本文提供 AWS 身分識別架構設計人員、系統管理員和安全性分析師,並提供適用於 AWS 的 Microsoft Entra 身分識別與存取解決方案的立即見解和詳細指引。 您可以設定及測試這些Microsoft安全性解決方案,而不會影響您現有的識別提供者和 AWS 帳戶使用者,直到您準備好切換為止。
架構
AWS 會為其建立的每個帳戶建立個別 的身分識別和存取管理 (IAM) 存放區 。 下圖顯示具有單一 AWS 帳戶的 AWS 環境標準設定:
根使用者完全控制 AWS 帳戶,並將存取權委派給其他身分識別。 AWS IAM 主體 會為每個需要存取 AWS 帳戶的角色和使用者提供唯一的身分識別。 AWS IAM 可以使用複雜的密碼和基本 MFA 來保護每個根、主體和用戶帳戶。
許多組織需要一個以上的 AWS 帳戶,導致 身分識別尋址接收器 管理複雜:
為了允許集中式身分識別管理,並避免管理多個身分識別和密碼,大部分的組織都想要針對平臺資源使用單一登錄。 某些 AWS 客戶依賴伺服器型Microsoft Active Directory 進行 SSO 整合。 其他客戶投資第三方解決方案來同步處理或同盟其身分識別並提供 SSO。
Microsoft Entra ID 提供集中式身分識別管理,並提供強式 SSO 驗證。 幾乎所有遵循常見 Web 驗證標準的應用程式或平臺,包括 AWS,都可以使用Microsoft Entra ID 進行身分識別和存取管理。
許多組織已經使用 Microsoft Entra 識別符來指派和保護Microsoft 365 或混合式雲端身分識別。 員工會使用其Microsoft Entra身分識別來存取電子郵件、檔案、立即訊息、雲端應用程式和內部部署資源。 您可以快速輕鬆地整合 Microsoft Entra ID 與您的 AWS 帳戶,讓系統管理員和開發人員使用現有的身分識別登入 AWS 環境。
下圖顯示Microsoft Entra ID 如何與多個 AWS 帳戶整合,以提供集中式身分識別和存取管理:
Microsoft Entra ID 提供數個功能來直接與 AWS 整合:
- 跨舊版、傳統和新式驗證解決方案的 SSO。
- MFA,包括與來自 Microsoft Intelligent Security Association (MISA) 合作夥伴的數個第三方解決方案整合。
- 強 式驗證和嚴格治理的強大條件式存取 功能。 Microsoft Entra ID 會使用條件式存取原則和風險型評定來驗證和授權使用者存取 AWS 管理控制台和 AWS 資源。
- 大規模威脅偵測和自動化回應。 Microsoft Entra ID 每天處理超過 300 億個驗證要求,以及全球威脅的數萬億個訊號。
- 特殊許可權存取管理 (PAM) 可啟用 特定資源的 Just-In-Time (JIT) 布建 。
使用 AWS 帳戶進行進階Microsoft Entra 身分識別管理
其他進階Microsoft Entra 功能可以為最敏感的 AWS 帳戶提供額外的控制層。 Microsoft Entra ID P2 授權包含下列進階功能:
Privileged Identity Management (PIM) 為 Azure 和 Microsoft 365 內的所有委派角色提供進階控制。 例如,他們有權視需要啟用角色,而不是靜態指派用戶系統管理員角色的使用者管理員。 此許可權會停用設定的時間限制之後(例如一小時)。 PIM 會記錄所有啟用,並具有其他控制件,可進一步限制啟用功能。 PIM 會藉由確保額外的治理和保護層級,讓特殊許可權的用戶能夠進行變更,進一步保護您的身分識別架構。
您可以控制自定義群組的存取權,例如您為存取 AWS 角色所建立的許可權,將 PIM 擴充至任何委派的許可權。 如需部署 PIM 的詳細資訊,請參閱 規劃 Privileged Identity Management 部署。
進階身分識別保護 會藉由監視使用者或會話風險來增加Microsoft Entra 登入安全性。 用戶風險會定義遭入侵的認證潛力,例如公開發行缺口清單中出現的使用者標識碼和密碼。 會話風險會判斷登入活動是否來自有風險的位置、IP 位址或其他入侵指標。 這兩種偵測類型都借鑒了Microsoft的完整威脅情報功能。
如需進階身分識別保護的詳細資訊,請參閱 Microsoft Entra ID Protection 安全性概觀。
適用於身分識別的 Microsoft Defender 藉由監視所有活動和威脅訊號,來保護在Active Directory域控制器上執行的身分識別和服務。 適用於身分識別的 Defender 會根據客戶缺口調查的實際體驗來識別威脅。 適用於身分識別的Defender會監視用戶行為,並建議降低攻擊面,以防止進階攻擊,例如偵察、橫向移動和網域支配。
如需適用於身分識別的 Defender 的詳細資訊,請參閱什麼是 適用於身分識別的 Microsoft Defender。
案例詳細資料
支援重要工作負載和高度敏感性資訊的 Amazon Web Services (AWS) 帳戶需要強式身分識別保護和訪問控制。 結合 Microsoft Entra 識別符時,會增強 AWS 身分識別管理。 Microsoft Entra ID 是雲端式、全方位、集中式的身分識別和存取管理解決方案,可協助保護及保護 AWS 帳戶和環境。 Microsoft Entra ID 透過多重要素驗證 (MFA) 和條件式存取原則,提供集中式單一登錄 (SSO) 和強式驗證。 Microsoft Entra ID 支援 AWS 身分識別管理、角色型身分識別和訪問控制。
許多使用 AWS 的組織已經依賴 Microsoft Entra ID 來進行 Microsoft 365 或混合式雲端身分識別管理和存取保護。 這些組織可以快速且輕鬆地使用 Microsoft Entra ID 搭配其 AWS 帳戶,通常不需要額外費用。 其他進 階Microsoft Privileged Identity Management (PIM) 和進階身分識別保護等專案功能 可協助保護最敏感的 AWS 帳戶。
Microsoft Entra ID 可以輕鬆地與其他Microsoft安全性解決方案整合,例如 適用於雲端的 Microsoft Defender Apps 和 Microsoft Sentinel。 如需詳細資訊,請參閱適用於 AWS 的 適用於雲端的 Defender Apps 和 Microsoft Sentinel。 Microsoft安全性解決方案是可延伸的,而且具有多個層級的保護。 組織可以實作一或多個這些解決方案,以及其他類型的保護,以取得保護目前和未來 AWS 部署的完整安全性架構。
建議
安全性
下列原則和指導方針對於任何雲端安全性解決方案都很重要:
確定組織可以監視、偵測及自動保護使用者和以程式設計方式存取雲端環境。
持續檢閱目前的帳戶,以確保身分識別和許可權控管和控制。
遵循最低許可權和 零信任 原則。 請確定每個使用者只能從受信任的裝置和已知位置存取所需的特定資源。 減少每個系統管理員和開發人員的許可權,只提供他們執行的角色所需的許可權。 定期檢閱。
持續監視平臺組態變更,特別是當他們提供提升許可權或攻擊持續性的機會時。
主動檢查和控制內容,以防止未經授權的數據外流。
利用您可能已經擁有的解決方案,例如Microsoft Entra ID P2,可以增加安全性,而不需要花費更多費用。
基本 AWS 帳戶安全性
為了確保 AWS 帳戶和資源的基本安全性衛生:
請檢閱 AWS 安全性指引,以 取得保護 AWS 帳戶和資源的最佳作法。
透過 AWS 管理主控台主動檢查所有資料傳輸,以降低上傳和下載惡意程式碼和其他惡意內容的風險。 直接上傳或下載至 AWS 平臺內資源的內容,例如網頁伺服器或資料庫,可能需要更多保護。
請考慮保護其他資源的存取,包括:
- 在 AWS 帳戶內建立的資源。
- 特定的工作負載平臺,例如 Windows Server、Linux Server 或容器。
- 系統管理員和開發人員用來存取 AWS 管理主控台的裝置。
AWS IAM 安全性
保護 AWS 管理控制台的重要層面是控制誰可以進行敏感性組態變更。 AWS 帳戶根使用者具有不受限制的存取權。 安全性小組應完全控制根用戶帳戶,以防止其登入 AWS 管理主控台或使用 AWS 資源。
若要控制根用戶帳戶:
- 請考慮將根使用者登入認證從個人的電子郵件地址變更為安全性小組所控制的服務帳戶。
- 請確定根用戶帳戶密碼很複雜,併為根用戶強制執行 MFA。
- 監視用來登入之根用戶帳戶實例的記錄。
- 只有在緊急情況下才使用根用戶帳戶。
- 使用 Microsoft Entra ID 來實作委派的系統管理存取權,而不是使用根用戶來執行系統管理工作。
清楚瞭解並檢閱其他 AWS IAM 帳戶元件,以取得適當的對應和指派。
根據預設,AWS 帳戶在根使用者建立一或多個身分識別來委派存取權之前,沒有 IAM 使用者 。 從另一個身分識別系統同步處理現有用戶的解決方案,例如 Microsoft Active Directory,也可以自動布建 IAM 使用者。
IAM 原則 會提供 AWS 帳戶資源的委派訪問許可權。 AWS 提供超過 750 個唯一的 IAM 原則,客戶也可以定義自定義原則。
IAM 角色 會將特定原則附加至身分識別。 角色是管理 角色型訪問控制 (RBAC) 的方式。 目前的解決方案會使用 外部身分 識別來實作 Microsoft Entra 身分識別,方法是假設 IAM 角色。
IAM 群組 也是管理 RBAC 的一種方式。 不要將 IAM 原則直接指派給個別 IAM 使用者、建立 IAM 群組、附加一或多個 IAM 原則來指派許可權,並將 IAM 使用者新增至群組,以繼承資源的適當訪問許可權。
某些 IAM 服務帳戶 必須繼續在 AWS IAM 中執行,以提供程式設計存取。 請務必檢閱這些帳戶、安全地儲存及限制其安全性認證的存取權,並定期輪替認證。
部署此案例
下一節說明如何將Microsoft Entra ID 部署至個別 AWS 帳戶。
規劃和準備
若要準備部署 Azure 安全性解決方案,請檢閱並記錄目前的 AWS 帳戶和Microsoft Entra 資訊。 如果您已部署多個 AWS 帳戶,請針對每個帳戶重複這些步驟。
在 AWS 計費管理主控台中,記錄下列目前的 AWS 帳戶資訊:
- AWS 帳戶標識碼,唯一標識符。
- 帳戶名稱 或根使用者。
- 付款方式,無論是指派給信用卡還是公司帳單合約。
- 可存取 AWS 帳戶資訊的替代聯繫人 。
- 安全性問題 會安全地更新並記錄為緊急存取。
- 已啟用或停用 AWS 區域 以符合數據安全策略。
在 AWS IAM 管理控制台中,檢閱並記錄下列 AWS IAM 元件:
- 已建立的群組 ,包括附加的詳細成員資格和角色型對應原則。
- 已建立的使用者 ,包括 使用者帳戶的密碼存留期 ,以及 服務帳戶的存取密鑰年齡 。 也請確認每個使用者都已啟用 MFA。
- 角色。 有兩個預設服務連結角色: AWSServiceRoleForSupport 和 AWSServiceRoleForTrustedAdvisor。 記錄任何其他角色,這些角色都是自定義的。 這些角色會連結至許可權原則,以用於對應Microsoft Entra ID 中的角色。
- 原則。 現用的原則在 [類型] 數據行中具有 AWS 管理、作業函式或客戶管理。 記錄所有其他原則,這些原則都是自定義的。 同時記錄每個原則的指派位置,來自 [用作] 數據行中的專案。
- 識別提供者,瞭解任何現有的安全性判斷提示標記語言 (SAML) 識別提供者。 規劃如何將現有的識別提供者取代為單一Microsoft Entra 識別提供者。
在 Azure 入口網站 中,檢閱 Microsoft Entra 租使用者:
- 評估 租用戶資訊 ,以查看租使用者是否有Microsoft Entra ID P1 或 P2 授權。 P2 授權提供 進階Microsoft Entra 身分識別管理功能 。
- 評估企業應用程式,以查看任何現有的應用程式是否使用 AWS 應用程式類型,如首頁 URL 資料行所示
http://aws.amazon.com/
。
規劃Microsoft Entra 部署
Microsoft Entra 部署程式假設已針對組織設定Microsoft Entra ID,例如針對 Microsoft 365 實作。 帳戶可以從 Active Directory 網域進行同步處理,也可以是直接在 entra 識別符中建立 Microsoft的雲端帳戶。
規劃 RBAC
如果 AWS 安裝使用 RBAC 的 IAM 群組和角色,您可以將現有的 RBAC 結構對應至新的 Microsoft Entra 使用者帳戶和安全組。
如果 AWS 帳戶沒有強式 RBAC 實作,請從處理最敏感的存取開始:
更新 AWS 帳戶根使用者。
檢閱附加至 IAM 原則系統管理員Access 的 AWS IAM 使用者、群組和角色。
請透過其他指派的 IAM 原則,從可修改、建立或刪除資源和其他組態項目的原則開始。 您可以藉由查看 [用作] 數據行來識別使用中的原則。
規劃移轉
Microsoft Entra ID 會集中所有驗證和授權。 您可以規劃和設定用戶對應和 RBAC,而不會影響系統管理員和開發人員,直到您準備好強制執行新的方法為止。
從 AWS IAM 帳戶移轉至 Microsoft Entra 識別子的高階程式如下所示。 如需詳細指示,請參閱 部署。
將 IAM 原則對應至Microsoft Entra 角色,並使用 RBAC 將角色對應至安全組。
將每個 IAM 使用者取代為Microsoft Entra 使用者,該使用者是適當安全組的成員,以登入並取得適當的許可權。
要求每個使用者使用其Microsoft Entra 帳戶登入 AWS,並確認他們具有適當的存取層級,以進行測試。
一旦使用者確認Microsoft Entra ID 存取權,請移除 AWS IAM 用戶帳戶。 重複每個用戶的程式,直到全部移轉為止。
針對服務帳戶和程序設計存取,請使用相同的方法。 請更新每個使用帳戶的應用程式,以改用對等Microsoft Entra 用戶帳戶。
請確定任何剩餘的 AWS IAM 使用者都已啟用 MFA 的複雜密碼,或定期取代的存取密鑰。
下圖顯示跨 Microsoft Entra ID 和 AWS IAM 的設定步驟和最終原則和角色對應範例:
單一登錄整合
Microsoft Entra ID 支援與 AWS SSO 的單一登錄整合。 您可以將Microsoft Entra識別符連線到 AWS,並在數百個帳戶和 AWS SSO 整合式應用程式之間集中控管存取權。 此功能可讓使用者使用 AWS CLI 順暢地Microsoft Entra 登入體驗。
下列Microsoft安全性解決方案程式會針對AWS系統管理員和AWS開發人員範例角色實作 SSO。 針對您需要的任何其他角色重複此程式。
此程式涵蓋下列步驟:
- 建立新的 Microsoft Entra 企業應用程式。
- 為 AWS 設定Microsoft Entra SSO。
- 更新角色對應。
- 在 AWS 管理控制台中測試Microsoft Entra SSO。
下列連結提供完整的詳細實作步驟和疑難解答:
將 AWS 應用程式新增至您的 Microsoft Entra 企業應用程式
AWS 系統管理員和開發人員會使用企業應用程式登入 Microsoft Entra ID 以進行驗證,然後重新導向至 AWS 以進行授權和存取 AWS 資源。 查看應用程式最簡單的方法是登入 https://myapps.microsoft.com
,但您也可以在提供簡單存取的任何位置發佈唯一 URL。
請遵循從資源庫新增 Amazon Web Services (AWS) 中的指示來設定企業應用程式。 這些指示會讓您知道要新增至 Microsoft Entra 企業應用程式的 AWS 應用程式。
如果有多個 AWS 帳戶要管理,例如 DevTest 和 Production,請針對包含公司識別碼和特定 AWS 帳戶的企業應用程式使用唯一名稱。
設定 aws 的 Microsoft Entra SSO
請遵循下列步驟來設定 Microsoft Entra SSO for AWS:
在 Azure 入口網站上,遵循設定 Microsoft Entra SSO 上的步驟,設定您為 AWS 單一登錄所建立的企業應用程式。
在 AWS 控制台上,遵循設定 AWS SSO 上的步驟,設定 AWS 帳戶以進行單一登錄。 在此設定中,您將建立代表 Microsoft Entra 布建代理程式的新 IAM 使用者,以允許將所有可用的 AWS IAM 角色 同步處理到 Microsoft Entra 識別符。 AWS 需要此 IAM 使用者將用戶對應至 角色,才能登入 AWS 管理主控台。
- 讓您輕鬆識別您建立以支援此整合的元件。 例如,以標準命名慣例命名服務帳戶,例如 「Svc-」。
- 請務必記錄所有新專案。
- 請確定任何新的認證都包含您集中儲存的複雜密碼,以進行安全的生命週期管理。
根據這些組態步驟,您可以繪製如下的互動圖表:
在 AWS 控制台上,遵循下列步驟來建立更多角色。
在 AWS IAM 中,選取 [ 角色 -> 建立角色]。
在 [Create role] \(建立角色\) 頁面上,執行下列步驟:
- 在 [選取信任的實體類型] 底下,選取 [SAML 2.0 同盟]。
- 在 [選擇 SAML 2.0 提供者] 下,選取您在上一個步驟中建立的 SAML 提供者。
- 選取 [Allow programmatic and AWS Management Console access] \(允許透過程式設計方式和 AWS 管理主控台存取\)。
- 選取 [下一步:權限]。
在 [ 附加許可權原則 ] 對話框中,選取 [AdministratorAccess]。 然後選取 [下一步:卷標]。
在 [ 新增標記 ] 對話框中,將它保留空白,然後選取 [ 下一步:檢閱]。
在 [ 檢閱] 對話框中,執行下列步驟:
- 在 [角色名稱] 中,輸入您的角色名稱(系統管理員)。
- 在 [ 角色描述] 中,輸入描述。
- 選取 [Create Role] \(建立角色\)。
依照上述步驟建立另一個角色。 將角色命名為開發人員,並提供您所選的一些選取許可權(例如 AmazonS3FullAccess)。
您已成功在 AWS 中建立系統管理員和開發人員角色。
在 entra 識別碼Microsoft中建立下列使用者和群組:
- 使用者 1:Test-AWSAdmin
- 使用者 2:Test-AWSDeveloper
- 群組 1:AWS-Account1-Administrators
- 群組 2:AWS-Account1-Developers
- 將 Test-AWSAdmin 新增為 AWS-Account1-Administrators 的成員
- 將 Test-AWSDeveloper 新增為 AWS-Account1-Developers 的成員
請遵循如何在 AWS 單一帳戶存取中設定角色布建以設定自動化角色布建的步驟。 完成第一個布建週期最多可能需要一小時的時間。
如何更新角色對應
因為您使用的是兩個角色,請執行下列額外步驟:
確認布建代理程式可以看到至少兩個角色:
移至 [ 使用者和群組 ],然後選取 [ 新增使用者]。
選取 [AWS-Account1-Administrators]。
選取相關聯的角色。
針對每個群組角色對應重複上述步驟。 完成後,您應該有兩個Microsoft Entra 群組正確對應至 AWS IAM 角色:
如果您看不到或選取角色,請返回 [布 建] 頁面,確認 Microsoft Entra 布建代理程式中的布建成功,並確定 IAM 用戶帳戶具有正確的許可權。 您也可以重新啟動佈建引擎,再次嘗試匯入:
測試 Microsoft Entra SSO 到 AWS 管理控制台
以每個測試使用者身分測試登入,以確認 SSO 運作正常。
啟動新的私人瀏覽器會話,以確保其他預存認證不會與測試衝突。
移至
https://myapps.microsoft.com
,使用您先前建立的 Test-AWSAdmin 或 Test-AWSDeveloper Microsoft Entra 使用者帳戶認證。您應該會看到 AWS 控制台應用程式的新圖示。 選取圖示,並遵循任何驗證提示:
登入 AWS 控制台之後,流覽功能以確認此帳戶具有適當的委派存取權。
請注意使用者登入工作階段的命名格式:
ROLE / UPN / AWS 帳戶號碼
您可以使用此使用者登入會話資訊,在 適用於雲端的 Defender Apps 或 Microsoft Sentinel 中追蹤使用者登入活動。
註銷,並重複其他測試用戶帳戶的程式,以確認角色對應和許可權的差異。
啟用條件式存取
若要建立需要 MFA 的新條件式存取原則:
在 Azure 入口網站 中,流覽至 [Microsoft Entra ID>Security],然後選取 [條件式存取]。
在左側導覽中,選取 [ 原則]。
選取 [新增原則],然後完成窗體,如下所示:
- 名稱:輸入 AWS 控制台 – MFA
- 使用者和群組:選取您稍早建立的兩個角色群組:
- AWS-Account1-Administrators
- AWS-Account1-Developers
- 授與:選取 [需要多重要素驗證]
將 [啟用原則] 設定為 [開啟]。
選取 建立。 原則會立即生效。
若要測試條件式存取原則,請註銷測試帳戶、開啟新的私人瀏覽會話,並使用其中一個角色組帳戶登入。 您會看到 MFA 提示:
完成 MFA 安裝程式。 最好使用行動應用程式進行驗證,而不是依賴SMS。
您可能需要建立數個條件式存取原則,以符合強式驗證的商務需求。 請考慮您在建立原則時使用的命名慣例,以確保易於識別和持續維護。 此外,除非已廣泛部署 MFA,否則請確定原則的範圍只影響預期的使用者。 其他原則應涵蓋其他使用者群組的需求。
啟用條件式存取之後,您可以強加其他控件,例如 PAM 和 Just-In-Time (JIT) 布建。 如需詳細資訊,請參閱 什麼是自動化 SaaS 應用程式使用者布建Microsoft Entra ID。
如果您有 適用於雲端的 Defender Apps,您可以使用條件式存取來設定 適用於雲端的 Defender Apps 會話原則。 如需詳細資訊,請參閱 設定 AWS 活動的Microsoft Entra 會話原則。
下一步
- 如需 AWS 的安全性指引,請參閱 保護 AWS 帳戶和資源的最佳作法。
- 如需最新的Microsoft安全性資訊,請參閱 www.microsoft.com/security。
- 如需如何實作和管理Microsoft Entra標識碼的完整詳細數據,請參閱 使用 Microsoft Entra 標識符保護 Azure 環境。
- AWS 教學課程:使用IDP SSO Microsoft Entra ID
- Microsoft教學課程:適用於 AWS 的 SSO
- PIM 部署計劃
- 身分識別保護安全性概觀
- 什麼是適用於身分識別的 Microsoft Defender?
- 將 AWS 連線至 適用於雲端的 Microsoft Defender 應用程式
- 適用於雲端的 Defender 應用程式如何協助保護您的 Amazon Web Services (AWS) 環境
相關資源
- 如需 Azure 和 AWS 功能的深入涵蓋範圍和比較,請參閱 適用於 AWS 專業人員 的 Azure 內容集。
- Azure 和 AWS 上的安全性和身分識別
- 適用於雲端的 Defender 應用程式以及適用於 AWS 的 Microsoft Sentinel