Integre uma conta da Amazon Web Services (AWS)
Este artigo descreve como integrar uma conta da Amazon Web Services (AWS) no Microsoft Entra Permissions Management.
Nota
Você deve ser um administrador de gerenciamento de permissões para executar as tarefas neste artigo.
Explicação
Há várias partes móveis na AWS e no Azure, que precisam ser configuradas antes da integração.
- Um aplicativo Microsoft Entra OIDC
- Uma conta OIDC da AWS
- Uma conta de gerenciamento da AWS (opcional)
- Uma conta de registro em log (opcional) do AWS Central
- Uma função OIDC da AWS
- Uma função entre contas da AWS assumida pela função OIDC
Integre uma conta da AWS
Se o painel Coletores de Dados não for exibido quando o Gerenciamento de Permissões for iniciado:
- Na home page do Gerenciamento de Permissões, selecione Configurações (o ícone de engrenagem) e selecione a subguia Coletores de Dados.
No painel Coletores de dados, selecione AWS e, em seguida, selecione Criar configuração.
1. Crie um aplicativo Microsoft Entra OIDC
Na página Integração de Gerenciamento de Permissões - Criação de Aplicativo OIDC do Microsoft Entra, insira o nome do aplicativo OIDC Azure.
Este aplicativo é usado para configurar uma conexão OpenID Connect (OIDC) com sua conta da AWS. OIDC é um protocolo de autenticação interoperável baseado na família OAuth 2.0 de especificações. Os scripts gerados nesta página criam o aplicativo com esse nome especificado em seu locatário do Microsoft Entra com a configuração correta.
Para criar o registro do aplicativo, copie o script e execute-o em seu aplicativo de linha de comando do Azure.
Nota
- Para confirmar que o aplicativo foi criado, abra Registros de aplicativo no Azure e, na guia Todos os aplicativos , localize seu aplicativo.
- Selecione o nome do aplicativo para abrir a página Expor uma API . O URI do ID do aplicativo exibido na página Visão geral é o valor de audiência usado ao fazer uma conexão OIDC com sua conta da AWS.
Retorne ao Gerenciamento de permissões e, em Integração do gerenciamento de permissões - Criação de aplicativo OIDC do Microsoft Entra, selecione Avançar.
2. Configurar uma conta do AWS OIDC
Na página Permissions Management Onboarding - AWS OIDC Account Setup, insira o ID da conta do AWS OIDC onde o provedor OIDC foi criado. Você pode alterar o nome da função de acordo com seus requisitos.
Abra outra janela do navegador e faça login na conta da AWS onde você deseja criar o provedor OIDC.
Selecione Iniciar modelo. Este link leva você para a página de criação de pilha do AWS CloudFormation.
Role até a parte inferior da página e, na caixa Recursos, selecione Reconheço que o AWS CloudFormation pode criar recursos do IAM com nomes personalizados. Em seguida, selecione Criar pilha.
Essa pilha do AWS CloudFormation cria um Provedor de Identidade (IdP) OIDC representando o Microsoft Entra STS e uma função do AWS IAM com uma política de confiança que permite que identidades externas do ID do Microsoft Entra o assumam por meio do IdP do OIDC. Essas entidades estão listadas na página Recursos .
Retorne ao Gerenciamento de permissões e, na página Integração do gerenciamento de permissões - Configuração da conta do AWS OIDC, selecione Avançar.
3. Configure a conexão da conta de gerenciamento da AWS (opcional)
Se sua organização tiver políticas de controle de serviço (SCPs) que regem algumas ou todas as contas de membro, configure a conexão da conta de gerenciamento na página Integração de gerenciamento de permissões - Detalhes da conta de gerenciamento da AWS.
A configuração da conexão da conta de gerenciamento permite que o gerenciamento de permissões detete automaticamente e integre todas as contas de membro da AWS que tenham a função correta de gerenciamento de permissões.
Na página Integração do gerenciamento de permissões - Detalhes da conta de gerenciamento da AWS, insira o ID da conta de gerenciamento e a Função da conta de gerenciamento.
Abra outra janela do navegador e faça login no console da AWS para sua conta de gerenciamento.
Retorne ao Gerenciamento de permissões e, na página Integração do gerenciamento de permissões - Detalhes da conta de gerenciamento da AWS, selecione Iniciar modelo.
A página de criação de pilha do AWS CloudFormation é aberta, exibindo o modelo.
Revise as informações no modelo, faça alterações, se necessário, e role até a parte inferior da página.
Na caixa Recursos, selecione Reconheço que o AWS CloudFormation pode criar recursos do IAM com nomes personalizados. Em seguida, selecione Criar pilha.
Essa pilha do AWS CloudFormation cria uma função na conta de gerenciamento com as permissões (políticas) necessárias para coletar SCPs e listar todas as contas em sua organização.
Uma política de confiança é definida nessa função para permitir que a função OIDC criada em sua conta do AWS OIDC a acesse. Essas entidades são listadas na guia Recursos da sua pilha do CloudFormation.
Retorne ao Gerenciamento de permissões e, em Integração do gerenciamento de permissões - Detalhes da conta de gerenciamento da AWS, selecione Avançar.
4. Configure a conexão da conta de registro em log do AWS Central (opcional, mas recomendado)
Se sua organização tiver uma conta de registro central onde os logs de parte ou de toda a sua conta da AWS são armazenados, na página Permissions Management Onboarding - AWS Central Logging Account Details , configure a conexão da conta de registro.
Na página Permissions Management Onboarding - AWS Central Logging Account Details, insira o ID da conta de registro e a função da conta de registro.
Em outra janela do navegador, faça login no console da AWS para a conta da AWS que você usa para registro central.
Retorne ao Gerenciamento de permissões e, na página Integração do gerenciamento de permissões - Detalhes da conta de registro central da AWS, selecione Iniciar modelo.
A página de criação de pilha do AWS CloudFormation é aberta, exibindo o modelo.
Revise as informações no modelo, faça alterações, se necessário, e role até a parte inferior da página.
Na caixa Recursos, selecione Reconheço que o AWS CloudFormation pode criar recursos do IAM com nomes personalizados e selecione Criar pilha.
Essa pilha do AWS CloudFormation cria uma função na conta de registro em log com as permissões (políticas) necessárias para ler buckets do S3 usados para registro central. Uma política de confiança é definida nessa função para permitir que a função OIDC criada em sua conta do AWS OIDC a acesse. Essas entidades são listadas na guia Recursos da sua pilha do CloudFormation.
Retorne ao Gerenciamento de permissões e, na página Integração do gerenciamento de permissões - Detalhes da conta de registro central da AWS, selecione Avançar.
5. Configure uma conta de membro da AWS
Marque a caixa de seleção Ativar AWS SSO, se o acesso à conta da AWS estiver configurado por meio do AWS SSO.
Escolha entre três opções para gerenciar contas da AWS.
Opção 1: Gerir automaticamente
Escolha esta opção para detetar e adicionar automaticamente à lista de contas monitoradas, sem configuração extra. Passos para detetar lista de contas e onboard para cobrança:
- Implante a conta de gerenciamento CFT (modelo Cloudformation) que cria a função de conta da organização que concede permissão à função OIDC criada anteriormente para listar contas, UOs e SCPs.
- Se o AWS SSO estiver habilitado, o CFT da conta da organização também adicionará a política necessária para coletar os detalhes de configuração do AWS SSO.
- Implante o CFT da conta de Membro em todas as contas que precisam ser monitoradas pelo Gerenciamento de Permissões do Microsoft Entra. Essas ações criam uma função entre contas que confia na função OIDC criada anteriormente. A política SecurityAudit é anexada à função criada para a coleta de dados.
Todas as contas atuais ou futuras encontradas são integradas automaticamente.
Para visualizar o status da integração depois de salvar a configuração:
- Vá para a guia Coletores de dados.
- Clique no status do coletor de dados.
- Ver contas na página Em Curso
Opção 2: Introduzir sistemas de autorização
Na página Integração do gerenciamento de permissões - Detalhes da conta de membro da AWS, insira a função da conta de membro e os IDs da conta de membro.
Pode introduzir até 100 IDs de conta. Clique no ícone de adição ao lado da caixa de texto para adicionar mais IDs de conta.
Nota
Execute as seguintes etapas para cada ID de conta adicionado:
Abra outra janela do navegador e faça login no console da AWS para a conta de membro.
Retorne à página Integração do gerenciamento de permissões - Detalhes da conta de membro da AWS, selecione Iniciar modelo.
A página de criação de pilha do AWS CloudFormation é aberta, exibindo o modelo.
Na página CloudTrailBucketName, insira um nome.
Você pode copiar e colar o nome CloudTrailBucketName na página Trilhas na AWS.
Nota
Um bucket de nuvem coleta toda a atividade em uma única conta que o Gerenciamento de permissões monitora. Insira o nome de um bucket de nuvem aqui para fornecer ao Gerenciamento de Permissões o acesso necessário para coletar dados de atividade.
Na lista suspensa Ativar controlador, selecione:
- True, se você quiser que o controlador forneça ao Gerenciamento de Permissões acesso de leitura e gravação para que qualquer correção que você queira fazer a partir da plataforma de Gerenciamento de Permissões possa ser feita automaticamente.
- False, se você quiser que o controlador forneça ao Gerenciamento de Permissões acesso somente leitura.
Role até a parte inferior da página e, na caixa Recursos, selecione Reconheço que o AWS CloudFormation pode criar recursos do IAM com nomes personalizados. Em seguida, selecione Criar pilha.
Essa pilha do AWS CloudFormation cria uma função de coleta na conta de membro com as permissões (políticas) necessárias para a coleta de dados.
Uma política de confiança é definida nessa função para permitir que a função OIDC criada em sua conta do AWS OIDC a acesse. Essas entidades são listadas na guia Recursos da sua pilha do CloudFormation.
Retorne ao Gerenciamento de permissões e, na página Integração do gerenciamento de permissões - Detalhes da conta de membro da AWS, selecione Avançar.
Esta etapa completa a sequência de conexões necessárias do Microsoft Entra STS para a conta de conexão OIDC e a conta de membro da AWS.
Opção 3: Selecionar sistemas de autorização
Essa opção deteta todas as contas da AWS acessíveis por meio do acesso à função OIDC criado anteriormente.
- Implante a conta de gerenciamento CFT (modelo Cloudformation) que cria a função de conta da organização que concede permissão à função OIDC criada anteriormente para listar contas, UOs e SCPs.
- Se o AWS SSO estiver habilitado, o CFT da conta da organização também adicionará a política necessária para coletar os detalhes de configuração do AWS SSO.
- Implante o CFT da conta de Membro em todas as contas que precisam ser monitoradas pelo Gerenciamento de Permissões do Microsoft Entra. Essas ações criam uma função entre contas que confia na função OIDC criada anteriormente. A política SecurityAudit é anexada à função criada para a coleta de dados.
- Clique em Verificar e Salvar.
- Vá para a linha Data Collector recém-criada em AWSdata collectors.
- Clique na coluna Status quando a linha tiver o status Pendente
- Para integrar e iniciar a recolha, escolha as específicas da lista detetada e autorize a recolha.
6. Reveja e guarde
Em Integração de Gerenciamento de Permissões – Resumo, revise as informações adicionadas e selecione Verificar Agora & Salvar.
A seguinte mensagem é exibida: Configuração criada com êxito.
No painel Coletores de dados, a coluna Carregado recentemente em exibe Coletando. A coluna Recentemente transformado em exibe Processamento.
A coluna de status na interface do usuário do Gerenciamento de Permissões mostra em qual etapa da coleta de dados você está:
- Pendente: o Gerenciamento de permissões ainda não começou a ser detetado ou integrado.
- Descubra: O Gerenciamento de Permissões está detetando os sistemas de autorização.
- Em andamento: o Gerenciamento de Permissões concluiu de detetar os sistemas de autorização e está integrado.
- Integrado: a coleta de dados está concluída e todos os sistemas de autorização detetados são integrados ao Gerenciamento de Permissões.
7. Ver os dados
Para visualizar os dados, selecione a guia Sistemas de autorização .
A coluna Status na tabela exibe Coletando dados.
O processo de coleta de dados leva algum tempo e ocorre em intervalos de aproximadamente 4-5 horas na maioria dos casos. O período de tempo depende do tamanho do sistema de autorização que você tem e da quantidade de dados disponíveis para coleta.
Próximos passos
- Para obter informações sobre como habilitar ou desabilitar o controlador após a conclusão da integração, consulte Habilitar ou desabilitar o controlador.
- Para obter informações sobre como adicionar uma conta/assinatura/projeto após a conclusão da integração, consulte Adicionar uma conta/assinatura/projeto após a conclusão da integração.