Amazon Web Services- (AWS-) fiók előkészítése

Ez a cikk azt ismerteti, hogyan lehet előkészíteni egy Amazon Web Services- (AWS-) fiókot az Engedélyek kezelése szolgáltatásban.

Megjegyzés

A globális rendszergazda vagy a gyökérfelhasználó (az összes engedélyezési rendszertípus rendszergazdája) elvégezheti a cikkben szereplő feladatokat, miután a globális rendszergazda először elvégezte az Engedélyek kezelése engedélyezése az Azure Active Directory-bérlőn című cikkben leírt lépéseket.

Magyarázat

Az AWS-ben és az Azure-ban számos mozgó alkatrészt kell konfigurálni az előkészítés előtt.

• Azure AD OIDC-alkalmazás
• AWS OIDC-fiók
• Egy (nem kötelező) AWS-főfiók
• (nem kötelező) AWS Central-naplózási fiók
• AWS OIDC-szerepkör
• Az OIDC-szerepkör által feltételezett AWS-fiókközi szerepkör

AWS-fiók előkészítése

1. Ha az Adatgyűjtők irányítópult nem jelenik meg az Engedélykezelés indításakor:

   • Az Engedélyek kezelése kezdőlapon válassza a Beállítások (fogaskerék ikon), majd az Adatgyűjtők almenüt.

2. Az Adatgyűjtők irányítópulton válassza az AWS, majd a Konfiguráció létrehozása lehetőséget.

1. Azure AD OIDC-alkalmazás létrehozása

1. Az Engedélyek kezelése előkészítés – Azure AD OIDC-alkalmazás létrehozása lapon adja meg az OIDC Azure-alkalmazás nevét.

   Ez az alkalmazás openID Connect -kapcsolat (OIDC) beállítására szolgál az AWS-fiókhoz. Az OIDC az OAuth 2.0 specifikációcsaládon alapuló, együttműködésre alkalmas hitelesítési protokoll. Az ezen a lapon létrehozott szkriptek a megfelelő konfigurációval hozzák létre a megadott nevű alkalmazást a Azure AD bérlőben.

2. Az alkalmazásregisztráció létrehozásához másolja ki a szkriptet, és futtassa az Azure parancssori alkalmazásban.

   Megjegyzés

   1. Az alkalmazás létrehozásának ellenőrzéséhez nyissa meg a Alkalmazásregisztrációk az Azure-ban, és a Minden alkalmazás lapon keresse meg az alkalmazást.
   2. Válassza ki az alkalmazás nevét az API közzététele lap megnyitásához. Az Áttekintés lapon megjelenő alkalmazásazonosító URI az AWS-fiókkal való OIDC-kapcsolat létrehozásakor használt célközönségérték.

3. Térjen vissza az Engedélykezeléshez, és az Engedélyek kezelése előkészítés – Azure AD OIDC-alkalmazás létrehozása területen válassza a Tovább gombot.

2. AWS OIDC-fiók beállítása

1. Az Engedélyek kezelése előkészítés – AWS OIDC-fiók beállítása lapon adja meg azt az AWS OIDC-fiókazonosítót , ahol az OIDC-szolgáltató létrejön. A szerepkör nevét módosíthatja a követelményekre.

2. Nyisson meg egy másik böngészőablakot, és jelentkezzen be arra az AWS-fiókra, ahol létre szeretné hozni az OIDC-szolgáltatót.

3. Válassza a Sablon indítása lehetőséget. Ez a hivatkozás az AWS CloudFormation verem létrehozására szolgáló lapjára irányítja.

4. Görgessen a lap aljára, és a Képességek mezőben válassza az Elismerem, hogy az AWS CloudFormation egyéni névvel rendelkező IAM-erőforrásokat hozhat létre. Ezután válassza a Stack létrehozása lehetőséget.

   Ez az AWS CloudFormation verem létrehoz egy OIDC Identity Provider (IdP) elemet, amely Azure AD STS-t és egy AWS IAM-szerepkört képvisel egy megbízhatósági szabályzattal, amely lehetővé teszi, hogy az Azure AD külső identitásai az OIDC idP-n keresztül feltételezik azt. Ezek az entitások az Erőforrások lapon jelennek meg.

5. Térjen vissza az Engedélykezelés területre, és az Engedélyek kezelése előkészítés – AWS OIDC-fiók beállítása lapon válassza a Tovább gombot.

3. Az AWS-főfiók kapcsolatának beállítása (nem kötelező)

1. Ha a szervezet olyan szolgáltatásvezérlési szabályzatokkal (SCP-kkel) rendelkezik, amelyek a tagfiókok egy részét vagy egészét szabályozzák, állítsa be a fő fiókkapcsolatot az Engedélyek kezelése előkészítés – AWS-főfiók részletei lapon.

   A fő fiókkapcsolat beállítása lehetővé teszi, hogy az Engedélyek kezelése automatikusan észlelje és előkészítse a megfelelő Engedélykezelési szerepkörrel rendelkező AWS-tagfiókokat.

2. Az Engedélyek kezelése előkészítés – AWS-főfiók részletei lapon adja meg a fő fiók azonosítóját és a fő fiókszerepkört.

3. Nyisson meg egy másik böngészőablakot, és jelentkezzen be a fő fiók AWS-konzoljára.

4. Térjen vissza az Engedélykezeléshez, és az Engedélykezelés előkészítés – AWS főfiók részletei lapon válassza a Sablon indítása lehetőséget.

   Megnyílik az AWS CloudFormation create stack (AWS CloudFormation létrehozása) lap, amelyen megjelenik a sablon.

5. Tekintse át a sablonban található információkat, szükség esetén végezze el a módosításokat, majd görgessen a lap aljára.

6. A Képességek mezőben válassza az Elismerem, hogy az AWS CloudFormation egyéni névvel rendelkező IAM-erőforrásokat hozhat létre. Ezután válassza a Verem létrehozása lehetőséget.

   Ez az AWS CloudFormation verem létrehoz egy szerepkört a fő fiókban a szükséges engedélyekkel (szabályzatokkal) az SCP-k gyűjtéséhez és a szervezet összes fiókjának listázásához.

   Ezen a szerepkörön be van állítva egy megbízhatósági szabályzat, amely engedélyezi az AWS OIDC-fiókban létrehozott OIDC-szerepkör hozzáférését. Ezek az entitások a CloudFormation verem Erőforrások lapján jelennek meg.

7. Térjen vissza az Engedélykezeléshez, és az Engedélykezelés előkészítés – AWS főfiók részletei területen válassza a Tovább lehetőséget.

4. Az AWS Central naplózási fiókkapcsolatának beállítása (nem kötelező, de ajánlott)

1. Ha a szervezet rendelkezik egy központi naplózási fiókkal, ahol az AWS-fiók egy részének vagy egészének naplói vannak tárolva, az Engedélyek kezelése előkészítés – AWS központi naplózási fiók adatai lapon állítsa be a naplózási fiókkapcsolatot.

   Az Engedélyek kezelése előkészítés – AWS központi naplózási fiók adatai lapon adja meg a naplózási fiók azonosítóját és a naplózási fiók szerepkörét.

2. Egy másik böngészőablakban jelentkezzen be a központi naplózáshoz használt AWS-fiók AWS-konzoljára.

3. Térjen vissza az Engedélykezeléshez, és az Engedélyek kezelése előkészítés – AWS központi naplózási fiók részletei lapon válassza a Sablon indítása lehetőséget.

   Megnyílik az AWS CloudFormation create stack (AWS CloudFormation létrehozása) lap, amelyen megjelenik a sablon.

4. Tekintse át a sablonban található információkat, szükség esetén végezze el a módosításokat, majd görgessen a lap aljára.

5. A Képességek mezőben válassza az Elismerem, hogy az AWS CloudFormation egyéni névvel rendelkező IAM-erőforrásokat hozhat létre, majd válassza a Verem létrehozása lehetőséget.

   Ez az AWS CloudFormation verem létrehoz egy szerepkört a naplózási fiókban a központi naplózáshoz használt S3-gyűjtők olvasásához szükséges engedélyekkel (szabályzatokkal). Ezen a szerepkörön be van állítva egy megbízhatósági szabályzat, amely engedélyezi az AWS OIDC-fiókban létrehozott OIDC-szerepkör hozzáférését. Ezek az entitások a CloudFormation verem Erőforrások lapján jelennek meg.

6. Térjen vissza az Engedélykezelés területre, és az Engedélyek kezelése előkészítés – AWS központi naplózási fiók adatai lapon válassza a Tovább lehetőséget.

5. AWS-tagfiók beállítása

Jelölje be az AWS SSO engedélyezése jelölőnégyzetet, ha az AWS-fiókhoz való hozzáférés AWS SSO-val van konfigurálva.

Három lehetőség közül választhat az AWS-fiókok kezeléséhez.

1. lehetőség: Automatikus kezelés

Ezt a lehetőséget választva automatikusan észlelheti és hozzáadhatja a figyelt fióklistához további konfiguráció nélkül. A fiókok listájának észlelésének és a gyűjtés előkészítésének lépései:

• Helyezze üzembe a fő fiók CFT-ját (cloudformation sablon), amely szervezeti fiókszerepkört hoz létre, amely engedélyt ad a korábban létrehozott OIDC-szerepkörnek a fiókok, szervezeti egységek és SCP-k listázásához.
• Ha az AWS SSO engedélyezve van, a szervezeti fiók CFT az AWS SSO konfigurációs adatainak gyűjtéséhez szükséges szabályzatot is hozzáadja.
• Helyezze üzembe a tagfiók CFT-t az összes olyan fiókban, amelyet az Entra Engedélykezelésnek figyelnie kell. Ezek a műveletek létrehoznak egy fiókközi szerepkört, amely megbízik a korábban létrehozott OIDC-szerepkörben. A SecurityAudit szabályzat az adatgyűjtéshez létrehozott szerepkörhöz van csatolva.

A talált aktuális vagy jövőbeli fiókokat automatikusan előkészíti a rendszer.

Az előkészítés állapotának megtekintése a konfiguráció mentése után:

• Lépjen az Adatgyűjtők lapra.
• Kattintson az adatgyűjtő állapotára.
• Fiókok megtekintése a Folyamatban lapon

2. lehetőség: Adja meg az engedélyezési rendszereket

1. Az Engedélyek kezelése előkészítés – AWS-tagfiók részletei lapon adja meg a tagfiók-szerepkört és a tagfiók azonosítóit.

   Legfeljebb 10 fiókazonosítót adhat meg. További fiókazonosítók hozzáadásához kattintson a szövegdoboz melletti plusz ikonra.

   Megjegyzés

   Hajtsa végre a következő 6 lépést minden hozzáadott fiókazonosítóhoz.

2. Nyisson meg egy másik böngészőablakot, és jelentkezzen be a tagfiók AWS-konzoljára.

3. Térjen vissza az Engedélyek kezelése előkészítés – AWS-tagfiók részletei lapra, és válassza a Sablon indítása lehetőséget.

   Megnyílik az AWS CloudFormation create stack (AWS CloudFormation létrehozása) lap, amelyen megjelenik a sablon.

4. A CloudTrailBucketName lapon adjon meg egy nevet.

   A CloudTrailBucketName nevet az AWS Trails oldaláról másolhatja és beillesztheti.

   Megjegyzés

   A felhőbeli gyűjtők egyetlen fiókban gyűjtik össze az Engedélyek kezelése által figyelt összes tevékenységet. Itt adhatja meg egy felhőbeli gyűjtő nevét, hogy az Engedélyek kezelése biztosítsa a tevékenységadatok gyűjtéséhez szükséges hozzáférést.

5. A Vezérlő engedélyezése legördülő menüben válassza a következőt:

   • Igaz, ha azt szeretné, hogy a vezérlő olvasási és írási hozzáférést biztosítson az Engedélyek kezelése szolgáltatásnak, hogy az Engedélyek kezelése platformon végzett összes szervizelés automatikusan elvégezhető legyen.
   • Hamis, ha azt szeretné, hogy a vezérlő írásvédett hozzáférést biztosítson az Engedélyek kezelése szolgáltatásnak.

6. Görgessen a lap aljára, és a Képességek mezőben válassza az Elismerem, hogy az AWS CloudFormation egyéni névvel rendelkező IAM-erőforrásokat hozhat létre. Ezután válassza a Verem létrehozása lehetőséget.

   Ez az AWS CloudFormation verem gyűjtési szerepkört hoz létre a tagfiókban az adatgyűjtéshez szükséges engedélyekkel (szabályzatokkal).

   Ezen a szerepkörön egy megbízhatósági szabályzat van beállítva, amely lehetővé teszi az AWS OIDC-fiókban létrehozott OIDC-szerepkör elérését. Ezek az entitások a CloudFormation verem Erőforrások lapján találhatók.

7. Térjen vissza az Engedélyek kezelése területre, és az Engedélyek kezelése előkészítés – AWS-tagfiók részletei lapon válassza a Tovább gombot.

   Ez a lépés befejezi a szükséges kapcsolatok sorozatát Azure AD STS-ből az OIDC-kapcsolatfiókba és az AWS-tagfiókba.

3. lehetőség: Engedélyezési rendszerek kiválasztása

Ez a beállítás észleli a korábban létrehozott OIDC-szerepkör-hozzáféréssel elérhető összes AWS-fiókot.

• Helyezze üzembe a fő fiók CFT-jének (Cloudformation sablon) üzembe helyezését, amely szervezeti fiók szerepkört hoz létre, amely engedélyt ad a korábban létrehozott OIDC-szerepkörnek a fiókok, szervezeti egységek és SCP-k listázásához.
• Ha az AWS SSO engedélyezve van, a szervezeti fiók CFT-je az AWS SSO konfigurációs adatainak gyűjtéséhez szükséges szabályzatot is hozzáadja.
• A tagfiók CFT-jének üzembe helyezése minden olyan fiókban, amelyet az Entra Engedélykezelésnek figyelnie kell. Ezek a műveletek létrehoznak egy fiókközi szerepkört, amely megbízik a korábban létrehozott OIDC-szerepkörben. A SecurityAudit-szabályzat az adatgyűjtéshez létrehozott szerepkörhöz van csatolva.
• Kattintson az Ellenőrzés és mentés gombra.
• Lépjen az újonnan létrehozott adatgyűjtő sorra az AWSdata-gyűjtők alatt.
• Kattintson az Állapot oszlopra, ha a sor "Függőben" állapotú
• A gyűjtemény előkészítéséhez és elindításához válasszon ki konkrétakat az észlelt listából, és adja meg a gyűjtés jóváhagyását.

6. Áttekintés és mentés

1. Az Engedélyek kezelése előkészítés – Összegzés területen tekintse át a hozzáadott adatokat, majd válassza a Mentés ellenőrzése &lehetőséget.

   A következő üzenet jelenik meg: Sikeres konfiguráció létrehozása.

   Az Adatgyűjtőkirányítópulton a Legutóbb feltöltve oszlop a Gyűjtést jeleníti meg. A Legutóbb átalakítva oszlop a Feldolgozást jeleníti meg.

   Ezzel befejezte az AWS előkészítését, és az Engedélyek kezelése megkezdte az adatok gyűjtését és feldolgozását.

7. Az adatok megtekintése

1. Az adatok megtekintéséhez válassza az Engedélyezési rendszerek lapot.

   A tábla Állapot oszlopa az Adatgyűjtést jeleníti meg.

   Az adatgyűjtési folyamat eltarthat egy ideig a fiók méretétől és az adatgyűjtéshez rendelkezésre álló adatok mennyiségétől függően.

Következő lépések

• A Microsoft Azure-előfizetések előkészítésével kapcsolatos információkért lásd: Microsoft Azure-előfizetés előkészítése.
• A Google Cloud Platform (GCP) projekt előkészítéséről további információt a Google Cloud Platform (GCP) projekt előkészítése című témakörben talál.
• A vezérlő engedélyezésével vagy letiltásával kapcsolatos információkért az előkészítés befejezése után lásd: A vezérlő engedélyezése vagy letiltása.
• További információ arról, hogyan adhat hozzá fiókot/előfizetést/projektet az előkészítés befejezése után: Fiók/előfizetés/projekt hozzáadása az előkészítés befejezése után.