通过

加入 Amazon Web Services (AWS) 帐户

  • 项目

本文介绍如何在 Microsoft Entra 权限管理中加入 Amazon Web Services (AWS) 帐户。

注意

你必须是权限管理管理员才能执行本文中的任务。

说明

AWS 和 Azure 中几个活动部分,需要在载入前进行配置。

  • Microsoft Entra OIDC 应用
  • AWS OIDC 帐户
  • 一个(可选)AWS 管理帐户
  • AWS 集中式日志记录帐户(可选)
  • AWS OIDC 角色
  • OIDC 角色承担的 AWS 跨帐户角色

加入 AWS 帐户

  1. 如果权限管理启动时未显示“数据收集器”仪表板:

    • 在权限管理主页中,选择“设置”(齿轮图标),然后选择“数据收集器”子选项卡。

  2. 在“数据收集器”仪表板中,选择“AWS”,然后选择“创建配置”。

1. 创建 Microsoft Entra OIDC 应用

  1. 在“权限管理加入 - Microsoft Entra OIDC 应用创建”页面中,输入 OIDC Azure 应用名称。

    此应用用于设置与 AWS 帐户的 OpenID Connect (OIDC) 连接。 OIDC 是基于 OAuth 2.0 系列规范的交互式身份验证协议。 本页中生成的脚本使用正确的配置在 Microsoft Entra 租户中创建此指定名称的应用。

  2. 若要创建应用注册,请复制脚本并在 Azure 命令行应用中运行该脚本。

    注意

    1. 若要确认应用是否已创建,请在 Azure 中打开“应用注册”,然后在“所有应用程序”选项卡上找到你的应用。
    2. 选择应用名称以打开“公开 API”页。 “概述”页面中显示的应用程序 ID URI 是与 AWS 帐户建立 OIDC 连接时使用的受众值。

  3. 返回权限管理,并在“权限管理加入 - Microsoft Entra OIDC 应用创建”中,选择“下一步”。

2.设置 AWS OIDC 帐户

  1. 在“权限管理加入 - AWS OIDC 帐户设置”页面中,输入要在其中创建 OIDC 提供者的 AWS OIDC 帐户的 ID。 可根据需要更改角色名称。

  2. 再打开一个浏览器窗口并登录到要在其中创建 OIDC 提供者的 AWS 帐户。

  3. 选择“启动模型”。 点击此链接将转到“AWS CloudFormation 创建堆栈”页面。

  4. 滚动到页面底部,在“功能”框中选择“我确认 AWS CloudFormation 可能会创建具有自定义名称的 IAM 资源”。 然后选择“创建堆栈”。

    此 AWS CloudFormation 堆栈创建一个代表 Microsoft Entra STS 的 OIDC 标识提供者 (IdP),以及一个具有受信策略的 AWS IAM 角色,该受信策略允许来自 Microsoft Entra ID 的外部标识通过 OIDC IdP 使用它。 这些实体列在“资源”页中。

  5. 返回权限管理,并在“权限管理加入 - AWS OIDC 账户设置”页面中,选择“下一步”。

3. 设置 AWS 管理帐户连接(可选)

  1. 如果贵组织具有可管理部分或全部成员帐户的服务控制策略 (SCP),请在“权限管理加入 - AWS 管理帐户详细信息”页面中设置管理帐户连接。

    设置管理帐户连接可使权限管理能够自动检测和加入任何具有正确权限管理角色的 AWS 成员帐户。

  2. 在“权限管理加入 - AWS 管理帐户详细信息”页面中,输入“管理帐户 ID”和“管理帐户角色”。

  3. 再打开一个浏览器窗口并登录到管理帐户的 AWS 控制台。

  4. 返回权限管理,并在“权限管理加入 - AWS 管理账户详细信息”页面中,选择“发布模板”。

    “AWS CloudFormation 创建堆栈”页随即打开,显示模板。

  5. 查看模板中的信息,根据需要进行更改,然后滚动到页面底部。

  6. 在“功能”框中选择“我确认 AWS CloudFormation 可能会创建具有自定义名称的 IAM 资源”。 然后选择“创建堆栈”。

    此 AWS CloudFormation 堆栈会在管理帐户中创建一个角色,该角色具有收集 SCP 并列出组织中所有帐户所需的权限(策略)。

    为此角色设置了信任策略,以允许在 AWS OIDC 帐户中创建的 OIDC 角色访问它。 这些实体列在 CloudFormation 堆栈的“资源”选项卡中。

  7. 返回权限管理,并在“权限管理加入 - AWS 管理账户详细信息”页面中,选择“下一步”。

  1. 如果贵组织具有集中式日志记录帐户,其中存储了部分或全部 AWS 帐户的日志,请在“权限管理加入 - AWS 集中式日志记录帐户详细信息”页面中设置日志记录帐户连接。

    在“权限管理加入 - AWS 集中式日志记录帐户详细信息”页面中,输入“日志记录帐户 ID”和“日志记录帐户角色”。

  2. 再打开一个浏览器窗口,登录到用于集中式日志记录的 AWS 帐户的 AWS 控制台。

  3. 返回权限管理,并在“权限管理加入 - AWS中心日志账户详细信息”页面中,选择“发布模板”。

    “AWS CloudFormation 创建堆栈”页随即打开,显示模板。

  4. 查看模板中的信息,根据需要进行更改,然后滚动到页面底部。

  5. 在“功能”框中选择“我确认 AWS CloudFormation 可能会创建具有自定义名称的 IAM 资源”,然后选择“创建堆栈”。

    此 AWS CloudFormation 堆栈在日志记录帐户中创建一个角色,该角色具有读取用于集中式日志记录的 S3 Bucket 的必需权限(策略)。 为此角色设置了信任策略,以允许在 AWS OIDC 帐户中创建的 OIDC 角色访问它。 这些实体列在 CloudFormation 堆栈的“资源”选项卡中。

  6. 返回权限管理,并在“权限管理加入 - AWS中心日志账户详细信息”页面中,选择“下一步”。

5.设置 AWS 成员帐户

如果 AWS 帐户访问是通过 AWS SSO 配置的,请选中“启用 AWS SSO 复选框”。

从三个选项中选择一个来管理 AWS 帐户。

选项 1:自动管理

选择此选项,可在无需额外配置的情况下自动检测并添加到受监视的帐户列表。 要检测帐户列表并加入集合,请执行以下步骤:

  • 部署创建组织帐户角色的管理帐户 CFT(Cloudformation 模板),授予之前创建的 OIDC 角色列出帐户、OU 和 SCP 的权限。
  • 如果启用了 AWS SSO,组织帐户 CFT 还将添加收集 AWS SSO 配置详细信息所需的策略。
  • 在需要由 Microsoft Entra 权限管理监视的所有帐户中部署会员帐户 CFT。 这些操作将创建一个信任之前创建的 OIDC 角色的跨帐户角色。 SecurityAudit 策略将附加到为数据收集而创建的角色。

找到的任何当前或未来帐户都会自动加入。

保存配置后查看加入状态:

  • 转到“数据收集器”选项卡。
  • 单击数据收集器的状态。
  • 在“正在进行”页面上查看帐户

选项 2:进入授权系统

  1. 在“权限管理加入 - AWS 成员帐户详细信息”页面中,输入“成员帐户角色”和“成员帐户 ID”。

    最多可以输入 100 个帐户 ID。 单击文本框旁的加号图标,添加更多帐户 ID。

    注意

    对添加的每个帐户 ID 执行以下步骤:

  2. 再打开一个浏览器窗口并登录到成员帐户的 AWS 控制台。

  3. 返回到“权限管理加入 - AWS 成员帐户详细信息”页,选择“启动模板”。

    “AWS CloudFormation 创建堆栈”页随即打开,显示模板。

  4. 在 CloudTrailBucketName 页中,输入名称。

    可以从 AWS 的“痕迹”页复制并粘贴 CloudTrailBucketName 名称。

    注意

    云 Bucket 收集权限管理监视的单个帐户中的所有活动。 在此处输入云 Bucket 的名称,为权限管理提供收集活动数据所需的访问权限。

  5. 从“启用控制器”下拉列表中进行选择:

    • 选择“True”:如果希望控制器为权限管理提供读取和写入访问权限,以便自动执行任何需从权限管理平台执行的修正。
    • 选择“False”:如果希望控制器为权限管理提供只读访问权限。

  6. 滚动到页面底部,在“功能”框中选择“我确认 AWS CloudFormation 可能会创建具有自定义名称的 IAM 资源”。 然后选择“创建堆栈”。

    此 AWS CloudFormation 堆栈在成员帐户中创建一个收集角色,该角色具有数据收集所需的权限(策略)。

    为此角色设置了信任策略,以允许在 AWS OIDC 帐户中创建的 OIDC 角色访问它。 这些实体列在 CloudFormation 堆栈的“资源”选项卡中。

  7. 返回权限管理,并在“权限管理加入 - AWS成员账户详细信息”页面中,选择“下一步”。

    此步骤完成从 Microsoft Entra STS 到 OIDC 连接帐户和 AWS 成员帐户的一系列所需连接。

选项 3:选择授权系统

此选项检测可通过之前创建的 OIDC 角色访问权限来访问的所有 AWS 帐户。

  • 部署创建组织帐户角色的管理帐户 CFT(Cloudformation 模板),授予之前创建的 OIDC 角色列出帐户、OU 和 SCP 的权限。
  • 如果启用了 AWS SSO,组织帐户 CFT 还将添加收集 AWS SSO 配置详细信息所需的策略。
  • 在需要由 Microsoft Entra 权限管理监视的所有帐户中部署会员帐户 CFT。 这些操作将创建一个信任之前创建的 OIDC 角色的跨帐户角色。 SecurityAudit 策略将附加到为数据收集而创建的角色。
  • 单击“验证并保存”。
  • 转到在 AWS 数据收集器下新建的“数据收集器”行。
  • 当行的状态为“挂起”时,单击“状态”列
  • 要加入并开始收集,请从检测到的列表中选择特定的帐户,并同意进行收集。

6.查看并保存

  1. 在“权限管理加入 – 摘要”中,查看已添加的信息,然后选择“立即验证并保存”

    此时将显示以下消息:已成功创建配置。

    在“数据收集器”仪表板中,“最新上传帐户”列显示“正在收集”。 “最新转换帐户”列显示“正在处理”。

    权限管理 UI 中的状态列显示你处于哪个数据收集步骤:

    • 挂起:权限管理尚未开始检测或加入。
    • 发现:权限管理正在检测授权系统。
    • 正在进行:权限管理已完成对授权系统的检测,并且正在加入。
    • 加入:数据收集已完成,所有检测到的授权系统都已加入权限管理。

7.查看数据

  1. 若要查看数据,请选择“授权系统”选项卡。

    表中的“状态”列显示“正在收集数据”。

    数据收集过程需要一些时间,在大多数情况下大约每隔 4-5 小时进行一次。 时间范围取决于你拥有的授权系统的规模以及可用于收集的数据量。

后续步骤