Eseguire l'onboarding di un account Amazon Web Services (AWS)
Questo articolo descrive come eseguire l'onboarding di un account Amazon Web Services (AWS) in Gestione delle autorizzazioni di Microsoft Entra.
Nota
Per eseguire le attività descritte in questo articolo, è necessario essere un amministratore della gestione delle autorizzazioni.
Spiegazione
Sono disponibili diverse parti in movimento in AWS e Azure, che devono essere configurate prima dell'onboarding.
- Un'app Microsoft Entra OIDC
- Un account OIDC AWS
- Un account di gestione AWS (facoltativo)
- Un account di registrazione di AWS Central (facoltativo)
- Ruolo OIDC di AWS
- Ruolo di AWS Cross Account assunto dal ruolo OIDC
Eseguire l'onboarding di un account AWS
Se il dashboard agenti di raccolta dati non viene visualizzato all'avvio di Gestione autorizzazioni:
- Nella home page Gestione autorizzazioni selezionare Impostazioni (icona a forma di ingranaggio) e quindi selezionare la sottoscheda Agenti di raccolta dati.
Nel dashboard Agenti di raccolta dati selezionare AWS e quindi selezionare Crea configurazione.
1. Creare un'app Microsoft Entra OIDC
Nella pagina Permissions Management Onboarding - Microsoft Entra OIDC App Creation (Onboarding gestione autorizzazioni - Creazione di app OIDC) immettere il nome dell'app OIDC di Azure.
Questa app viene usata per configurare una connessione OpenID Connect (OIDC) all'account AWS. OIDC è un protocollo di autenticazione interoperativa basato sulla famiglia di specifiche OAuth 2.0. Gli script generati in questa pagina creano l'app di questo nome specificato nel tenant di Microsoft Entra con la configurazione corretta.
Per creare la registrazione dell'app, copiare lo script ed eseguirlo nell'app da riga di comando di Azure.
Nota
- Per verificare che l'app sia stata creata, aprire Registrazioni app in Azure e, nella scheda Tutte le applicazioni, individuare l'app.
- Selezionare il nome dell'app per aprire la pagina Esporre un'API . L'URI ID applicazione visualizzato nella pagina Panoramica è il valore del gruppo di destinatari usato durante la connessione OIDC con l'account AWS.
Tornare a Gestione autorizzazioni e selezionare Avanti nell'onboarding delle autorizzazioni - Creazione di app OIDC di Microsoft Entra.
2. Configurare un account OIDC AWS
Nella pagina Permissions Management Onboarding - AWS OIDC Account Setup (Onboarding di gestione delle autorizzazioni - Configurazione account OIDC AWS) immettere l'ID dell'account OIDC AWS in cui viene creato il provider OIDC. È possibile modificare il nome del ruolo in base ai requisiti.
Aprire un'altra finestra del browser e accedere all'account AWS in cui si vuole creare il provider OIDC.
Selezionare Avvia modello. Questo collegamento consente di visualizzare la pagina di creazione dello stack di AWS CloudFormation.
Scorrere fino alla fine della pagina e nella casella Funzionalità selezionare Conferma che AWS CloudFormation potrebbe creare risorse IAM con nomi personalizzati. Selezionare quindi Crea stack.
Questo stack AWS CloudFormation crea un provider di identità OIDC (IdP) che rappresenta Microsoft Entra STS e un ruolo AWS IAM con un criterio di attendibilità che consente alle identità esterne dall'ID Microsoft Entra di presupporrlo tramite l'IdP OIDC. Queste entità sono elencate nella pagina Risorse .
Tornare a Gestione autorizzazioni e nella pagina Configurazione dell'account OIDC aws della gestione delle autorizzazioni selezionare Avanti.
3. Configurare la connessione all'account di gestione AWS (facoltativo)
Se l'organizzazione dispone di criteri di controllo dei servizi (SCP) che regolano alcuni o tutti gli account membri, configurare la connessione dell'account di gestione nella pagina Permissions Management Onboarding - AWS Management Account Details .If your organization has Service Control Policies (SCP) that govern some or all of the member accounts, set up the Management account connection in the Permissions Management Onboarding - AWS Management Account Details page.
La configurazione della connessione dell'account di gestione consente a Gestione autorizzazioni di rilevare automaticamente ed eseguire l'onboarding di tutti gli account membri AWS con il ruolo di gestione delle autorizzazioni corretto.
Nella pagina Autorizzazioni Management Onboarding - AWS Management Account Details (Onboarding gestione - Dettagli account di gestione) immettere l'ID account di gestione e il ruolo account di gestione.
Aprire un'altra finestra del browser e accedere alla console AWS per l'account di gestione.
Tornare a Gestione autorizzazioni e nella pagina Autorizzazioni Management Onboarding - AWS Management Account Details (Dettagli account di gestione AWS) selezionare Launch Template ( Avvia modello).
Viene visualizzata la pagina AWS CloudFormation create stack , che visualizza il modello.
Esaminare le informazioni nel modello, apportare modifiche, se necessario, quindi scorrere fino alla fine della pagina.
Nella casella Funzionalità selezionare Conferma che AWS CloudFormation potrebbe creare risorse IAM con nomi personalizzati. Selezionare quindi Crea stack.
Questo stack AWS CloudFormation crea un ruolo nell'account di gestione con le autorizzazioni necessarie (criteri) per raccogliere i provider di disponibilità e elencare tutti gli account dell'organizzazione.
Un criterio di attendibilità è impostato su questo ruolo per consentire al ruolo OIDC creato nell'account OIDC AWS di accedervi. Queste entità sono elencate nella scheda Risorse dello stack CloudFormation.
Tornare a Gestione autorizzazioni e in Gestione autorizzazioni Onboarding - Dettagli account di gestione AWS selezionare Avanti.
4. Configurare la connessione dell'account di registrazione di AWS Central (facoltativo ma consigliato)
Se l'organizzazione dispone di un account di registrazione centrale in cui vengono archiviati i log da alcuni o da tutti gli account AWS, nella pagina Onboarding di Gestione autorizzazioni - Dettagli account di registrazione di AWS Central configurare la connessione dell'account di registrazione.
Nella pagina Permissions Management Onboarding - AWS Central Logging Account Details (Onboarding gestione delle autorizzazioni - AWS Central Logging Account Details) immettere l'ID account di registrazione e il ruolo dell'account di registrazione.
In un'altra finestra del browser accedere alla console AWS per l'account AWS usato per la registrazione centrale.
Tornare a Gestione autorizzazioni e nella pagina Autorizzazioni Management Onboarding - AWS Central Logging Account Details (Dettagli account di registrazione centrale AWS) selezionare Launch Template ( Avvia modello).
Viene visualizzata la pagina AWS CloudFormation create stack , che visualizza il modello.
Esaminare le informazioni nel modello, apportare modifiche, se necessario, quindi scorrere fino alla fine della pagina.
Nella casella Funzionalità selezionare Conferma che AWS CloudFormation potrebbe creare risorse IAM con nomi personalizzati e quindi selezionare Crea stack.
Questo stack AWS CloudFormation crea un ruolo nell'account di registrazione con le autorizzazioni necessarie (criteri) per leggere i bucket S3 usati per la registrazione centrale. Un criterio di attendibilità è impostato su questo ruolo per consentire al ruolo OIDC creato nell'account OIDC AWS di accedervi. Queste entità sono elencate nella scheda Risorse dello stack CloudFormation.
Tornare a Gestione autorizzazioni e nella pagina Autorizzazioni Management Onboarding - AWS Central Logging Account Details (Dettagli account di registrazione centrale AWS) selezionare Avanti.
5. Configurare un account membro AWS
Selezionare la casella di controllo Enable AWS SSO (Abilita SSO AWS), se l'accesso all'account AWS è configurato tramite AWS SSO.
Scegliere tra tre opzioni per gestire gli account AWS.
Opzione 1: Gestire automaticamente
Scegliere questa opzione per rilevare e aggiungere automaticamente all'elenco di account monitorati, senza una configurazione aggiuntiva. Procedura per rilevare l'elenco di account ed eseguire l'onboarding per la raccolta:
- Distribuire L'account di gestione CFT (modello Cloudformation) che crea un ruolo account dell'organizzazione che concede l'autorizzazione al ruolo OIDC creato in precedenza per elencare account, unità organizzative e SSP.
- Se AWS SSO è abilitato, l'account dell'organizzazione CFT aggiunge anche i criteri necessari per raccogliere i dettagli di configurazione dell'accesso SSO di AWS.
- Distribuire L'account membro CFT in tutti gli account che devono essere monitorati da Gestione delle autorizzazioni di Microsoft Entra. Queste azioni creano un ruolo tra account che considera attendibile il ruolo OIDC creato in precedenza. Il criterio SecurityAudit è associato al ruolo creato per la raccolta dati.
Tutti gli account correnti o futuri trovati vengono eseguiti automaticamente.
Per visualizzare lo stato dell'onboarding dopo il salvataggio della configurazione:
- Passare alla scheda Agenti di raccolta dati.
- Fare clic sullo stato dell'agente di raccolta dati.
- Visualizzare gli account nella pagina In corso
Opzione 2: Immettere i sistemi di autorizzazione
Nella pagina Permissions Management Onboarding - AWS Member Account Details (Onboarding gestione autorizzazioni - Dettagli account membro AWS) immettere il ruolo account membro e gli ID account membro.
È possibile immettere fino a 100 ID account. Fare clic sull'icona con il segno più accanto alla casella di testo per aggiungere altri ID account.
Nota
Seguire questa procedura per ogni ID account aggiunto:
Aprire un'altra finestra del browser e accedere alla console AWS per l'account membro.
Tornare alla pagina Permissions Management Onboarding - AWS Member Account Details (Dettagli account membro AWS) e selezionare Launch Template ( Avvia modello).
Viene visualizzata la pagina AWS CloudFormation create stack , che visualizza il modello.
Nella pagina CloudTrailBucketName immettere un nome.
È possibile copiare e incollare il nome CloudTrailBucketName dalla pagina Trail in AWS.
Nota
Un bucket cloud raccoglie tutte le attività in un singolo account monitorato da Gestione autorizzazioni. Immettere il nome di un bucket cloud qui per fornire a Gestione autorizzazioni l'accesso necessario per raccogliere i dati delle attività.
Nell'elenco a discesa Abilita controller selezionare:
- True, se si vuole che il controller fornisca la gestione delle autorizzazioni con accesso in lettura e scrittura in modo che qualsiasi correzione da eseguire dalla piattaforma Di gestione delle autorizzazioni possa essere eseguita automaticamente.
- False, se si vuole che il controller fornisca la gestione delle autorizzazioni con accesso in sola lettura.
Scorrere fino alla fine della pagina e nella casella Funzionalità selezionare Conferma che AWS CloudFormation potrebbe creare risorse IAM con nomi personalizzati. Selezionare quindi Crea stack.
Questo stack AWS CloudFormation crea un ruolo di raccolta nell'account membro con autorizzazioni (criteri) necessarie per la raccolta dei dati.
Un criterio di attendibilità è impostato su questo ruolo per consentire al ruolo OIDC creato nell'account OIDC AWS di accedervi. Queste entità sono elencate nella scheda Risorse dello stack CloudFormation.
Tornare a Gestione autorizzazioni e nella pagina Autorizzazioni Management Onboarding - Dettagli account membro AWS selezionare Avanti.
Questo passaggio completa la sequenza di connessioni necessarie da Microsoft Entra STS all'account di connessione OIDC e all'account membro AWS.
Opzione 3: Selezionare i sistemi di autorizzazione
Questa opzione rileva tutti gli account AWS accessibili tramite l'accesso al ruolo OIDC creato in precedenza.
- Distribuire L'account di gestione CFT (modello Cloudformation) che crea un ruolo account dell'organizzazione che concede l'autorizzazione al ruolo OIDC creato in precedenza per elencare account, unità organizzative e SSP.
- Se AWS SSO è abilitato, l'account dell'organizzazione CFT aggiunge anche i criteri necessari per raccogliere i dettagli di configurazione dell'accesso SSO di AWS.
- Distribuire L'account membro CFT in tutti gli account che devono essere monitorati da Gestione delle autorizzazioni di Microsoft Entra. Queste azioni creano un ruolo tra account che considera attendibile il ruolo OIDC creato in precedenza. Il criterio SecurityAudit è associato al ruolo creato per la raccolta dati.
- Fare clic su Verifica e Salva.
- Passare alla riga dell'agente di raccolta dati appena creata in Agenti di raccolta dati AWSdata.
- Fare clic sulla colonna Stato quando la riga ha lo stato In sospeso
- Per eseguire l'onboarding e avviare la raccolta, scegliere quelli specifici dall'elenco rilevato e il consenso per la raccolta.
6. Rivedere e salvare
In Permissions Management Onboarding – Summary (Caricamento gestione autorizzazioni - Riepilogo) esaminare le informazioni aggiunte e quindi selezionare Verify Now &Save (Verifica ora e salva).
Viene visualizzato il messaggio seguente: Configurazione creata correttamente.
Nel dashboard Agenti di raccolta dati la colonna Caricamento di recente viene visualizzata Raccolta. Nella colonna Trasformazione di recente viene visualizzata l'elaborazione.
La colonna stato nell'interfaccia utente di Gestione autorizzazioni mostra il passaggio della raccolta dei dati in:
- In sospeso: gestione delle autorizzazioni non ha ancora avviato il rilevamento o l'onboarding.
- Individuazione: gestione delle autorizzazioni rileva i sistemi di autorizzazione.
- In corso: gestione delle autorizzazioni ha completato il rilevamento dei sistemi di autorizzazione ed è in corso l'onboarding.
- Onboarding: la raccolta dei dati è completa e tutti i sistemi di autorizzazione rilevati vengono distribuiti in Gestione autorizzazioni.
7. Visualizzare i dati
Per visualizzare i dati, selezionare la scheda Sistemi di autorizzazione.
Nella colonna Stato della tabella viene visualizzata la raccolta di dati.
Il processo di raccolta dati richiede tempo e si verifica nella maggior parte dei casi in intervalli di circa 4-5 ore. L'intervallo di tempo dipende dalle dimensioni del sistema di autorizzazione e dalla quantità di dati disponibili per la raccolta.
Passaggi successivi
- Per informazioni su come abilitare o disabilitare il controller al termine dell'onboarding, vedere Abilitare o disabilitare il controller.
- Per informazioni su come aggiungere un account/sottoscrizione/progetto al termine dell'onboarding, vedere Aggiungere un account/sottoscrizione/progetto al termine dell'onboarding.