Een AWS-account (Amazon Web Services) onboarden
In dit artikel wordt beschreven hoe u een AWS-account (Amazon Web Services) onboardt in Microsoft Entra-machtigingsbeheer.
Notitie
U moet een machtigingsbeheer-Beheer istrator zijn om de taken in dit artikel uit te voeren.
Uitleg
Er zijn verschillende bewegende onderdelen in AWS en Azure, die moeten worden geconfigureerd voordat onboarding wordt uitgevoerd.
- Een Microsoft Entra OIDC-app
- Een AWS OIDC-account
- Een (optioneel) AWS-beheeraccount
- Een (optioneel) AWS Central-logboekregistratieaccount
- Een AWS OIDC-rol
- Een AWS-rol voor een cross-account die wordt aangenomen door de OIDC-rol
Een AWS-account onboarden
Als het dashboard Gegevensverzamelaars niet wordt weergegeven wanneer Machtigingenbeheer wordt gestart:
- Ga naar de startpagina van Machtigingenbeheer, selecteer Instellingen (het tandwielpictogram) en selecteer vervolgens het subtabblad Gegevensverzamelaars.
Selecteer AWS op het dashboard Gegevensverzamelaars en selecteer vervolgens Configuratie maken.
1. Een Microsoft Entra OIDC-app maken
Voer op de pagina Onboarding voor machtigingenbeheer - Microsoft Entra OIDC-app maken de naam van de OIDC Azure-app in.
Deze app wordt gebruikt om een OpenID Verbinding maken-verbinding (OIDC) in te stellen met uw AWS-account. OIDC is een interoperabel verificatieprotocol op basis van de OAuth 2.0-serie specificaties. De scripts die op deze pagina worden gegenereerd, maken de app van deze opgegeven naam in uw Microsoft Entra-tenant met de juiste configuratie.
Als u de app-registratie wilt maken, kopieert u het script en voert u het uit in uw Azure-opdrachtregel-app.
Notitie
- Als u wilt controleren of de app is gemaakt, opent u App-registraties in Azure en zoekt u uw app op het tabblad Alle toepassingen.
- Selecteer de naam van de app om de pagina Een API beschikbaar maken te openen. De URI van de toepassings-id die wordt weergegeven op de pagina Overzicht is de doelgroepwaarde die wordt gebruikt tijdens het maken van een OIDC-verbinding met uw AWS-account.
Ga terug naar machtigingsbeheer en selecteer volgende in de onboarding voor machtigingenbeheer - Microsoft Entra OIDC-app maken.
2. Een AWS OIDC-account instellen
Voer op de pagina Onboarding voor machtigingenbeheer - AWS OIDC-accountconfiguratie de id van het AWS OIDC-account in waar de OIDC-provider is gemaakt. U kunt de rolnaam wijzigen in uw vereisten.
Open een ander browservenster en meld u aan bij het AWS-account waar u de OIDC-provider wilt maken.
Selecteer Sjabloon starten. Met deze koppeling gaat u naar de stackpagina AWS CloudFormation maken.
Schuif naar de onderkant van de pagina en selecteer in het vak Mogelijkheden dat ik bevestig dat AWS CloudFormation IAM-resources met aangepaste namen kan maken. Selecteer Vervolgens Stack maken.
Met deze AWS CloudFormation-stack maakt u een OIDC Identity Provider (IdP) die Microsoft Entra STS en een AWS IAM-rol vertegenwoordigt met een vertrouwensbeleid waarmee externe identiteiten van Microsoft Entra-id deze kunnen aannemen via de OIDC IdP. Deze entiteiten worden weergegeven op de pagina Resources .
Ga terug naar Machtigingenbeheer en selecteer volgende op de pagina Onboarding voor machtigingenbeheer - AWS OIDC-accountinstellingen.
3. De verbinding met het AWS-beheeraccount instellen (optioneel)
Als uw organisatie servicebeheerbeleidsregels (SCPS's) heeft die een of meer van de lidaccounts beheren, stelt u de verbinding met het beheeraccount in op de pagina Onboarding voor beheer van machtigingen - AWS-beheeraccountdetails .
Door de verbinding met het beheeraccount in te stellen, kan Machtigingenbeheer alle AWS-lidaccounts met de juiste rol Machtigingenbeheer automatisch detecteren en onboarden.
Voer op de pagina Beheerbeheer onboarding - AWS-beheeraccountdetails de rol Beheeraccount-id en beheeraccount in.
Open een ander browservenster en meld u aan bij de AWS-console voor uw beheeraccount.
Ga terug naar Machtigingsbeheer en selecteer op de pagina Accountdetails van AWS-beheer de optie Sjabloon starten.
De pagina AWS CloudFormation-stack maken wordt geopend geeft de sjabloon weer.
Controleer de informatie in de sjabloon, breng zo nodig wijzigingen aan en schuif naar de onderkant van de pagina.
Selecteer in het vak Capabilities de optie Ik bevestig dat AWS CloudFormation IAM-resources met aangepaste namen kan maken. Selecteer vervolgens Stack maken.
Deze AWS CloudFormation-stack maakt een rol in het beheeraccount met de benodigde machtigingen (beleidsregels) om SCPS's te verzamelen en alle accounts in uw organisatie weer te geven.
Er is een vertrouwensbeleid ingesteld op deze rol, zodat de OIDC-rol die in uw AWS OIDC-account is gemaakt toegang ertoe heeft. Deze entiteiten worden weergegeven op het tabblad Resources van uw CloudFormation-stack.
Ga terug naar Machtigingsbeheer en selecteer volgende in de onboarding voor beheer van machtigingen - AWS-beheeraccountdetails.
4. Stel de verbinding van het AWS Central-logboekregistratieaccount in (optioneel maar aanbevolen)
Als uw organisatie een centraal logboekregistratieaccount heeft waarin logboeken van sommige of al uw AWS-account worden opgeslagen, stelt u de accountverbinding voor logboekregistratie in op de pagina Accountdetails voor machtigingenbeheer - AWS Central-logboekregistratie.
Voer op de pagina Onboarding voor machtigingenbeheer - ACCOUNTdetails van AWS Central-logboekregistratie de account-id voor logboekregistratie en accountrol voor logboekregistratie in.
Meld u in een ander browservenster aan bij de AWS-console voor het AWS-account dat u gebruikt voor centrale logboekregistratie.
Ga terug naar Machtigingsbeheer en selecteer op de pagina Accountdetails van aws Central-logboekregistratie de optie Sjabloon starten.
De pagina AWS CloudFormation-stack maken wordt geopend geeft de sjabloon weer.
Controleer de informatie in de sjabloon, breng zo nodig wijzigingen aan en schuif naar de onderkant van de pagina.
Selecteer in het vak Capabilities de optie Ik bevestig dat AWS CloudFormation IAM-resources met aangepaste namen kan maken en selecteer vervolgens Stack maken.
Deze AWS CloudFormation-stack maakt een rol in het logboekregistratieaccount met de benodigde machtigingen (beleidsregels) voor het lezen van S3-buckets die worden gebruikt voor centrale logboekregistratie. Er is een vertrouwensbeleid ingesteld op deze rol, zodat de OIDC-rol die in uw AWS OIDC-account is gemaakt toegang ertoe heeft. Deze entiteiten worden weergegeven op het tabblad Resources van uw CloudFormation-stack.
Ga terug naar Machtigingsbeheer en selecteer volgende op de pagina Accountdetails voor centrale logboekregistratie van AWS .
5. Een AWS-lidaccount instellen
Schakel het selectievakje AWS SSO inschakelen in als de toegang tot het AWS-account is geconfigureerd via eenmalige aanmelding van AWS.
Kies uit drie opties voor het beheren van AWS-accounts.
Optie 1: Automatisch beheren
Kies deze optie om automatisch te detecteren en toe te voegen aan de lijst met bewaakte accounts, zonder extra configuratie. Stappen voor het detecteren van een lijst met accounts en onboarding voor verzameling:
- Implementeer CFT (Cloudformation-sjabloon) voor het beheeraccount waarmee een organisatieaccountrol wordt gemaakt die toestemming verleent aan de OIDC-rol die eerder is gemaakt om accounts, OE's en SCPS weer te geven.
- Als AWS SSO is ingeschakeld, voegt cft van het organisatieaccount ook beleid toe dat nodig is voor het verzamelen van configuratiegegevens voor EENMALIGE aanmelding van AWS.
- Implementeer CFT van lidaccount in alle accounts die moeten worden bewaakt door Microsoft Entra-machtigingsbeheer. Met deze acties wordt een rol voor meerdere accounts gemaakt die de eerder gemaakte OIDC-rol vertrouwt. Het SecurityAudit-beleid is gekoppeld aan de rol die is gemaakt voor het verzamelen van gegevens.
Alle huidige of toekomstige accounts die worden gevonden, worden automatisch onboarding uitgevoerd.
De status van onboarding weergeven nadat u de configuratie hebt opgeslagen:
- Ga naar het tabblad Gegevensverzamelaars .
- Klik op de status van de gegevensverzamelaar.
- Accounts weergeven op de pagina Wordt uitgevoerd
Optie 2: Autorisatiesystemen invoeren
Voer op de pagina Onboarding voor machtigingenbeheer - AWS-lidaccountgegevens de rol van het lidaccount en de account-id's van het lid in.
U kunt maximaal 100 account-id's invoeren. Klik op het pluspictogram naast het tekstvak om meer account-id's toe te voegen.
Notitie
Volg de volgende stappen voor elke account-id die u toevoegt:
Open een ander browservenster en meld u aan bij de AWS-console voor het lidaccount.
Ga terug naar de pagina Accountdetails van AWS-leden en selecteer Sjabloon starten.
De pagina AWS CloudFormation-stack maken wordt geopend geeft de sjabloon weer.
Voer op de pagina CloudTrailBucketName een naam in.
U kunt de CloudTrailBucketName kopiëren en plakken vanaf de pagina Trails in AWS.
Notitie
Een cloudbucket verzamelt alle activiteiten in één account dat Machtigingenbeheer bewaakt. Voer hier de naam in van een cloudbucket om Machtigingenbeheer te de toegang te geven die nodig is voor het verzamelen van activiteitsgegevens.
Selecteer in de vervolgkeuzelijst Controller inschakelen:
- Waar, als u wilt dat de controller machtigingenbeheer met lees- en schrijftoegang biedt, zodat herstel dat u wilt doen via het Platform machtigingenbeheer automatisch kan worden uitgevoerd.
- Onwaar, als u wilt dat de controller machtigingenbeheer biedt met alleen-lezentoegang.
Schuif naar de onderkant van de pagina en selecteer in het vak Mogelijkheden dat ik bevestig dat AWS CloudFormation IAM-resources met aangepaste namen kan maken. Selecteer vervolgens Stack maken.
Deze AWS CloudFormation-stack maakt een verzamelingsrol in het lidaccount met de benodigde machtigingen (beleidsregels) voor gegevensverzameling.
Er is een vertrouwensbeleid ingesteld op deze rol, zodat de OIDC-rol die in uw AWS OIDC-account is gemaakt toegang ertoe heeft. Deze entiteiten worden weergegeven op het tabblad Resources van uw CloudFormation-stack.
Ga terug naar Machtigingsbeheer en selecteer volgende op de pagina Accountdetails van AWS-leden op de pagina Machtigingenbeheer.
Deze stap voltooit de reeks vereiste verbindingen van Microsoft Entra STS met het OIDC-verbindingsaccount en het AWS-lidaccount.
Optie 3: Autorisatiesystemen selecteren
Met deze optie worden alle AWS-accounts gedetecteerd die toegankelijk zijn via OIDC-roltoegang die eerder is gemaakt.
- Implementeer CFT (Cloudformation-sjabloon) voor het beheeraccount waarmee een organisatieaccountrol wordt gemaakt die toestemming verleent aan de OIDC-rol die eerder is gemaakt om accounts, OE's en SCPS weer te geven.
- Als AWS SSO is ingeschakeld, voegt cft van het organisatieaccount ook beleid toe dat nodig is voor het verzamelen van configuratiegegevens voor EENMALIGE aanmelding van AWS.
- Implementeer CFT van lidaccount in alle accounts die moeten worden bewaakt door Microsoft Entra-machtigingsbeheer. Met deze acties wordt een rol voor meerdere accounts gemaakt die de eerder gemaakte OIDC-rol vertrouwt. Het SecurityAudit-beleid is gekoppeld aan de rol die is gemaakt voor het verzamelen van gegevens.
- Klik op Verifiëren en Opslaan.
- Ga naar de zojuist gemaakt gegevensverzamelaarrij onder AWSdata-collectors.
- Klik op de kolom Status wanneer de rij de status In behandeling heeft
- Als u de verzameling wilt onboarden en starten, kiest u specifieke items in de gedetecteerde lijst en toestemming voor verzameling.
6. Controleren en opslaan
Controleer de informatie die u hebt toegevoegd in de onboarding voor machtigingenbeheer en selecteer Nu controleren en opslaan.
Het volgende bericht wordt weergegeven: De configuratie is gemaakt.
Op het dashboard Gegevensverzamelaars wordt het verzamelen weergegeven in de kolom Recent geüpload op. In de kolom Onlangs getransformeerd op wordt Verwerken weergegeven.
In de statuskolom in de gebruikersinterface voor machtigingenbeheer ziet u in welke stap gegevensverzameling u zich bevindt:
- In behandeling: Het beheer van machtigingen is nog niet gestart met detecteren of onboarden.
- Detecteren: Machtigingenbeheer detecteert de autorisatiesystemen.
- Wordt uitgevoerd: Machtigingenbeheer is klaar met het detecteren van de autorisatiesystemen en onboarding.
- Onboarding: het verzamelen van gegevens is voltooid en alle gedetecteerde autorisatiesystemen worden toegevoegd aan Machtigingsbeheer.
7. De gegevens weergeven
Als u de gegevens wilt weergeven, selecteert u het tabblad Autorisatiesystemen.
In de kolom Status in de tabel wordt Gegevens verzamelen weergegeven.
Het proces voor het verzamelen van gegevens duurt enige tijd en vindt plaats in de meeste gevallen in ongeveer 4-5 uursintervallen. Het tijdsbestek is afhankelijk van de grootte van het autorisatiesysteem dat u hebt en hoeveel gegevens beschikbaar zijn voor verzameling.
Volgende stappen
- Zie De controller in- of uitschakelen voor informatie over het in- of uitschakelen van de controller nadat de onboarding is voltooid.
- Zie Een account/abonnement/project toevoegen nadat de onboarding is voltooid voor informatie over het toevoegen van een account/abonnement/project nadat de onboarding is voltooid.