Amazon Web Services (AWS) hesabı ekleme
Bu makalede, Microsoft Entra İzin Yönetimi'de bir Amazon Web Services (AWS) hesabının nasıl eklediği açıklanır.
Not
Bu makaledeki görevleri gerçekleştirmek için İzin Yönetimi Yönetici istrator olmanız gerekir.
Açıklama
AWS ve Azure genelinde, eklemeden önce yapılandırılması gereken birkaç hareketli parça vardır.
- Microsoft Entra OIDC Uygulaması
- Aws OIDC hesabı
- Bir (isteğe bağlı) AWS Yönetim hesabı
- Bir (isteğe bağlı) AWS Central günlük hesabı
- AWS OIDC rolü
- OIDC rolü tarafından varsayılan bir AWS Çapraz Hesabı rolü
AWS hesabı ekleme
İzin Yönetimi başlatıldığında Veri Toplayıcıları panosu görüntülenmiyorsa:
- İzin Yönetimi giriş sayfasında Ayarlar (dişli simgesi) ve ardından Veri Toplayıcıları alt sekmesini seçin.
Veri Toplayıcıları panosunda AWS'yi ve ardından Yapılandırma Oluştur'u seçin.
1. Microsoft Entra OIDC Uygulaması oluşturma
İzin Yönetimi Ekleme - Microsoft Entra OIDC Uygulaması Oluşturma sayfasında OIDC Azure uygulama adını girin.
Bu uygulama, AWS hesabınıza openID Bağlan (OIDC) bağlantısı kurmak için kullanılır. OIDC, OAuth 2.0 belirtim ailesini temel alan birlikte çalışabilir bir kimlik doğrulama protokolüdür. Bu sayfada oluşturulan betikler, Microsoft Entra kiracınızda bu belirtilen adın uygulamasını doğru yapılandırmayla oluşturur.
Uygulama kaydını oluşturmak için betiği kopyalayın ve Azure komut satırı uygulamanızda çalıştırın.
Not
- Uygulamanın oluşturulduğunu onaylamak için Azure'da Uygulama kayıtları açın ve Tüm uygulamalar sekmesinde uygulamanızı bulun.
- Api'yi kullanıma sunma sayfasını açmak için uygulama adını seçin. Genel Bakış sayfasında görüntülenen Uygulama Kimliği URI'si, AWS hesabınızla OIDC bağlantısı kurarken kullanılan hedef kitle değeridir.
İzin Yönetimi'ne dönün ve İzin Yönetimi Ekleme - Microsoft Entra OIDC Uygulaması Oluşturma bölümünde İleri'yi seçin.
2. AWS OIDC hesabı ayarlama
İzin Yönetimi Ekleme - AWS OIDC Hesabı Kurulumu sayfasında, OIDC sağlayıcısının oluşturulduğu AWS OIDC hesap kimliğini girin. Rol adını gereksinimlerinize göre değiştirebilirsiniz.
Başka bir tarayıcı penceresi açın ve OIDC sağlayıcısını oluşturmak istediğiniz AWS hesabında oturum açın.
Şablonu Başlat'ı seçin. Bu bağlantı sizi AWS CloudFormation oluşturma yığını sayfasına götürür.
Sayfanın en altına kaydırın ve Özellikler kutusunda AWS CloudFormation'ın özel adlarla IAM kaynakları oluşturabileceğini kabul ediyorum'u seçin. Ardından Yığın Oluştur'u seçin .
Bu AWS CloudFormation yığını, Microsoft Entra STS'yi temsil eden bir OIDC Kimlik Sağlayıcısı (IdP) ve Microsoft Entra Id'den dış kimliklerin bunu OIDC IdP aracılığıyla varsaymasını sağlayan bir güven ilkesine sahip bir AWS IAM rolü oluşturur. Bu varlıklar Kaynaklar sayfasında listelenir.
İzin Yönetimi'ne dönün ve İzin Yönetimi Ekleme - AWS OIDC Hesap Kurulumu sayfasında İleri'yi seçin.
3. AWS Yönetim hesabı bağlantısını ayarlama (İsteğe bağlı)
Kuruluşunuzun üye hesapların bazılarını veya tümünü yöneten Hizmet Denetimi İlkeleri (SCP) varsa, İzin Yönetimi Ekleme - AWS Yönetim Hesabı Ayrıntıları sayfasında Yönetim hesabı bağlantısını ayarlayın.
Yönetim hesabı bağlantısının ayarlanması, İzin Yönetimi'nin doğru İzin Yönetimi rolüne sahip tüm AWS üye hesaplarını otomatik olarak algılamasına ve eklemesine olanak tanır.
İzin Yönetimi Ekleme - AWS Yönetim Hesabı Ayrıntıları sayfasında Yönetim Hesabı Kimliği ve Yönetim Hesabı Rolü girin.
Başka bir tarayıcı penceresi açın ve Yönetim hesabınız için AWS konsolunda oturum açın.
İzin Yönetimi'ne dönün ve İzin Yönetimi Ekleme - AWS Yönetim Hesabı Ayrıntıları sayfasında Şablonu Başlat'ı seçin.
AWS CloudFormation oluşturma yığını sayfası açılır ve şablon görüntülenir.
Şablondaki bilgileri gözden geçirin, gerekirse değişiklikler yapın, ardından sayfanın en altına kaydırın.
Özellikler kutusunda AWS CloudFormation'ın özel adlarla IAM kaynakları oluşturabileceğini kabul ediyorum'u seçin. Ardından Yığın oluştur'u seçin.
Bu AWS CloudFormation yığını, Yönetim hesabında SCP'leri toplamak ve kuruluşunuzdaki tüm hesapları listelemek için gerekli izinlere (ilkelere) sahip bir rol oluşturur.
AWS OIDC hesabınızda oluşturulan OIDC rolünün bu role erişmesine izin vermek için bu rolde bir güven ilkesi ayarlanır. Bu varlıklar CloudFormation yığınınızın Kaynaklar sekmesinde listelenir.
İzin Yönetimi'ne dönün ve İzin Yönetimi Ekleme - AWS Yönetim Hesabı Ayrıntıları bölümünde İleri'yi seçin.
4. AWS Central günlük hesabı bağlantısını ayarlama (İsteğe bağlı ancak önerilir)
Kuruluşunuzun AWS hesabınızın bir bölümünden veya tümünden günlüklerin depolandığı merkezi bir günlük hesabı varsa, İzin Yönetimi Ekleme - AWS Merkezi Günlük Hesabı Ayrıntıları sayfasında günlük hesabı bağlantısını ayarlayın.
İzin Yönetimi Ekleme - AWS Merkezi Günlük Hesabı Ayrıntıları sayfasında Günlük Hesabı Kimliği ve Günlük Hesabı Rolü girin.
Başka bir tarayıcı penceresinde, merkezi günlük kaydı için kullandığınız AWS hesabı için AWS konsolunda oturum açın.
İzin Yönetimi'ne dönün ve İzin Yönetimi Ekleme - AWS Merkezi Günlük Hesabı Ayrıntıları sayfasında Şablonu Başlat'ı seçin.
AWS CloudFormation oluşturma yığını sayfası açılır ve şablon görüntülenir.
Şablondaki bilgileri gözden geçirin, gerekirse değişiklikler yapın, ardından sayfanın en altına kaydırın.
Özellikler kutusunda AWS CloudFormation'ın özel adlarla IAM kaynakları oluşturabileceğini kabul ediyorum'u ve ardından Yığın oluştur'u seçin.
Bu AWS CloudFormation yığını, günlük hesabında merkezi günlüğe kaydetme için kullanılan S3 demetlerini okumak için gerekli izinlere (ilkelere) sahip bir rol oluşturur. AWS OIDC hesabınızda oluşturulan OIDC rolünün bu role erişmesine izin vermek için bu rolde bir güven ilkesi ayarlanır. Bu varlıklar CloudFormation yığınınızın Kaynaklar sekmesinde listelenir.
İzin Yönetimi'ne dönün ve İzin Yönetimi Ekleme - AWS Merkezi Günlük Hesabı Ayrıntıları sayfasında İleri'yi seçin.
5. AWS üye hesabı ayarlama
AWS hesabı erişimi AWS SSO aracılığıyla yapılandırılmışsa AWS SSO'sını etkinleştir onay kutusunu seçin.
AWS hesaplarını yönetmek için üç seçenekten birini belirleyin.
1. Seçenek: Otomatik olarak yönet
Ek yapılandırma olmadan otomatik olarak algılayıp izlenen hesap listesine eklemek için bu seçeneği belirleyin. Hesap listesini algılama ve koleksiyona ekleme adımları:
- Daha önce hesapları, OU'ları ve SCP'leri listelemek için oluşturulan OIDC rolüne izin veren kuruluş hesabı rolü oluşturan Yönetim hesabı CFT'sini (Cloudformation şablonu) dağıtın.
- AWS SSO etkinleştirildiyse kuruluş hesabı CFT, AWS SSO yapılandırma ayrıntılarını toplamak için gereken ilkeyi de ekler.
- Microsoft Entra İzin Yönetimi tarafından izlenmesi gereken tüm hesaplarda Üye hesabı CFT'sini dağıtın. Bu eylemler, daha önce oluşturulan OIDC rolüne güvenen bir çapraz hesap rolü oluşturur. SecurityAudit ilkesi, veri toplama için oluşturulan role eklenir.
Bulunan tüm geçerli veya gelecekteki hesaplar otomatik olarak eklenmiştir.
Yapılandırma kaydedildikten sonra ekleme durumunu görüntülemek için:
- Veri Toplayıcıları sekmesine gidin.
- Veri toplayıcının durumuna tıklayın.
- Devam Eden sayfasında hesapları görüntüleme
2. Seçenek: Yetkilendirme sistemlerini girin
İzin Yönetimi Ekleme - AWS Üye Hesabı Ayrıntıları sayfasında Üye Hesabı Rolünü ve Üye Hesabı Kimliklerini girin.
En fazla 100 hesap kimlikleri girebilirsiniz. Daha fazla hesap kimlikleri eklemek için metin kutusunun yanındaki artı simgesine tıklayın.
Not
Eklediğiniz her hesap kimliği için aşağıdaki adımları uygulayın:
Başka bir tarayıcı penceresi açın ve üye hesabı için AWS konsolunda oturum açın.
İzin Yönetimi Ekleme - AWS Üye Hesabı Ayrıntıları sayfasına dönün ve Şablonu Başlat'ı seçin.
AWS CloudFormation oluşturma yığını sayfası açılır ve şablon görüntülenir.
CloudTrailBucketName sayfasında bir ad girin.
CloudTrailBucketName adını AWS'deki İzler sayfasından kopyalayıp yapıştırabilirsiniz.
Not
Bulut demeti , İzin Yönetimi'nin izlediği tek bir hesaptaki tüm etkinlikleri toplar. İzin Yönetimi'ne etkinlik verilerini toplamak için gereken erişimi sağlamak için buraya bir bulut demetinin adını girin.
Denetleyiciyi Etkinleştir açılan listesinden şunları seçin:
- Doğru, denetleyicinin İzin Yönetimi'ne okuma ve yazma erişimi sağlamasını istiyorsanız, izin yönetimi platformundan yapmak istediğiniz tüm düzeltmeler otomatik olarak yapılabilir.
- Yanlış, denetleyicinin İzin Yönetimi'ne salt okunur erişim sağlamasını istiyorsanız.
Sayfanın en altına kaydırın ve Özellikler kutusunda AWS CloudFormation'ın özel adlarla IAM kaynakları oluşturabileceğini kabul ediyorum'u seçin. Ardından Yığın oluştur'u seçin.
Bu AWS CloudFormation yığını, üye hesabında veri toplama için gerekli izinlere (ilkelere) sahip bir koleksiyon rolü oluşturur.
AWS OIDC hesabınızda oluşturulan OIDC rolünün bu role erişmesine izin vermek için bu rolde bir güven ilkesi ayarlanır. Bu varlıklar CloudFormation yığınınızın Kaynaklar sekmesinde listelenir.
İzin Yönetimi'ne dönün ve İzin Yönetimi Ekleme - AWS Üye Hesabı Ayrıntıları sayfasında İleri'yi seçin.
Bu adım, Microsoft Entra STS'den OIDC bağlantı hesabına ve AWS üye hesabına gerekli bağlantıların sırasını tamamlar.
3. Seçenek: Yetkilendirme sistemlerini seçme
Bu seçenek, daha önce oluşturulan OIDC rol erişimi aracılığıyla erişilebilen tüm AWS hesaplarını algılar.
- Daha önce hesapları, OU'ları ve SCP'leri listelemek için oluşturulan OIDC rolüne izin veren kuruluş hesabı rolü oluşturan Yönetim hesabı CFT'sini (Cloudformation şablonu) dağıtın.
- AWS SSO etkinleştirildiyse kuruluş hesabı CFT, AWS SSO yapılandırma ayrıntılarını toplamak için gereken ilkeyi de ekler.
- Microsoft Entra İzin Yönetimi tarafından izlenmesi gereken tüm hesaplarda Üye hesabı CFT'sini dağıtın. Bu eylemler, daha önce oluşturulan OIDC rolüne güvenen bir çapraz hesap rolü oluşturur. SecurityAudit ilkesi, veri toplama için oluşturulan role eklenir.
- Doğrula ve Kaydet'e tıklayın.
- AWSdata toplayıcıları altında yeni veri toplayıcısı oluştur satırına gidin.
- Satır Beklemede olduğunda Durum sütununa tıklayın
- Koleksiyonu eklemek ve başlatmak için, algılanan listeden belirli olanları seçin ve koleksiyon için onay alın.
6. Gözden geçirin ve kaydedin
İzin Yönetimi Ekleme – Özet bölümünde, eklediğiniz bilgileri gözden geçirin ve ardından Şimdi Doğrula ve Kaydet'i seçin.
Aşağıdaki ileti görüntülenir: Yapılandırma başarıyla oluşturuldu.
Veri Toplayıcıları panosunda Son Karşıya Yüklenenler sütununda Toplama görüntülenir. Son Dönüşüm Tarihi sütununda İşleme görüntülenir.
İzin Yönetimi kullanıcı arabiriminizdeki durum sütunu, hangi veri toplama adımında olduğunuzu gösterir:
- Beklemede: İzin Yönetimi henüz algılamaya veya eklemeye başlamadı.
- Bulma: İzin Yönetimi yetkilendirme sistemlerini algılar.
- Devam ediyor: İzin Yönetimi yetkilendirme sistemlerini algılamayı tamamladı ve ekleniyor.
- Ekleme: Veri toplama işlemi tamamlandı ve algılanan tüm yetkilendirme sistemleri İzin Yönetimi'ne eklenir.
7. Verileri görüntüleme
Verileri görüntülemek için Yetkilendirme Sistemleri sekmesini seçin.
Tablodaki Durum sütununda Veri Toplama görüntülenir.
Veri toplama işlemi biraz zaman alır ve çoğu durumda yaklaşık 4-5 saatlik aralıklarla gerçekleşir. Zaman çerçevesi, sahip olduğunuz yetkilendirme sisteminin boyutuna ve toplama için ne kadar verinin kullanılabilir olduğuna bağlıdır.
Sonraki adımlar
- Ekleme tamamlandıktan sonra denetleyiciyi etkinleştirme veya devre dışı bırakma hakkında bilgi için bkz . Denetleyiciyi etkinleştirme veya devre dışı bırakma.
- Ekleme tamamlandıktan sonra hesap/abonelik/proje ekleme hakkında bilgi için bkz . Ekleme tamamlandıktan sonra hesap/abonelik/proje ekleme.