A bordo de uma conta Amazon Web Services (AWS)

Este artigo descreve como embarcar numa conta amazon Web Services (AWS) na Gestão de Permissões.

Nota

Um administrador global ou um super administrador (um administrador para todos os tipos de sistema de autorização) pode executar as tarefas neste artigo depois de o administrador global ter inicialmente concluído os passos fornecidos na Enable Permissions Management no seu inquilino Azure Ative Directory.

Explicação

Existem várias partes móveis em AWS e Azure, que são necessárias para serem configuradas antes de embarcar.

  • Uma aplicação Azure AD OIDC
  • Uma conta AWS OIDC
  • Uma conta AWS Master (opcional)
  • Uma conta de registo central (opcional) AWS Central
  • Um papel AWS OIDC
  • Um papel de Conta Cruzada AWS assumido pelo papel da OIDC

A bordo de uma conta AWS

  1. Se o painel de recolha de dados não for apresentado quando a Gestão de Permissões for lançada:

    • Na página inicial da Gestão de Permissões, selecione Definições (o ícone da engrenagem) e, em seguida, selecione o subtab de Colecionadores de Dados .
  2. No painel de recolha de dados , selecione AWS e, em seguida, selecione Criar Configuração.

1. Criar uma aplicação OIDC Azure AD

  1. No onboarding de gestão de permissões - Azure AD página de criação de aplicações OIDC, insira o nome da aplicação OIDC Azure.

    Esta aplicação é usada para configurar uma ligação OpenID Connect (OIDC) à sua conta AWS. OIDC é um protocolo de autenticação interoperável baseado na família OAuth 2.0 de especificações. Os scripts gerados nesta página criam a aplicação deste nome especificado no seu Azure AD inquilino com a configuração certa.

  2. Para criar o registo da aplicação, copie o script e execute-o na sua aplicação de linha de comando Azure.

    Nota

    1. Para confirmar que a aplicação foi criada, abra Registos de aplicações em Azure e, no separador Todas as aplicações, localize a sua app.
    2. Selecione o nome da aplicação para abrir a página Expor uma página API . O ID URI de aplicação exibido na página 'Vista Geral' é o valor do público utilizado durante a efecção de uma ligação OIDC com a sua conta AWS.
  3. Return to Permissions Management, e na Gestão de Permisses Onboarding - Azure AD Criação de Aplicações OIDC, selecione Seguinte.

2. Criar uma conta AWS OIDC

  1. Na página de Gestão de Permissões Onboarding - AWS OIDC Account Setup , insira o ID da conta AWS OIDC onde o fornecedor OIDC é criado. Pode alterar o nome da função para as suas necessidades.

  2. Abra outra janela do navegador e inscreva-se na conta AWS onde pretende criar o fornecedor OIDC.

  3. Selecione modelo de lançamento. Este link leva-o à página de pilha de criação AWS CloudFormation .

  4. Percorra a parte inferior da página e, na caixa De Capacidades , selecione Reconheço que a CloudFormation AWS pode criar recursos IAM com nomes personalizados. Em seguida, selecione Create Stack.

    Esta stack AWS CloudFormation cria um Fornecedor de Identidade OIDC (IdP) que representa Azure AD STS e um papel AWS IAM com uma política de confiança que permite que identidades externas de Azure AD o assumam através do IdP OIDC. Estas entidades estão listadas na página Recursos .

  5. Retorno à Gestão de Permissões, e na página de Gestão de Permisses - AWS OIDC' De configuração de conta , selecione Seguinte.

3. Criar uma conta principal da AWS (Opcional)

  1. Se a sua organização tiver Políticas de Controlo de Serviços (SCPs) que regem algumas ou todas as contas dos membros, crie a ligação principal de conta na página de Permisses Management Onboarding - AWS Master Account Details .

    A criação da ligação de conta principal permite que a Gestão de Permissões detete automaticamente e embarque em quaisquer contas de membros da AWS que tenham a função correta de Gestão de Permissões.

    • Na página De Gestão de Permissões Onboarding - AWS Master Account Details , insira o ID da Conta Mestra e a Função De Conta Principal.
  2. Abra outra janela do navegador e inscreva-se na consola AWS para a sua conta principal.

  3. Devolução à Gestão de Permissões e na página de Controlo de Permissões - AWS Master Account Details , selecione O Modelo de Lançamento.

    A página AWS CloudFormation cria a página de pilhas aberta, exibindo o modelo.

  4. Reveja as informações no modelo, faça alterações, se necessário, em seguida, percorra para a parte inferior da página.

  5. Na caixa Capabilities , selecione Reconheço que a CloudFormation AWS pode criar recursos IAM com nomes personalizados. Em seguida, selecione Criar pilha.

    Esta stack AWS CloudFormation cria um papel na conta principal com as permissões (políticas) necessárias para recolher SCPs e listar todas as contas da sua organização.

    Uma política de confiança é definida sobre este papel para permitir que o papel OIDC criado na sua conta AWS OIDC aceda a ela. Estas entidades estão listadas no separador Recursos da sua stack CloudFormation.

  6. Retorno à Gestão de Permissões, e em Permissões Gestão De Bordo - Detalhes da Conta Principal AWS, selecione Seguinte.

  1. Se a sua organização tiver uma conta central de registos onde os registos de alguma ou de toda a sua conta AWS estão armazenados, na página Desemboardamento de Gestão de Permissões - AWS Central Logging Account Details , configura a ligação da conta de registo registador.

    Na página de Onboarding de Gestão de Permisses - AWS Central Logging Account Details, insira o ID da Conta de Registo e a Função Conta de Registo.

  2. Noutra janela do navegador, inscreva-se na consola AWS para a conta AWS que utiliza para a sessão central.

  3. Retorno à Gestão de Permissões e na página de Controlo de Permissões - AWS Central Logging Account Details , selecione Modelo de Lançamento.

    A página AWS CloudFormation cria a página de pilhas aberta, exibindo o modelo.

  4. Reveja as informações no modelo, faça alterações, se necessário, em seguida, percorra para a parte inferior da página.

  5. Na caixa Capabilities , selecione Reconheço que a CloudFormation AWS pode criar recursos IAM com nomes personalizados e, em seguida, selecionar Criar pilha.

    Esta stack AWS CloudFormation cria uma função na conta de registo com as permissões (políticas) necessárias para ler baldes S3 usados para a exploração madeireira central. Uma política de confiança é definida sobre este papel para permitir que o papel OIDC criado na sua conta AWS OIDC aceda a ela. Estas entidades estão listadas no separador Recursos da sua stack CloudFormation.

  6. Devolução à Gestão de Permissões e na página de Controlo de Permissões de Gestão de Registos - Página de Dados de Conta de Registo Central AWS , selecione Seguinte.

5. Criar uma conta de membro da AWS

Selecione Enable AWS SSO checkbox, se o acesso à conta AWS for configurado através do AWS SSO.

Escolha entre três opções para gerir as contas AWS.

Opção 1: Gerir automaticamente

Escolha esta opção para detetar e adicionar automaticamente à lista de contas monitorizadas, sem configuração extra. Etapas para detetar a lista de contas e a bordo para recolha:

  • Implementar a conta Master CFT (modelo de cloudformation) que cria o papel de conta da organização que concede permissão ao papel OIDC criado anteriormente para listar contas, OUs e SCPs.
  • Se o AWS SSO estiver ativado, a conta de organização CFT também adiciona a política necessária para recolher detalhes de configuração AWS SSO.
  • Implementar a conta de membro CFT em todas as contas que precisam de ser monitorizadas pela Gestão de Permisses de Entra. Estas ações criam um papel de conta cruzada que confia no papel OIDC criado anteriormente. A política SecurityAudit está ligada ao papel criado para a recolha de dados.

Quaisquer contas correntes ou futuras encontradas são automaticamente a bordo.

Para visualizar o estado do embarque depois de guardar a configuração:

  • Navegue para o separador de colecionadores de dados.
  • Clique no estado do coletor de dados.
  • Ver contas na página Em Curso

Opção 2: Introduzir sistemas de autorização

  1. Na página De Contactos de Gestão de Permissões - Dados de Conta dos Membros da AWS , insira a Função de Conta de Membro e os IDs da Conta dos Membros.

    Pode introduzir até 10 IDs de conta. Clique no ícone mais ao lado da caixa de texto para adicionar mais IDs de conta.

    Nota

    Execute os próximos 6 passos para cada identificação de conta que adicionar.

  2. Abra outra janela do navegador e inscreva-se na consola AWS para a conta do membro.

  3. Volte à página de Controlo de Permissões De Gestão de Contactos - Página de Detalhes da Conta dos Membros AWS , selecione O Modelo de Lançamento.

    A página AWS CloudFormation cria a página de pilhas aberta, exibindo o modelo.

  4. Na página CloudTrailBucketName , insira um nome.

    Pode copiar e colar o nome CloudTrailBucketName a partir da página Trails em AWS.

    Nota

    Um balde de nuvem recolhe toda a atividade numa única conta que a Permissões De Gestão monitoriza. Insira aqui o nome de um balde de nuvem para fornecer à Permisses Management o acesso necessário para recolher dados de atividade.

  5. A partir do dropdown do Controlador de Ativação , selecione:

    • É verdade que se pretender que o controlador forneça a Gestão de Permissões com acesso lido e escrito para que qualquer remediação que pretenda fazer a partir da plataforma de Gestão de Permissões possa ser feita automaticamente.
    • Falso, se quiser que o controlador forneça acesso apenas à Gestão de Permissões.
  6. Percorra a parte inferior da página e, na caixa De Capacidades , selecione Reconheço que a CloudFormation AWS pode criar recursos IAM com nomes personalizados. Em seguida, selecione Criar pilha.

    Esta stack AWS CloudFormation cria um papel de recolha na conta de membro com permissões necessárias (políticas) para recolha de dados.

    Uma política de confiança é definida sobre este papel para permitir que o papel OIDC criado na sua conta AWS OIDC aceda a ela. Estas entidades estão listadas no separador Recursos da sua stack CloudFormation.

  7. Devolução à Gestão de Permissões, e na página de Gestão de Permisses - AWS Account Details , selecione Seguinte.

    Este passo completa a sequência de ligações necessárias desde Azure AD STS à conta de ligação OIDC e à conta de membro da AWS.

Opção 3: Selecionar sistemas de autorização

Esta opção deteta todas as contas AWS que estão acessíveis através do acesso à função OIDC criadas anteriormente.

  • Implementar a conta Master CFT (modelo de cloudformation) que cria o papel de conta da organização que concede permissão ao papel OIDC criado anteriormente para listar contas, OUs e SCPs.
  • Se o AWS SSO estiver ativado, a conta de organização CFT também adiciona a política necessária para recolher detalhes de configuração AWS SSO.
  • Implementar a conta de membro CFT em todas as contas que precisam de ser monitorizadas pela Gestão de Permisses de Entra. Estas ações criam um papel de conta cruzada que confia no papel OIDC criado anteriormente. A política SecurityAudit está ligada ao papel criado para a recolha de dados.
  • Clique em Verificar e Guardar.
  • Navegue para criar uma linha de colecionador de dados recentemente sob os colecionadores AWSdata.
  • Clique na coluna Status quando a linha tiver o estado "Pendente"
  • Para embarcar e iniciar a recolha, escolha as específicas da lista detetada e o consentimento para a recolha.

6. Rever e salvar

  1. In Permisss Management Onboarding – Resumo, reveja as informações que adicionou e, em seguida, selecione Check Now & Save.

    Aparece a seguinte mensagem: Configuração criada com sucesso.

    No painel de recolha de dados , o recentemente carregado na coluna exibe a recolha. A coluna Recentemente Transformada em Ecrã apresenta Processamento.

    Já concluiu o embarque a bordo da AWS, e a Permissões Management começou a recolher e processar os seus dados.

7. Ver os dados

  1. Para visualizar os dados, selecione o separador Sistemas de Autorização .

    A coluna 'Estado' na tabela apresenta dados de recolha.

    O processo de recolha de dados pode demorar algum tempo, dependendo do tamanho da conta e da quantidade de dados disponíveis para recolha.

Passos seguintes