共用方式為


將 Amazon Web Services (AWS) 帳戶上線

本文描述如何在 Microsoft Entra 權限管理上將 Amazon Web Services (AWS) 帳戶上線。

注意

您必須是權限管理系統管理員,才能執行本文中的工作。

說明

在 AWS 和 Azure 之間有多個移動組件,必須在上線之前進行設定。

  • Microsoft Entra OIDC 應用程式
  • AWS OIDC 帳戶
  • (選擇性) AWS 管理帳戶
  • (選擇性) AWS 集中式日誌記錄帳戶
  • AWS OIDC 角色
  • OIDC 角色所擔任的 AWS 跨帳戶角色

將 AWS 帳戶上線

  1. 如果授權管理啟動時未顯示 [資料收集器] 儀表板:

    • 在 Permissions Management 首頁中,選取 [設定] (齒輪圖示),然後選取 [資料收集器] 子索引標籤。
  2. 在 [資料收集器] 儀表板上,選取 [AWS],然後選取 [建立設定]

1.建立 Microsoft Entra OIDC 應用程式

  1. 在 [權限管理上線 - Microsoft Entra OIDC 應用程式建立] 頁面上,輸入 OIDC Azure 應用程式名稱

    此應用程式用來設定 OpenID Connect (OIDC) 與 AWS 帳戶的連線。 OIDC 是以 OAuth 2.0 系列規格為基礎的互通驗證通訊協定。 此頁面上產生的指令碼會在具有正確設定的 Microsoft Entra 租用戶中,建立此指定名稱的應用程式。

  2. 若要建立應用程式註冊,請複製指令碼,並在您的 Azure 命令列應用程式中執行此指令碼。

    注意

    1. 若要驗證是否已建立應用程式,請在 Azure 中開啟 [應用程式註冊],然後在 [所有應用程式] 索引標籤上,找出您的應用程式。
    2. 選取應用程式名稱以開啟 [公開 API] 頁面。 [概觀] 頁面中顯示的 [應用程式識別碼 URI] 是與 AWS 帳戶建立 OIDC 連線時所使用的受眾值
  3. 返回權限管理,然後在 [權限管理上線 - Microsoft Entra OIDC 應用程式建立] 上,選取 [下一步]

2.設定 AWS OIDC 帳戶

  1. 在 [Permissions Management 上線 - AWS OIDC 帳戶設定] 頁面中,輸入 OIDC 提供者建立位置的 AWS OIDC 帳戶識別碼。 您可以根據需求變更角色。

  2. 開啟另一個瀏覽器視窗,然後登入您要在其中建立 OIDC 提供者的 AWS 帳戶。

  3. 選取 [啟動範本]。 此連結會帶您前往 [AWS CloudFormation 建立堆疊] 頁面。

  4. 捲動到頁面底部,然後在 [功能] 方塊中,選取 [我確認 AWS CloudFormation 可能會使用自訂名稱建立 IAM 資源]。 然後,選取 [建立堆疊]

    此 AWS CloudFormation 堆疊會建立 OIDC 識別提供者 (IdP),代表 Microsoft Entra STS 和 AWS IAM 角色,並具有信任原則,可讓來自 Microsoft Entra ID 的外部身分識別透過 OIDC IdP 承擔此角色。 這些實體會列示在 [資源] 頁面上。

  5. 返回 Permissions Management,然後在 [Permissions Management 上線 - AWS OIDC 帳戶安裝] 頁面上選取 [下一步]

3.設定 AWS 管理帳戶連線 (選擇性)

  1. 如果您的組織具有服務控制原則 (SCP),控管部分或全部成員帳戶,請在 [權限管理上線 - AWS 管理帳戶詳細資料] 頁面中設定管理帳戶連線。

    設定管理帳戶連線可讓「權限管理」自動偵測任何具有正確權限管理角色的 AWS 成員帳戶,並將其上線。

  2. 在 [權限管理上線 - AWS 管理帳戶詳細資料] 頁面中,輸入管理帳戶識別碼管理帳戶角色

  3. 開啟另一個瀏覽器視窗,然後登入管理帳戶的 AWS 主控台。

  4. 返回權限管理,然後在 [權限管理上線 - AWS 管理帳戶詳細資料] 頁面上,選取 [啟動範本]

    [AWS CloudFormation 建立堆疊] 頁面即會開啟,其中並顯示範本。

  5. 檢閱範本中的資訊、視需要進行變更,然後捲動至頁面底部。

  6. 在 [功能] 方塊中,選取 [我確認 AWS CloudFormation 可能會使用自訂名稱建立 IAM 資源]。 然後,選取 [建立堆疊]

    此 AWS CloudFormation 堆疊會在管理帳戶中建立具有必要權限 (原則) 的角色,以收集 SCP 並列出組織中的所有帳戶。

    此角色上會設定信任原則,以允許在 AWS OIDC 帳戶中建立的 OIDC 角色存取此信任原則。 這些實體會列示在 CloudFormation 堆疊的 [資源] 索引標籤中。

  7. 返回權限管理,然後在 [權限管理上線 - AWS 管理帳戶詳細資料] 頁面上,選取 [下一步]

  1. 如果您的組織具有集中式記錄帳戶,其中儲存來自部分或全部 AWS 帳戶的記錄,請在 [Permissions Management 上線 - AWS 集中式記錄帳戶詳細資料] 頁面中,設定記錄帳戶連線。

    在 [Permissions Management 上線 - AWS 集中式記錄帳戶詳細資料] 頁面中,輸入記錄帳戶識別碼記錄帳戶角色

  2. 在另一個瀏覽器視窗中,針對您用於集中式記錄的 AWS 帳戶登入 AWS 主控台。

  3. 返回 Permissions Management,然後在 [Permissions Management 上線 - AWS 集中式記錄帳戶詳細資料] 頁面上選取 [啟動範本]

    [AWS CloudFormation 建立堆疊] 頁面即會開啟,其中並顯示範本。

  4. 檢閱範本中的資訊、視需要進行變更,然後捲動至頁面底部。

  5. 在 [功能] 方塊中,選取 [我確認 AWS CloudFormation 可能會使用自訂名稱建立 IAM 資源],然後選取 [建立堆疊]

    此 AWS CloudFormation 堆疊會在記錄帳戶中建立具有必要權限 (原則) 的角色,以讀取用於集中式記錄的 S3 貯體。 此角色上會設定信任原則,以允許在 AWS OIDC 帳戶中建立的 OIDC 角色存取此信任原則。 這些實體會列示在 CloudFormation 堆疊的 [資源] 索引標籤中。

  6. 返回 [Permissions Management],然後在 [Permissions Management 上線 - AWS 集中式記錄帳戶詳細資料] 頁面上選取 [下一步]

5.設定 AWS 成員帳戶

如果 AWS 帳戶存取是透過 AWS SSO 進行設定,則請選取 [啟用 AWS SSO] 核取方塊。

從三個選項中進行選擇以管理 AWS 帳戶。

選項 1:自動管理

選擇此選項可自動偵測並新增至受監視的帳戶清單,而不需要進行額外設定。 偵測帳戶清單並上線以進行收集的步驟:

  • 部署可建立組織帳戶角色的管理帳戶 CFT (Cloudformation 範本),而此角色會授與稍早所建立 OIDC 角色的權限,以列出帳戶、OU 和 SCP。
  • 如果已啟用 AWS SSO,則組織帳戶 CFT 也會新增收集 AWS SSO 設定詳細資料所需的原則。
  • 在 Microsoft Entra 權限管理需要監視的所有帳戶中部署成員帳戶 CFT。 這些動作會建立跨帳戶角色以信任稍早所建立的 OIDC 角色。 SecurityAudit 原則會附加至針對資料收集所建立的角色。

任何目前或未來找到的帳戶都會自動上線。

若要在儲存設定之後檢視上線狀態:

  • 移至 [資料收集器] 索引標籤。
  • 按一下資料收集器的狀態。
  • 在 [進行中] 頁面上檢視帳戶

選項 2:進入授權系統

  1. 在 [Permissions Management 上線 - AWS 成員帳戶詳細資料] 頁面中,輸入成員帳戶角色成員帳戶識別碼

    您最多可以輸入 100 個帳戶識別碼。 按一下文字方塊旁邊的加號圖示,以新增更多帳戶識別碼。

    注意

    針對新增的每個帳戶識別碼,執行下列步驟:

  2. 開啟另一個瀏覽器視窗,然後登入成員帳戶的 AWS 主控台。

  3. 返回 [Permissions Management 上線 - AWS 成員帳戶詳細資料] 頁面,選取 [啟動範本]

    [AWS CloudFormation 建立堆疊] 頁面即會開啟,其中並顯示範本。

  4. 在 [CloudTrailBucketName] 頁面中,輸入名稱。

    您可以從 AWS 中的 [線索] 頁面複製並貼上CloudTrailBucketName 名稱。

    注意

    雲端貯體會收集單一帳戶中權限管理所監視的所有活動。 在這裡輸入雲端貯體的名稱,以提供 Permissions Management 收集活動資料所需的存取權。

  5. 從 [啟用控制器] 下拉式清單中,選取:

    • True,前提是您想要讓控制器提供具有讀取和寫入存取權的 Permissions Management,以便您想要從 Permissions Management 平台執行的任何補救都可以自動完成。
    • False,前提是您想要控制器提供唯讀存取權給 Permissions Management。
  6. 捲動到頁面底部,然後在 [功能] 方塊中,選取 [我確認 AWS CloudFormation 可能會使用自訂名稱建立 IAM 資源]。 然後,選取 [建立堆疊]

    此 AWS CloudFormation 堆疊會在成員帳戶中建立具有必要權限 (原則) 的集合角色,以進行資料收集。

    此角色上會設定信任原則,以允許在 AWS OIDC 帳戶中建立的 OIDC 角色存取此信任原則。 這些實體會列示在 CloudFormation 堆疊的 [資源] 索引標籤中。

  7. 返回 Permissions Management,然後在 [Permissions Management - AWS 成員帳戶詳細資料] 頁面上選取 [下一步]

    此步驟會完成從 Microsoft Entra STS 到 OIDC 線上帳戶和 AWS 成員帳戶的一連串必要連線。

選項 3:選取授權系統

此選項會偵測可透過先前所建立 OIDC 角色存取權存取的所有 AWS 帳戶。

  • 部署可建立組織帳戶角色的管理帳戶 CFT (Cloudformation 範本),而此角色會授與稍早所建立 OIDC 角色的權限,以列出帳戶、OU 和 SCP。
  • 如果已啟用 AWS SSO,則組織帳戶 CFT 也會新增收集 AWS SSO 設定詳細資料所需的原則。
  • 在 Microsoft Entra 權限管理需要監視的所有帳戶中部署成員帳戶 CFT。 這些動作會建立跨帳戶角色以信任稍早所建立的 OIDC 角色。 SecurityAudit 原則會附加至針對資料收集所建立的角色。
  • 按一下 [確認並儲存]。
  • 移至 AWSdata 收集器下新建立的「資料收集器」資料列。
  • 資料列處於 [擱置中] 狀態時,請按一下 [狀態] 資料行
  • 若要上線並開始收集,請從偵測到的清單中選擇特定收集,並同意收集。

6.檢閱並儲存

  1. 在 [權限管理上線 - 摘要] 中,檢閱您已新增的資訊,然後選取 [立即驗證和儲存]

    下列訊息即會出現:已成功建立設定。

    在 [資料收集器] 儀表板上,[最近上傳已開始] 資料行顯示 [收集中]。 [最近轉換已開始] 資料行顯示 [處理中]

    權限管理 UI 中的 [狀態] 資料行會顯示您位於資料收集的哪個步驟:

    • 擱置:權限管理尚未開始偵測或上線。
    • 探索:權限管理正在偵測授權系統。
    • 進行中:權限管理已完成偵測授權系統並上線。
    • 上線:資料收集已完成,且所有偵測到的授權系統都會上線至權限管理。

7.檢視資料

  1. 若要檢視資料,請選取 [授權系統] 索引標籤。

    資料表中的 [狀態] 資料行會顯示 [正在收集資料]

    在大部分情況下,資料收集程序需要一些時間,並以大約 4-5 小時的間隔發生。 時間範圍取決於您擁有的授權系統大小,以及可供收集的資料量。

下一步