Amazon Web Services-fiók (AWS) létrehozása

Ez a cikk azt ismerteti, hogyan hozhat létre Amazon Web Services- (AWS-) fiókot Microsoft Entra Engedélykezelés.

Feljegyzés

A cikkben szereplő feladatok elvégzéséhez globális Rendszergazda istrator engedélyekkel kell rendelkeznie.

Magyarázat

Az AWS-ben és az Azure-ban számos mozgó alkatrészt kell konfigurálni az előkészítés előtt.

• Microsoft Entra OIDC-alkalmazás
• AWS OIDC-fiók
• Egy (nem kötelező) AWS Management-fiók
• Egy (nem kötelező) AWS Central naplózási fiók
• AWS OIDC-szerepkör
• Az OIDC-szerepkör által feltételezett AWS-fiókközi szerepkör

AWS-fiók előkészítése

1. Ha az Adatgyűjtők irányítópult nem jelenik meg az Engedélyek kezelése indításakor:

   • Az Engedélyek kezelése kezdőlapon válassza a Gépház (fogaskerék ikon), majd az Adatgyűjtők almenüt.

2. Az Adatgyűjtők irányítópulton válassza az AWS, majd a Konfiguráció létrehozása lehetőséget.

1. Microsoft Entra OIDC-alkalmazás létrehozása

1. Az Engedélyek kezelése előkészítés – Microsoft Entra OIDC alkalmazás létrehozása lapon adja meg az OIDC Azure-alkalmazás nevét.

   Ez az alkalmazás openID Csatlakozás (OIDC) kapcsolat beállítására szolgál az AWS-fiókhoz. Az OIDC egy interoperábilis hitelesítési protokoll, amely az OAuth 2.0 specifikációcsaládon alapul. Az ezen a lapon létrehozott szkriptek a megfelelő konfigurációval hozzák létre ennek a megadott névnek az alkalmazását a Microsoft Entra-bérlőben.

2. Az alkalmazásregisztráció létrehozásához másolja ki a szkriptet, és futtassa az Azure parancssori alkalmazásban.

   Feljegyzés

   1. Az alkalmazás létrehozásának megerősítéséhez nyissa meg a Alkalmazásregisztrációk az Azure-ban, és a Minden alkalmazás lapon keresse meg az alkalmazást.
   2. Válassza ki az alkalmazás nevét az API-lap megnyitásához. Az Áttekintés lapon megjelenő alkalmazásazonosító URI az AWS-fiókkal való OIDC-kapcsolat létrehozásakor használt célközönségérték.

3. Térjen vissza az Engedélykezeléshez, és az Engedélyek kezelése előkészítés – Microsoft Entra OIDC-alkalmazás létrehozása területen válassza a Tovább gombot.

2. AWS OIDC-fiók beállítása

1. Az Engedélyek kezelése előkészítés – AWS OIDC-fiók beállítása lapon adja meg az AWS OIDC-fiók azonosítóját, ahol az OIDC-szolgáltató létrejön. A szerepkör nevét módosíthatja a követelményekre.

2. Nyisson meg egy másik böngészőablakot, és jelentkezzen be az AWS-fiókba, ahol létre szeretné hozni az OIDC-szolgáltatót.

3. Válassza a Sablon indítása lehetőséget. Ez a hivatkozás az AWS CloudFormation létrehozási lapjára viszi.

4. Görgessen a lap aljára, és a Képességek mezőben válassza az Elismerem, hogy az AWS CloudFormation egyéni neveket tartalmazó IAM-erőforrásokat hozhat létre. Ezután válassza a Stack létrehozása lehetőséget .

   Ez az AWS CloudFormation verem létrehoz egy OIDC-identitásszolgáltatót (IdP), amely a Microsoft Entra STS-t és egy AWS IAM-szerepkört képvisel egy megbízhatósági szabályzattal, amely lehetővé teszi, hogy a Microsoft Entra-azonosító külső identitásai feltételezik azt az OIDC-azonosítón keresztül. Ezek az entitások az Erőforrások lapon jelennek meg.

5. Térjen vissza az Engedélykezeléshez, és az Engedélyek kezelése előkészítés – AWS OIDC-fiók beállítása lapon válassza a Tovább gombot.

3. Az AWS Management-fiók kapcsolatának beállítása (nem kötelező)

1. Ha a szervezet szolgáltatásvezérlési szabályzatokkal (SCP-kkel) rendelkezik, amelyek a tagfiókok egy részét vagy egészét szabályozzák, állítsa be a Felügyeleti fiók kapcsolatot az Engedélyek kezelése előkészítés – AWS felügyeleti fiók részletei lapon.

   A Felügyeleti fiók kapcsolatának beállításával az Engedélyek kezelése automatikusan észleli és előkészíti a megfelelő Engedélykezelési szerepkörrel rendelkező AWS-tagfiókokat.

2. Az Engedélyek kezelése előkészítés – AWS felügyeleti fiók adatai lapon adja meg a felügyeleti fiók azonosítóját és a felügyeleti fiók szerepkörét.

3. Nyisson meg egy másik böngészőablakot, és jelentkezzen be a felügyeleti fiók AWS-konzoljára.

4. Térjen vissza az Engedélykezeléshez, és az Engedélyek kezelése előkészítés – AWS felügyeleti fiók részletei lapon válassza a Sablon indítása lehetőséget.

   Megnyílik az AWS CloudFormation verem létrehozása lapja, amelyen megjelenik a sablon.

5. Tekintse át a sablon adatait, szükség esetén módosítsa, majd görgessen a lap aljára.

6. A Képességek mezőben válassza az Elismerem, hogy az AWS CloudFormation egyéni neveket tartalmazó IAM-erőforrásokat hozhat létre. Ezután válassza a Stack létrehozása lehetőséget.

   Ez az AWS CloudFormation verem létrehoz egy szerepkört a felügyeleti fiókban a szükséges engedélyekkel (szabályzatokkal) az SCP-k gyűjtéséhez és a szervezet összes fiókjának listázásához.

   Ezen a szerepkörön egy megbízhatósági szabályzat van beállítva, amely lehetővé teszi az AWS OIDC-fiókban létrehozott OIDC-szerepkör elérését. Ezek az entitások a CloudFormation verem Erőforrások lapján jelennek meg.

7. Térjen vissza az Engedélykezeléshez, és az Engedélyek kezelése előkészítés – AWS felügyeleti fiók adatai területen válassza a Tovább gombot.

4. Az AWS Central naplózási fiókkapcsolatának beállítása (nem kötelező, de ajánlott)

1. Ha a szervezet rendelkezik egy központi naplózási fiókkal, ahol a rendszer az AWS-fiók egy vagy egészéből származó naplókat tárolja, az Engedélyek kezelése előkészítés – AWS központi naplózási fiók adatai lapon állítsa be a naplózási fiók kapcsolatát.

   Az Engedélyek kezelése előkészítés – AWS központi naplózási fiók adatai lapon adja meg a naplózási fiók azonosítóját és a naplózási fiók szerepkörét.

2. Egy másik böngészőablakban jelentkezzen be a központi naplózáshoz használt AWS-fiók AWS-konzoljára.

3. Térjen vissza az Engedélykezeléshez, és az Engedélyek kezelése előkészítés – AWS központi naplózási fiók részletei lapon válassza a Sablon indítása lehetőséget.

   Megnyílik az AWS CloudFormation verem létrehozása lapja, amelyen megjelenik a sablon.

4. Tekintse át a sablon adatait, szükség esetén módosítsa, majd görgessen a lap aljára.

5. A Képességek mezőben válassza az Elismerem, hogy az AWS CloudFormation egyéni neveket tartalmazó IAM-erőforrásokat hozhat létre, majd válassza a Stack létrehozása lehetőséget.

   Ez az AWS CloudFormation verem létrehoz egy szerepkört a naplózási fiókban a központi naplózáshoz használt S3-gyűjtők olvasásához szükséges engedélyekkel (szabályzatokkal). Ezen a szerepkörön egy megbízhatósági szabályzat van beállítva, amely lehetővé teszi az AWS OIDC-fiókban létrehozott OIDC-szerepkör elérését. Ezek az entitások a CloudFormation verem Erőforrások lapján jelennek meg.

6. Térjen vissza az Engedélykezeléshez, és az Engedélyek kezelése előkészítés – AWS központi naplózási fiók adatai lapon válassza a Tovább gombot.

5. AWS-tagfiók beállítása

Jelölje be az AWS egyszeri bejelentkezés engedélyezése jelölőnégyzetet, ha az AWS-fiók hozzáférése az AWS SSO-val van konfigurálva.

Az AWS-fiókok kezeléséhez három lehetőség közül választhat.

1. lehetőség: Automatikus kezelés

Ezt a lehetőséget választva automatikusan észlelheti és hozzáadhatja a figyelt fióklistát további konfiguráció nélkül. A fiókok listájának észlelésének és a gyűjtemény előkészítésének lépései:

• A felügyeleti fiók CFT (cloudformation sablon) üzembe helyezése, amely szervezeti fiókszerepkört hoz létre, amely engedélyt ad a korábban létrehozott OIDC-szerepkörnek a fiókok, szervezeti egységek és SCP-k listázására.
• Ha az AWS egyszeri bejelentkezés engedélyezve van, a szervezeti fiók CFT az AWS egyszeri bejelentkezés konfigurációs adatainak gyűjtéséhez szükséges szabályzatot is hozzáadja.
• Helyezze üzembe a tagfiók CFT-t az összes olyan fiókban, amelyet Microsoft Entra Engedélykezelés figyelnie kell. Ezek a műveletek létrehoznak egy fiókközi szerepkört, amely megbízik a korábban létrehozott OIDC-szerepkörben. A SecurityAudit-szabályzat az adatgyűjtéshez létrehozott szerepkörhöz van csatolva.

A talált aktuális vagy jövőbeli fiókok automatikusan fel lesznek készítve.

Az előkészítés állapotának megtekintése a konfiguráció mentése után:

• Lépjen az Adatgyűjtők lapra.
• Kattintson az adatgyűjtő állapotára.
• Fiókok megtekintése a Folyamatban lapon

2. lehetőség: Adja meg az engedélyezési rendszereket

1. Az Engedélyek kezelése előkészítés – AWS-tagfiók részletei lapon adja meg a tagfiók-szerepkört és a tagfiók azonosítóit.

   Legfeljebb 100 fiókazonosítót adhat meg. További fiókazonosítók hozzáadásához kattintson a szövegmező melletti plusz ikonra.

   Feljegyzés

   Végezze el a következő lépéseket minden hozzáadott fiókazonosítóhoz:

2. Nyisson meg egy másik böngészőablakot, és jelentkezzen be a tagfiók AWS-konzoljára.

3. Térjen vissza az Engedélyek kezelése előkészítés – AWS-tagfiók részletei lapra , és válassza a Sablon indítása lehetőséget.

   Megnyílik az AWS CloudFormation verem létrehozása lapja, amelyen megjelenik a sablon.

4. A CloudTrailBucketName lapon adjon meg egy nevet.

   A CloudTrailBucketName nevet az AWS Trails lapjáról másolhatja és beillesztheti.

   Feljegyzés

   A felhőbeli gyűjtők egyetlen fiókban gyűjtik össze az engedélyek kezelése által figyelt összes tevékenységet. Itt adhatja meg egy felhőbeli gyűjtő nevét, hogy az Engedélyek kezelése rendelkezhessen a tevékenységadatok gyűjtéséhez szükséges hozzáféréssel.

5. A Vezérlő engedélyezése legördülő listában válassza a következőt:

   • Igaz, ha azt szeretné, hogy a vezérlő olvasási és írási hozzáférést biztosítson az Engedélyek kezelése szolgáltatásnak, hogy az Engedélyek kezelése platformon végzett javítások automatikusan elvégezhetők legyenek.
   • Hamis, ha azt szeretné, hogy a vezérlő írásvédett hozzáférést biztosítson az Engedélyek kezelése szolgáltatásnak.

6. Görgessen a lap aljára, és a Képességek mezőben válassza az Elismerem, hogy az AWS CloudFormation egyéni neveket tartalmazó IAM-erőforrásokat hozhat létre. Ezután válassza a Stack létrehozása lehetőséget.

   Ez az AWS CloudFormation verem létrehoz egy gyűjtési szerepkört a tagfiókban az adatgyűjtéshez szükséges engedélyekkel (szabályzatokkal).

   Ezen a szerepkörön egy megbízhatósági szabályzat van beállítva, amely lehetővé teszi az AWS OIDC-fiókban létrehozott OIDC-szerepkör elérését. Ezek az entitások a CloudFormation verem Erőforrások lapján jelennek meg.

7. Térjen vissza az Engedélykezeléshez, és az Engedélyek kezelése előkészítés – AWS-tagfiók részletei lapon válassza a Tovább gombot.

   Ez a lépés befejezi a Microsoft Entra STS-ből az OIDC-kapcsolatfiókhoz és az AWS-tagfiókhoz szükséges kapcsolatok sorrendjét.

3. lehetőség: Engedélyezési rendszerek kiválasztása

Ez a beállítás észleli a korábban létrehozott OIDC szerepkör-hozzáféréssel elérhető összes AWS-fiókot.

• A felügyeleti fiók CFT (cloudformation sablon) üzembe helyezése, amely szervezeti fiókszerepkört hoz létre, amely engedélyt ad a korábban létrehozott OIDC-szerepkörnek a fiókok, szervezeti egységek és SCP-k listázására.
• Ha az AWS egyszeri bejelentkezés engedélyezve van, a szervezeti fiók CFT az AWS egyszeri bejelentkezés konfigurációs adatainak gyűjtéséhez szükséges szabályzatot is hozzáadja.
• Helyezze üzembe a tagfiók CFT-t az összes olyan fiókban, amelyet Microsoft Entra Engedélykezelés figyelnie kell. Ezek a műveletek létrehoznak egy fiókközi szerepkört, amely megbízik a korábban létrehozott OIDC-szerepkörben. A SecurityAudit-szabályzat az adatgyűjtéshez létrehozott szerepkörhöz van csatolva.
• Kattintson az Ellenőrzés és a Mentés gombra.
• Lépjen az újonnan létrehozott adatgyűjtő sorra az AWSdata-gyűjtők alatt.
• Kattintson az Állapot oszlopra, ha a sor Függő állapotú
• A gyűjtemény előkészítéséhez és elindításához válasszon ki konkrétakat az észlelt listából, és adja meg a gyűjtéshez való hozzájárulást.

6. Áttekintés és mentés

1. Az Engedélyek kezelése előkészítés – Összegzés területen tekintse át a hozzáadott információkat, majd válassza az Ellenőrzés most > Mentés lehetőséget.

   A következő üzenet jelenik meg: Sikeresen létrehozott konfiguráció.

   Az Adatgyűjtők irányítópulton a Legutóbb feltöltve oszlop a Gyűjtést jeleníti meg. A Legutóbb átalakítva oszlop a Feldolgozást jeleníti meg .

   Az Engedélyek kezelése felhasználói felületen található állapotoszlop az adatgyűjtés melyik lépését mutatja be:

   • Függőben: Az Engedélyek kezelése még nem kezdte el észlelni vagy előkészíteni.
   • Felderítés: Az Engedélyek kezelése észleli az engedélyezési rendszereket.
   • Folyamatban: Az Engedélyek kezelése befejezte az engedélyezési rendszerek észlelését, és előkészítés alatt áll.
   • Előkészítés: Az adatgyűjtés befejeződött, és az összes észlelt engedélyezési rendszer be van kapcsolva az Engedélyek kezelése szolgáltatásba.

7. Az adatok megtekintése

1. Az adatok megtekintéséhez válassza az Engedélyezési rendszerek lapot.

   A tábla Állapot oszlopa az adatgyűjtést jeleníti meg .

   Az adatgyűjtési folyamat a legtöbb esetben körülbelül 4–5 órás időközönként történik. Az időkeret a rendelkezésre álló engedélyezési rendszer méretétől és a gyűjtéshez rendelkezésre álló adatok mennyiségétől függ.

Következő lépések

• A vezérlő engedélyezésével vagy letiltásával kapcsolatos információkért az előkészítés befejezése után lásd a vezérlő engedélyezését vagy letiltását ismertető témakört.
• Ha tudni szeretné, hogyan vehet fel fiókot/előfizetést/projektet az előkészítés befejezése után, olvassa el a Fiók/előfizetés/projekt hozzáadása az előkészítés befejezése után című témakört.