將 Amazon Web Services (AWS) 帳戶上線
本文描述如何在 Microsoft Entra 權限管理上將 Amazon Web Services (AWS) 帳戶上線。
注意
您必須是權限管理系統管理員,才能執行本文中的工作。
說明
在 AWS 和 Azure 之間有多個移動組件,必須在上線之前進行設定。
- Microsoft Entra OIDC 應用程式
- AWS OIDC 帳戶
- (選擇性) AWS 管理帳戶
- (選擇性) AWS 集中式日誌記錄帳戶
- AWS OIDC 角色
- OIDC 角色所擔任的 AWS 跨帳戶角色
將 AWS 帳戶上線
如果授權管理啟動時未顯示 [資料收集器] 儀表板:
- 在 Permissions Management 首頁中,選取 [設定] (齒輪圖示),然後選取 [資料收集器] 子索引標籤。
在 [資料收集器] 儀表板上,選取 [AWS],然後選取 [建立設定]。
1.建立 Microsoft Entra OIDC 應用程式
在 [權限管理上線 - Microsoft Entra OIDC 應用程式建立] 頁面上,輸入 OIDC Azure 應用程式名稱。
此應用程式用來設定 OpenID Connect (OIDC) 與 AWS 帳戶的連線。 OIDC 是以 OAuth 2.0 系列規格為基礎的互通驗證通訊協定。 此頁面上產生的指令碼會在具有正確設定的 Microsoft Entra 租用戶中,建立此指定名稱的應用程式。
若要建立應用程式註冊,請複製指令碼,並在您的 Azure 命令列應用程式中執行此指令碼。
注意
- 若要驗證是否已建立應用程式,請在 Azure 中開啟 [應用程式註冊],然後在 [所有應用程式] 索引標籤上,找出您的應用程式。
- 選取應用程式名稱以開啟 [公開 API] 頁面。 [概觀] 頁面中顯示的 [應用程式識別碼 URI] 是與 AWS 帳戶建立 OIDC 連線時所使用的受眾值。
返回權限管理,然後在 [權限管理上線 - Microsoft Entra OIDC 應用程式建立] 上,選取 [下一步]。
2.設定 AWS OIDC 帳戶
在 [Permissions Management 上線 - AWS OIDC 帳戶設定] 頁面中,輸入 OIDC 提供者建立位置的 AWS OIDC 帳戶識別碼。 您可以根據需求變更角色。
開啟另一個瀏覽器視窗,然後登入您要在其中建立 OIDC 提供者的 AWS 帳戶。
選取 [啟動範本]。 此連結會帶您前往 [AWS CloudFormation 建立堆疊] 頁面。
捲動到頁面底部,然後在 [功能] 方塊中,選取 [我確認 AWS CloudFormation 可能會使用自訂名稱建立 IAM 資源]。 然後,選取 [建立堆疊]
此 AWS CloudFormation 堆疊會建立 OIDC 識別提供者 (IdP),代表 Microsoft Entra STS 和 AWS IAM 角色,並具有信任原則,可讓來自 Microsoft Entra ID 的外部身分識別透過 OIDC IdP 承擔此角色。 這些實體會列示在 [資源] 頁面上。
返回 Permissions Management,然後在 [Permissions Management 上線 - AWS OIDC 帳戶安裝] 頁面上選取 [下一步]。
3.設定 AWS 管理帳戶連線 (選擇性)
如果您的組織具有服務控制原則 (SCP),控管部分或全部成員帳戶,請在 [權限管理上線 - AWS 管理帳戶詳細資料] 頁面中設定管理帳戶連線。
設定管理帳戶連線可讓「權限管理」自動偵測任何具有正確權限管理角色的 AWS 成員帳戶,並將其上線。
在 [權限管理上線 - AWS 管理帳戶詳細資料] 頁面中,輸入管理帳戶識別碼和管理帳戶角色。
開啟另一個瀏覽器視窗,然後登入管理帳戶的 AWS 主控台。
返回權限管理,然後在 [權限管理上線 - AWS 管理帳戶詳細資料] 頁面上,選取 [啟動範本]。
[AWS CloudFormation 建立堆疊] 頁面即會開啟,其中並顯示範本。
檢閱範本中的資訊、視需要進行變更,然後捲動至頁面底部。
在 [功能] 方塊中,選取 [我確認 AWS CloudFormation 可能會使用自訂名稱建立 IAM 資源]。 然後,選取 [建立堆疊]。
此 AWS CloudFormation 堆疊會在管理帳戶中建立具有必要權限 (原則) 的角色,以收集 SCP 並列出組織中的所有帳戶。
此角色上會設定信任原則,以允許在 AWS OIDC 帳戶中建立的 OIDC 角色存取此信任原則。 這些實體會列示在 CloudFormation 堆疊的 [資源] 索引標籤中。
返回權限管理,然後在 [權限管理上線 - AWS 管理帳戶詳細資料] 頁面上,選取 [下一步]。
4.設定 AWS 集中式記錄帳戶連線 (選擇性,但建議設定)
如果您的組織具有集中式記錄帳戶,其中儲存來自部分或全部 AWS 帳戶的記錄,請在 [Permissions Management 上線 - AWS 集中式記錄帳戶詳細資料] 頁面中,設定記錄帳戶連線。
在 [Permissions Management 上線 - AWS 集中式記錄帳戶詳細資料] 頁面中,輸入記錄帳戶識別碼和記錄帳戶角色。
在另一個瀏覽器視窗中,針對您用於集中式記錄的 AWS 帳戶登入 AWS 主控台。
返回 Permissions Management,然後在 [Permissions Management 上線 - AWS 集中式記錄帳戶詳細資料] 頁面上選取 [啟動範本]。
[AWS CloudFormation 建立堆疊] 頁面即會開啟,其中並顯示範本。
檢閱範本中的資訊、視需要進行變更,然後捲動至頁面底部。
在 [功能] 方塊中,選取 [我確認 AWS CloudFormation 可能會使用自訂名稱建立 IAM 資源],然後選取 [建立堆疊]。
此 AWS CloudFormation 堆疊會在記錄帳戶中建立具有必要權限 (原則) 的角色,以讀取用於集中式記錄的 S3 貯體。 此角色上會設定信任原則,以允許在 AWS OIDC 帳戶中建立的 OIDC 角色存取此信任原則。 這些實體會列示在 CloudFormation 堆疊的 [資源] 索引標籤中。
返回 [Permissions Management],然後在 [Permissions Management 上線 - AWS 集中式記錄帳戶詳細資料] 頁面上選取 [下一步]。
5.設定 AWS 成員帳戶
如果 AWS 帳戶存取是透過 AWS SSO 進行設定,則請選取 [啟用 AWS SSO] 核取方塊。
從三個選項中進行選擇以管理 AWS 帳戶。
選項 1:自動管理
選擇此選項可自動偵測並新增至受監視的帳戶清單,而不需要進行額外設定。 偵測帳戶清單並上線以進行收集的步驟:
- 部署可建立組織帳戶角色的管理帳戶 CFT (Cloudformation 範本),而此角色會授與稍早所建立 OIDC 角色的權限,以列出帳戶、OU 和 SCP。
- 如果已啟用 AWS SSO,則組織帳戶 CFT 也會新增收集 AWS SSO 設定詳細資料所需的原則。
- 在 Microsoft Entra 權限管理需要監視的所有帳戶中部署成員帳戶 CFT。 這些動作會建立跨帳戶角色以信任稍早所建立的 OIDC 角色。 SecurityAudit 原則會附加至針對資料收集所建立的角色。
任何目前或未來找到的帳戶都會自動上線。
若要在儲存設定之後檢視上線狀態:
- 移至 [資料收集器] 索引標籤。
- 按一下資料收集器的狀態。
- 在 [進行中] 頁面上檢視帳戶
選項 2:進入授權系統
在 [Permissions Management 上線 - AWS 成員帳戶詳細資料] 頁面中,輸入成員帳戶角色和成員帳戶識別碼。
您最多可以輸入 100 個帳戶識別碼。 按一下文字方塊旁邊的加號圖示,以新增更多帳戶識別碼。
注意
針對新增的每個帳戶識別碼,執行下列步驟:
開啟另一個瀏覽器視窗,然後登入成員帳戶的 AWS 主控台。
返回 [Permissions Management 上線 - AWS 成員帳戶詳細資料] 頁面,選取 [啟動範本]。
[AWS CloudFormation 建立堆疊] 頁面即會開啟,其中並顯示範本。
在 [CloudTrailBucketName] 頁面中,輸入名稱。
您可以從 AWS 中的 [線索] 頁面複製並貼上CloudTrailBucketName 名稱。
注意
雲端貯體會收集單一帳戶中權限管理所監視的所有活動。 在這裡輸入雲端貯體的名稱,以提供 Permissions Management 收集活動資料所需的存取權。
從 [啟用控制器] 下拉式清單中,選取:
- True,前提是您想要讓控制器提供具有讀取和寫入存取權的 Permissions Management,以便您想要從 Permissions Management 平台執行的任何補救都可以自動完成。
- False,前提是您想要控制器提供唯讀存取權給 Permissions Management。
捲動到頁面底部,然後在 [功能] 方塊中,選取 [我確認 AWS CloudFormation 可能會使用自訂名稱建立 IAM 資源]。 然後,選取 [建立堆疊]。
此 AWS CloudFormation 堆疊會在成員帳戶中建立具有必要權限 (原則) 的集合角色,以進行資料收集。
此角色上會設定信任原則,以允許在 AWS OIDC 帳戶中建立的 OIDC 角色存取此信任原則。 這些實體會列示在 CloudFormation 堆疊的 [資源] 索引標籤中。
返回 Permissions Management,然後在 [Permissions Management - AWS 成員帳戶詳細資料] 頁面上選取 [下一步]。
此步驟會完成從 Microsoft Entra STS 到 OIDC 線上帳戶和 AWS 成員帳戶的一連串必要連線。
選項 3:選取授權系統
此選項會偵測可透過先前所建立 OIDC 角色存取權存取的所有 AWS 帳戶。
- 部署可建立組織帳戶角色的管理帳戶 CFT (Cloudformation 範本),而此角色會授與稍早所建立 OIDC 角色的權限,以列出帳戶、OU 和 SCP。
- 如果已啟用 AWS SSO,則組織帳戶 CFT 也會新增收集 AWS SSO 設定詳細資料所需的原則。
- 在 Microsoft Entra 權限管理需要監視的所有帳戶中部署成員帳戶 CFT。 這些動作會建立跨帳戶角色以信任稍早所建立的 OIDC 角色。 SecurityAudit 原則會附加至針對資料收集所建立的角色。
- 按一下 [確認並儲存]。
- 移至 AWSdata 收集器下新建立的「資料收集器」資料列。
- 資料列處於 [擱置中] 狀態時,請按一下 [狀態] 資料行
- 若要上線並開始收集,請從偵測到的清單中選擇特定收集,並同意收集。
6.檢閱並儲存
在 [權限管理上線 - 摘要] 中,檢閱您已新增的資訊,然後選取 [立即驗證和儲存]。
下列訊息即會出現:已成功建立設定。
在 [資料收集器] 儀表板上,[最近上傳已開始] 資料行顯示 [收集中]。 [最近轉換已開始] 資料行顯示 [處理中]。
權限管理 UI 中的 [狀態] 資料行會顯示您位於資料收集的哪個步驟:
- 擱置:權限管理尚未開始偵測或上線。
- 探索:權限管理正在偵測授權系統。
- 進行中:權限管理已偵測完授權系統,且授權系統正在上線。
- 上線:資料收集已完成,且所有偵測到的授權系統都會上線至權限管理。
7.檢視資料
若要檢視資料,請選取 [授權系統] 索引標籤。
資料表中的 [狀態] 資料行會顯示 [正在收集資料]。
在大部分情況下,資料收集程序需要一些時間,並以大約 4-5 小時的間隔發生。 時間範圍取決於您擁有的授權系統大小,以及可供收集的資料量。
下一步
- 如需如何在上線完成之後啟用或停用控制器的相關資訊,請參閱啟用或停用控制器。
- 如需如何在上線完成之後新增帳戶/訂用帳戶/專案的相關資訊,請參閱在上線完成之後新增帳戶/訂用帳戶/專案。