編輯

適用于 AWS 的 Microsoft Entra 身分識別管理和存取管理

Azure
Microsoft Entra ID

本文提供 AWS 身分識別架構設計人員、系統管理員和安全性分析師,並提供適用于 AWS 的 Microsoft Entra 身分識別與存取解決方案的立即見解和詳細指引。 您可以設定及測試這些 Microsoft 安全性解決方案,而不會影響您現有的識別提供者和 AWS 帳戶使用者,直到您準備好切換為止。

架構

AWS 會為其建立的每個帳戶建立個別 的身分識別和存取管理 (IAM) 存放區 。 下圖顯示具有單一 AWS 帳戶的 AWS 環境標準設定:

Diagram showing a single-account AWS environment.

根使用者 完全控制 AWS 帳戶,並將存取權委派給其他身分識別。 AWS IAM 主體 會為每個需要存取 AWS 帳戶的角色和使用者提供唯一的身分識別。 AWS IAM 可以使用複雜的密碼和基本 MFA 來保護每個根、主體和使用者帳戶。

許多組織需要一個以上的 AWS 帳戶,導致 身分識別定址接收器 管理複雜:

Diagram showing a multiple-account AWS environment.

為了允許集中式身分識別管理,並避免管理多個身分識別和密碼,大部分的組織都想要針對平臺資源使用單一登入。 某些 AWS 客戶依賴伺服器型 Microsoft Active Directory 進行 SSO 整合。 其他客戶投資協力廠商解決方案來同步處理或同盟其身分識別並提供 SSO。

Microsoft Entra ID 提供集中式身分識別管理,並提供強式 SSO 驗證。 幾乎所有遵循常見 Web 驗證標準的應用程式或平臺,包括 AWS,都可以使用 Microsoft Entra ID 進行身分識別和存取管理。

許多組織已經使用 Microsoft Entra 識別碼來指派及保護 Microsoft 365 或混合式雲端身分識別。 員工會使用其 Microsoft Entra 身分識別來存取電子郵件、檔案、立即訊息、雲端應用程式和內部部署資源。 您可以快速輕鬆地整合 Microsoft Entra ID 與您的 AWS 帳戶,讓系統管理員和開發人員使用其現有的身分識別登入 AWS 環境。

下圖顯示 Microsoft Entra ID 如何與多個 AWS 帳戶整合,以提供集中式身分識別和存取管理:

Diagram showing AWS and Microsoft Entra integration.

Microsoft Entra ID 提供數個功能來直接與 AWS 整合:

  • 跨舊版、傳統和新式驗證解決方案的 SSO。
  • MFA,包括與來自 Microsoft Intelligent Security Association (MISA) 合作夥伴的數個 協力廠商解決方案 整合。
  • 式驗證和嚴格治理的強大條件式存取 功能。 Microsoft Entra ID 會使用條件式存取原則和風險型評定來驗證和授權使用者存取 AWS 管理主控台和 AWS 資源。
  • 大規模威脅偵測和自動化回應。 Microsoft Entra ID 每天會處理超過 300 億個驗證要求,以及全球威脅的數萬億個訊號。
  • 特殊許可權存取管理 (PAM) 可啟用 特定資源的 Just-In-Time (JIT) 布建

使用 AWS 帳戶進行進階 Microsoft Entra 身分識別管理

其他進階的 Microsoft Entra 功能可為最敏感的 AWS 帳戶提供額外的控制層。 Microsoft Entra ID P2 授權包含下列進階功能:

  • Privileged Identity Management (PIM) 可為 Azure 和 Microsoft 365 內的所有委派角色提供進階控制。 例如,與其系統管理員一律使用全域管理員角色,而是具有視需要啟用角色的許可權。 此許可權會停用設定的時間限制之後(例如一小時)。 PIM 會記錄所有啟用,並具有其他控制項,可進一步限制啟用功能。 PIM 藉由確保額外的治理和保護層級,讓系統管理員進行變更,進一步保護您的身分識別架構。

    您可以控制自訂群組 的存取權,例如您為存取 AWS 角色所建立的許可權,將 PIM 擴充至任何委派的許可權。 如需部署 PIM 的詳細資訊,請參閱 部署 Microsoft Entra Privileged Identity Management

  • 進階 Identity Protection 藉由監視使用者或會話風險來增加 Microsoft Entra 登入安全性。 使用者風險會定義遭入侵的認證潛力,例如公開發行缺口清單中出現的使用者識別碼和密碼。 會話風險會判斷登入活動是否來自有風險的位置、IP 位址或其他入侵指標。 這兩種偵測類型都借鑒了 Microsoft 的完整威脅情報功能。

    如需進階身分識別保護的詳細資訊,請參閱 Microsoft Entra ID Protection 安全性概觀

  • 適用於身分識別的 Microsoft Defender 藉由監視所有活動和威脅訊號,來保護在 Active Directory 網域控制站上執行的身分識別和服務。 適用于身分識別的 Defender 會根據客戶缺口調查的實際體驗來識別威脅。 適用于身分識別的 Defender 會監視使用者行為,並建議降低攻擊面,以防止進階攻擊,例如偵察、橫向移動和網域支配。

    如需適用于身分識別的 Defender 的詳細資訊,請參閱 什麼是適用於身分識別的 Microsoft Defender

案例詳細資料

支援重要工作負載和高度敏感性資訊的 Amazon Web Services (AWS) 帳戶需要強式身分識別保護和存取控制。 當與 Microsoft Entra ID 結合時,AWS 身分識別管理會增強。 Microsoft Entra ID 是雲端式、全方位的集中式身分識別和存取管理解決方案,可協助保護及保護 AWS 帳戶和環境。 Microsoft Entra ID 透過多重要素驗證 (MFA) 和條件式存取原則,提供集中式 單一登入 (SSO) 強式驗證 Microsoft Entra ID 支援 AWS 身分識別管理、角色型身分識別和存取控制。

許多使用 AWS 的組織已經依賴 Microsoft 365 的 Microsoft Entra ID 或混合式雲端身分識別管理和存取保護。 這些組織可以快速且輕鬆地搭配其 AWS 帳戶使用 Microsoft Entra ID,通常不需要額外費用。 其他進 階的 Microsoft Entra 功能 ,例如 Privileged Identity Management (PIM) 和進階身分識別保護,可協助保護最敏感的 AWS 帳戶。

Microsoft Entra ID 可以輕鬆地與其他 Microsoft 安全性解決方案整合,例如 適用於雲端的 Microsoft Defender Apps 和 Microsoft Sentinel。 如需詳細資訊,請參閱 適用於雲端的 Defender Apps 和 Microsoft Sentinel for AWS 。 Microsoft 安全性解決方案是可延伸的,而且具有多個層級的保護。 組織可以實作一或多個這些解決方案,以及其他類型的保護,以取得保護目前和未來 AWS 部署的完整安全性架構。

建議

安全性

下列原則和指導方針對於任何雲端安全性解決方案都很重要:

  • 確定組織可以監視、偵測及自動保護使用者和以程式設計方式存取雲端環境。

  • 持續檢閱目前的帳戶,以確保身分識別和許可權控管和控制。

  • 遵循 最低許可權 零信任 原則。 請確定每個使用者只能從受信任的裝置和已知位置存取所需的特定資源。 減少每個系統管理員和開發人員的許可權,只提供他們執行的角色所需的許可權。 定期檢閱。

  • 持續監視平臺組態變更,特別是當他們提供提升許可權或攻擊持續性的機會時。

  • 主動檢查和控制內容,以防止未經授權的資料外流。

  • 利用您可能已經擁有的解決方案,例如 Microsoft Entra ID P2,可以增加安全性,而不需要花費更多費用。

基本 AWS 帳戶安全性

為了確保 AWS 帳戶和資源的基本安全性衛生:

  • 請檢閱 AWS 安全性指引,以 取得保護 AWS 帳戶和資源 的最佳作法。

  • 透過 AWS 管理主控台主動檢查所有資料傳輸,以降低上傳和下載惡意程式碼和其他惡意內容的風險。 直接上傳或下載至 AWS 平臺內資源的內容,例如網頁伺服器或資料庫,可能需要更多保護。

  • 請考慮保護其他資源的存取,包括:

    • 在 AWS 帳戶內建立的資源。
    • 特定的工作負載平臺,例如 Windows Server、Linux Server 或容器。
    • 系統管理員和開發人員用來存取 AWS 管理主控台的裝置。

AWS IAM 安全性

保護 AWS 管理主控台的重要層面是控制誰可以進行敏感性組態變更。 AWS 帳戶根使用者具有不受限制的存取權。 安全性小組應完全控制根使用者帳戶,以防止其登入 AWS 管理主控台或使用 AWS 資源。

若要控制根使用者帳戶:

  • 請考慮將根使用者登入認證從個人的電子郵件地址變更為安全性小組所控制的服務帳戶。
  • 請確定根使用者帳戶密碼很複雜,並為根使用者強制執行 MFA。
  • 監視用來登入之根使用者帳戶實例的記錄。
  • 只有在緊急情況下才使用根使用者帳戶。
  • 使用 Microsoft Entra ID 實作委派的系統管理存取權,而不是使用根使用者來執行系統管理工作。

清楚瞭解並檢閱其他 AWS IAM 帳戶元件,以取得適當的對應和指派。

  • 根據預設,AWS 帳戶在根使用者建立一或多個身分識別來委派存取權之前,沒有 IAM 使用者 。 同步處理其他身分識別系統現有使用者的解決方案,例如 Microsoft Active Directory,也可以自動布建 IAM 使用者。

  • IAM 原則 會提供 AWS 帳戶資源的委派存取權限。 AWS 提供超過 750 個唯一的 IAM 原則,客戶也可以定義自訂原則。

  • IAM 角色 會將特定原則附加至身分識別。 角色是管理 角色型存取控制 (RBAC) 的方式。 目前的解決方案會使用 外部身 分識別來實作 Microsoft Entra 身分識別,方法是假設 IAM 角色。

  • IAM 群組 也是管理 RBAC 的一種方式。 不要將 IAM 原則直接指派給個別 IAM 使用者、建立 IAM 群組、附加一或多個 IAM 原則來指派許可權,並將 IAM 使用者新增至群組,以繼承資源的適當存取權限。

某些 IAM 服務帳戶 必須繼續在 AWS IAM 中執行,以提供程式設計存取。 請務必檢閱這些帳戶、安全地儲存及限制其安全性認證的存取權,並定期輪替認證。

部署此案例

下一節說明如何將 Microsoft Entra ID 部署至個別 AWS 帳戶。

規劃和準備

若要準備部署 Azure 安全性解決方案,請檢閱並記錄目前的 AWS 帳戶和 Microsoft Entra 資訊。 如果您已部署多個 AWS 帳戶,請針對每個帳戶重複這些步驟。

  1. AWS 計費管理主控台 中,記錄下列目前的 AWS 帳戶資訊:

    • AWS 帳戶識別碼 ,唯一識別碼。
    • 帳戶名稱 或根使用者。
    • 付款條件 ,無論是指派給信用卡還是公司帳單合約。
    • 可存取 AWS 帳戶資訊的替代連絡人
    • 安全性問題 會安全地更新並記錄為緊急存取。
    • 已啟用或停用 AWS 區域 以符合資料安全性原則。

  2. 在 AWS IAM 管理主控台 ,檢閱並記錄下列 AWS IAM 元件:

    • 已建立的群組 ,包括附加的詳細成員資格和角色型對應原則。
    • 已建立的使用者 ,包括 使用者帳戶的密碼存留期 ,以及 服務帳戶的存取金鑰年齡 。 也請確認每個使用者都已啟用 MFA。
    • 角色。 有兩個預設服務連結角色: AWSServiceRoleForSupport AWSServiceRoleForTrustedAdvisor 。 記錄任何其他角色,這些角色都是自訂的。 這些角色會連結至許可權原則,以用於在 Microsoft Entra ID 中對應角色。
    • 原則。 現用的原則在 [類型 ] 資料行中 具有 AWS 管理 作業函 式或 客戶管理 。 記錄所有其他原則,這些原則都是自訂的。 同時記錄每個原則的指派位置,來自 [用作] 資料行中的 專案。
    • 識別提供者 ,瞭解任何現有的安全性判斷提示標記語言 (SAML) 識別提供者。 規劃如何將現有的識別提供者取代為單一 Microsoft Entra 識別提供者。

  3. Azure 入口網站 中,檢閱 Microsoft Entra 租使用者:

    • 評估 租使用者資訊 ,以查看租使用者是否有 Microsoft Entra ID P1 或 P2 授權。 P2 授權提供 進階 Microsoft Entra 身分識別管理功能
    • 評估 企業應用程式,以查看任何現有的應用程式 是否使用 AWS 應用程式類型,如首頁 URL 資料行所示 http://aws.amazon.com/

規劃 Microsoft Entra 部署

Microsoft Entra 部署程式假設 Microsoft Entra ID 已針對組織設定,例如 Microsoft 365 實作。 帳戶可以從 Active Directory 網域進行同步處理,也可以是直接在 Microsoft Entra 識別碼中建立的雲端帳戶。

規劃 RBAC

如果 AWS 安裝使用 RBAC 的 IAM 群組和角色,您可以將現有的 RBAC 結構對應至新的 Microsoft Entra 使用者帳戶和安全性群組。

如果 AWS 帳戶沒有強式 RBAC 實作,請從處理最敏感的存取開始:

  1. 更新 AWS 帳戶根使用者。

  2. 檢閱附加至 IAM 原則管理員istratorAccess 的 AWS IAM 使用者、群組和角色。

  3. 請透過其他指派的 IAM 原則,從可修改、建立或刪除資源和其他組態專案的原則開始。 您可以藉由查看 [用作] 資料行來 識別使用中的原則。

規劃移轉

Microsoft Entra ID 會將所有驗證和授權集中。 您可以規劃和設定使用者對應和 RBAC,而不會影響系統管理員和開發人員,直到您準備好強制執行新的方法為止。

從 AWS IAM 帳戶移轉至 Microsoft Entra 識別碼的高階程式如下所示。 如需詳細指示,請參閱 部署

  1. 將 IAM 原則對應至 Microsoft Entra 角色,並使用 RBAC 將角色對應至安全性群組。

  2. 將每個 IAM 使用者取代為屬於適當安全性群組成員的 Microsoft Entra 使用者,以登入並取得適當的許可權。

  3. 要求每個使用者使用其 Microsoft Entra 帳戶登入 AWS,並確認他們具有適當的存取層級,以進行測試。

  4. 一旦使用者確認 Microsoft Entra ID 存取權,請移除 AWS IAM 使用者帳戶。 重複每個使用者的程式,直到全部移轉為止。

針對服務帳戶和程式設計存取,請使用相同的方法。 請更新每個使用帳戶的應用程式,以改用對等的 Microsoft Entra 使用者帳戶。

請確定任何剩餘的 AWS IAM 使用者都已啟用 MFA 的複雜密碼,或定期取代的存取金鑰。

下圖顯示跨 Microsoft Entra ID 和 AWS IAM 的設定步驟和最終原則和角色對應範例:

Diagram showing configuration steps and final role mapping from AWS IAM to Azure AD.

單一登入整合

Microsoft Entra ID 支援與 AWS SSO 的單一登入整合。 您可以在一個地方將 Microsoft Entra 識別碼連線到 AWS,並集中控管數百個帳戶和 AWS SSO 整合式應用程式的存取權。 此功能可讓使用者使用 AWS CLI 的無縫 Microsoft Entra 登入體驗。

下列 Microsoft 安全性解決方案程式會針對 AWS 管理員istrators AWS 開發人員 的範例角色 實作 SSO。 針對您需要的任何其他角色重複此程式。

此程式涵蓋下列步驟:

  1. 建立新的 Microsoft Entra 企業應用程式。
  2. 設定適用于 AWS 的 Microsoft Entra SSO。
  3. 更新角色對應。
  4. 在 AWS 管理主控台中測試 Microsoft Entra SSO。

下列連結提供完整的詳細實作步驟和疑難排解:

將 AWS 應用程式新增至 Microsoft Entra 企業應用程式

AWS 系統管理員和開發人員會使用企業應用程式登入 Microsoft Entra ID 以進行驗證,然後重新導向至 AWS 以進行授權和 AWS 資源的存取。 查看應用程式最簡單的方法是登入 https://myapps.microsoft.com ,但您也可以在提供簡單存取的任何位置發佈唯一 URL。

請遵循從資源庫 新增 Amazon Web Services (AWS) 中的 指示來設定企業應用程式。 這些指示會讓您知道要新增至 Microsoft Entra 企業應用程式的 AWS 應用程式。

如果有多個 AWS 帳戶要管理,例如 DevTest 和 Production,請針對包含公司識別碼和特定 AWS 帳戶的企業應用程式使用唯一名稱。

Screenshot that shows creating the enterprise application in Azure AD.

設定適用于 AWS 的 Microsoft Entra SSO

請遵循下列步驟來設定適用于 AWS 的 Microsoft Entra SSO:

  1. Azure 入口網站上 ,遵循設定 Microsoft Entra SSO 上的 步驟,設定 您為 AWS 單一登入 所建立的企業應用程式

  2. AWS 主控台 上,遵循設定 AWS SSO 上的 步驟,設定 AWS 帳戶 以進行單一登入。 在此設定中,您將建立代表 Microsoft Entra 布建代理程式的新 IAM 使用者,以允許將所有可用的 AWS IAM 角色 同步處理至 Microsoft Entra ID 。 AWS 需要此 IAM 使用者將使用者對應至 角色,才能登入 AWS 管理主控台

  • 讓您輕鬆識別您建立以支援此整合的元件。 例如,以標準命名慣例命名服務帳戶,例如 「Svc-」。
  • 請務必記錄所有新專案。
  • 請確定任何新的認證都包含您集中儲存的複雜密碼,以進行安全的生命週期管理。

根據這些組態步驟,您可以繪製如下的互動圖表:

Diagram of the configuration interactions.

AWS 主控台 上,遵循下列步驟來建立更多角色。

  1. AWS IAM 中,選取 [ 角色 - > 建立角色 ]。

  2. 在 [ 建立 角色] 頁面上,執行下列步驟:

    1. 在 [選取信任實體的類型] 下 ,選取 [SAML 2.0 同盟 ]。
    2. 在 [選擇 SAML 2.0 提供者 ] 下 ,選取您在上一個步驟中建立的 SAML 提供者。
    3. 選取 [ 允許程式設計與 AWS 管理主控台存取 ]。
    4. 選取 [ 下一步:許可權 ]。

  3. 在 [ 附加許可權原則 ] 對話方塊中,選取 [管理員istratorAccess ]。 然後選取 [下一步:標籤 ]。

  4. 在 [ 新增標記 ] 對話方塊中,將它保留空白,然後選取 [ 下一步:檢閱 ]。

  5. 在 [ 檢閱] 對話方塊中,執行下列步驟:

    1. 在 [ 角色名稱 ] 中,輸入您的角色名稱 (管理員istrator)。
    2. 在 [ 角色描述] 中,輸入描述。
    3. 選取 [ 建立角色 ]。

  6. 依照上述步驟建立另一個角色。 將角色 命名為開發人員 ,並提供您所選的一些選取許可權(例如 AmazonS3FullAccess)。

    您已成功在 AWS 建立 管理員istrator 開發人員 角色。

  7. 在 Microsoft Entra ID 建立下列使用者和群組:

    • 使用者 1 :Test-AWS管理員
    • 使用者 2 :Test-AWSDeveloper
    • 群組 1 :AWS-Account1-管理員istrators
    • 群組 2 :AWS-Account1-Developers
    • Test-AWS管理員新增為 AWS-Account1-管理員istrators 的成員
    • Test-AWSDeveloper 新增為 AWS-Account1-Developers 的成員

  8. 請遵循如何在 AWS 單一帳戶存取 中設定角色布建以設定自動化角色布建的步驟 。 完成第一個布建週期最多可能需要一小時的時間。

如何更新角色對應

因為您使用的是兩個角色,請執行下列額外步驟:

  1. 確認布建代理程式可以看到至少兩個角色:

    Screenshot of the two roles in Azure AD.

  2. 移至 [ 使用者和群組 ],然後選取 [ 新增使用者 ]。

  3. 選取 [AWS-Account1-管理員istrators ]。

  4. 選取相關聯的角色。

    Screenshot of selecting an associated role.

  5. 針對每個群組角色對應重複上述步驟。 完成後,您應該有兩個 Microsoft Entra 群組正確對應至 AWS IAM 角色:

    Screenshot showing Groups mapped to correct Roles.

如果您看不到或選取角色,請返回 [布建] 頁面,確認 Microsoft Entra 布建代理程式中的布建成功,並確定 IAM 使用者帳戶具有正確的許可權。 您也可以重新開機布建引擎,再次嘗試匯入:

Screenshot of Restart provisioning in the menu bar.

在 AWS 管理主控台中測試 Microsoft Entra SSO

以每個測試使用者身分測試登入,以確認 SSO 運作正常。

  1. 啟動新的私人瀏覽器會話,以確保其他預存認證不會與測試衝突。

  2. 移至 https://myapps.microsoft.com ,使用您先前建立的 Test-AWS管理員 或 Test-AWSDeveloper Microsoft Entra 使用者帳號憑證。

  3. 您應該會看到 AWS 主控台應用程式的新圖示。 選取圖示,並遵循任何驗證提示:

    Screenshot of the AWS Console app icon.

  4. 登入 AWS 主控台之後,流覽功能以確認此帳戶具有適當的委派存取權。

  5. 請注意使用者登入會話的命名格式:

    ROLE / UPN / AWS 帳戶號碼

    您可以使用此使用者登入會話資訊,在 適用於雲端的 Defender Apps 或 Microsoft Sentinel 中追蹤使用者登入活動。

    Screenshot of sign-in session information.

  6. 登出,並重複其他測試使用者帳戶的程式,以確認角色對應和許可權的差異。

啟用條件式存取

若要建立需要 MFA 的新條件式存取原則:

  1. 在Azure 入口網站中,流覽至 [Microsoft Entra ID > Security ],然後選取 [ 條件式存取]。

  2. 在左側導覽中,選取 [ 原則 ]。

    Screenshot of the Microsoft Entra Conditional Access screen with Policies selected.

  3. 選取 [新增原則 ],然後完成表單,如下所示:

    • 名稱 :輸入 AWS 主控台 – MFA
    • 使用者和群組 :選取您稍早建立的兩個角色群組:
      • AWS-Account1-管理員istrators
      • AWS-Account1-Developers
    • 與:選取 [需要多重要素驗證]

  4. 將 [啟用原則] 設定為 [開啟]

    Screenshot of the filled-out new policy form.

  5. 選取建立。 原則會立即生效。

  6. 若要測試條件式存取原則,請登出測試帳戶、開啟新的私人流覽會話,並使用其中一個角色群組帳戶登入。 您會看到 MFA 提示:

    Screenshot of MFA sign-in prompt.

  7. 完成 MFA 安裝程式。 最好使用行動應用程式進行驗證,而不是依賴 SMS。

    Screenshot of mobile app MFA configuration screen.

您可能需要建立數個條件式存取原則,以符合強式驗證的商務需求。 請考慮您在建立原則時使用的命名慣例,以確保易於識別和持續維護。 此外,除非已廣泛部署 MFA,否則請確定原則的範圍只影響預期的使用者。 其他原則應涵蓋其他使用者群組的需求。

啟用條件式存取之後,您可以強加其他控制項,例如 PAM 和 Just-In-Time (JIT) 布建。 如需詳細資訊,請參閱 什麼是 Microsoft Entra ID 中的自動化 SaaS 應用程式使用者布建。

如果您有適用於雲端的 Defender應用程式,您可以使用條件式存取來設定 適用於雲端的 Defender Apps 會話原則。 如需詳細資訊,請參閱 設定 AWS 活動的 Microsoft Entra 會話原則

下一步