Integrar uma conta do AWS (Amazon Web Services)
Este artigo descreve como fazer a integração de uma conta do AWS (Amazon Web Services) no Gerenciamento de Permissões do Microsoft Entra.
Observação
Você deverá ser um Administrador de Gerenciamento de Permissões para executar as tarefas neste artigo.
Explicação
Há várias partes móveis na AWS e no Azure que devem ser configuradas antes da integração.
- Um Aplicativo OIDC do Microsoft Entra
- Uma conta OIDC da AWS
- Uma Conta de gerenciamento do AWS (opcional)
- Uma conta de registro em log central da AWS
- Uma função OIDC da AWS
- Uma função de conta cruzada da AWS assumida pela função OIDC
Integrar uma conta da AWS
Se o painel Coletores de Dados não for exibido quando o Gerenciamento de Permissões for iniciado:
- Na home page do Gerenciamento de Permissões, selecione Configurações (o ícone de engrenagem) e escolha a subguia Coletores de Dados.
No painel Coletores de Dados, selecione AWS e escolha Criar configuração.
1. Crie um Aplicativo OIDC do Microsoft Entra
Na página Integração do Permissions Management – Criação de Aplicativo OIDC do Microsoft Entra, insira o nome do aplicativo OIDC do Azure.
Esse aplicativo é usado para configurar uma conexão do OIDC (OpenID Connect) com a sua conta do AWS. O OIDC é um protocolo de autenticação interoperável baseado na família de especificações OAuth 2.0. Os scripts gerados nesta página criam o aplicativo desse nome especificado no seu locatário do Microsoft Entra com a configuração correta.
Para criar o registro do aplicativo, copie o script e execute-o no seu aplicativo de linha de comando do Azure.
Observação
- Para confirmar se o aplicativo foi criado, abra Registros de aplicativo no Azure e, na guia Todos os aplicativos, localize o seu aplicativo.
- Selecione o nome do aplicativo para abrir a página Expor uma API. O URI da ID do Aplicativo exibido na página Visão Geral é o valor de público usado ao criar uma conexão do OIDC com sua conta do AWS.
Retorne ao Gerenciamento de Permissões e, em Integração de Gerenciamento de Permissões – Criação de Aplicativo OIDC do Microsoft Entra, selecione Avançar.
2. Configurar uma conta OIDC do AWS
Na página Integração do Gerenciamento de Permissões – Configuração de Conta OIDC do AWS, insira a ID de conta OIDC do AWS em que o provedor OIDC é criado. Você pode alterar o nome da função para seus requisitos.
Abra outra janela do navegador e entre na conta do AWS em que você deseja criar o provedor OIDC.
Selecione Iniciar Modelo. Esse link leva você à página Criar pilha do AWS CloudFormation.
Role até a parte inferior da página e, na caixa Funcionalidades, selecione Eu reconheço que o AWS CloudFormation pode criar recursos IAM com nomes personalizados. Em seguida, selecione Criar Pilha.
Essa pilha do AWS CloudFormation cria um IdP (Provedor de Identidade) do OIDC que representa o STS do Microsoft Entra ID e uma função de IAM do AWS com uma política de confiança que permite que identidades externas do Microsoft Entra ID o assumam por meio do IdP do OIDC. Essas entidades são listadas na página Recursos.
Retorne ao Gerenciamento de Permissões e, na página Integração do Gerenciamento de Permissões – detalhes da conta OIDC do AWS, selecione Avançar.
3. Configurar a conexão da Conta de gerenciamento do AWS (opcional)
Se a sua organização tem SCPs (Políticas de Controle de Serviço) que regem algumas ou todas as contas de membro, configure a conexão da Conta de gerenciamento na página Integração do Gerenciamento de Permissões – detalhes da Conta de Gerenciamento do AWS.
Configurar a conexão com a Conta gerenciamento permite ao Gerenciamento de Permissões detectar automaticamente e integrar todas as contas de membro do AWS que tenham a função correta do Gerenciamento de Permissões.
Na página Integração do Gerenciamento de Permissões – Detalhes da Conta Gerenciamento do AWS, insira a ID da Conta de Gerenciamento e a Função da Conta de Gerenciamento.
Abra outra janela do navegador e entre no console do AWS da sua Conta de gerenciamento.
Retorne ao Gerenciamento de Permissões e, na página Integração do Gerenciamento de Permissões – detalhes da Conta de Gerenciamento do AWS, selecione Iniciar Modelo.
A página Criar pilha do AWS CloudFormation é aberta exibindo o modelo.
Examine as informações do modelo, faça alterações, se necessário, e role até a parte inferior da página.
Na caixa Funcionalidades, selecione Eu reconheço que o AWS CloudFormation pode criar recursos IAM com nomes personalizados. Em seguida, selecione Criar pilha.
Essa pilha do AWS CloudFormation cria uma função na Conta de gerenciamento com as permissões necessárias (políticas) para coletar SCPs e listar todas as contas da sua organização.
Uma política de confiança é definida nessa função para permitir que a função OIDC criada na sua conta OIDC do AWS a acesse. Essas entidades são listadas na guia Recursos da pilha CloudFormation.
Retorne ao Gerenciamento de Permissões e, na página Integração do Gerenciamento de Permissões – Detalhes da Conta de Gerenciamento do AWS, selecione Avançar.
4. Configurar a conexão da conta de registro em log central da AWS (opcional, mas recomendado)
Se a sua organização tiver uma conta central de registro em log em que os logs de parte ou de toda a sua conta AWS estão armazenados, na página Integração do Gerenciamento de Permissões – detalhes da conta de registro em log central do AWS, configure a conexão da conta de registro em log.
Na página Integração do Gerenciamento de Permissões – detalhes da conta de registro em log central do AWS, insira a ID da Conta de Registro em Log e a Função da Conta de Registro em Log.
Em outra janela do navegador, entre no console do AWS da conta do AWS usada para registro em log central.
Retorne ao Gerenciamento de Permissões e, na página Integração do Gerenciamento de Permissões – detalhes da conta de gerenciamento em log central do AWS, selecione Iniciar Modelo.
A página Criar pilha do AWS CloudFormation é aberta exibindo o modelo.
Examine as informações do modelo, faça alterações, se necessário, e role até a parte inferior da página.
Na caixa Funcionalidades, selecione Eu reconheço que o AWS CloudFormation pode criar recursos IAM com nomes personalizados e escolha Criar pilha.
Essa pilha do AWS CloudFormation cria uma função na conta de registro em log com as permissões necessárias (políticas) para ler buckets S3 usados para registro em log central. Uma política de confiança é definida nessa função para permitir que a função OIDC criada na sua conta OIDC do AWS a acesse. Essas entidades são listadas na guia Recursos da pilha CloudFormation.
Retorne ao Gerenciamento de Permissões e, na página Integração do Gerenciamento de Permissões – detalhes da conta de gerenciamento em log central do AWS, selecione Avançar.
5. Configurar uma conta de membro do AWS
Selecione Habilitar caixa de seleção do SSO da AWS, se o acesso à conta da AWS estiver configurado por meio do SSO da AWS.
Escolha entre três opções para gerenciar as contas da AWS.
Opção 1: gerenciar automaticamente
Escolha essa opção para detecção e adição automática à lista de contas monitoradas, sem configuração adicional. Etapas para detectar a lista de contas e a integração da coleção:
- Implante o CFT da Conta de gerenciamento (modelo do Cloudformation) que cria a função da conta da organização que concede permissão à função OIDC criada anteriormente para listar contas, UOs e SCPs.
- Se o SSO da AWS estiver habilitado, a CFT da conta da organização também adicionará a política necessária para coletar detalhes da configuração do SSO da AWS.
- Implante a CFT da conta Membro em todas as contas que precisam ser monitoradas pelo Gerenciamento de Permissões do Microsoft Entra. Essas ações criam uma função de conta cruzada que confia na função OIDC criada anteriormente. A política SecurityAudit é anexada à função criada para coleta de dados.
Todas as contas atuais ou futuras encontradas serão integradas automaticamente.
Para exibir o status da integração depois de salvar a configuração:
- Navegue até a guia Coletores de Dados.
- Clique no status do coletor de dados.
- Exibir contas na página Em Andamento
Opção 2: inserir sistemas de autorização
Na página Integração do Gerenciamento de Permissões – detalhes da conta de membro do AWS, insira a Função da Conta de Membro e as IDs da Conta de Membro.
Você pode inserir até 100 IDs de conta. Clique no ícone de adição ao lado da caixa de texto para adicionar mais IDs de conta.
Observação
Execute as seguintes etapas para cada ID de conta que você adicionar:
Abra outra janela do navegador e entre no console do AWS da conta de membro.
Retorne à página Integração do Gerenciamento de Permissões – detalhes da conta de membro do AWS, selecione Iniciar Modelo.
A página Criar pilha do AWS CloudFormation é aberta exibindo o modelo.
Na página CloudTrailBucketName, insira um nome.
Você pode copiar e colar o nome CloudTrailBucketName da página Trilhas, no AWS.
Observação
Um bucket de nuvem coleta todas as atividades de uma conta monitorada pelo Permissions Management. Insira o nome de um bucket de nuvem aqui para fornecer ao Permissions Management o acesso necessário para coletar os dados da atividade.
No menu suspenso Habilitar Controlador, selecione:
- True se quiser que o controlador forneça acesso de leitura e gravação ao Gerenciamento de Permissões para que qualquer correção que você deseje fazer por meio da plataforma do Gerenciamento de Permissões possa ser feita automaticamente.
- False se quiser que o controlador forneça acesso somente leitura ao Gerenciamento de Permissões.
Role até a parte inferior da página e, na caixa Funcionalidades, selecione Eu reconheço que o AWS CloudFormation pode criar recursos IAM com nomes personalizados. Em seguida, selecione Criar pilha.
Essa pilha do AWS CloudFormation cria uma função de coleção na conta de membro com as permissões necessárias (políticas) para coleta de dados.
Uma política de confiança é definida nessa função para permitir que a função OIDC criada na sua conta OIDC do AWS a acesse. Essas entidades são listadas na guia Recursos da pilha CloudFormation.
Retorne ao Gerenciamento de Permissões e, na página Integração do Gerenciamento de Permissões – detalhes da conta de membro do AWS, selecione Avançar.
Esta etapa conclui a sequência de conexões necessárias do STS do Microsoft Entra para a conta de conexão do OIDC e a conta de membro do AWS.
Opção 3: selecionar sistemas de autorização
Essa opção detecta todas as contas da AWS acessíveis por meio do acesso à função OIDC criada anteriormente.
- Implante o CFT da Conta de gerenciamento (modelo do Cloudformation) que cria a função da conta da organização que concede permissão à função OIDC criada anteriormente para listar contas, UOs e SCPs.
- Se o SSO da AWS estiver habilitado, a CFT da conta da organização também adicionará a política necessária para coletar detalhes da configuração do SSO da AWS.
- Implante a CFT da conta Membro em todas as contas que precisam ser monitoradas pelo Gerenciamento de Permissões do Microsoft Entra. Essas ações criam uma função de conta cruzada que confia na função OIDC criada anteriormente. A política SecurityAudit é anexada à função criada para coleta de dados.
- Clique em Verificar e Salvar.
- Navegue até a linha recém-criada do Coletor de Dados em coletores AWSdata.
- Clique na coluna Status quando a linha tiver o status Pendente
- Para integrar e iniciar a coleção, escolha as específicas na lista detectada e consinta com a coleção.
6. Revisar e salvar
Em Integração do Gerenciamento de Permissões – resumo, reveja as informações adicionadas e selecione Verificar Agora e Salvar.
A seguinte mensagem é exibida: Configuração criada com sucesso.
No painel Coletores de Dados, a coluna Carregado Recentemente em exibe Coletando. A coluna Transformado recentemente em exibe Processando.
A coluna de status na IU de gerenciamento de permissões mostra em qual etapa da coleta de dados você está:
- Pendente: o Gerenciamento de permissões ainda não começou a detectar ou integrar.
- Descobrindo: o Permissions Management está detectando os sistemas de autorização.
- Em andamento: O Gerenciamento de Permissões concluiu a detecção dos sistemas de autorização e está em integração.
- Integrado: a coleta de dados foi concluída e todos os sistemas de autorização detectados foram integrados ao Gerenciamento de permissões.
7. Exibir os dados
Para visualizar os dados, selecione a guia Sistemas de Autorização.
A coluna Status da tabela exibe Coletando Dados.
O processo de coleta de dados leva algum tempo e ocorre em intervalos de aproximadamente 4 a 5 horas na maioria dos casos. O período depende do tamanho do sistema de autorização que você tem e da quantidade de dados disponíveis para coleta.
Próximas etapas
- Para obter informações sobre como habilitar ou desabilitar o controlador após a conclusão da integração, confira Habilitar ou desabilitar o controlador.
- Para obter informações sobre como adicionar um(a) conta/assinatura/projeto após a conclusão da integração, confira Adicionar um(a) conta/assinatura/projeto após a conclusão da integração.