Amazon Web Services-fiók (AWS) létrehozása
Ez a cikk azt ismerteti, hogyan hozhat létre Amazon Web Services- (AWS-) fiókot Microsoft Entra Engedélykezelés.
Feljegyzés
A cikkben szereplő feladatok elvégzéséhez globális Rendszergazda istrator engedélyekkel kell rendelkeznie.
Magyarázat
Az AWS-ben és az Azure-ban számos mozgó alkatrészt kell konfigurálni az előkészítés előtt.
- Microsoft Entra OIDC-alkalmazás
- AWS OIDC-fiók
- Egy (nem kötelező) AWS Management-fiók
- Egy (nem kötelező) AWS Central naplózási fiók
- AWS OIDC-szerepkör
- Az OIDC-szerepkör által feltételezett AWS-fiókközi szerepkör
AWS-fiók előkészítése
Ha az Adatgyűjtők irányítópult nem jelenik meg az Engedélyek kezelése indításakor:
- Az Engedélyek kezelése kezdőlapon válassza a Gépház (fogaskerék ikon), majd az Adatgyűjtők almenüt.
Az Adatgyűjtők irányítópulton válassza az AWS, majd a Konfiguráció létrehozása lehetőséget.
1. Microsoft Entra OIDC-alkalmazás létrehozása
Az Engedélyek kezelése előkészítés – Microsoft Entra OIDC alkalmazás létrehozása lapon adja meg az OIDC Azure-alkalmazás nevét.
Ez az alkalmazás openID Csatlakozás (OIDC) kapcsolat beállítására szolgál az AWS-fiókhoz. Az OIDC egy interoperábilis hitelesítési protokoll, amely az OAuth 2.0 specifikációcsaládon alapul. Az ezen a lapon létrehozott szkriptek a megfelelő konfigurációval hozzák létre ennek a megadott névnek az alkalmazását a Microsoft Entra-bérlőben.
Az alkalmazásregisztráció létrehozásához másolja ki a szkriptet, és futtassa az Azure parancssori alkalmazásban.
Feljegyzés
- Az alkalmazás létrehozásának megerősítéséhez nyissa meg a Alkalmazásregisztrációk az Azure-ban, és a Minden alkalmazás lapon keresse meg az alkalmazást.
- Válassza ki az alkalmazás nevét az API-lap megnyitásához. Az Áttekintés lapon megjelenő alkalmazásazonosító URI az AWS-fiókkal való OIDC-kapcsolat létrehozásakor használt célközönségérték.
Térjen vissza az Engedélykezeléshez, és az Engedélyek kezelése előkészítés – Microsoft Entra OIDC-alkalmazás létrehozása területen válassza a Tovább gombot.
2. AWS OIDC-fiók beállítása
Az Engedélyek kezelése előkészítés – AWS OIDC-fiók beállítása lapon adja meg az AWS OIDC-fiók azonosítóját, ahol az OIDC-szolgáltató létrejön. A szerepkör nevét módosíthatja a követelményekre.
Nyisson meg egy másik böngészőablakot, és jelentkezzen be az AWS-fiókba, ahol létre szeretné hozni az OIDC-szolgáltatót.
Válassza a Sablon indítása lehetőséget. Ez a hivatkozás az AWS CloudFormation létrehozási lapjára viszi.
Görgessen a lap aljára, és a Képességek mezőben válassza az Elismerem, hogy az AWS CloudFormation egyéni neveket tartalmazó IAM-erőforrásokat hozhat létre. Ezután válassza a Stack létrehozása lehetőséget .
Ez az AWS CloudFormation verem létrehoz egy OIDC-identitásszolgáltatót (IdP), amely a Microsoft Entra STS-t és egy AWS IAM-szerepkört képvisel egy megbízhatósági szabályzattal, amely lehetővé teszi, hogy a Microsoft Entra-azonosító külső identitásai feltételezik azt az OIDC-azonosítón keresztül. Ezek az entitások az Erőforrások lapon jelennek meg.
Térjen vissza az Engedélykezeléshez, és az Engedélyek kezelése előkészítés – AWS OIDC-fiók beállítása lapon válassza a Tovább gombot.
3. Az AWS Management-fiók kapcsolatának beállítása (nem kötelező)
Ha a szervezet szolgáltatásvezérlési szabályzatokkal (SCP-kkel) rendelkezik, amelyek a tagfiókok egy részét vagy egészét szabályozzák, állítsa be a Felügyeleti fiók kapcsolatot az Engedélyek kezelése előkészítés – AWS felügyeleti fiók részletei lapon.
A Felügyeleti fiók kapcsolatának beállításával az Engedélyek kezelése automatikusan észleli és előkészíti a megfelelő Engedélykezelési szerepkörrel rendelkező AWS-tagfiókokat.
Az Engedélyek kezelése előkészítés – AWS felügyeleti fiók adatai lapon adja meg a felügyeleti fiók azonosítóját és a felügyeleti fiók szerepkörét.
Nyisson meg egy másik böngészőablakot, és jelentkezzen be a felügyeleti fiók AWS-konzoljára.
Térjen vissza az Engedélykezeléshez, és az Engedélyek kezelése előkészítés – AWS felügyeleti fiók részletei lapon válassza a Sablon indítása lehetőséget.
Megnyílik az AWS CloudFormation verem létrehozása lapja, amelyen megjelenik a sablon.
Tekintse át a sablon adatait, szükség esetén módosítsa, majd görgessen a lap aljára.
A Képességek mezőben válassza az Elismerem, hogy az AWS CloudFormation egyéni neveket tartalmazó IAM-erőforrásokat hozhat létre. Ezután válassza a Stack létrehozása lehetőséget.
Ez az AWS CloudFormation verem létrehoz egy szerepkört a felügyeleti fiókban a szükséges engedélyekkel (szabályzatokkal) az SCP-k gyűjtéséhez és a szervezet összes fiókjának listázásához.
Ezen a szerepkörön egy megbízhatósági szabályzat van beállítva, amely lehetővé teszi az AWS OIDC-fiókban létrehozott OIDC-szerepkör elérését. Ezek az entitások a CloudFormation verem Erőforrások lapján jelennek meg.
Térjen vissza az Engedélykezeléshez, és az Engedélyek kezelése előkészítés – AWS felügyeleti fiók adatai területen válassza a Tovább gombot.
4. Az AWS Central naplózási fiókkapcsolatának beállítása (nem kötelező, de ajánlott)
Ha a szervezet rendelkezik egy központi naplózási fiókkal, ahol a rendszer az AWS-fiók egy vagy egészéből származó naplókat tárolja, az Engedélyek kezelése előkészítés – AWS központi naplózási fiók adatai lapon állítsa be a naplózási fiók kapcsolatát.
Az Engedélyek kezelése előkészítés – AWS központi naplózási fiók adatai lapon adja meg a naplózási fiók azonosítóját és a naplózási fiók szerepkörét.
Egy másik böngészőablakban jelentkezzen be a központi naplózáshoz használt AWS-fiók AWS-konzoljára.
Térjen vissza az Engedélykezeléshez, és az Engedélyek kezelése előkészítés – AWS központi naplózási fiók részletei lapon válassza a Sablon indítása lehetőséget.
Megnyílik az AWS CloudFormation verem létrehozása lapja, amelyen megjelenik a sablon.
Tekintse át a sablon adatait, szükség esetén módosítsa, majd görgessen a lap aljára.
A Képességek mezőben válassza az Elismerem, hogy az AWS CloudFormation egyéni neveket tartalmazó IAM-erőforrásokat hozhat létre, majd válassza a Stack létrehozása lehetőséget.
Ez az AWS CloudFormation verem létrehoz egy szerepkört a naplózási fiókban a központi naplózáshoz használt S3-gyűjtők olvasásához szükséges engedélyekkel (szabályzatokkal). Ezen a szerepkörön egy megbízhatósági szabályzat van beállítva, amely lehetővé teszi az AWS OIDC-fiókban létrehozott OIDC-szerepkör elérését. Ezek az entitások a CloudFormation verem Erőforrások lapján jelennek meg.
Térjen vissza az Engedélykezeléshez, és az Engedélyek kezelése előkészítés – AWS központi naplózási fiók adatai lapon válassza a Tovább gombot.
5. AWS-tagfiók beállítása
Jelölje be az AWS egyszeri bejelentkezés engedélyezése jelölőnégyzetet, ha az AWS-fiók hozzáférése az AWS SSO-val van konfigurálva.
Az AWS-fiókok kezeléséhez három lehetőség közül választhat.
1. lehetőség: Automatikus kezelés
Ezt a lehetőséget választva automatikusan észlelheti és hozzáadhatja a figyelt fióklistát további konfiguráció nélkül. A fiókok listájának észlelésének és a gyűjtemény előkészítésének lépései:
- A felügyeleti fiók CFT (cloudformation sablon) üzembe helyezése, amely szervezeti fiókszerepkört hoz létre, amely engedélyt ad a korábban létrehozott OIDC-szerepkörnek a fiókok, szervezeti egységek és SCP-k listázására.
- Ha az AWS egyszeri bejelentkezés engedélyezve van, a szervezeti fiók CFT az AWS egyszeri bejelentkezés konfigurációs adatainak gyűjtéséhez szükséges szabályzatot is hozzáadja.
- Helyezze üzembe a tagfiók CFT-t az összes olyan fiókban, amelyet Microsoft Entra Engedélykezelés figyelnie kell. Ezek a műveletek létrehoznak egy fiókközi szerepkört, amely megbízik a korábban létrehozott OIDC-szerepkörben. A SecurityAudit-szabályzat az adatgyűjtéshez létrehozott szerepkörhöz van csatolva.
A talált aktuális vagy jövőbeli fiókok automatikusan fel lesznek készítve.
Az előkészítés állapotának megtekintése a konfiguráció mentése után:
- Lépjen az Adatgyűjtők lapra.
- Kattintson az adatgyűjtő állapotára.
- Fiókok megtekintése a Folyamatban lapon
2. lehetőség: Adja meg az engedélyezési rendszereket
Az Engedélyek kezelése előkészítés – AWS-tagfiók részletei lapon adja meg a tagfiók-szerepkört és a tagfiók azonosítóit.
Legfeljebb 100 fiókazonosítót adhat meg. További fiókazonosítók hozzáadásához kattintson a szövegmező melletti plusz ikonra.
Feljegyzés
Végezze el a következő lépéseket minden hozzáadott fiókazonosítóhoz:
Nyisson meg egy másik böngészőablakot, és jelentkezzen be a tagfiók AWS-konzoljára.
Térjen vissza az Engedélyek kezelése előkészítés – AWS-tagfiók részletei lapra , és válassza a Sablon indítása lehetőséget.
Megnyílik az AWS CloudFormation verem létrehozása lapja, amelyen megjelenik a sablon.
A CloudTrailBucketName lapon adjon meg egy nevet.
A CloudTrailBucketName nevet az AWS Trails lapjáról másolhatja és beillesztheti.
Feljegyzés
A felhőbeli gyűjtők egyetlen fiókban gyűjtik össze az engedélyek kezelése által figyelt összes tevékenységet. Itt adhatja meg egy felhőbeli gyűjtő nevét, hogy az Engedélyek kezelése rendelkezhessen a tevékenységadatok gyűjtéséhez szükséges hozzáféréssel.
A Vezérlő engedélyezése legördülő listában válassza a következőt:
- Igaz, ha azt szeretné, hogy a vezérlő olvasási és írási hozzáférést biztosítson az Engedélyek kezelése szolgáltatásnak, hogy az Engedélyek kezelése platformon végzett javítások automatikusan elvégezhetők legyenek.
- Hamis, ha azt szeretné, hogy a vezérlő írásvédett hozzáférést biztosítson az Engedélyek kezelése szolgáltatásnak.
Görgessen a lap aljára, és a Képességek mezőben válassza az Elismerem, hogy az AWS CloudFormation egyéni neveket tartalmazó IAM-erőforrásokat hozhat létre. Ezután válassza a Stack létrehozása lehetőséget.
Ez az AWS CloudFormation verem létrehoz egy gyűjtési szerepkört a tagfiókban az adatgyűjtéshez szükséges engedélyekkel (szabályzatokkal).
Ezen a szerepkörön egy megbízhatósági szabályzat van beállítva, amely lehetővé teszi az AWS OIDC-fiókban létrehozott OIDC-szerepkör elérését. Ezek az entitások a CloudFormation verem Erőforrások lapján jelennek meg.
Térjen vissza az Engedélykezeléshez, és az Engedélyek kezelése előkészítés – AWS-tagfiók részletei lapon válassza a Tovább gombot.
Ez a lépés befejezi a Microsoft Entra STS-ből az OIDC-kapcsolatfiókhoz és az AWS-tagfiókhoz szükséges kapcsolatok sorrendjét.
3. lehetőség: Engedélyezési rendszerek kiválasztása
Ez a beállítás észleli a korábban létrehozott OIDC szerepkör-hozzáféréssel elérhető összes AWS-fiókot.
- A felügyeleti fiók CFT (cloudformation sablon) üzembe helyezése, amely szervezeti fiókszerepkört hoz létre, amely engedélyt ad a korábban létrehozott OIDC-szerepkörnek a fiókok, szervezeti egységek és SCP-k listázására.
- Ha az AWS egyszeri bejelentkezés engedélyezve van, a szervezeti fiók CFT az AWS egyszeri bejelentkezés konfigurációs adatainak gyűjtéséhez szükséges szabályzatot is hozzáadja.
- Helyezze üzembe a tagfiók CFT-t az összes olyan fiókban, amelyet Microsoft Entra Engedélykezelés figyelnie kell. Ezek a műveletek létrehoznak egy fiókközi szerepkört, amely megbízik a korábban létrehozott OIDC-szerepkörben. A SecurityAudit-szabályzat az adatgyűjtéshez létrehozott szerepkörhöz van csatolva.
- Kattintson az Ellenőrzés és a Mentés gombra.
- Lépjen az újonnan létrehozott adatgyűjtő sorra az AWSdata-gyűjtők alatt.
- Kattintson az Állapot oszlopra, ha a sor Függő állapotú
- A gyűjtemény előkészítéséhez és elindításához válasszon ki konkrétakat az észlelt listából, és adja meg a gyűjtéshez való hozzájárulást.
6. Áttekintés és mentés
Az Engedélyek kezelése előkészítés – Összegzés területen tekintse át a hozzáadott információkat, majd válassza az Ellenőrzés most > Mentés lehetőséget.
A következő üzenet jelenik meg: Sikeresen létrehozott konfiguráció.
Az Adatgyűjtők irányítópulton a Legutóbb feltöltve oszlop a Gyűjtést jeleníti meg. A Legutóbb átalakítva oszlop a Feldolgozást jeleníti meg .
Az Engedélyek kezelése felhasználói felületen található állapotoszlop az adatgyűjtés melyik lépését mutatja be:
- Függőben: Az Engedélyek kezelése még nem kezdte el észlelni vagy előkészíteni.
- Felderítés: Az Engedélyek kezelése észleli az engedélyezési rendszereket.
- Folyamatban: Az Engedélyek kezelése befejezte az engedélyezési rendszerek észlelését, és előkészítés alatt áll.
- Előkészítés: Az adatgyűjtés befejeződött, és az összes észlelt engedélyezési rendszer be van kapcsolva az Engedélyek kezelése szolgáltatásba.
7. Az adatok megtekintése
Az adatok megtekintéséhez válassza az Engedélyezési rendszerek lapot.
A tábla Állapot oszlopa az adatgyűjtést jeleníti meg .
Az adatgyűjtési folyamat a legtöbb esetben körülbelül 4–5 órás időközönként történik. Az időkeret a rendelkezésre álló engedélyezési rendszer méretétől és a gyűjtéshez rendelkezésre álló adatok mennyiségétől függ.
Következő lépések
- A vezérlő engedélyezésével vagy letiltásával kapcsolatos információkért az előkészítés befejezése után lásd a vezérlő engedélyezését vagy letiltását ismertető témakört.
- Ha tudni szeretné, hogyan vehet fel fiókot/előfizetést/projektet az előkészítés befejezése után, olvassa el a Fiók/előfizetés/projekt hozzáadása az előkészítés befejezése után című témakört.