Amazon Web Services (AWS) アカウントをオンボードする

この記事では、Permissions Management でアマゾン ウェブ サービス (AWS) アカウントをオンボードする方法について説明します。

注意

全体管理者が Azure Active Directory テナントでの Permissions Management の有効化に関する記事で説明されている手順を最初に完了した後に、"全体管理者" または "スーパー管理者" (すべての種類の認可システムの管理者) がこの記事のタスクを実行できます。

AWS アカウントをオンボードする

  1. Permissions Management の起動時に [データ コレクター] ダッシュボードが表示されない場合:

    • Permissions Management のホーム ページで、[設定] (歯車アイコン) を選択し、[データ コレクター] サブタブを選択します。
  2. [データ コレクター] ダッシュボードで、[AWS] を選択し、[構成の作成] を選択します。

1. Azure AD OIDC アプリを作成する

  1. [Permissions Management Onboarding - Azure AD OIDC App Creation](Permissions Management のオンボード - Azure AD OIDC アプリの作成) ページで、[OIDC Azure app name](OIDC Azure アプリ名) を入力します。

    このアプリは、AWS アカウントへの OpenID Connect (OIDC) 接続を設定するために使用します。 OIDC は、OAuth 2.0 ファミリの仕様をベースにした相互運用可能な認証プロトコルです。 このページで生成されたスクリプトは、Azure ADテナントでこの指定された名前のアプリを、正しい構成を使用して作成します。

  2. アプリ登録を作成するには、スクリプトをコピーして、それを Azure コマンド ライン アプリで実行します。

    Note

    1. アプリが作成されたことを確認するには、Azure で [アプリの登録] を開き、[すべてのアプリケーション] タブでアプリを見つけます。
    2. アプリ名を選択して [API の公開] ページを開きます。 [概要] ページに表示される [アプリケーション ID URI] は、AWS アカウントで OIDC 接続を行うときに使用される "対象ユーザー値" です。
  3. Permissions Management に戻り、[Permissions Management Onboarding - Azure AD OIDC App Creation](Permissions Management のオンボード - Azure AD OIDC アプリの作成)[次へ] を選択します。

2. AWS OIDC アカウントを設定する

  1. [Permissions Management Onboarding - AWS OIDC Account Setup](Permissions Management のオンボード - AWS OIDC アカウントのセットアップ) ページで、OIDC プロバイダーが作成される AWS OIDC アカウント ID を入力します。 ロール名は要件に応じて変更できます。

  2. 別のブラウザー ウィンドウを開き、OIDC プロバイダーを作成する AWS アカウントにサインインします。

  3. [テンプレートの起動] を選択します。 このリンクをクリックすると、[AWS CloudFormation スタック作成] ページに移動します。

  4. ページの一番下までスクロールし、[機能] ボックスで [AWS CloudFormation がカスタム名を持つ IAM リソースを作成することを承認する] を選択します。 次に [スタックの作成] を選択します。

    この AWS CloudFormation スタックでは、Azure AD STS を表す OIDC ID プロバイダー (IdP) と、Azure AD から外部 ID が OIDC IdP を介してそれを想定できるようになる信頼ポリシーを持つ AWS IAM ロールが作成されます。 これらのエンティティは、[リソース] ページに一覧表示されます。

  5. Permissions Management に戻り、[Permissions Management Onboarding - AWS OIDC Account Setup](Permissions Management のオンボード - AWS OIDC アカウントのセットアップ) ページで [次へ] を選択します。

3. AWS マスター アカウントを設定する (省略可能)

  1. 組織に、一部またはすべてのメンバー アカウントを管理するサービス制御ポリシー (SCP) がある場合は、[Permissions Management Onboarding - AWS Master Account Details](\Permissions Management のオンボード - AWS マスター アカウントの詳細) ページでマスター アカウント接続を設定します。

    マスター アカウント接続を設定することで、Permissions Management が、正しい Permissions Management ロールを持つ AWS メンバー アカウントを自動検出してオンボードできるようになります。

    • [Permissions Management Onboarding - AWS Master Account Details](Permissions Management のオンボード - AWS マスター アカウントの詳細) ページで、[マスター アカウント ID][マスター アカウント ロール] を入力します。
  2. 別のブラウザー ウィンドウを開き、マスター アカウントの AWS コンソールにサインインします。

  3. Permissions Management に戻り、[Permissions Management Onboarding - AWS Master Account Details](Permissions Management のオンボード - AWS マスター アカウントの詳細) ページで [テンプレートの起動] を選択します。

    [AWS CloudFormation スタック作成] ページが開いて、テンプレートが表示されます。

  4. テンプレートの情報を確認し、必要に応じて変更を加え、ページの下部までスクロールします。

  5. [機能] ボックスで、[AWS CloudFormation がカスタム名を持つ IAM リソースを作成することを承認する] を選択します。 次に [スタックの作成] を選択します。

    この AWS CloudFormation スタックは、SCP を収集し、組織内のすべてのアカウントを一覧表示するために必要なアクセス許可 (ポリシー) を持つロールをマスター アカウントに作成します。

    このロールには信頼ポリシーが設定されています。これにより、AWS OIDC アカウントで作成された OIDC ロールが、このロールにアクセスできます。 これらのエンティティは、CloudFormation スタックの [リソース] タブにリストされます。

  6. Permissions Management に戻り、[Permissions Management Onboarding - AWS Master Account Details](Permissions Management のオンボード - AWS マスター アカウントの詳細) で、[次へ] を選択します。

  1. 組織に、一部またはすべての AWS アカウントのログが格納されている中央ロギング アカウントがある場合は、[Permissions Management Onboarding - AWS Central Logging Account Details](Permissions Management のオンボード - AWS Central ロギング アカウントの詳細) ページで、ロギング アカウント接続を設定します。

    [Permissions Management Onboarding - AWS Central Logging Account Details](Permissions Management のオンボード - AWS Central ロギング アカウントの詳細) ページで、[ロギング アカウント ID][ロギング アカウント ロール] を入力します。

  2. 別のブラウザー ウィンドウで、中央ロギングに使用する AWS アカウントの AWS コンソールにサイン インします。

  3. Permissions Management に戻り、[Permissions Management Onboarding - AWS Central Logging Account Details](Permissions Management のオンボード - AWS Central ロギング アカウントの詳細) ページで [テンプレートの起動] を選択します。

    [AWS CloudFormation スタック作成] ページが開いて、テンプレートが表示されます。

  4. テンプレートの情報を確認し、必要に応じて変更を加え、ページの下部までスクロールします。

  5. [機能] ボックスで、[AWS CloudFormation がカスタム名を持つ IAM リソースを作成することを承認する] を選択してから、[スタックの作成] を選択します。

    この AWS CloudFormation スタックは、中央ロギングに使用される S3 バケットを読み取るのに必要なアクセス許可 (ポリシー) を持つロールをロギング アカウントに作成します。 このロールには信頼ポリシーが設定されています。これにより、AWS OIDC アカウントで作成された OIDC ロールが、このロールにアクセスできます。 これらのエンティティは、CloudFormation スタックの [リソース] タブにリストされます。

  6. Permissions Management に戻り、[Permissions Management Onboarding - AWS Central Logging Account Details](Permissions Management のオンボード - AWS Central ロギング アカウントの詳細) ページで、[次へ] を選択します。

5. AWS メンバー アカウントを設定する

AWS アカウントのアクセスが AWS SSO を使用して構成されている場合は、[AWS SSO を有効にする] チェック ボックスをオンにします。

AWS アカウントを管理するには、3 つのオプションから選択します。

オプション 1: 自動的に管理する

このオプションを選択すると、監視対象アカウントのリストが自動的に検出され、追加の構成なしで追加されます。 アカウントのリストを検出し、収集のためにオンボードする手順は、次のとおりです。

  • マスター アカウント CFT (Cloudformation テンプレート) をデプロイします。このテンプレートでは、先ほど作成した OIDC ロールにアクセス許可を付与する組織アカウント ロールを作成し、アカウント、OU、SCP を一覧表示します。
  • AWS SSO が有効になっている場合、組織アカウント CFT では、AWS SSO 構成の詳細を収集するために必要なポリシーも追加されます。
  • Entra 権限管理で監視する必要があるすべてのアカウントにメンバー アカウント CFT をデプロイします。 これにより、先ほど作成した OIDC ロールを信頼するクロス アカウント ロールが作成されます。 SecurityAudit ポリシーは、データ収集用に作成されたロールにアタッチされます。

見つかった現在または将来のアカウントはすべて自動的にオンボードされます。

構成を保存した後にオンボードの状態を表示するには、次の手順に従います。

  • [データ コレクター] タブに移動します。
  • データ コレクターの状態をクリックします。
  • [進行中] ページでアカウントを表示します

オプション 2: 認可システムを入力する

  1. [Permissions Management Onboarding - AWS Member Account Details](Permissions Management のオンボード - AWS メンバー アカウントの詳細) ページで、[メンバー アカウント ロール][メンバー アカウント ID] を入力します。

    最大 10 のアカウント ID を入力できます。 テキスト ボックスの横にあるプラス アイコンをクリックして、アカウント ID を追加します。

    Note

    追加するアカウント ID ごとに、次の 6 つの手順を実行します。

  2. 別のブラウザー ウィンドウを開き、メンバー アカウントの AWS コンソールにサインインします。

  3. [Permissions Management Onboarding - AWS Member Account Details](Permissions Management のオンボード - AWS メンバー アカウントの詳細) ページで、[テンプレートの起動] を選択します。

    [AWS CloudFormation スタック作成] ページが開いて、テンプレートが表示されます。

  4. [CloudTrailBucketName] ページに、名前を入力します。

    AWS の [証跡] ページから [CloudTrailBucketName] 名をコピーして貼り付けることができます。

    Note

    クラウド バケット により、Permissions Management が監視する 1 つのアカウントのすべてのアクティビティが収集されます。 ここにクラウド バケットの名前を入力して、アクティビティ データを収集するために必要なアクセス許可を Permissions Management に付与します。

  5. [Enable Controller] (コントローラーの有効化) ドロップダウンから、以下を選択します。

    • コントローラーで、Permissions Management に読み取りと書き込みのアクセス権を付与する場合は [True]。これにより、Permissions Management プラットフォームから行う修復を自動的に実行できます。
    • コントローラーで、Permissions Management に読み取り専用アクセス権を付与する場合は [False]
  6. ページの一番下までスクロールし、[機能] ボックスで [AWS CloudFormation がカスタム名を持つ IAM リソースを作成することを承認する] を選択します。 次に [スタックの作成] を選択します。

    この AWS CloudFormation スタックにより、データ収集に必要なアクセス許可 (ポリシー) を持つ収集ロールがメンバー アカウントに作成されます。

    このロールには信頼ポリシーが設定されています。これにより、AWS OIDC アカウントで作成された OIDC ロールが、このロールにアクセスできます。 これらのエンティティは、CloudFormation スタックの [リソース] タブにリストされます。

  7. Permissions Management に戻り、[Permissions Management Onboarding - AWS Member Account Details](Permissions Management のオンボード - AWS メンバー アカウントの詳細) ページで、[次へ] を選択します。

    この手順では、Azure AD STS から OIDC 接続アカウントおよび AWS メンバー アカウントへの必要な接続のシーケンスを完了します。

オプション 3: 認可システムを選択する

このオプションでは、前に作成した OIDC ロール アクセスを通じてアクセス可能なすべての AWS アカウントが検出されます。

  • マスター アカウント CFT (Cloudformation テンプレート) をデプロイします。このテンプレートでは、先ほど作成した OIDC ロールにアクセス許可を付与する組織アカウント ロールを作成し、アカウント、OU、SCP を一覧表示します。
  • AWS SSO が有効になっている場合、組織アカウント CFT では、AWS SSO 構成の詳細を収集するために必要なポリシーも追加されます。
  • Entra 権限管理で監視する必要があるすべてのアカウントにメンバー アカウント CFT をデプロイします。 これにより、先ほど作成した OIDC ロールを信頼するクロス アカウント ロールが作成されます。 SecurityAudit ポリシーは、データ収集用に作成されたロールにアタッチされます。
  • [確認して保存] をクリックします。
  • AWSdata コレクターの下で新しく作成するデータ コレクター行に移動します。
  • 行の状態が "保留中" の場合は、[状態] 列をクリックします
  • オンボードして収集を開始するには、検出されたリストから特定のものを選択し、収集に同意します。

6. 確認して保存する

  1. [Permissions Management Onboarding – Summary](Permissions Management のオンボード – 概要) で、追加した情報を確認して、[すぐに確認して保存] を選択します。

    メッセージ「Successfully created configuration (構成が正常に作成されました)」が表示されます。

    [データ コレクター] ダッシュボードの [Recently Uploaded On] (最近のアップロード日) 列に収集中と表示されます。 [Recently Transformed On] (最近の変換日) 列に処理中と表示されます。

    これで AWS のオンボードは完了です。Permissions Management によってデータの収集と処理が開始されています。

7. データを表示する

  1. データを表示するには、[Authorization Systems] (認可システム) タブを選択します。

    テーブルの [状態] 列に [Collecting Data] (データを収集中) と表示されます。

    アカウントのサイズと収集に使用できるデータの量によっては、データ収集プロセスに時間がかかる場合があります。

次のステップ