Bagikan melalui


Melakukan onboarding akun Amazon Web Services (AWS)

Artikel ini menjelaskan cara onboarding akun Amazon Web Services (AWS) di Manajemen Izin Microsoft Entra.

Catatan

Anda harus menjadi Administrator Manajemen Izin untuk melakukan tugas dalam artikel ini.

Penjelasan

Ada beberapa bagian yang bergerak di seluruh AWS dan Azure, yang harus dikonfigurasi sebelum onboarding.

  • Aplikasi Microsoft Entra OIDC
  • Akun AWS OIDC
  • Akun AWS Management (opsional)
  • Akun pengelogan AWS Central (opsional)
  • Peran AWS OIDC
  • Peran Akun Lintas AWS yang diasumsikan oleh peran OIDC

Melakukan onboarding akun AWS

  1. Jika dasbor pengumpul data dasbor tidak ditampilkan saat CloudKnox diluncurkan:

    • Di halaman beranda Manajemen Perizinan, pilih Pengaturan (ikon roda gigi), lalu pilih sub tab Pengumpul Data.
  2. Di dasbor Pengumpul Data, pilih AWS, lalu pilih Buat Konfigurasi.

1. Buat Aplikasi Microsoft Entra OIDC

  1. Pada halaman Onboarding Manajemen Izin - Pembuatan Aplikasi Microsoft Entra OIDC, masukkan nama aplikasi OIDC Azure.

    Aplikasi ini digunakan untuk menyiapkan koneksi OpenID Connect (OIDC) ke akun AWS Anda. OIDC adalah protokol autentikasi yang dapat dioperasikan berdasarkan spesifikasi OAuth 2.0. Skrip yang dihasilkan di halaman ini membuat aplikasi dari nama yang ditentukan ini di penyewa Microsoft Entra Anda dengan konfigurasi yang tepat.

  2. Untuk membuat pendaftaran aplikasi, salin skrip dan jalankan di aplikasi baris perintah Azure Anda.

    Catatan

    1. Untuk mengonfirmasi bahwa aplikasi telah dibuat, buka Pendaftaran aplikasi di Azure dan, pada tab Semua aplikasi, cari aplikasi Anda.
    2. Pilih nama aplikasi untuk membuka halaman Ekspos API. URI ID Aplikasi yang ditampilkan di halaman Ringkasan adalah nilai audiens yang digunakan saat membuat koneksi OIDC dengan akun AWS Anda.
  3. Kembali ke Manajemen Izin, dan di Onboarding Manajemen Izin - Pembuatan Aplikasi Microsoft Entra OIDC, pilih Berikutnya.

2. Siapkan akun AWS OIDC

  1. Di halaman Onboarding Manajemen Izin - Penyiapan Akun AWS OIDC, masukkan ID akun AWS OIDC tempat penyedia OIDC dibuat. Anda dapat mengubah nama peran sesuai kebutuhan Anda.

  2. Buka jendela browser lain dan masuk ke akun AWS tempat Anda ingin membuat penyedia OIDC.

  3. Pilih Luncurkan Templat. Tautan ini akan mengarahkan Anda ke halaman pembuatan tumpukan AWS CloudFormation.

  4. Gulir ke bagian bawah halaman, dan di kotak Kemampuan, pilih Saya mengonfirmasi bahwa AWS CloudFormation dapat membuat sumber daya IAM dengan nama kustom. Kemudian, pilih Buat Tumpukan.

    Tumpukan AWS CloudFormation ini membuat IdP (IdP) OIDC yang mewakili Microsoft Entra STS dan peran AWS IAM dengan kebijakan kepercayaan yang memungkinkan identitas eksternal dari ID Microsoft Entra untuk mengasumsikannya melalui IdP OIDC. Entitas ini tercantum di halaman Sumber Daya.

  5. Kembali ke Manajemen Izin, dan di halaman Onboarding Manajemen Izin - Penyiapan Akun AWS OIDC, pilih Berikutnya.

3. Siapkan koneksi akun AWS Management (Opsional)

  1. Jika organisasi Anda memiliki Kebijakan Kontrol Layanan (SCP) yang mengatur beberapa atau semua akun anggota, siapkan koneksi akun Manajemen di halaman Pengaturan Izin Onboarding - Detail Akun Manajemen AWS.

    Menyiapkan koneksi akun Manajemen memungkinkan Manajemen Izin mendeteksi dan menyetor akun anggota AWS apa pun yang memiliki peran Manajemen Izin yang benar.

  2. Di halaman Detail Akun Manajemen Izin - Aws Management, masukkan ID Akun Manajemen dan Peran Akun Manajemen.

  3. Buka jendela browser lain dan masuk ke konsol AWS untuk akun Manajemen Anda.

  4. Kembali ke Manajemen Izin, dan di halaman Manajemen Izin Onboarding - Detail Akun MANAJEMEN AWS, pilih Luncurkan Templat.

    Halaman pembuatan tumpukan AWS CloudFormation akan terbuka dengan menampilkan templat.

  5. Tinjau informasi dalam templat, buat perubahan jika perlu, lalu gulir ke bagian bawah halaman.

  6. Di kotak Kemampuan, pilih Saya mengonfirmasi bahwa AWS CloudFormation dapat membuat sumber daya IAM dengan nama kustom. Kemudian, pilih Buat tumpukan.

    Tumpukan AWS CloudFormation ini membuat peran di akun Manajemen dengan izin (kebijakan) yang diperlukan untuk mengumpulkan SCP dan mencantumkan semua akun di organisasi Anda.

    Kebijakan kepercayaan ditetapkan pada peran ini agar peran OIDC yang dibuat di akun OIDC AWS Anda dapat mengaksesnya. Entitas ini tercantum di tab Sumber Daya tumpukan CloudFormation Anda.

  7. Kembali ke Manajemen Izin, dan di Onboarding Manajemen Izin - Detail Akun MANAJEMEN AWS, pilih Berikutnya.

  1. Jika organisasi Anda memiliki akun pengelogan pusat tempat log dari beberapa atau semua akun AWS Anda disimpan, di halaman Onboarding Manajemen Izin - Detail Akun Pengelogan AWS Central, atur koneksi akun pengelogan.

    Di halaman Onboarding Manajemen Izin - Detail Akun Pengelogan AWS Central, masukkan ID Akun Pengelogan dan Peran Akun Pengelogan.

  2. Di jendela browser lain, masuk ke konsol AWS untuk akun AWS yang Anda gunakan untuk pengelogan pusat.

  3. Kembali ke Manajemen Izin, dan di halaman Onboarding Manajemen Izin - Detail Akun Pengelogan AWS Central, pilih Luncurkan Templat.

    Halaman pembuatan tumpukan AWS CloudFormation akan terbuka dengan menampilkan templat.

  4. Tinjau informasi dalam templat, buat perubahan jika perlu, lalu gulir ke bagian bawah halaman.

  5. Di kotak Kemampuan, pilih Saya mengonfirmasi bahwa CloudFormation AWS dapat membuat sumber daya IAM dengan nama kustom, lalu pilih Buat tumpukan.

    Tumpukan CloudFormation AWS ini akan membuat peran dalam akun pengelogan dengan izin (kebijakan) yang diperlukan untuk membaca wadah S3 yang digunakan untuk pengelogan pusat. Kebijakan kepercayaan ditetapkan pada peran ini agar peran OIDC yang dibuat di akun OIDC AWS Anda dapat mengaksesnya. Entitas ini tercantum di tab Sumber Daya tumpukan CloudFormation Anda.

  6. Kembali ke Manajemen Izin, dan di halaman Onboarding Manajemen Izin - Detail Akun Pengelogan AWS Central, pilih Berikutnya.

5. Siapkan akun anggota AWS

Pilih kotak centang Aktifkan AWS SSO, jika akses akun AWS dikonfigurasi melalui AWS SSO.

Pilih dari tiga opsi untuk mengelola akun AWS.

Opsi 1: Kelola secara otomatis

Pilih opsi ini untuk mendeteksi dan menambahkan ke daftar akun yang dipantau secara otomatis, tanpa konfigurasi tambahan. Langkah-langkah untuk mendeteksi daftar akun dan onboard untuk pengumpulan:

  • Sebarkan CFT akun Manajemen (templat Cloudformation) yang membuat peran akun organisasi yang memberikan izin ke peran OIDC yang dibuat sebelumnya untuk mencantumkan akun, OU, dan SCP.
  • Jika AWS SSO diaktifkan, CFT akun organisasi juga menambahkan kebijakan yang diperlukan untuk mengumpulkan detail konfigurasi AWS SSO.
  • Sebarkan CFT akun Anggota di semua akun yang perlu dipantau oleh Manajemen Izin Microsoft Entra. Tindakan ini membuat peran lintas akun yang mempercayai peran OIDC yang dibuat sebelumnya. Kebijakan SecurityAudit dilampirkan ke peran yang dibuat untuk pengumpulan data.

Setiap akun saat ini atau di masa mendatang yang ditemukan akan di-onboarding secara otomatis.

Untuk melihat status onboarding setelah menyimpan konfigurasi:

  • Buka tab Pengumpul Data.
  • Klik pada status pengumpul data.
  • Menampilkan akun di halaman Sedang Berlangsung

Opsi 2: Masukkan sistem otorisasi

  1. Di halaman Onboarding Manajemen Izin - Detail Akun Anggota AWS, masukkan Peran Akun Anggota dan ID Akun Anggota.

    Anda dapat memasukkan hingga 100 ID akun. Klik ikon plus di samping kotak teks untuk menambahkan lebih banyak ID akun.

    Catatan

    Lakukan langkah-langkah berikut untuk setiap ID akun yang Anda tambahkan:

  2. Buka jendela browser lain dan masuk ke konsol AWS untuk akun anggota.

  3. Kembali ke halaman Onboarding Manajemen Izin - Detail Akun Anggota AWS, pilih Luncurkan Templat.

    Halaman pembuatan tumpukan AWS CloudFormation akan terbuka dengan menampilkan templat.

  4. Di halaman CloudTrailBucketName, masukkan nama.

    Anda dapat menyalin dan menempelkan nama CloudTrailBucketName dari halaman Jejak di AWS.

    Catatan

    Wadah cloud mengumpulkan semua aktivitas dalam satu akun yang dipantau Manajemen Izin. Masukkan nama ember cloud di sini untuk memberikan Manajemen Izin akses yang diperlukan untuk mengumpulkan data aktivitas.

  5. Dari menu drop-down Aktifkan Pengontrol, pilih:

    • Benar, jika Anda ingin pengontrol memberikan akses baca dan tulis kepada Manajemen Izin sehingga setiap perbaikan yang ingin Anda lakukan dari platform Manajemen Izin dapat dilakukan secara otomatis.
    • Salah, jika Anda ingin pengontrol memberikan akses baca-saja kepada Manajemen Izin.
  6. Gulir ke bagian bawah halaman, dan di kotak Kemampuan, pilih Saya mengonfirmasi bahwa AWS CloudFormation dapat membuat sumber daya IAM dengan nama kustom. Kemudian, pilih Buat tumpukan.

    Tumpukan CloudFormation AWS ini akan membuat peran pengumpulan di akun anggota dengan izin (kebijakan) yang diperlukan untuk pengumpulan data.

    Kebijakan kepercayaan ditetapkan pada peran ini agar peran OIDC yang dibuat di akun OIDC AWS Anda dapat mengaksesnya. Entitas ini tercantum di tab Sumber Daya tumpukan CloudFormation Anda.

  7. Kembali ke Manajemen Izin, dan di halaman Onboarding Manajemen Izin - Detail Akun Anggota AWS, pilih Berikutnya.

    Langkah ini menyelesaikan urutan koneksi yang diperlukan dari Microsoft Entra STS ke akun koneksi OIDC dan akun anggota AWS.

Opsi 3: Pilih sistem otorisasi

Opsi ini mendeteksi semua akun AWS yang dapat diakses melalui akses peran OIDC yang dibuat sebelumnya.

  • Sebarkan CFT akun Manajemen (templat Cloudformation) yang membuat peran akun organisasi yang memberikan izin ke peran OIDC yang dibuat sebelumnya untuk mencantumkan akun, OU, dan SCP.
  • Jika AWS SSO diaktifkan, CFT akun organisasi juga menambahkan kebijakan yang diperlukan untuk mengumpulkan detail konfigurasi AWS SSO.
  • Sebarkan CFT akun Anggota di semua akun yang perlu dipantau oleh Manajemen Izin Microsoft Entra. Tindakan ini membuat peran lintas akun yang mempercayai peran OIDC yang dibuat sebelumnya. Kebijakan SecurityAudit dilampirkan ke peran yang dibuat untuk pengumpulan data.
  • Klik Verifikasi dan Simpan.
  • Buka baris Pengumpul Data yang baru dibuat di bawah pengumpul AWSdata.
  • Klik kolom Status saat baris memiliki status Tertunda
  • Untuk mengaktifkan dan memulai pengumpulan, pilih yang spesifik dari daftar yang terdeteksi dan izinkan untuk pengumpulan.

6. Tinjau dan simpan

  1. Di Onboarding Manajemen Izin – Ringkasan, tinjau informasi yang telah Anda tambahkan, lalu pilih Verifikasi Sekarang & Simpan.

    Pesan berikut muncul: Berhasil membuat konfigurasi.

    Di dasbor Pengumpul Data, kolom Baru Diunggah Pada menampilkan Mengumpulkan. Kolom Baru Diubah Pada menampilkan Memproses.

    Kolom status di UI Manajemen Izin memperlihatkan kepada Anda langkah pengumpulan data mana yang Anda gunakan:

    • Tertunda: Manajemen Izin belum mulai mendeteksi atau onboarding.
    • Penemuan: Manajemen Izin mendeteksi sistem otorisasi.
    • Sedang berlangsung: Manajemen Izin telah selesai mendeteksi sistem otorisasi dan sedang onboarding.
    • Onboarded: Pengumpulan data selesai, dan semua sistem otorisasi yang terdeteksi di-onboard ke Manajemen Izin.

7. Lihat datanya

  1. Untuk melihat data, pilih tab Sistem Otorisasi.

    Kolom Status dalam tabel menampilkan Mengumpulkan Data.

    Proses pengumpulan data membutuhkan waktu dan terjadi dalam interval sekitar 4-5 jam dalam banyak kasus. Jangka waktu tergantung pada ukuran sistem otorisasi yang Anda miliki dan berapa banyak data yang tersedia untuk pengumpulan.

Langkah berikutnya