將 Amazon Web Services (AWS) 帳戶上線

本文描述如何在 Microsoft Entra 權限管理上將 Amazon Web Services (AWS) 帳戶上線。

注意

您必須是權限管理系統管理員，才能執行本文中的工作。

說明

在 AWS 和 Azure 之間有多個移動組件，必須在上線之前進行設定。

• Microsoft Entra OIDC 應用程式
• AWS OIDC 帳戶
• (選擇性) AWS 管理帳戶
• (選擇性) AWS 集中式日誌記錄帳戶
• AWS OIDC 角色
• OIDC 角色所擔任的 AWS 跨帳戶角色

將 AWS 帳戶上線

1. 如果授權管理啟動時未顯示 [資料收集器] 儀表板：

   • 在 Permissions Management 首頁中，選取 [設定] (齒輪圖示)，然後選取 [資料收集器] 子索引標籤。

2. 在 [資料收集器] 儀表板上，選取 [AWS]，然後選取 [建立設定]。

1.建立 Microsoft Entra OIDC 應用程式

1. 在 [權限管理上線 - Microsoft Entra OIDC 應用程式建立] 頁面上，輸入 OIDC Azure 應用程式名稱。

   此應用程式用來設定 OpenID Connect (OIDC) 與 AWS 帳戶的連線。 OIDC 是以 OAuth 2.0 系列規格為基礎的互通驗證通訊協定。 此頁面上產生的指令碼會在具有正確設定的 Microsoft Entra 租用戶中，建立此指定名稱的應用程式。

2. 若要建立應用程式註冊，請複製指令碼，並在您的 Azure 命令列應用程式中執行此指令碼。

   注意

   1. 若要驗證是否已建立應用程式，請在 Azure 中開啟 [應用程式註冊]，然後在 [所有應用程式] 索引標籤上，找出您的應用程式。
   2. 選取應用程式名稱以開啟 [公開 API] 頁面。 [概觀] 頁面中顯示的 [應用程式識別碼 URI] 是與 AWS 帳戶建立 OIDC 連線時所使用的受眾值。

3. 返回權限管理，然後在 [權限管理上線 - Microsoft Entra OIDC 應用程式建立] 上，選取 [下一步]。

2.設定 AWS OIDC 帳戶

1. 在 [Permissions Management 上線 - AWS OIDC 帳戶設定] 頁面中，輸入 OIDC 提供者建立位置的 AWS OIDC 帳戶識別碼。 您可以根據需求變更角色。

2. 開啟另一個瀏覽器視窗，然後登入您要在其中建立 OIDC 提供者的 AWS 帳戶。

3. 選取 [啟動範本]。 此連結會帶您前往 [AWS CloudFormation 建立堆疊] 頁面。

4. 捲動到頁面底部，然後在 [功能] 方塊中，選取 [我確認 AWS CloudFormation 可能會使用自訂名稱建立 IAM 資源]。 然後，選取 [建立堆疊]

   此 AWS CloudFormation 堆疊會建立 OIDC 識別提供者 (IdP)，代表 Microsoft Entra STS 和 AWS IAM 角色，並具有信任原則，可讓來自 Microsoft Entra ID 的外部身分識別透過 OIDC IdP 承擔此角色。 這些實體會列示在 [資源] 頁面上。

5. 返回 Permissions Management，然後在 [Permissions Management 上線 - AWS OIDC 帳戶安裝] 頁面上選取 [下一步]。

3.設定 AWS 管理帳戶連線 (選擇性)

1. 如果您的組織具有服務控制原則 (SCP)，控管部分或全部成員帳戶，請在 [權限管理上線 - AWS 管理帳戶詳細資料] 頁面中設定管理帳戶連線。

   設定管理帳戶連線可讓「權限管理」自動偵測任何具有正確權限管理角色的 AWS 成員帳戶，並將其上線。

2. 在 [權限管理上線 - AWS 管理帳戶詳細資料] 頁面中，輸入管理帳戶識別碼和管理帳戶角色。

3. 開啟另一個瀏覽器視窗，然後登入管理帳戶的 AWS 主控台。

4. 返回權限管理，然後在 [權限管理上線 - AWS 管理帳戶詳細資料] 頁面上，選取 [啟動範本]。

   [AWS CloudFormation 建立堆疊] 頁面即會開啟，其中並顯示範本。

5. 檢閱範本中的資訊、視需要進行變更，然後捲動至頁面底部。

6. 在 [功能] 方塊中，選取 [我確認 AWS CloudFormation 可能會使用自訂名稱建立 IAM 資源]。 然後，選取 [建立堆疊]。

   此 AWS CloudFormation 堆疊會在管理帳戶中建立具有必要權限 (原則) 的角色，以收集 SCP 並列出組織中的所有帳戶。

   此角色上會設定信任原則，以允許在 AWS OIDC 帳戶中建立的 OIDC 角色存取此信任原則。 這些實體會列示在 CloudFormation 堆疊的 [資源] 索引標籤中。

7. 返回權限管理，然後在 [權限管理上線 - AWS 管理帳戶詳細資料] 頁面上，選取 [下一步]。

4.設定 AWS 集中式記錄帳戶連線 (選擇性，但建議設定)

1. 如果您的組織具有集中式記錄帳戶，其中儲存來自部分或全部 AWS 帳戶的記錄，請在 [Permissions Management 上線 - AWS 集中式記錄帳戶詳細資料] 頁面中，設定記錄帳戶連線。

   在 [Permissions Management 上線 - AWS 集中式記錄帳戶詳細資料] 頁面中，輸入記錄帳戶識別碼和記錄帳戶角色。

2. 在另一個瀏覽器視窗中，針對您用於集中式記錄的 AWS 帳戶登入 AWS 主控台。

3. 返回 Permissions Management，然後在 [Permissions Management 上線 - AWS 集中式記錄帳戶詳細資料] 頁面上選取 [啟動範本]。

   [AWS CloudFormation 建立堆疊] 頁面即會開啟，其中並顯示範本。

4. 檢閱範本中的資訊、視需要進行變更，然後捲動至頁面底部。

5. 在 [功能] 方塊中，選取 [我確認 AWS CloudFormation 可能會使用自訂名稱建立 IAM 資源]，然後選取 [建立堆疊]。

   此 AWS CloudFormation 堆疊會在記錄帳戶中建立具有必要權限 (原則) 的角色，以讀取用於集中式記錄的 S3 貯體。 此角色上會設定信任原則，以允許在 AWS OIDC 帳戶中建立的 OIDC 角色存取此信任原則。 這些實體會列示在 CloudFormation 堆疊的 [資源] 索引標籤中。

6. 返回 [Permissions Management]，然後在 [Permissions Management 上線 - AWS 集中式記錄帳戶詳細資料] 頁面上選取 [下一步]。

5.設定 AWS 成員帳戶

如果 AWS 帳戶存取是透過 AWS SSO 進行設定，則請選取 [啟用 AWS SSO] 核取方塊。

從三個選項中進行選擇以管理 AWS 帳戶。

選項 1：自動管理

選擇此選項可自動偵測並新增至受監視的帳戶清單，而不需要進行額外設定。 偵測帳戶清單並上線以進行收集的步驟：

• 部署可建立組織帳戶角色的管理帳戶 CFT (Cloudformation 範本)，而此角色會授與稍早所建立 OIDC 角色的權限，以列出帳戶、OU 和 SCP。
• 如果已啟用 AWS SSO，則組織帳戶 CFT 也會新增收集 AWS SSO 設定詳細資料所需的原則。
• 在 Microsoft Entra 權限管理需要監視的所有帳戶中部署成員帳戶 CFT。 這些動作會建立跨帳戶角色以信任稍早所建立的 OIDC 角色。 SecurityAudit 原則會附加至針對資料收集所建立的角色。

任何目前或未來找到的帳戶都會自動上線。

若要在儲存設定之後檢視上線狀態：

• 移至 [資料收集器] 索引標籤。
• 按一下資料收集器的狀態。
• 在 [進行中] 頁面上檢視帳戶

選項 2：進入授權系統

1. 在 [Permissions Management 上線 - AWS 成員帳戶詳細資料] 頁面中，輸入成員帳戶角色和成員帳戶識別碼。

   您最多可以輸入 100 個帳戶識別碼。 按一下文字方塊旁邊的加號圖示，以新增更多帳戶識別碼。

   注意

   針對新增的每個帳戶識別碼，執行下列步驟：

2. 開啟另一個瀏覽器視窗，然後登入成員帳戶的 AWS 主控台。

3. 返回 [Permissions Management 上線 - AWS 成員帳戶詳細資料] 頁面，選取 [啟動範本]。

   [AWS CloudFormation 建立堆疊] 頁面即會開啟，其中並顯示範本。

4. 在 [CloudTrailBucketName] 頁面中，輸入名稱。

   您可以從 AWS 中的 [線索] 頁面複製並貼上CloudTrailBucketName 名稱。

   注意

   雲端貯體會收集單一帳戶中權限管理所監視的所有活動。 在這裡輸入雲端貯體的名稱，以提供 Permissions Management 收集活動資料所需的存取權。

5. 從 [啟用控制器] 下拉式清單中，選取：

   • True，前提是您想要讓控制器提供具有讀取和寫入存取權的 Permissions Management，以便您想要從 Permissions Management 平台執行的任何補救都可以自動完成。
   • False，前提是您想要控制器提供唯讀存取權給 Permissions Management。

6. 捲動到頁面底部，然後在 [功能] 方塊中，選取 [我確認 AWS CloudFormation 可能會使用自訂名稱建立 IAM 資源]。 然後，選取 [建立堆疊]。

   此 AWS CloudFormation 堆疊會在成員帳戶中建立具有必要權限 (原則) 的集合角色，以進行資料收集。

   此角色上會設定信任原則，以允許在 AWS OIDC 帳戶中建立的 OIDC 角色存取此信任原則。 這些實體會列示在 CloudFormation 堆疊的 [資源] 索引標籤中。

7. 返回 Permissions Management，然後在 [Permissions Management - AWS 成員帳戶詳細資料] 頁面上選取 [下一步]。

   此步驟會完成從 Microsoft Entra STS 到 OIDC 線上帳戶和 AWS 成員帳戶的一連串必要連線。

選項 3：選取授權系統

此選項會偵測可透過先前所建立 OIDC 角色存取權存取的所有 AWS 帳戶。

• 部署可建立組織帳戶角色的管理帳戶 CFT (Cloudformation 範本)，而此角色會授與稍早所建立 OIDC 角色的權限，以列出帳戶、OU 和 SCP。
• 如果已啟用 AWS SSO，則組織帳戶 CFT 也會新增收集 AWS SSO 設定詳細資料所需的原則。
• 在 Microsoft Entra 權限管理需要監視的所有帳戶中部署成員帳戶 CFT。 這些動作會建立跨帳戶角色以信任稍早所建立的 OIDC 角色。 SecurityAudit 原則會附加至針對資料收集所建立的角色。
• 按一下 [確認並儲存]。
• 移至 AWSdata 收集器下新建立的「資料收集器」資料列。
• 資料列處於 [擱置中] 狀態時，請按一下 [狀態] 資料行
• 若要上線並開始收集，請從偵測到的清單中選擇特定收集，並同意收集。

6.檢閱並儲存

1. 在 [權限管理上線 - 摘要] 中，檢閱您已新增的資訊，然後選取 [立即驗證和儲存]。

   下列訊息即會出現：已成功建立設定。

   在 [資料收集器] 儀表板上，[最近上傳已開始] 資料行顯示 [收集中]。 [最近轉換已開始] 資料行顯示 [處理中]。

   權限管理 UI 中的 [狀態] 資料行會顯示您位於資料收集的哪個步驟：

   • 擱置：權限管理尚未開始偵測或上線。
   • 探索：權限管理正在偵測授權系統。
   • 進行中：權限管理已完成偵測授權系統並上線。
   • 上線：資料收集已完成，且所有偵測到的授權系統都會上線至權限管理。

7.檢視資料

1. 若要檢視資料，請選取 [授權系統] 索引標籤。

   資料表中的 [狀態] 資料行會顯示 [正在收集資料]。

   在大部分情況下，資料收集程序需要一些時間，並以大約 4-5 小時的間隔發生。 時間範圍取決於您擁有的授權系統大小，以及可供收集的資料量。

下一步

• 如需如何在上線完成之後啟用或停用控制器的相關資訊，請參閱啟用或停用控制器。
• 如需如何在上線完成之後新增帳戶/訂用帳戶/專案的相關資訊，請參閱在上線完成之後新增帳戶/訂用帳戶/專案。