Integrieren eines AWS-Kontos (Amazon Web Services)

In diesem Artikel erfahren Sie, wie Sie das Onboarding für ein AWS-Konto (Amazon Web Services) in Permissions Management durchführen.

Hinweis

Die Aufgaben in diesem Artikel können von einem globalen Administrator oder von einem Super-Administrator (Administrator für alle Autorisierungssystemtypen) ausgeführt werden, nachdem der globale Administrator die Schritte zum Aktivieren von Permissions Management für Ihren Azure Active Directory-Mandanten ausgeführt hat.

Erklärung

Es gibt mehrere verschiebende Teile in AWS und Azure, die vor dem Onboarding konfiguriert werden müssen.

  • Eine Azure AD OIDC-App
  • Ein AWS OIDC-Konto
  • Ein (optional) AWS Master-Konto
  • Ein (optional) AWS Central-Protokollierungskonto
  • Eine AWS-OIDC-Rolle
  • Rolle "AWS Cross Account", die von der Rolle OIDC angenommen wird

Integrieren eines AWS-Kontos

  1. Sollte das Dashboard Data Collectors (Datensammler) beim Start von Permissions Management nicht angezeigt werden, gehen Sie wie folgt vor:

    • Wählen Sie auf der Permissions Management-Startseite die Option Einstellungen (Zahnradsymbol) und anschließend die Unterregisterkarte Data Collectors (Datensammler) aus.
  2. Wählen Sie auf dem Dashboard Data Collectors (Datensammler) die Option AWS und anschließend Create Configuration (Konfiguration erstellen) aus.

1. Erstellen einer Azure AD-OIDC-App

  1. Geben Sie auf der Seite Permissions Management-Onboarding: Azure AD-OIDC-App erstellen den Namen der OIDC-Azure-App ein.

    Diese App wird verwendet, um eine OIDC-Verbindung (OpenID Connect) mit Ihrem AWS-Konto einzurichten. OIDC ist ein interoperables Authentifizierungsprotokoll auf Basis der OAuth 2.0-Spezifikationsfamilie. Durch die auf dieser Seite generierten Skripts wird die App mit dem angegebenen Namen in Ihrem Azure AD-Mandanten mit der richtigen Konfiguration erstellt.

  2. Kopieren Sie das Skript, und führen Sie es in Ihrer Azure-Befehlszeilen-App aus, um die App-Registrierung zu erstellen.

    Hinweis

    1. Vergewissern Sie sich, dass die App erstellt wurde. Öffnen Sie hierzu App-Registrierungen in Azure, und suchen Sie auf der Registerkarte Alle Anwendungen nach Ihrer App.
    2. Wählen Sie den App-Namen aus, um die Seite Eine API verfügbar machen zu öffnen. Der auf der Seite Übersicht angezeigte Anwendungs-ID-URI ist der Zielgruppenwert, der beim Herstellen einer OIDC-Verbindung mit Ihrem AWS-Konto verwendet wird.
  3. Navigieren Sie zu Permissions Management zurück, und wählen Sie in Permissions Management-Onboarding: Azure AD-OIDC-App erstellen die Option Weiter aus.

2. Einrichten eines AWS-OIDC-Kontos

  1. Geben Sie auf der Seite Permissions Management-Onboarding: AWS-OIDC-Konto einrichten die AWS-OIDC-Konto-ID ein, unter der der OIDC-Anbieter erstellt wird. Sie können den Rollennamen gemäß Ihren Anforderungen anpassen.

  2. Öffnen Sie ein weiteres Browserfenster, und melden Sie sich bei dem AWS-Konto an, unter dem Sie den OIDC-Anbieter erstellen möchten.

  3. Wählen Sie Launch Template (Vorlage starten) aus. Über diesen Link gelangen Sie zur Seite AWS CloudFormation create stack (AWS CloudFormation: Stapel erstellen).

  4. Scrollen Sie auf der Seite ganz nach unten, und wählen Sie im Feld Capabilities (Funktionen) die Option I acknowledge that AWS CloudFormation might create IAM resources with custom names (Ich bestätige, dass von AWS CloudFormation möglicherweise IAM-Ressourcen mit benutzerdefinierten Namen erstellt werden.) aus. Wählen Sie anschließend Create Stack (Stapel erstellen) aus.

    Dieser AWS CloudFormation-Stapel erstellt einen OIDC-Identitätsanbieter (Identity Provider, IdP), der den Azure AD-Sicherheitstokendienst (Security Token Service, STS) darstellt, und eine AWS-IAM-Rolle mit einer Vertrauensstellungsrichtlinie, die es externen Identitäten aus Azure AD ermöglicht, diese Rolle über den OIDC-Identitätsanbieter anzunehmen. Diese Entitäten sind auf der Seite Resources (Ressourcen) aufgeführt.

  5. Navigieren Sie zu Permissions Management zurück, und wählen Sie auf der Seite Permissions Management-Onboarding: AWS-OIDC-Konto einrichten die Option Weiter aus.

3. Einrichten eines AWS-Masterkontos (optional)

  1. Wenn Ihre Organisation über Dienststeuerungsrichtlinien (Service Control Policies, SCPs) zur Steuerung einiger oder aller Mitgliedskonten verfügt, richten Sie auf der Seite Permissions Management-Onboarding: Details zum AWS-Masterkonto die Verbindung mit dem Masterkonto ein.

    Durch das Einrichten einer Verbindung mit dem Masterkonto kann Permissions Management alle AWS-Mitgliedskonten, die über die korrekte Permissions Management-Rolle verfügen, automatisch erkennen und integrieren.

    • Geben Sie auf der Seite Permissions Management-Onboarding: Details zum AWS-Masterkonto die Masterkonto-ID und die Masterkontorolle ein.
  2. Öffnen Sie ein weiteres Browserfenster, und melden Sie sich bei der AWS-Konsole für Ihr Masterkonto an.

  3. Navigieren Sie zu Permissions Management zurück, und wählen Sie auf der Seite Permissions Management-Onboarding: Details zum AWS-Masterkonto die Option Vorlage starten aus.

    Die Seite AWS CloudFormation create stack (AWS CloudFormation: Stapel erstellen) wird geöffnet, und die Vorlage wird angezeigt.

  4. Überprüfen Sie die Informationen in der Vorlage, nehmen Sie ggf. Änderungen vor, und scrollen Sie dann auf der Seite ganz nach unten.

  5. Wählen Sie im Feld Capabilities (Funktionen) die Option I acknowledge that AWS CloudFormation might create IAM resources with custom names (Ich bestätige, dass von AWS CloudFormation möglicherweise IAM-Ressourcen mit benutzerdefinierten Namen erstellt werden.) aus. Wählen Sie anschließend Create Stack (Stapel erstellen) aus.

    Dieser AWS CloudFormation-Stapel erstellt eine Rolle im Masterkonto mit den erforderlichen Berechtigungen (Richtlinien), um SCPs zu erfassen und alle Konten in Ihrer Organisation aufzulisten.

    Für diese Rolle wird eine Vertrauensstellungsrichtlinie festgelegt, damit die in Ihrem AWS-OIDC-Konto erstellte OIDC-Rolle darauf zugreifen kann. Diese Entitäten werden auf der Registerkarte Resources (Ressourcen) Ihres CloudFormation-Stapels aufgeführt.

  6. Navigieren Sie zu Permissions Management zurück, und wählen Sie unter Permissions Management-Onboarding: Details zum AWS-Masterkonto die Option Weiter aus.

  1. Wenn Ihre Organisation über ein zentrales Protokollierungskonto verfügt, in dem Protokolle von einigen oder allen AWS-Konten gespeichert werden, richten Sie auf der Seite Permissions Management-Onboarding: Details zum zentralen AWS-Protokollierungskonto die Verbindung mit dem Protokollierungskonto ein.

    Geben Sie auf der Seite Permissions Management-Onboarding: Details zum zentralen AWS-Protokollierungskonto die Protokollierungskonto-ID und die Protokollierungskontorolle ein.

  2. Melden Sie sich in einem anderen Browserfenster bei der AWS-Konsole für das AWS-Konto an, das Sie für die zentrale Protokollierung verwenden.

  3. Navigieren Sie zu Permissions Management zurück, und wählen Sie auf der Seite Permissions Management-Onboarding: Details zum zentralen AWS-Protokollierungskonto die Option Vorlage starten aus.

    Die Seite AWS CloudFormation create stack (AWS CloudFormation: Stapel erstellen) wird geöffnet, und die Vorlage wird angezeigt.

  4. Überprüfen Sie die Informationen in der Vorlage, nehmen Sie ggf. Änderungen vor, und scrollen Sie dann auf der Seite ganz nach unten.

  5. Wählen Sie im Feld Capabilities (Funktionen) die Option I acknowledge that AWS CloudFormation might create IAM resources with custom names (Ich bestätige, dass von AWS CloudFormation möglicherweise IAM-Ressourcen mit benutzerdefinierten Namen erstellt werden.) und anschließend die Option Create stack (Stapel erstellen) aus.

    Dieser AWS CloudFormation-Stapel erstellt eine Rolle im Protokollierungskonto mit den erforderlichen Berechtigungen (Richtlinien) zum Lesen von S3-Buckets, die für die zentrale Protokollierung verwendet werden. Für diese Rolle wird eine Vertrauensstellungsrichtlinie festgelegt, damit die in Ihrem AWS-OIDC-Konto erstellte OIDC-Rolle darauf zugreifen kann. Diese Entitäten werden auf der Registerkarte Resources (Ressourcen) Ihres CloudFormation-Stapels aufgeführt.

  6. Navigieren Sie zu Permissions Management zurück, und wählen Sie auf der Seite Permissions Management-Onboarding: Details zum zentralen AWS-Protokollierungskonto die Option Weiter aus.

5. Einrichten eines AWS-Mitgliedskontos

Aktivieren Sie das Kontrollkästchen AWS SSO aktivieren, wenn der AWS-Kontozugriff über AWS SSO konfiguriert wird.

Wählen Sie zwischen drei Optionen zum Verwalten von AWS-Konten.

Option 1: Automatisch verwalten

Wählen Sie diese Option aus, um die überwachte Kontoliste ohne zusätzliche Konfiguration automatisch zu erkennen und hinzuzufügen. Schritte zum Erkennen der Liste von Konten und zum Integrieren in die Sammlung:

  • Stellen Sie die CloudFormation-Vorlage (CloudFormation Template, CFT) des Masterkontos bereit. Dadurch wird die Organisationskontorolle erstellt, die der zuvor erstellten OIDC-Rolle Berechtigungen zum Auflisten von Konten, Organisationseinheiten und SCPs gewährt.
  • Wenn AWS SSO aktiviert wird, fügt die Organisationskonto-CFT auch Richtlinien hinzu, die zum Sammeln von AWS SSO-Konfigurationsdetails erforderlich sind.
  • Stellen Sie die CFT des Mitgliedskontos in allen Konten bereit, die von der Entra-Berechtigungsverwaltung überwacht werden müssen. Dadurch wird eine kontoübergreifende Rolle erstellt, die der zuvor erstellten OIDC-Rolle vertraut. Die SecurityAudit-Richtlinie wird an die Rolle angefügt, die für die Datensammlung erstellt wurde.

Alle gefundenen aktuellen oder künftigen Konten werden automatisch integriert.

So zeigen Sie den Status der Integration nach Speichern der Konfiguration an

  • Navigieren Sie zur Registerkarte „Datensammler“.
  • Klicken Sie auf den Status des Datensammlers.
  • Anzeigen von Konten auf der Seite „In Bearbeitung“

Option 2: Autorisierungssysteme eingeben

  1. Geben Sie auf der Seite Permissions Management-Onboarding: Details zum AWS-Mitgliedskonto die Mitgliedskontorolle und die Mitgliedskonto-IDs ein.

    Sie können bis zu zehn Konto-IDs eingeben. Klicken Sie neben dem Textfeld auf das Pluszeichen, um weitere Konto-IDs hinzuzufügen.

    Hinweis

    Führen Sie die nächsten 6 Schritte für jede Konto-ID aus, die Sie hinzufügen.

  2. Öffnen Sie ein weiteres Browserfenster, und melden Sie sich bei der AWS-Konsole für das Mitgliedskonto an.

  3. Navigieren Sie zur Seite Permissions Management-Onboarding: Details zum AWS-Mitgliedskonto zurück, und wählen Sie die Option Vorlage starten aus.

    Die Seite AWS CloudFormation create stack (AWS CloudFormation: Stapel erstellen) wird geöffnet, und die Vorlage wird angezeigt.

  4. Geben Sie auf der Seite CloudTrailBucketName einen Namen ein.

    Sie können den Namen für CloudTrailBucketName in AWS auf der Seite Trails (Spuren) kopieren und einfügen.

    Hinweis

    Ein Cloudbucket erfasst alle Aktivitäten in einem einzelnen Konto, das von Permissions Management überwacht wird. Geben Sie hier den Namen eines Cloudbuckets ein, um Permissions Management den nötigen Zugriff für die Sammlung von Aktivitätsdaten zu gewähren.

  5. Wählen Sie in der Dropdownliste Enable Controller (Controller aktivieren) Folgendes aus:

    • True, um Permissions Management Lese- und Schreibzugriff zu gewähren, sodass alle Korrekturen, die Sie über die Permissions Management-Plattform vornehmen möchten, automatisch durchgeführt werden können.
    • False, wenn Permissions Management nur Lesezugriff gewährt werden soll.
  6. Scrollen Sie auf der Seite ganz nach unten, und wählen Sie im Feld Capabilities (Funktionen) die Option I acknowledge that AWS CloudFormation might create IAM resources with custom names (Ich bestätige, dass von AWS CloudFormation möglicherweise IAM-Ressourcen mit benutzerdefinierten Namen erstellt werden.) aus. Wählen Sie anschließend Create Stack (Stapel erstellen) aus.

    Dieser AWS CloudFormation-Stapel erstellt eine Sammlungsrolle im Mitgliedskonto mit den erforderlichen Berechtigungen (Richtlinien) für die Datensammlung.

    Für diese Rolle wird eine Vertrauensstellungsrichtlinie festgelegt, damit die in Ihrem AWS-OIDC-Konto erstellte OIDC-Rolle darauf zugreifen kann. Diese Entitäten werden auf der Registerkarte Resources (Ressourcen) Ihres CloudFormation-Stapels aufgeführt.

  7. Navigieren Sie zu Permissions Management zurück, und wählen Sie auf der Seite Permissions Management-Onboarding: Details zum AWS-Mitgliedskonto die Option Weiter aus.

    In diesem Schritt wird die Sequenz der erforderlichen Verbindungen zwischen dem Azure AD-STS und dem OIDC-Verbindungskonto bzw. dem AWS-Mitgliedskonto abgeschlossen.

Option 3: Autorisierungssysteme auswählen

Diese Option erkennt alle AWS-Konten, die über den zuvor erstellten OIDC-Rollenzugriff zugänglich sind.

  • Stellen Sie die CloudFormation-Vorlage (CloudFormation Template, CFT) des Masterkontos bereit. Dadurch wird die Organisationskontorolle erstellt, die der zuvor erstellten OIDC-Rolle Berechtigungen zum Auflisten von Konten, Organisationseinheiten und SCPs gewährt.
  • Wenn AWS SSO aktiviert wird, fügt die Organisationskonto-CFT auch Richtlinien hinzu, die zum Sammeln von AWS SSO-Konfigurationsdetails erforderlich sind.
  • Stellen Sie die CFT des Mitgliedskontos in allen Konten bereit, die von der Entra-Berechtigungsverwaltung überwacht werden müssen. Dadurch wird eine kontoübergreifende Rolle erstellt, die der zuvor erstellten OIDC-Rolle vertraut. Die SecurityAudit-Richtlinie wird an die Rolle angefügt, die für die Datensammlung erstellt wurde.
  • Klicken Sie auf „Überprüfen und speichern“.
  • Navigieren Sie unter „AWS-Datensammler“ zu einer neu erstellten Datensammlerzeile.
  • Klicken Sie auf die Spalte „Status“, wenn die Zeile den Status „Ausstehend“ hat.
  • Zum Integrieren und Starten der Sammlung wählen Sie bestimmte Einträge in der Liste erkannter Projekte und die Einwilligung für die Sammlung aus.

6. Überprüfen und Speichern

  1. Überprüfen Sie auf der Seite Permissions Management-Onboarding: Zusammenfassung Ihre Angaben, und wählen Sie anschließend Jetzt überprüfen und speichern aus.

    Die folgende Meldung wird angezeigt: Successfully created configuration. (Die Konfiguration wurde erfolgreich erstellt.)

    Auf dem Dashboard Data Collectors (Datensammler) wird in der Spalte Recently Uploaded On (Zuletzt hochgeladen am) der Text Collecting (Sammeln) angezeigt. In der Spalte Recently Transformed On (Zuletzt transformiert am) wird Processing (Verarbeitung läuft) angezeigt.

    Das AWS-Onboarding ist damit abgeschlossen, und Permissions Management hat damit begonnen, Ihre Daten zu sammeln und zu verarbeiten.

7. Anzeigen der Daten

  1. Wählen Sie zum Anzeigen der Daten die Registerkarte Authorization Systems (Autorisierungssysteme) aus.

    In der Spalte Status der Tabelle wird Collecting Data (Daten werden gesammelt...) angezeigt.

    Die Dauer des Datensammlungsprozesses hängt von der Größe des Kontos und der Menge an verfügbaren Daten ab.

Nächste Schritte