Dela via


Registrera ett AWS-konto (Amazon Web Services)

I den här artikeln beskrivs hur du registrerar ett AWS-konto (Amazon Web Services) i Microsoft Entra – behörighetshantering.

Kommentar

Du måste vara administratör för behörighetshantering för att kunna utföra uppgifterna i den här artikeln.

Förklaring

Det finns flera rörliga delar i AWS och Azure som måste konfigureras innan registrering.

  • En Microsoft Entra OIDC-app
  • Ett AWS OIDC-konto
  • Ett (valfritt) AWS Management-konto
  • Ett (valfritt) AWS Central-loggningskonto
  • En AWS OIDC-roll
  • En roll mellan AWS-konton som antas av OIDC-rollen

Registrera ett AWS-konto

  1. Om instrumentpanelen datainsamlare inte visas när Behörighetshantering startas:

    • På startsidan Behörighetshantering väljer du Inställningar (kugghjulsikonen) och sedan underfliken Datainsamlare.
  2. På instrumentpanelen Datainsamlare väljer du AWS och sedan Skapa konfiguration.

1. Skapa en Microsoft Entra OIDC-app

  1. På sidan Behörighetshanteringsregistrering – Skapa Microsoft Entra OIDC-app anger du OIDC Azure-appnamnet.

    Den här appen används för att konfigurera en OpenID Connect-anslutning (OIDC) till ditt AWS-konto. OIDC är ett kompatibelt autentiseringsprotokoll baserat på OAuth 2.0-serien med specifikationer. Skripten som genereras på den här sidan skapar appen med det angivna namnet i din Microsoft Entra-klientorganisation med rätt konfiguration.

  2. Om du vill skapa appregistreringen kopierar du skriptet och kör det i azure-kommandoradsappen.

    Kommentar

    1. Bekräfta att appen har skapats genom att öppna Appregistreringar i Azure och leta upp din app på fliken Alla program.
    2. Välj appnamnet för att öppna sidan Exponera ett API . Program-ID-URI:n som visas på sidan Översikt är det målgruppsvärde som används när du skapar en OIDC-anslutning med ditt AWS-konto.
  3. Gå tillbaka till Behörighetshantering och välj Nästa i Onboarding för behörighetshantering – Skapa Microsoft Entra OIDC-app.

2. Konfigurera ett AWS OIDC-konto

  1. På sidan Behörighetshanteringsregistrering – AWS OIDC-kontokonfiguration anger du AWS OIDC-konto-ID:t där OIDC-providern skapas. Du kan ändra rollnamnet till dina krav.

  2. Öppna ett annat webbläsarfönster och logga in på AWS-kontot där du vill skapa OIDC-providern.

  3. Välj Starta mall. Den här länken tar dig till sidan skapa stack för AWS CloudFormation .

  4. Rulla längst ned på sidan och i rutan Funktioner väljer du Jag bekräftar att AWS CloudFormation kan skapa IAM-resurser med anpassade namn. Välj sedan Skapa stack.

    Den här AWS CloudFormation-stacken skapar en OIDC Identity Provider (IdP) som representerar Microsoft Entra STS och en AWS IAM-roll med en förtroendeprincip som gör att externa identiteter från Microsoft Entra ID kan anta det via OIDC IdP. Dessa entiteter visas på sidan Resurser .

  5. Gå tillbaka till Behörighetshantering och välj Nästasidan Konfiguration av behörighetshantering – AWS OIDC-konto.

3. Konfigurera AWS Management-kontoanslutningen (valfritt)

  1. Om din organisation har tjänstkontrollprinciper (SCP: er) som styr vissa eller alla medlemskonton, konfigurerar du anslutningen för hanteringskontot på sidan Information om behörighetshanteringsregistrering – AWS-hanteringskonto.

    När du konfigurerar anslutningen till hanteringskontot kan Behörighetshantering automatiskt identifiera och registrera alla AWS-medlemskonton som har rätt behörighetshanteringsroll.

  2. På sidan Behörighetshanteringsregistrering – AWS-hanteringskontoinformation anger du rollen hanteringskonto-ID och hanteringskonto.

  3. Öppna ett annat webbläsarfönster och logga in på AWS-konsolen för ditt hanteringskonto.

  4. Gå tillbaka till Behörighetshantering och välj Starta mallsidan Behörighetshanteringsregistrering – AWS-hanteringskontoinformation.

    Sidan skapa stack för AWS CloudFormation öppnas och mallen visas.

  5. Granska informationen i mallen, gör ändringar om det behövs och rulla sedan längst ned på sidan.

  6. I rutan Funktioner väljer du Jag bekräftar att AWS CloudFormation kan skapa IAM-resurser med anpassade namn. Välj sedan Skapa stack.

    Den här AWS CloudFormation-stacken skapar en roll i hanteringskontot med nödvändiga behörigheter (principer) för att samla in SCP:er och visa en lista över alla konton i din organisation.

    En förtroendeprincip har angetts för den här rollen så att OIDC-rollen som skapats i ditt AWS OIDC-konto kan komma åt den. Dessa entiteter visas på fliken Resurser i din CloudFormation-stack.

  7. Gå tillbaka till Behörighetshantering och välj Nästa i Behörighetshanteringsregistrering – AWS-hanteringskontoinformation.

  1. Om din organisation har ett centralt loggningskonto där loggar från en del av eller hela ditt AWS-konto lagras konfigurerar du loggningskontoanslutningen på sidan Behörighetshanteringsregistrering – AWS Central loggningskontoinformation .

    På sidan Behörighetshanteringsregistrering – AWS Central loggningskontoinformation anger du rollen Loggningskonto-ID och loggningskonto.

  2. I ett annat webbläsarfönster loggar du in på AWS-konsolen för det AWS-konto som du använder för central loggning.

  3. Gå tillbaka till Behörighetshantering och på sidan Behörighetshanteringsregistrering – AWS Central-loggningskontoinformation väljer du Starta mall.

    Sidan skapa stack för AWS CloudFormation öppnas och mallen visas.

  4. Granska informationen i mallen, gör ändringar om det behövs och rulla sedan längst ned på sidan.

  5. I rutan Funktioner väljer du Jag bekräftar att AWS CloudFormation kan skapa IAM-resurser med anpassade namn och väljer sedan Skapa stack.

    Den här AWS CloudFormation-stacken skapar en roll i loggningskontot med nödvändiga behörigheter (principer) för att läsa S3-bucketar som används för central loggning. En förtroendeprincip har angetts för den här rollen så att OIDC-rollen som skapats i ditt AWS OIDC-konto kan komma åt den. Dessa entiteter visas på fliken Resurser i din CloudFormation-stack.

  6. Gå tillbaka till Behörighetshantering och på sidan Behörighetshanteringsregistrering – AWS Central loggningskontoinformation väljer du Nästa.

5. Konfigurera ett AWS-medlemskonto

Markera kryssrutan Aktivera AWS SSO om åtkomsten till AWS-kontot har konfigurerats via enkel inloggning med AWS.

Välj mellan tre alternativ för att hantera AWS-konton.

Alternativ 1: Hantera automatiskt

Välj det här alternativet för att automatiskt identifiera och lägga till i listan över övervakade konton, utan extra konfiguration. Steg för att identifiera en lista över konton och registrering för insamling:

  • Distribuera hanteringskontot CFT (Cloudformation-mall) som skapar en roll för organisationskonto som ger behörighet till OIDC-rollen som skapades tidigare för att lista konton, organisationsenheter och SCP:er.
  • Om AWS SSO är aktiverat lägger cft för organisationskontot också till den princip som krävs för att samla in konfigurationsinformation för AWS SSO.
  • Distribuera medlemskontot CFT i alla konton som behöver övervakas av Microsoft Entra – behörighetshantering. Dessa åtgärder skapar en roll mellan konton som litar på den OIDC-roll som skapades tidigare. SecurityAudit-principen är kopplad till rollen som skapats för datainsamling.

Alla aktuella eller framtida konton som hittas registreras automatiskt.

Så här visar du status för registrering efter att konfigurationen har sparats:

  • Gå till fliken Datainsamlare .
  • Klicka på status för datainsamlaren.
  • Visa konton på sidan Pågår

Alternativ 2: Ange auktoriseringssystem

  1. På sidan Information om behörighetshanteringsregistrering – AWS-medlemskonto anger du medlemskontorollen och medlemskonto-ID:t.

    Du kan ange upp till 100 konto-ID:t. Klicka på plusikonen bredvid textrutan för att lägga till fler konto-ID:t.

    Kommentar

    Utför följande steg för varje konto-ID som du lägger till:

  2. Öppna ett annat webbläsarfönster och logga in på AWS-konsolen för medlemskontot.

  3. Gå tillbaka till sidan Behörighetshanteringsregistrering – AWS-medlemskontoinformation och välj Starta mall.

    Sidan skapa stack för AWS CloudFormation öppnas och mallen visas.

  4. På sidan CloudTrailBucketName anger du ett namn.

    Du kan kopiera och klistra in Namnet CloudTrailBucketName från sidan Trails i AWS.

    Kommentar

    En molnhink samlar in all aktivitet i ett enda konto som Behörighetshantering övervakar. Ange namnet på en moln bucket här för att ge Behörighetshantering den åtkomst som krävs för att samla in aktivitetsdata.

  5. I listrutan Aktivera styrenhet väljer du:

    • Sant, om du vill att kontrollanten ska ge behörighetshantering läs- och skrivåtkomst så att eventuella åtgärder som du vill göra från behörighetshanteringsplattformen kan utföras automatiskt.
    • Falskt om du vill att kontrollanten ska ge behörighetshantering skrivskyddad åtkomst.
  6. Rulla längst ned på sidan och i rutan Funktioner väljer du Jag bekräftar att AWS CloudFormation kan skapa IAM-resurser med anpassade namn. Välj sedan Skapa stack.

    Den här AWS CloudFormation-stacken skapar en samlingsroll i medlemskontot med nödvändiga behörigheter (principer) för datainsamling.

    En förtroendeprincip har angetts för den här rollen så att OIDC-rollen som skapats i ditt AWS OIDC-konto kan komma åt den. Dessa entiteter visas på fliken Resurser i din CloudFormation-stack.

  7. Gå tillbaka till Behörighetshantering och välj Nästasidan Behörighetshanteringsregistrering – AWS-medlemskontoinformation.

    Det här steget slutför sekvensen med nödvändiga anslutningar från Microsoft Entra STS till OIDC-anslutningskontot och AWS-medlemskontot.

Alternativ 3: Välj auktoriseringssystem

Det här alternativet identifierar alla AWS-konton som är tillgängliga via OIDC-rollåtkomst som skapades tidigare.

  • Distribuera hanteringskontot CFT (Cloudformation-mall) som skapar en roll för organisationskonto som ger behörighet till OIDC-rollen som skapades tidigare för att lista konton, organisationsenheter och SCP:er.
  • Om AWS SSO är aktiverat lägger cft för organisationskontot också till den princip som krävs för att samla in konfigurationsinformation för AWS SSO.
  • Distribuera medlemskontot CFT i alla konton som behöver övervakas av Microsoft Entra – behörighetshantering. Dessa åtgärder skapar en roll mellan konton som litar på den OIDC-roll som skapades tidigare. SecurityAudit-principen är kopplad till rollen som skapats för datainsamling.
  • Klicka på Verifiera och spara.
  • Gå till den nyligen skapade datainsamlingsraden under AWSdata-insamlare.
  • Klicka på kolumnen Status när raden har väntande status
  • Om du vill registrera och starta samlingen väljer du specifika i den identifierade listan och medgivande för insamling.

6. Granska och spara

  1. I Behörighetshanteringsregistrering – Sammanfattning granskar du den information som du har lagt till och väljer sedan Verifiera nu och Spara.

    Följande meddelande visas: Konfigurationen har skapats.

    På instrumentpanelen Datainsamlare visar kolumnen Nyligen uppladdad på Insamling. Kolumnen Nyligen transformerad på visar Bearbetning.

    Statuskolumnen i användargränssnittet för behörighetshantering visar vilket steg i datainsamlingen du befinner dig på:

    • Väntar: Behörighetshantering har inte börjat identifiera eller registrera ännu.
    • Identifiering: Behörighetshantering identifierar auktoriseringssystemen.
    • Pågår: Behörighetshantering har slutfört identifieringen av auktoriseringssystemen och registreras.
    • Registrerad: Datainsamlingen är klar och alla identifierade auktoriseringssystem registreras i Behörighetshantering.

7. Visa data

  1. Om du vill visa data väljer du fliken Auktoriseringssystem .

    Kolumnen Status i tabellen visar Insamling av data.

    Datainsamlingsprocessen tar lite tid och inträffar i ungefär 4–5 timmars intervall i de flesta fall. Tidsramen beror på storleken på det auktoriseringssystem du har och hur mycket data som är tillgängliga för insamling.

Nästa steg