Incorporación de una cuenta Amazon Web Services (AWS)
En este artículo se describe cómo incorporar una cuenta de Amazon Web Services (AWS) en la Administración de permisos de Microsoft Entra.
Nota:
Debe ser un administrador de control de permisos para realizar las tareas de este artículo.
Explicación
Hay varias partes móviles en AWS y Azure que se deben configurar antes de la incorporación.
- Una aplicación OIDC de Microsoft Entra
- Una cuenta de OIDC de AWS
- Una cuenta de administración de AWS (opcional)
- Una cuenta de registro central de AWS (opcional)
- Un rol de OIDC de AWS
- Un rol entre cuentas de AWS asumido por el rol OIDC
Incorporación de una cuenta de AWS
Si no se muestra el panel Recopiladores de datos al iniciarse Administración de permisos:
- En la página principal de Administración de permisos, seleccione Configuración (el icono de engranaje) y después la subpestaña Recopiladores de datos.
En el panel Data Collectors (Recopiladores de datos), seleccione AWS (AWS) y, a continuación, seleccione Create Configuration (Crear configuración).
1. Crear una aplicación Microsoft Entra OIDC
En la página Incorporación de la administración de permisos: Creación de aplicaciones Microsoft Entra OIDC, introduzca el nombre de la aplicación OIDC Azure.
Esta aplicación se usa para configurar una conexión de OpenID Connect (OIDC) a su cuenta de AWS. OIDC es un protocolo de autenticación interoperable basado en la familia de especificaciones de OAuth 2.0. Los scripts generados en esta página crean la app de este nombre especificado en su inquilino Microsoft Entra con la configuración correcta.
Para crear el registro de la aplicación, copie el script y ejecútelo en la aplicación de línea de comandos de Azure.
Nota:
- Para confirmar que la aplicación se ha creado, abra Registros de aplicaciones en Azure y, en la pestaña Todas las aplicaciones, busque la aplicación.
- Seleccione el nombre de la aplicación para abrir la página Exponer una API. El URI de id. de aplicación que se muestra en la página Información general es el valor de audiencia usado al realizar una conexión de OIDC con la cuenta de AWS.
Vuelva a Administración de permisos, y en el menú Incorporación a la administración de permisos - Creación de la aplicación Microsoft Entra OIDC, seleccione Siguiente.
2. Configuración de una cuenta OIDC de AWS
En la página Incorporación de Administración de permisos: Configuración de la cuenta OIDC de AWS, escriba el Id. de cuenta OIDC de AWS donde se crea el proveedor de OIDC. Puede cambiar el nombre del rol en función de sus requisitos.
Abra otra ventana del explorador e inicie sesión en la cuenta de AWS donde desea crear el proveedor de OIDC.
Seleccione Launch Template (Iniciar plantilla). Este vínculo le lleva a la página de creación de pila de AWS CloudFormation.
Desplácese hasta la parte inferior de la página y, en el cuadro Capabilities (Capacidades), seleccione I acknowledge that AWS CloudFormation might create IAM resources with custom names (Acepto que AWS CloudFormation cree recursos de IAM con nombres personalizados). A continuación, seleccione Create stack (Crear pila).
Esta pila de AWS CloudFormation crea un proveedor de identidades (IdP) de OIDC que representa a Microsoft Entra STS y un rol de AWS IAM con una directiva de confianza que permite a las identidades externas de Microsoft Entra ID asumirlo a través del IdP de OIDC. Estas entidades aparecen en la página Recursos.
Vuelva a Administración de permisos y, en la página Incorporación de Administración de permisos: Configuración de la aplicación OIDC de AWS, seleccione Siguiente.
3. Configuración de una conexión de cuenta de administración de AWS (opcional)
Si su organización tiene directivas de control de servicios (SCP) que rigen la totalidad o parte de las cuentas miembro, configure la conexión de la cuenta de administración en la página Incorporación de administración de permisos: detalles de la cuenta de administración de AWS.
La configuración de la conexión de la cuenta de administración permite que Administración de permisos detecte e incorpore automáticamente las cuentas miembro de AWS que tengan el rol de Administración de permisos correcto.
En la página Incorporación de administración de permisos: detalles de la cuenta de administración de AWS, escriba los valores de id. de la cuenta de administración y rol de la cuenta maestra.
Abra otra ventana del explorador e inicie sesión en la consola de AWS de la cuenta de administración.
Vuelva a Administración de permisos y, en la página Incorporación de administración de permisos: detalles de la cuenta de administración de AWS, seleccione Iniciar plantilla.
Se abre la página AWS CloudFormation create stack (AWS CloudFormation: Crear pila), en la que se muestra la plantilla.
Revise la información de la plantilla, realice cambios, si es necesario, y desplácese hasta la parte inferior de la página.
En el cuadro Capabilities (Capacidades), seleccione I acknowledge that AWS CloudFormation might create IAM resources with custom names (Acepto que AWS CloudFormation cree recursos de IAM con nombres personalizados). A continuación, seleccione Create stack (Crear pila).
Esta pila de AWS CloudFormation crea un rol en la cuenta de administración con los permisos necesarios (directivas) para recopilar los SCP y enumerar todas las cuentas de su organización.
Se establece una directiva de confianza en este rol para permitir que el rol de OIDC creado en la cuenta de OIDC de AWS acceda a ella. Estas entidades se muestran en la pestaña Resources (Recursos) de la pila de CloudFormation.
Vuelva a Administración de permisos y, en la página Incorporación de administración de permisos: detalles de la cuenta de administración de AWS, seleccione Siguiente.
4. Configuración de la conexión de cuenta de registro central de AWS (opcional, pero se recomienda)
Si su organización tiene una cuenta de registro central donde se almacenan los registros de la totalidad o parte de las cuentas de AWS, en la página Incorporación de Administración de permisos: Detalles de cuenta de registro central de AWS, configure la conexión de la cuenta de registro.
En la página Incorporación de Administración de permisos: Detalles de cuenta de registro central de AWS, escriba el Id. de la cuenta de registro y el Rol de la cuenta de registro.
En otra ventana del explorador, inicie sesión en la consola de AWS de la cuenta de AWS que usa para el registro central.
Vuelva a Administración de permisos y, en la página Incorporación de Administración de permisos: Detalles de la cuenta de registro central de AWS, seleccione Iniciar plantilla.
Se abre la página AWS CloudFormation create stack (AWS CloudFormation: Crear pila), en la que se muestra la plantilla.
Revise la información de la plantilla, realice cambios, si es necesario, y desplácese hasta la parte inferior de la página.
En el cuadro Capabilities (Capacidades), seleccione I acknowledge that AWS CloudFormation might create IAM resources with custom names (Acepto que AWS CloudFormation cree recursos de IAM con nombres personalizados) y, a continuación, seleccione Create stack (Crear pila).
Esta pila de AWS CloudFormation crea un rol en la cuenta de registro con los permisos (directivas) necesarios para leer los cubos S3 usados para el registro central. Se establece una directiva de confianza en este rol para permitir que el rol de OIDC creado en la cuenta de OIDC de AWS acceda a ella. Estas entidades se muestran en la pestaña Resources (Recursos) de la pila de CloudFormation.
Vuelva a Administración de permisos y, en la página Incorporación de Administración de permisos: Detalles de la cuenta de registro central de AWS, seleccione Siguiente.
5. Configuración de una cuenta de miembro de AWS
Active la casilla Enable AWS SSO (Habilitar inicio de sesión único de AWS) si el acceso a la cuenta de AWS está configurado mediante el inicio de sesión único de AWS.
Elija entre tres opciones para administrar cuentas de AWS.
Opción 1: Administrar automáticamente
Elija esta opción para detectar y agregar automáticamente a la lista de cuentas supervisadas sin ninguna configuración adicional. Pasos para detectar la lista de cuentas e incorporar para la recopilación:
- Implemente la CFT (plantilla de Cloudformation) de la cuenta de administración que crea el rol de cuenta de organización, que concede permiso al rol de OIDC creado anteriormente para enumerar cuentas, unidades organizativas y SCP.
- Si está habilitado el SSO de AWS, la CFT de la cuenta de organización también agrega la directiva necesaria para recopilar los detalles de configuración del inicio de sesión único de AWS.
- Implemente la cuenta de miembro CFT en todas las cuentas que deban ser supervisadas por la Administración de permisos de Microsoft Entra. Estas acciones crean un rol entre cuentas que confía en el rol de OIDC creado anteriormente. La directiva SecurityAudit se adjunta al rol creado para la recopilación de datos.
Las cuentas actuales o futuras encontradas se incorporan automáticamente.
Para ver el estado de incorporación después de guardar la configuración:
- Vaya a la pestaña Colectores de datos.
- Haga clic en el estado del recopilador de datos.
- Ver las cuentas en la página En curso
Opción 2: Introducir sistemas de autorización
En la página Incorporación de Administración de permisos: Detalles de la cuenta de miembro de AWS, indique el Rol de la cuenta de miembro y los Id. de la cuenta de miembro.
Puede escribir hasta 100 id. de cuenta. Haga clic en el icono de más situado junto al cuadro de texto para agregar más id. de cuenta.
Nota:
Siga estos pasos para cada identificador de cuenta que agregue:
Abra otra ventana del explorador e inicie sesión en la consola de AWS de la cuenta de miembro.
Vuelva a la página Incorporación de Administración de permisos: Detalles de la cuenta de miembro de AWS y seleccione Iniciar plantilla.
Se abre la página AWS CloudFormation create stack (AWS CloudFormation: Crear pila), en la que se muestra la plantilla.
En la página CloudTrailBucketName, escriba un nombre.
Puede copiar y pegar el nombre CloudTrailBucketName de la página Trails (Registros de seguimiento) de AWS.
Nota:
Un cubo en la nube recopila toda la actividad de una única cuenta supervisada por Permissions Management. Escriba aquí el nombre de un cubo en la nube para conceder a Administración de permisos el acceso necesario para recopilar los datos de actividad.
En la lista desplegable Enable Controller (Habilitar controlador), seleccione:
- Verdadero, si quiere que el controlador proporcione a Administración de permisos acceso de lectura y escritura para que cualquier corrección que quiera realizar desde la plataforma de Administración de permisos se pueda completar automáticamente.
- Falso, si quiere que el controlador proporcione a Administración de permisos acceso de solo lectura.
Desplácese hasta la parte inferior de la página y, en el cuadro Capabilities (Capacidades), seleccione I acknowledge that AWS CloudFormation might create IAM resources with custom names (Acepto que AWS CloudFormation cree recursos de IAM con nombres personalizados). A continuación, seleccione Create stack (Crear pila).
Esta pila de AWS CloudFormation crea un rol de recopilación en la cuenta de miembro con los permisos (directivas) necesarios para la recopilación de datos.
Se establece una directiva de confianza en este rol para permitir que el rol de OIDC creado en la cuenta de OIDC de AWS acceda a ella. Estas entidades se muestran en la pestaña Resources (Recursos) de la pila de CloudFormation.
Vuelva a Administración de permisos y, en la página Incorporación de Administración de permisos: Detalles de la cuenta de miembro de AWS, seleccione Siguiente.
Este paso completa la secuencia de conexiones requeridas desde Microsoft Entra STS a la cuenta de conexión OIDC y a la cuenta miembro AWS.
Opción 3: Seleccionar sistemas de autorización
Esta opción detecta todas las cuentas de AWS a las que se puede acceder mediante el acceso al rol de OIDC creado anteriormente.
- Implemente la CFT (plantilla de Cloudformation) de la cuenta de administración que crea el rol de cuenta de organización, que concede permiso al rol de OIDC creado anteriormente para enumerar cuentas, unidades organizativas y SCP.
- Si está habilitado el SSO de AWS, la CFT de la cuenta de organización también agrega la directiva necesaria para recopilar los detalles de configuración del inicio de sesión único de AWS.
- Implemente la cuenta de miembro CFT en todas las cuentas que deban ser supervisadas por la Administración de permisos de Microsoft Entra. Estas acciones crean un rol entre cuentas que confía en el rol de OIDC creado anteriormente. La directiva SecurityAudit se adjunta al rol creado para la recopilación de datos.
- Haga clic en Comprobar y guardar.
- Vaya a la fila del colector de datos recién creado en Colectores de datos de AWS.
- Haga clic en la columna Estado cuando la fila tenga el estado Pendiente
- Para incorporar e iniciar la recopilación, elija las específicas en la lista detectada y dé su consentimiento para la recopilación.
6. Revisión y almacenamiento
En la página Incorporación de Administración de permisos: resumen, revise la información que ha agregado y seleccione Comprobar ahora y guardar.
Aparece el mensaje siguiente: Successfully created configuration (Configuración creada correctamente).
En el panel Data Collectors (Recopiladores de datos), en la columna Recently Uploaded On (Fecha de carga reciente) se muestra Collecting (Recopilando). En la columna Recently Transformed On (Fecha de transformación reciente), se muestra Processing (Procesando).
La columna de estado de la interfaz de usuario de administración de permisos muestra qué paso de recopilación de datos se encuentra en:
- Pendiente: La administración de permisos aún no se ha iniciado la detección o incorporación.
- Detección: La administración de permisos detecta los sistemas de autorización.
- En curso: La administración de permisos ha terminado de detectar los sistemas de autorización y está incorporando.
- Incorporado: la recopilación de datos está completa y todos los sistemas de autorización detectados se incorporaron a la Administración de permisos.
7. Visualización de los datos
Para ver los datos, seleccione la pestaña Authorization Systems (Sistemas de autorización).
En la columna Status (Estado) de la tabla, se muestra Collecting Data (Recopilando datos).
El proceso de recopilación de datos tarda algún tiempo y se produce en intervalos de aproximadamente 4 a 5 horas en la mayoría de los casos. El período de tiempo depende del tamaño del sistema de autorización que tenga y de la cantidad de datos disponibles para la recopilación.
Pasos siguientes
- Para obtener información sobre cómo habilitar o deshabilitar el controlador tras completar la incorporación, consulte Habilitación o deshabilitación del controlador.
- Para obtener información sobre cómo agregar una cuenta, una suscripción o un proyecto una vez completada la incorporación, consulte Adición de una cuenta, suscripción o proyecto tras completar la incorporación.