Incorporación de una cuenta Amazon Web Services (AWS)

En este artículo se describe la incorporación de una cuenta de Amazon Web Services (AWS) en Administración de permisos.

Nota

Un administrador global o un superadministrador (un administrador para todos los tipos de sistemas de autorización) puede realizar las tareas de este artículo después de que el administrador global haya completado en un primer momento los pasos descritos en Habilitación de Permissions Management en el inquilino de Azure Active Directory.

Incorporación de una cuenta de AWS

  1. Si no se muestra el panel Recopiladores de datos al iniciarse Administración de permisos:

    • En la página principal de Administración de permisos, seleccione Configuración (el icono de engranaje) y después la subpestaña Recopiladores de datos.
  2. En el panel Data Collectors (Recopiladores de datos), seleccione AWS (AWS) y, a continuación, seleccione Create Configuration (Crear configuración).

1. Creación de una aplicación OIDC de Azure AD

  1. En la página Incorporación de Administración de permisos: Creación de una aplicación OIDC de Azure AD, escriba el nombre de la aplicación OIDC de Azure.

    Esta aplicación se usa para configurar una conexión de OpenID Connect (OIDC) a su cuenta de AWS. OIDC es un protocolo de autenticación interoperable basado en la familia de especificaciones de OAuth 2.0. Los scripts generados en esta página crearán la aplicación de este nombre especificado en el inquilino de Azure AD con la configuración correcta.

  2. Para crear el registro de la aplicación, copie el script y ejecútelo en la aplicación de línea de comandos de Azure.

    Nota:

    1. Para confirmar que la aplicación se ha creado, abra Registros de aplicaciones en Azure y, en la pestaña Todas las aplicaciones, busque la aplicación.
    2. Seleccione el nombre de la aplicación para abrir la página Exponer una API. El URI de id. de aplicación que se muestra en la página Información general es el valor de audiencia usado al realizar una conexión de OIDC con la cuenta de AWS.
  3. Vuelva a Administración de permisos y, en Incorporación de Administración de permisos: Creación de una aplicación OIDC de Azure AD, seleccione Siguiente.

2. Configuración de una cuenta OIDC de AWS

  1. En la página Incorporación de Administración de permisos: Configuración de la cuenta OIDC de AWS, escriba el Id. de cuenta OIDC de AWS donde se crea el proveedor de OIDC. Puede cambiar el nombre del rol en función de sus requisitos.

  2. Abra otra ventana del explorador e inicie sesión en la cuenta de AWS donde desea crear el proveedor de OIDC.

  3. Seleccione Launch Template (Iniciar plantilla). Este vínculo le lleva a la página de creación de pila de AWS CloudFormation.

  4. Desplácese hasta la parte inferior de la página y, en el cuadro Capabilities (Capacidades), seleccione I acknowledge that AWS CloudFormation might create IAM resources with custom names (Acepto que AWS CloudFormation cree recursos de IAM con nombres personalizados). A continuación, seleccione Create stack (Crear pila).

    Esta pila de AWS CloudFormation crea un proveedor de identidades (IdP) de OIDC que representa Azure AD STS y un rol IAM de AWS con una directiva de confianza que permite que las identidades externas de Azure AD lo asuman a través del IdP de OIDC. Estas entidades aparecen en la página Recursos.

  5. Vuelva a Administración de permisos y, en la página Incorporación de Administración de permisos: Configuración de la aplicación OIDC de AWS, seleccione Siguiente.

3. Configuración de una cuenta maestra de AWS (opcional)

  1. Si su organización tiene directivas de control de servicios (SCP) que rigen la totalidad o parte de las cuentas miembro, configure la conexión de la cuenta maestra en la página Incorporación de Administración de permisos: Detalles de la cuenta maestra de AWS.

    La configuración de la conexión de la cuenta maestra permite que Administración de permisos detecte e incorpore automáticamente las cuentas miembro de AWS que tengan el rol de Administración de permisos correcto.

    • En la página Incorporación de Administración de permisos: Detalles de la cuenta maestra de AWS, escriba los valores de Id. de la cuenta maestra y Rol de la cuenta maestra.
  2. Abra otra ventana del explorador e inicie sesión en la consola de AWS de la cuenta maestra.

  3. Vuelva a Administración de permisos y, en la página Incorporación de Administración de permisos: Detalles de la cuenta maestra de AWS, seleccione Iniciar plantilla.

    Se abre la página AWS CloudFormation create stack (AWS CloudFormation: Crear pila), en la que se muestra la plantilla.

  4. Revise la información de la plantilla, realice cambios, si es necesario, y desplácese hasta la parte inferior de la página.

  5. En el cuadro Capabilities (Capacidades), seleccione I acknowledge that AWS CloudFormation might create IAM resources with custom names (Acepto que AWS CloudFormation cree recursos de IAM con nombres personalizados). A continuación, seleccione Create stack (Crear pila).

    Esta pila de AWS CloudFormation crea un rol en la cuenta maestra con los permisos necesarios (directivas) para recopilar los SCP y enumerar todas las cuentas de su organización.

    Se establece una directiva de confianza en este rol para permitir que el rol de OIDC creado en la cuenta de OIDC de AWS acceda a ella. Estas entidades se muestran en la pestaña Resources (Recursos) de la pila de CloudFormation.

  6. Vuelva a Administración de permisos y, en página Incorporación de Administración de permisos: Detalles de la cuenta maestra de AWS, seleccione Siguiente.

  1. Si su organización tiene una cuenta de registro central donde se almacenan los registros de la totalidad o parte de las cuentas de AWS, en la página Incorporación de Administración de permisos: Detalles de cuenta de registro central de AWS, configure la conexión de la cuenta de registro.

    En la página Incorporación de Administración de permisos: Detalles de cuenta de registro central de AWS, escriba el Id. de la cuenta de registro y el Rol de la cuenta de registro.

  2. En otra ventana del explorador, inicie sesión en la consola de AWS de la cuenta de AWS que usa para el registro central.

  3. Vuelva a Administración de permisos y, en la página Incorporación de Administración de permisos: Detalles de la cuenta de registro central de AWS, seleccione Iniciar plantilla.

    Se abre la página AWS CloudFormation create stack (AWS CloudFormation: Crear pila), en la que se muestra la plantilla.

  4. Revise la información de la plantilla, realice cambios, si es necesario, y desplácese hasta la parte inferior de la página.

  5. En el cuadro Capabilities (Capacidades), seleccione I acknowledge that AWS CloudFormation might create IAM resources with custom names (Acepto que AWS CloudFormation cree recursos de IAM con nombres personalizados) y, a continuación, seleccione Create stack (Crear pila).

    Esta pila de AWS CloudFormation crea un rol en la cuenta de registro con los permisos (directivas) necesarios para leer los cubos S3 usados para el registro central. Se establece una directiva de confianza en este rol para permitir que el rol de OIDC creado en la cuenta de OIDC de AWS acceda a ella. Estas entidades se muestran en la pestaña Resources (Recursos) de la pila de CloudFormation.

  6. Vuelva a Administración de permisos y, en la página Incorporación de Administración de permisos: Detalles de la cuenta de registro central de AWS, seleccione Siguiente.

5. Configuración de una cuenta de miembro de AWS

Active la casilla Enable AWS SSO (Habilitar inicio de sesión único de AWS) si el acceso a la cuenta de AWS está configurado mediante el inicio de sesión único de AWS.

Elija entre 3 opciones para administrar cuentas de AWS.

Opción 1: Administrar automáticamente

Elija esta opción para detectar y agregar automáticamente a la lista de cuentas supervisadas, sin configuración adicional. Pasos para detectar la lista de cuentas e incorporar para la recopilación:

  • Implemente la CFT (plantilla de Cloudformation) de la cuenta maestra que crea el rol de cuenta de organización, que concede permiso al rol de OIDC creado anteriormente para enumerar cuentas, unidades organizativas y SCP.
  • Si está habilitado el SSO de AWS, la CFT de la cuenta de organización también agrega la directiva necesaria para recopilar los detalles de configuración del inicio de sesión único de AWS.
  • Implemente la CFT de la cuenta de miembro en todas las cuentas que la Administración de permisos de Entra deba supervisar. Esto crea un rol entre cuentas que confía en el rol de OIDC creado anteriormente. La directiva SecurityAudit se adjunta al rol creado para la recopilación de datos.

Las cuentas actuales o futuras encontradas se incorporan automáticamente.

Para ver el estado de incorporación después de guardar la configuración:

  • Vaya a la pestaña de recopiladores de datos.
  • Haga clic en el estado del recopilador de datos.
  • Visualización de cuentas en la página En curso

Opción 2: Introducir sistemas de autorización

  1. En la página Incorporación de Administración de permisos: Detalles de la cuenta de miembro de AWS, indique el Rol de la cuenta de miembro y los Id. de la cuenta de miembro.

    Puede escribir hasta 10 id. de cuenta. Haga clic en el icono de más situado junto al cuadro de texto para agregar más id. de cuenta.

    Nota:

    Realice los seis pasos siguientes para cada id. de cuenta que agregue.

  2. Abra otra ventana del explorador e inicie sesión en la consola de AWS de la cuenta de miembro.

  3. Vuelva a la página Incorporación de Administración de permisos: Detalles de la cuenta de miembro de AWS y seleccione Iniciar plantilla.

    Se abre la página AWS CloudFormation create stack (AWS CloudFormation: Crear pila), en la que se muestra la plantilla.

  4. En la página CloudTrailBucketName, escriba un nombre.

    Puede copiar y pegar el nombre CloudTrailBucketName de la página Trails (Registros de seguimiento) de AWS.

    Nota:

    Un cubo en la nube recopila toda la actividad de una única cuenta supervisada por Permissions Management. Escriba aquí el nombre de un cubo en la nube para conceder a Administración de permisos el acceso necesario para recopilar los datos de actividad.

  5. En la lista desplegable Enable Controller (Habilitar controlador), seleccione:

    • Verdadero, si quiere que el controlador proporcione a Administración de permisos acceso de lectura y escritura para que cualquier corrección que quiera realizar desde la plataforma de Administración de permisos se pueda completar automáticamente.
    • Falso, si quiere que el controlador proporcione a Administración de permisos acceso de solo lectura.
  6. Desplácese hasta la parte inferior de la página y, en el cuadro Capabilities (Capacidades), seleccione I acknowledge that AWS CloudFormation might create IAM resources with custom names (Acepto que AWS CloudFormation cree recursos de IAM con nombres personalizados). A continuación, seleccione Create stack (Crear pila).

    Esta pila de AWS CloudFormation crea un rol de recopilación en la cuenta de miembro con los permisos (directivas) necesarios para la recopilación de datos.

    Se establece una directiva de confianza en este rol para permitir que el rol de OIDC creado en la cuenta de OIDC de AWS acceda a ella. Estas entidades se muestran en la pestaña Resources (Recursos) de la pila de CloudFormation.

  7. Vuelva a Administración de permisos y, en la página Incorporación de Administración de permisos: Detalles de la cuenta de miembro de AWS, seleccione Siguiente.

    Este paso completa la secuencia de conexiones necesarias de Azure AD STS a la cuenta de conexión de OIDC y a la cuenta de miembro de AWS.

Opción 3: Seleccionar sistemas de autorización

Esta opción detecta todas las cuentas de AWS a las que se puede acceder mediante el acceso al rol de OIDC creado anteriormente.

  • Implemente la CFT (plantilla de Cloudformation) de la cuenta maestra que crea el rol de cuenta de organización, que concede permiso al rol de OIDC creado anteriormente para enumerar cuentas, unidades organizativas y SCP.
  • Si está habilitado el SSO de AWS, la CFT de la cuenta de organización también agrega la directiva necesaria para recopilar los detalles de configuración del inicio de sesión único de AWS.
  • Implemente la CFT de la cuenta de miembro en todas las cuentas que la Administración de permisos de Entra deba supervisar. Esto crea un rol entre cuentas que confía en el rol de OIDC creado anteriormente. La directiva SecurityAudit se adjunta al rol creado para la recopilación de datos.
  • Haga clic en Comprobar y guardar.
  • Vaya a la fila del recopilador de datos recién creada en los recopiladores de datos de AWS.
  • Haga clic en la columna Estado cuando la fila tenga el estado "Pendiente".
  • Para incorporar e iniciar la recopilación, elija las específicas en la lista detectada y dé su consentimiento para la recopilación.

6. Revisión y almacenamiento

  1. En la página Incorporación de Administración de permisos: Resumen, revise la información que ha agregado y seleccione Comprobar ahora y guardar.

    Aparece el mensaje siguiente: Successfully created configuration (Configuración creada correctamente).

    En el panel Data Collectors (Recopiladores de datos), en la columna Recently Uploaded On (Fecha de carga reciente) se muestra Collecting (Recopilando). En la columna Recently Transformed On (Fecha de transformación reciente), se muestra Processing (Procesando).

    Ya completó la incorporación de AWS, y Administración de permisos empezó a recopilar y procesar los datos.

7. Visualización de los datos

  1. Para ver los datos, seleccione la pestaña Authorization Systems (Sistemas de autorización).

    En la columna Status (Estado) de la tabla, se muestra Collecting Data (Recopilando datos).

    El proceso de recopilación de datos puede tardar un tiempo, según el tamaño de la cuenta y la cantidad de datos disponibles para la recopilación.

Pasos siguientes