Обработка.
Столбец состояния в пользовательском интерфейсе управления разрешениями показывает, на каком этапе сбора данных вы находитесь:
- Ожидание: Управление разрешениями еще не начало обнаруживать или включение.
- Обнаружение. Управление разрешениями обнаруживает системы авторизации.
- В ходе выполнения: управление разрешениями завершило обнаружение систем авторизации и подключение.
- Подключено: сбор данных завершен, и все обнаруженные системы авторизации подключены к управлению разрешениями.
7. Просмотр данных
Чтобы просмотреть данные, перейдите на вкладку Системы авторизации.
В столбце Состояние в таблице отображается сообщение Сбор данных.
Процесс сбора данных занимает некоторое время и в большинстве случаев выполняется примерно через 4–5 часов. Интервал времени зависит от размера используемой системы авторизации и объема данных, доступных для сбора.
Следующие шаги
- Сведения о том, как включить или отключить контроллер после подключения, см. в разделе Включение или отключение контроллера.
- Сведения о том, как добавить учетную запись, подписку или проект после завершения подключения, см. в статье Добавление учетной записи, подписки или проекта после завершения подключения.