通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将 AWS 账户连接到到 Microsoft Defender for Cloud

Microsoft Defender for Cloud 可帮助保护 Amazon Web Services(AWS)中运行的工作负荷。 若要评估 AWS 资源并获取安全建议,需要将 AWS 帐户连接到 Defender for Cloud。 连接器从 AWS 服务收集配置和安全信号。 通过使用此信息,Defender for Cloud 可以分析状况、生成建议和图面警报。

有关详细信息,请观看视频系列Defender for Cloud in the Field中的Defender for Cloud 新 AWS 连接器视频。

显示 Defender for Cloud 概述仪表板中列出的 AWS 帐户的屏幕截图。

重要说明

如果已将 AWS 帐户连接到 Microsoft Sentinel,则连接到 Defender for Cloud 时可能需要执行额外的配置。 此额外配置可防止部署或引入问题。 有关详细信息,请参阅 将 Sentinel 连接的 AWS 帐户连接到 Defender for Cloud

身份验证体系结构

连接 AWS 帐户时,Microsoft Defender for Cloud 使用联合信任和生存期短的凭据向 AWS 进行身份验证,而无需存储长期机密。

详细了解 如何在 Microsoft Entra ID 与 AWS 之间建立身份验证,包括加入期间创建的 IAM 角色和信任关系。

先决条件

在连接 AWS 帐户之前,请确保具备:

启用特定 Defender 计划时,需要满足其他要求。 检查本地连接器计划要求

注意

AWS连接器在国家政府云服务(Azure政府云服务,由世纪互联运营的Microsoft Azure)上不可用。

本机连接器计划要求

每个 Defender 计划都有特定的设置要求。

  • 至少有一个 Amazon EKS 群集有权访问 Kubernetes API 服务器。 如果没有 EKS 群集,请创建新的 EKS 群集
  • 在群集所在的同一区域中具备创建 Amazon SQS 队列、Kinesis Data Firehose 传送流和 Amazon S3 存储桶的能力。

连接到你的 AWS 帐户

  1. 登录 Azure 门户

  2. 导航到“Defender for Cloud”>“环境设置”。

  3. 选择“添加环境”“Amazon Web Services”>

    屏幕截图显示了将 AWS 帐户连接到 Azure 订阅。

  4. 输入 AWS 帐户详细信息,包括将在其中创建连接器资源的 Azure 区域。

    屏幕截图显示了用于输入 AWS 帐户的帐户详细信息的选项卡。

    使用 AWS 区域 下拉列表选择 Defender for Cloud 监视器的区域。 取消选择的区域不会从 Defender for Cloud 接收 API 调用。

  5. 选择扫描间隔(4、6、12 或 24 小时)。

    此选择定义大多数姿势检查的标准间隔。 一些固定间隔的数据收集器会更频繁地运行,无论此设置如何:

    扫描间隔 数据收集器
    1 小时 EC2Instance、ECRImage、ECRRepository、RDSDBInstance、S3Bucket、S3BucketTags、S3Region、EKSCluster、EKSClusterName、EKSNodegroup、EKSNodegroupName、AutoScalingAutoScalingGroup
    12 小时 EcsClusterArn、EcsService、EcsServiceArn、EcsTaskDefinition、EcsTaskDefinitionArn、EcsTaskDefinitionTags、AwsPolicyVersion、LocalPolicyVersion、AwsEntitiesForPolicy、LocalEntitiesForPolicy、BucketEncryption、BucketPolicy、S3PublicAccessBlockConfiguration、BucketVersioning、S3LifecycleConfiguration、BucketPolicyStatus、S3ReplicationConfiguration、S3AccessControlList、S3BucketLoggingConfig、PublicAccessBlockConfiguration

  6. 选择 “下一步:选择计划”,然后选择要启用的 Defender 计划。

    查看默认计划选择,因为某些计划可能会根据配置自动启用。 例如,数据库计划将 Defender for SQL 覆盖范围扩展到 AWS EC2、RDS 自定义 SQL Server 和 RDS 上的开源关系数据库。

    显示 AWS 帐户的计划选择步骤的屏幕截图。

    每个计划可能会产生费用。 详细了解 Defender for Cloud 定价

    重要说明

    若要提供最新的建议,Defender CSPM 每天多次调用 AWS 资源 API。 这些只读 API 调用不会产生 AWS 费用。 但是,如果启用读取事件日志记录,CloudTrail 可能会记录它们。 将此数据导出到外部 SIEM 系统可能会增加引入成本。 如有需要,可从以下内容中筛选只读调用:

    arn:aws:iam::<accountId>:role/CspmMonitorAws

  7. 选择 “配置访问权限”,然后选择:

    • 默认访问权限:授予当前和将来功能所需的权限。
    • 最低特权访问权限:仅授予当前所需的权限。 如果以后需要其他访问权限,可能会收到通知。

  8. 选择部署方法:

    • AWS CloudFormation
    • Terraform

    显示部署方法配置的屏幕截图。

    注意

    载入 管理帐户时,Defender for Cloud 使用 AWS StackSet,并自动为子帐户创建连接器。 为新发现的帐户启用自动预配。

    注意

    如果选择管理帐户来创建指向管理帐户的连接器,则 UI 中不会显示通过 Terraform 加入的选项卡。 Terraform 入门仍然受支持。 有关指南,请参阅 使用 Terraform 将 AWS/GCP 环境载入到 Microsoft Defender for Cloud

  9. 按照屏幕上的说明部署 CloudFormation 模板。 如果选择 Terraform,请按照门户中提供的相应部署说明进行操作。

  10. 选择“下一步:审阅并生成”

  11. 选择“创建”

Defender for Cloud 开始扫描 AWS 资源。 安全建议将在几个小时内显示。 载入后,可以在 Defender for Cloud 中监视 AWS 状况、警报和资源清单。 有关详细信息,请参阅 监视连接的 AWS 资源

验证连接器运行状况

若要确认 AWS 连接器正常运行,请执行以下作:

  1. 登录 Azure 门户

  2. 导航到“Defender for Cloud”>“环境设置”。

  3. 找到 AWS 帐户并查看 “连接状态 ”列,以查看连接是否正常或出现问题。

  4. 选择“ 连接状态 ”列中显示的值以查看更多详细信息。

“环境详细信息”页列出了影响 AWS 帐户连接的任何检测到的配置或权限问题。

Microsoft Defender for Cloud 中环境详细信息页的屏幕截图,其中显示了连接的 Amazon Web Services 帐户的连接状态。

如果存在问题,可以选择它以查看问题的说明和建议的修正步骤。 在某些情况下,会提供修正脚本来帮助解决问题。

详细了解 如何排查多云连接器问题

将 CloudFormation 模板部署到 AWS 帐户

在载入过程中,部署生成的 CloudFormation 模板:

  • 作为 Stack(单帐户)
  • 作为 StackSet(管理帐户)

显示 CloudFormation 模板部署向导的屏幕截图。

模板部署选项

  • Amazon S3 URL:使用你自己的安全配置将下载的 CloudFormation 模板上传到你自己的 S3 存储桶。 在 AWS 部署向导中提供 S3 URL。

  • 上传模板文件:AWS 会自动创建 S3 存储桶来存储模板。 此配置可能会触发 S3 buckets should require requests to use Secure Socket Layer 建议。 可以通过应用以下存储桶策略来修复此问题:

{
  "Id": "ExamplePolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSSLRequestsOnly",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": [
        "<S3_Bucket_ARN>",
        "<S3_Bucket_ARN>/*"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      },
      "Principal": "*"
    }
  ]
}

注意

在加入 AWS 管理帐户时运行 CloudFormation StackSets,可能会遇到以下错误消息:You must enable organizations access to operate a service managed stack set

此错误消息指出您未启用 AWS Organizations 的受信任访问

若要修复此错误,CloudFormation StackSets 页面有一个提示,其中包含一个按钮,你可以选择该按钮来启用受信任的访问。 启用受信任的访问后,再次运行 CloudFormation Stack。

是否需要更新 CloudFormation 模板?

此表可帮助你确定是否需要更新 AWS 帐户中部署的 CloudFormation 模板。

步骤 问题 如果是 如果为 NO
1 是否启用了新的 Defender 计划(例如 CSPM、数据库、Defender for Containers)? 使用最新的模板更新 CloudFormation Stack。 转到步骤 2。
2 是否修改计划配置(例如,启用自动预配或更改区域)? 使用最新的模板更新 CloudFormation Stack。 转到步骤 3。
3 Microsoft是否发布了新版本的模板? (例如,支持新功能、修复 bug 或更新运行时) 使用最新的模板更新 CloudFormation Stack。 转到步骤 4。
4 是否遇到部署错误1 (例如,访问被拒绝错误、实体已存在、Lambda 运行时)? 使用最新的模板更新 CloudFormation Stack。 不需要更新 CloudFormation 模板。

1 如果收到特定错误或 CloudFormation 模板部署错误,请参阅 CloudFormation 错误解决表

启用 AWS CloudTrail 日志引入(预览版)

AWS CloudTrail 管理事件引入可以通过为 CIEM 评估、基于活动的风险指标和配置更改检测添加上下文来增强标识和配置见解。

详细了解如何将 AWS CloudTrail 日志与 Microsoft Defender for Cloud 集成(预览版)。

了解详细信息

请查看以下博客:

后续步骤

  • Last updated on