Подключение учетной записи Amazon Web Services (AWS)

В этой статье описано, как подключить учетную запись Amazon Web Services (AWS) к Управлению разрешениями.

Примечание

Глобальный администратор или суперадминистратор (администратор для всех типов системы авторизации) может выполнять задачи, описанные в этой статье, после того, как глобальный администратор изначально завершит шаги, описанные в разделе Включение службы "Управление разрешениями" в арендаторе Azure Active Directory.

Подключение учетной записи AWS

  1. Выполните указанные ниже действия, если панель мониторинга Сборщики данных не отображается при запуске службы "Управление разрешениями":

    • На домашней странице службы "Управление разрешениями" выберите Параметры (значок шестеренки), а затем перейдите на вложенную вкладку Сборщики данных.
  2. На панели мониторинга Сборщики данных выберите AWS и нажмите Создать конфигурацию.

1. Создание приложения Azure AD OIDC

  1. На странице Подключение службы "Управление разрешениями" — создание приложения Azure AD OIDC введите имя приложения Azure OIDC.

    Это приложение используется для настройки подключения по протоколу OpenID Connect (OIDC) в учетной записи AWS. OIDC — это протокол проверки подлинности с возможностью взаимодействия на основе семейства спецификаций OAuth 2.0. Сформированные скрипты на этой странице создают приложение с указанным именем в клиенте Azure AD с правильной конфигурацией.

  2. Чтобы создать регистрацию приложения, скопируйте сценарий и запустите его в приложении командной строки Azure.

    Примечание

    1. Чтобы убедиться, что приложение создано, откройте Регистрация приложений в Azure, а затем на вкладке Все приложения выберите свое приложение.
    2. Выберите имя приложения, чтобы открыть страницу Предоставление API. URI идентификатора приложения, отображаемый на странице Обзор, — это значение аудитории, используемое при создании подключения OIDC к вашей учетной записи AWS.
  3. Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — создание приложения Azure AD OIDC нажмите кнопку Далее.

2. Настройка учетной записи AWS OIDC

  1. На странице Подключение службы "Управление разрешениями" — настройка учетной записи OIDC AWS введите идентификатор учетной записи OIDC AWS, в которой создан поставщик OIDC. Имя роли можно изменить по необходимости соответствия вашим стандартам именования.

  2. Откройте другое окно браузера и войдите в учетную запись AWS, в которой нужно создать поставщик OIDC.

  3. Выберите Запустить шаблон. Эта ссылка позволяет перейти на страницу создания стека AWS CloudFormation.

  4. Прокрутите страницу вниз и в поле Capabilities (Возможности) выберите I acknowledge that AWS CloudFormation might create IAM resources with custom names (Я подтверждаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами). Затем выберите Create stack (Создать стек).

    Этот стек AWS CloudFormation создает поставщик удостоверений OIDC (IdP), представляющий Azure AD STS, и роль AWS IAM с политикой доверия, которая позволяет внешним удостоверениям из Azure AD допускать их с помощью IdP OIDC. Эти сущности перечислены на странице Ресурсы.

  5. Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — настройка учетной записи OIDC AWS нажмите кнопку Далее.

3. Настройка главной учетной записи AWS (необязательно)

  1. Если в организации есть политики управления службами, которые управляют некоторыми или всеми учетными записями участников, настройте подключение к главной учетной записи на странице Подключение службы "Управление разрешениями" — сведения о главной учетной записи AWS.

    Настройка подключения к главной учетной записи позволяет службе "Управление разрешениями" автоматически обнаруживать и подключать любые учетные записи AWS, имеющие правильную роль службы "Управление разрешениями".

    • На странице Подключение службы "Управление разрешениями" — сведения о главной учетной записи AWS введите идентификатор главной учетной записи и роль главной учетной записи.
  2. Откройте другое окно браузера и войдите в консоль AWS для своей главной учетной записи.

  3. Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — сведения о главной учетной записи AWS нажмите кнопку Запустить шаблон.

    Откроется страница Создание стека AWS CloudFormation, на которой отобразится шаблон.

  4. Просмотрите сведения в шаблоне, внесите необходимые изменения, а затем прокрутите страницу вниз.

  5. В поле Capabilities (Возможности) выберите I acknowledge that AWS CloudFormation might create IAM resources with custom names (Я подтверждаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами). Затем выберите Create stack (Создать стек).

    Этот стек AWS CloudFormation создает роль в главной учетной записи с необходимыми разрешениями (политиками) для получения политик управления службами и списка всех учетных записей в организации.

    Для этой роли задана политика доверия, которая разрешает роли OIDC, созданной в учетной записи OIDC AWS, для доступа к нему. Эти сущности перечислены на вкладке Resources (Ресурсы) в стеке CloudFormation.

  6. Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — сведения о главной учетной записи AWS нажмите кнопку Далее.

  1. Если в вашей организации есть учетная запись для централизованного ведения журнала, где хранятся журналы некоторых или всех учетных записей AWS, настройте подключение к учетной записи ведения журнала на странице Подключение службы "Управление разрешениями" — сведения об учетной записи централизованного ведения журнала AWS.

    На странице Подключение службы "Управление разрешениями" — сведения об учетной записи централизованного ведения журнала AWS введите идентификатор учетной записи и роль учетной записи ведения журнала.

  2. В другом окне браузера войдите в консоль AWS для учетной записи AWS, используемой для централизованного ведения журнала.

  3. Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — сведения об учетной записи централизованного ведения журнала AWS нажмите кнопку Запустить шаблон.

    Откроется страница Создание стека AWS CloudFormation, на которой отобразится шаблон.

  4. Просмотрите сведения в шаблоне, внесите необходимые изменения, а затем прокрутите страницу вниз.

  5. В поле Capabilities (Возможности) выберите I acknowledge that AWS CloudFormation might create IAM resources with custom names (Я подтверждаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами), а затем выберите Create stack (Создать стек).

    Этот стек AWS CloudFormation создает роль в учетной записи ведения журнала с необходимыми разрешениями (политиками) для чтения контейнеров S3, используемых для централизованного ведения журнала. Для этой роли задана политика доверия, которая разрешает роли OIDC, созданной в учетной записи OIDC AWS, для доступа к нему. Эти сущности перечислены на вкладке Resources (Ресурсы) в стеке CloudFormation.

  6. Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — сведения об учетной записи централизованного ведения журнала AWS нажмите кнопку Далее.

5. Настройка учетной записи участника AWS

Установите Флажок "Включить AWS SSO", если доступ к аккаунту AWS настроен через AWS SSO.

Выберите один из 3 вариантов управления учетными записями AWS.

Вариант 1. Автоматическое управление

Выберите этот вариант для автоматического обнаружения и добавления в список отслеживаемых учетных записей без дополнительной настройки. Шаги для определения списка учетных записей и подключений для коллекции:

  • Разверните CFT основной учетной записи (шаблон Cloudformation), который создает роль учетной записи организации, что предоставляет разрешение созданной ранее роли OIDC для перечисления учетных записей, подразделений и SCP.
  • Если AWS SSO включен, CFT учетной записи организации также добавляет политику, необходимую для сбора сведений о конфигурации AWS SSO.
  • Разверните CFT учетной записи участника во всех учетных записях, которые необходимо отслеживать с помощью управления разрешениями Entra. Это создает роль перекрестной учетной записи, которая доверяет роли OIDC, созданной ранее. Политика SecurityAudit привязана к роли, созданной для сбора данных.

Любые найденные текущие или будущие учетные записи подключаются автоматически.

Чтобы просмотреть состояние подключения после сохранения конфигурации, сделайте следующее:

  • Перейдите на вкладку сборщиков данных.
  • Щелкните статус сборщика данных.
  • Просмотр учетных записей на странице "Выполняется"

Вариант 2. Ввод систем авторизации

  1. На странице Подключение службы "Управление разрешениями" — сведения об учетной записи участника AWS введите роль учетной записи участника и идентификаторы учетных записей участников.

    Можно ввести до 10 идентификаторов учетных записей. Щелкните значок "плюс" рядом с текстовым полем, чтобы добавить дополнительные идентификаторы учетных записей.

    Примечание

    Выполните следующие шесть шагов для каждого добавляемого идентификатора учетной записи.

  2. Откройте другое окно браузера и войдите в консоль AWS для учетной записи участника.

  3. На странице Подключение службы "Управление разрешениями" — сведения об учетной записи участника AWS выберите Запустить шаблон.

    Откроется страница Создание стека AWS CloudFormation, на которой отобразится шаблон.

  4. На странице CloudTrailBucketName введите имя.

    Вы можете скопировать и вставить имя CloudTrailBucketName со страницы Trails (Журналы) в AWS.

    Примечание

    Облачный контейнер собирает все действия в одной учетной записи, которую отслеживает служба "Управление разрешениями". Введите имя облачного контейнера, чтобы предоставить службе "Управление разрешениями" доступ, необходимый для получения данных о действиях.

  5. В раскрывающемся списке Включить контроллер выберите один из следующих пунктов.

    • Значение true, если требуется, чтобы контроллер предоставил службе "Управление разрешениями"доступ на чтение и запись, чтобы любое исправление, которое вы делаете с платформы управления разрешениями, выполнялось автоматически.
    • Значение false, если требуется, чтобы контроллер предоставил службе "Управление разрешениями" доступ только для чтения.
  6. Прокрутите страницу вниз и в поле Capabilities (Возможности) выберите I acknowledge that AWS CloudFormation might create IAM resources with custom names (Я подтверждаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами). Затем выберите Create stack (Создать стек).

    Этот стек AWS CloudFormation создаст роль коллекции в учетной записи участника с необходимыми разрешениями (политиками) для сбора данных.

    Для этой роли задана политика доверия, которая разрешает роли OIDC, созданной в учетной записи OIDC AWS, для доступа к нему. Эти сущности перечислены на вкладке Resources (Ресурсы) в стеке CloudFormation.

  7. Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — сведения об учетной записи участника AWS нажмите кнопку Далее.

    На этом шаге устанавливается последнее необходимое подключение от Azure AD STS к учетной записи подключения OIDC и учетной записи участника AWS.

Вариант 3. Выбор систем авторизации

Этот вариант обнаруживает все учетные записи AWS, доступные через созданный ранее доступ к роли OIDC.

  • Разверните CFT основной учетной записи (шаблон Cloudformation), который создает роль учетной записи организации, что предоставляет разрешение созданной ранее роли OIDC для перечисления учетных записей, подразделений и SCP.
  • Если AWS SSO включен, CFT учетной записи организации также добавляет политику, необходимую для сбора сведений о конфигурации AWS SSO.
  • Разверните CFT учетной записи участника во всех учетных записях, которые необходимо отслеживать с помощью управления разрешениями Entra. Это создает роль перекрестной учетной записи, которая доверяет роли OIDC, созданной ранее. Политика SecurityAudit привязана к роли, созданной для сбора данных.
  • Щелкните "Проверить и сохранить".
  • Перейдите к новой строке Сборщика данных в разделе "Сборщики AWSdata".
  • Щелкните столбец "Статус", если строка имеет статус "Ожидание"
  • Чтобы подключиться и начать сбор, выберите определенные пункты из обнаруженного списка и дайте согласие на сбор.

6. Проверка и сохранение

  1. На странице Подключение службы "Управление разрешениями" — сводка просмотрите информацию, которую вы добавили, а затем выберите Проверить сейчас & Сохранить.

    Появится следующее сообщение: Конфигурация успешно создана.

    На панели мониторинга Сборщики данных в столбце Недавно отправлено отображается значение Сбор. В столбце Недавно преобразовано отображается Обработка.

    Вы завершили подключение проекта AWS, и служба "Управление разрешениями" начала сбор и обработку данных.

7. Просмотр данных

  1. Чтобы просмотреть данные, перейдите на вкладку Системы авторизации.

    В столбце Состояние в таблице отображается сообщение Сбор данных.

    Процесс сбора данных может занять некоторое время в зависимости от размера учетной записи и объема данных, доступных для сбора.

Дальнейшие шаги