Připojení účtu Amazon Web Services (AWS)
Tento článek popisuje, jak připojit účet Amazon Web Services (AWS) v Správa oprávnění Microsoft Entra.
Poznámka:
Abyste mohli provádět úlohy v tomto článku, musíte být správcem oprávnění Správa istrator.
Vysvětlení
Existuje několik pohyblivých částí v AWS a Azure, které je potřeba nakonfigurovat před onboardingem.
- Aplikace Microsoft Entra OIDC
- Účet AWS OIDC
- Účet pro správu AWS (volitelné)
- (volitelné) účet protokolování AWS Central
- Role AWS OIDC
- Role křížového účtu AWS, kterou role OIDC přebírá
Připojení účtu AWS
Pokud se při spuštění správy oprávnění nezobrazí řídicí panel Kolektory dat:
- Na domovské stránce Správa oprávnění vyberte Nastavení (ikona ozubeného kola) a pak vyberte podtabutu Kolektory dat.
Na řídicím panelu Kolektory dat vyberte AWS a pak vyberte Vytvořit konfiguraci.
1. Vytvoření aplikace Microsoft Entra OIDC
Na stránce Pro onboarding správy oprávnění – Vytvoření aplikace Microsoft Entra OIDC zadejte název aplikace Azure OIDC.
Tato aplikace slouží k nastavení připojení OpenID Připojení (OIDC) k vašemu účtu AWS. OIDC je interoperabilní ověřovací protokol založený na skupině specifikací OAuth 2.0. Skripty vygenerované na této stránce vytvoří aplikaci tohoto zadaného názvu ve vašem tenantovi Microsoft Entra se správnou konfigurací.
Pokud chcete vytvořit registraci aplikace, zkopírujte skript a spusťte ho v aplikaci příkazového řádku Azure.
Poznámka:
- Pokud chcete ověřit, že byla aplikace vytvořená, otevřete Registrace aplikací v Azure a na kartě Všechny aplikace vyhledejte aplikaci.
- Výběrem názvu aplikace otevřete stránku Zveřejnit rozhraní API . Identifikátor URI ID aplikace zobrazený na stránce Přehled je hodnota cílové skupiny použitá při vytváření připojení OIDC k vašemu účtu AWS.
Vraťte se do správy oprávnění a v onboardingu Správa oprávnění – Vytvoření aplikace Microsoft Entra OIDC vyberte Další.
2. Nastavení účtu AWS OIDC
Na stránce Nastavení účtu AWS OIDC zadejte ID účtu AWS OIDC, ve kterém je vytvořen zprostředkovatel OIDC. Název role můžete změnit na vaše požadavky.
Otevřete jiné okno prohlížeče a přihlaste se k účtu AWS, kde chcete vytvořit zprostředkovatele OIDC.
Vyberte Spustit šablonu. Tento odkaz vás přenese na stránku pro vytvoření zásobníku AWS CloudFormation.
Posuňte se do dolní části stránky a v poli Schopnosti vyberte , že AWS CloudFormation může vytvářet prostředky IAM s vlastními názvy. Pak vyberte Vytvořit zásobník.
Tento zásobník AWS CloudFormation vytvoří zprostředkovatele identity OIDC (IdP), který představuje roli Microsoft Entra STS a AWS IAM se zásadami důvěryhodnosti, která umožňuje externím identitám z Microsoft Entra ID předpokládat ho prostřednictvím zprostředkovatele identity OIDC. Tyto entity jsou uvedené na stránce Prostředky .
Vraťte se ke správě oprávnění a na stránce Nastavení účtu AWS OIDC vyberte Další.
3. Nastavení připojení účtu AWS Management (volitelné)
Pokud má vaše organizace zásady řízení služeb (SCPs), které řídí některé nebo všechny členské účty, nastavte připojení účtu pro správu na stránce Podrobnosti účtu pro správu oprávnění .
Nastavení připojení účtu pro správu umožňuje službě Správa oprávnění automaticky zjišťovat a připojovat všechny členské účty AWS, které mají správnou roli Správa oprávnění.
Na stránce Podrobnosti účtu správy oprávnění – Podrobnosti účtu pro správu AWS zadejte ID účtu pro správu a roli účtu pro správu.
Otevřete jiné okno prohlížeče a přihlaste se ke konzole AWS pro svůj účet pro správu.
Vraťte se ke správě oprávnění a na stránce Podrobnosti účtu pro správu oprávnění vyberte Spustit šablonu.
Otevře se stránka pro vytvoření zásobníku AWS CloudFormation zobrazující šablonu.
Zkontrolujte informace v šabloně, v případě potřeby proveďte změny a posuňte se do dolní části stránky.
V poli Schopnosti vyberte I potvrzení, že AWS CloudFormation může vytvářet prostředky IAM s vlastními názvy. Pak vyberte Vytvořit zásobník.
Tento zásobník AWS CloudFormation vytvoří v účtu pro správu roli s potřebnými oprávněními (zásadami) ke shromažďování scps a výpisu všech účtů ve vaší organizaci.
Pro tuto roli je nastavená zásada důvěryhodnosti, která umožňuje přístup k roli OIDC vytvořenou ve vašem účtu AWS OIDC. Tyto entity jsou uvedené na kartě Prostředky ve vašem zásobníku CloudFormation.
Vraťte se do správy oprávnění a v onboardingu Správa oprávnění – Podrobnosti účtu pro správu AWS vyberte Další.
4. Nastavení připojení účtu protokolování AWS Central (volitelné, ale doporučeno)
Pokud má vaše organizace centrální účet protokolování, ve kterém jsou uložené protokoly z některého nebo všech účtů AWS, na stránce Podrobnosti účtu centrálního protokolování AWS nastavte připojení k účtu protokolování.
Na stránce Podrobnosti o účtu pro správu oprávnění – Podrobnosti o účtu centrálního protokolování AWS zadejte ID účtu protokolování a roli protokolování účtu.
V jiném okně prohlížeče se přihlaste ke konzole AWS pro účet AWS, který používáte pro centrální protokolování.
Vraťte se ke správě oprávnění a na stránce Podrobnosti účtu centrálního protokolování AWS vyberte Spustit šablonu.
Otevře se stránka pro vytvoření zásobníku AWS CloudFormation zobrazující šablonu.
Zkontrolujte informace v šabloně, v případě potřeby proveďte změny a posuňte se do dolní části stránky.
V poli Schopnosti vyberte možnost IWS CloudFormation, že může vytvářet prostředky IAM s vlastními názvy a pak vyberte Vytvořit zásobník.
Tento zásobník AWS CloudFormation vytvoří v účtu protokolování roli s potřebnými oprávněními (zásadami) ke čtení kontejnerů S3 používaných pro centrální protokolování. Pro tuto roli je nastavená zásada důvěryhodnosti, která umožňuje přístup k roli OIDC vytvořenou ve vašem účtu AWS OIDC. Tyto entity jsou uvedené na kartě Prostředky ve vašem zásobníku CloudFormation.
Vraťte se ke správě oprávnění a v onboardingu správy oprávnění – stránka Podrobnosti účtu centrálního protokolování AWS vyberte Další.
5. Nastavení účtu člena AWS
Pokud je přístup k účtu AWS nakonfigurovaný prostřednictvím jednotného přihlašování AWS, zaškrtněte políčko Povolit jednotné přihlašování AWS.
Vyberte si ze tří možností pro správu účtů AWS.
Možnost 1: Automatická správa
Tuto možnost zvolte, pokud chcete automaticky rozpoznat a přidat do seznamu monitorovaných účtů bez další konfigurace. Postup detekce seznamu účtů a onboardingu pro kolekci:
- Nasaďte cft účtu pro správu (šablona Cloudformation), která vytvoří roli účtu organizace, která uděluje oprávnění k roli OIDC vytvořená dříve k výpisu účtů, organizačních jednotek a SCPs.
- Pokud je povolené jednotné přihlašování AWS, cft účtu organizace také přidá zásady potřebné ke shromažďování podrobností o konfiguraci jednotného přihlašování AWS.
- Nasaďte cft člena ve všech účtech, které je potřeba monitorovat Správa oprávnění Microsoft Entra. Tyto akce vytvoří roli mezi účty, která důvěřuje dříve vytvořené roli OIDC. Zásady SecurityAudit jsou připojené k roli vytvořené pro shromažďování dat.
Všechny aktuální nebo budoucí účty se automaticky zprovozní.
Zobrazení stavu onboardingu po uložení konfigurace:
- Přejděte na kartu Kolektory dat.
- Klikněte na stav kolektoru dat.
- Zobrazení účtů na stránce Probíhá
Možnost 2: Zadání autorizačních systémů
Na stránce Podrobnosti o účtu člena AWS na stránce Správa oprávnění zadejte roli člena a ID členských účtů.
Můžete zadat až 100 ID účtů. Kliknutím na ikonu plus vedle textového pole přidejte další ID účtu.
Poznámka:
Pro každé ID účtu, které přidáte, proveďte následující kroky:
Otevřete jiné okno prohlížeče a přihlaste se ke konzole AWS pro účet člena.
Vraťte se na stránku Pro onboarding správy oprávnění – Podrobnosti o účtu člena AWS a vyberte Spustit šablonu.
Otevře se stránka pro vytvoření zásobníku AWS CloudFormation zobrazující šablonu.
Na stránce CloudTrailBucketName zadejte název.
Název CloudTrailBucketName můžete zkopírovat a vložit ze stránky Trails v AWS.
Poznámka:
Cloudový kbelík shromažďuje všechny aktivity v jednom účtu, který monitoruje správu oprávnění. Sem zadejte název kontejneru cloudu, který poskytuje správu oprávnění s přístupem potřebným ke shromažďování dat aktivit.
V rozevíracím seznamu Povolit kontroler vyberte:
- Ano, pokud chcete, aby kontroler poskytoval správu oprávnění s přístupem pro čtení a zápis, aby všechny nápravy, které chcete provést z platformy Správa oprávnění, bylo možné provádět automaticky.
- Nepravda, pokud chcete, aby kontroler poskytoval správu oprávnění s přístupem jen pro čtení.
Posuňte se do dolní části stránky a v poli Schopnosti vyberte , že AWS CloudFormation může vytvářet prostředky IAM s vlastními názvy. Pak vyberte Vytvořit zásobník.
Tento zásobník AWS CloudFormation vytvoří v členském účtu roli kolekce s potřebnými oprávněními (zásadami) pro shromažďování dat.
Pro tuto roli je nastavená zásada důvěryhodnosti, která umožňuje přístup k roli OIDC vytvořenou ve vašem účtu AWS OIDC. Tyto entity jsou uvedené na kartě Prostředky ve vašem zásobníku CloudFormation.
Vraťte se do správy oprávnění a na stránce Podrobnosti o účtu člena AWS na stránce Správa oprávnění vyberte Další.
Tento krok dokončí sekvenci požadovaných připojení z Microsoft Entra STS k účtu připojení OIDC a k účtu člena AWS.
Možnost 3: Výběr systémů autorizace
Tato možnost detekuje všechny účty AWS, které jsou přístupné prostřednictvím přístupu k roli OIDC vytvořenému dříve.
- Nasaďte cft účtu pro správu (šablona Cloudformation), která vytvoří roli účtu organizace, která uděluje oprávnění k roli OIDC vytvořená dříve k výpisu účtů, organizačních jednotek a SCPs.
- Pokud je povolené jednotné přihlašování AWS, cft účtu organizace také přidá zásady potřebné ke shromažďování podrobností o konfiguraci jednotného přihlašování AWS.
- Nasaďte cft člena ve všech účtech, které je potřeba monitorovat Správa oprávnění Microsoft Entra. Tyto akce vytvoří roli mezi účty, která důvěřuje dříve vytvořené roli OIDC. Zásady SecurityAudit jsou připojené k roli vytvořené pro shromažďování dat.
- Klikněte na Ověřit a uložit.
- Přejděte na nově vytvořený řádek kolekce dat v kolekcích AWSdata.
- Klikněte na sloupec Stav, pokud má řádek stav Čeká na vyřízení .
- Pokud chcete onboardovat a spustit kolekci, zvolte konkrétní položky ze seznamu zjištěných a souhlas pro shromažďování.
6. Kontrola a uložení
V části Onboarding pro správu oprávnění – souhrn zkontrolujte přidané informace a pak vyberte Ověřit a uložit.
Zobrazí se následující zpráva: Konfigurace byla úspěšně vytvořena.
Na řídicím panelu Kolektory dat se ve sloupci Naposledy nahraný na displej zobrazí shromažďování. Ve sloupci Nedávno transformováno na obrazovce Zpracování.
Sloupec stavu v uživatelském rozhraní pro správu oprávnění ukazuje, ve kterém kroku shromažďování dat jste:
- Čekající: Správa oprávnění ještě nezačala zjišťovat ani onboarding.
- Zjišťování: Správa oprávnění zjišťuje autorizační systémy.
- Probíhá: Správa oprávnění dokončila detekci autorizačních systémů a je onboarding.
- Onboarded: Shromažďování dat je hotové a všechny zjištěné autorizační systémy se připojují ke správě oprávnění.
7. Zobrazení dat
Pokud chcete zobrazit data, vyberte kartu Autorizační systémy .
Sloupec Stav v tabulce zobrazuje shromažďování dat.
Proces shromažďování dat nějakou dobu trvá a ve většině případů se vyskytuje přibližně v 4–5hodinovém intervalu. Časový rámec závisí na velikosti autorizačního systému, který máte, a na množství dat, která jsou k dispozici pro shromažďování.
Další kroky
- Informace o povolení nebo zakázání kontroleru po dokončení registrace najdete v tématu Povolení nebo zakázání kontroleru.
- Informace o tom, jak po dokončení onboardingu přidat účet, předplatné nebo projekt, najdete v tématu Přidání účtu, předplatného nebo projektu po dokončení onboardingu.