將 AWS 帳戶連線至適用於雲端的 Microsoft Defender

2025-06-20

工作負載通常會跨越多個雲端平臺，因此雲端安全性服務必須執行相同的動作。適用於雲端的 Microsoft Defender 能協助保護 Amazon Web Services (AWS) 中的工作負載，但您必須在那些工作負載和適用於雲端的 Defender 之間設定連線。

下列螢幕擷取畫面顯示了於 Defender for Cloud 概觀儀表板中顯示的 AWS 帳戶。

您可以查看「雲端守護者在現場」影片系列中的「雲端守護者中的新 AWS 連接器」影片來深入了解。

注意

如果您有已連線至 Microsoft Sentinel 的 AWS 帳戶，則無法將它連線到適用於雲端的 Defender。為了確保連接器正確運作，請依照將 Sentinel 連接的 AWS 帳戶連接到 Defender for Cloud 上的指示。

AWS 驗證程式

適用於雲端和 AWS 的 Defender 使用同盟驗證。與驗證相關的所有資源都會建立為 CloudFormation 範本部署的一部分，包括：

識別提供者（OpenID Connect）
身分識別與存取管理 (IAM) 角色與同盟主體 (已連線至身份識別提供者)

跨雲端驗證程式的架構包括：

圖表顯示跨雲端驗證程式的架構。

Microsoft Defender for Cloud 的 CSPM 服務會取得由 Entra ID 使用 RS256 演算法簽署的 Entra 令牌，有效期限為 1 小時。

Entra 權杖會兌換為 AWS 短期認證，Defender for Cloud 的 CSPM 服務會承擔 CSPM IAM 角色(採用網路身分識別)。

由於角色的主體是在信任關係原則中定義的同盟身分識別，因此 AWS 身分識別提供者會透過包含下列程序的流程，針對 Entra ID 驗證 Entra 權杖：

驗證受眾
權杖數位簽章驗證
憑證指紋

只有在符合信任關係中定義的驗證條件之後，才會採用適用於雲端 CSPM 的 Defender 角色。針對角色層級定義的條件會用於 AWS 內部驗證，並只允許適用於雲端的 Microsoft Defender CSPM 應用程式 (已驗證的受眾) 存取特定角色 (而不是任何其他 Microsoft 權杖)。

AWS識別提供者驗證Entra令牌後，AWS STS會將令牌交換為短期有效的認證，供CSPM服務用來掃描AWS帳戶。

必要條件

若要完成本文中的程序，您需要：

Microsoft Azure 訂用帳戶。如果您沒有 Azure 訂用帳戶，您可以免費註冊一個。
已在您的 Azure 訂用帳戶上設定的適用於雲端的 Microsoft Defender。
AWS 帳戶的存取權。
相關 Azure 訂用帳戶的參與者等級權限。
如果 CIEM 已隨著適用於 CSPM 的 Defender 而啟用，則要啟用連接器的使用者還需要擁有您租用戶的安全性系統管理員角色和 Application.ReadWrite.All 權限。

注意

國家政府雲端中 (Azure Government，世紀互聯營運的 Microsoft Azure) 不會提供 AWS 連接器。

原生連接器方案需求

每個方案都有自己的原生連接器需求。

如果您選擇適用於容器的 Microsoft Defender 方案，您會需要：

至少一個具備 EKS Kubernetes API 伺服器存取權限的 Amazon EKS 叢集。如果您需要建立新的 EKS 叢集，請遵循開始使用 Amazon EKS – eksctl中的指示進行。
在叢集的區域中建立新的 Amazon SQS 佇列、Kinesis Data Firehose 傳遞資料流，以及 Amazon S3 貯體的資源容量。

如果您選擇適用於伺服器的 Microsoft Defender 方案，您需要：

您的訂閱已啟用適用於伺服器的 Microsoft Defender。在啟用增強的安全性功能一文中了解如何啟用方案。
具有 EC2 執行個體的有效 AWS 帳戶。
安裝於 EC2 執行個體上的適用於伺服器的 Azure Arc。

建議您使用自動佈建流程，以在現有及未來的所有 EC2 執行個體上安裝 Azure Arc。若要啟用 Azure Arc 自動佈建功能，您需要相關 Azure 訂用帳戶上的擁有者權限。

AWS 系統管理員會使用 SSM 代理程式自動佈建。部分 Amazon Machine Images 已經預先安裝 SSM 代理程式。如果您的 EC2 執行個體中沒有 SSM 代理程式，請使用下列其中一個來自 Amazon 的指示來加以安裝：

確定您的 SSM 代理程式具有 AmazonSSMManagedInstanceCore 受控原則，其會啟用 AWS Systems Manager 服務的核心功能。

您必須具有 SSM 代理程式，才能在 EC2 機器上進行 Arc 代理程式的自動佈建。如果 SSM 不存在，或已從 EC2 中移除，Arc 佈建便無法繼續。

注意

作為會在上線流程期間執行的 CloudFormation 範本的一部分，系統會建立自動化流程並針對在 CloudFormation 初始執行期間存在的所有 EC2 每 30 天觸發一次。此排程掃描的目的是確保所有相關的 EC2 具備包含必要 IAM 原則的 IAM 設定檔，以便雲端防禦者存取、管理和提供相關的安全功能（包括 Arc 代理程式的佈建）。掃描不適用於在 CloudFormation 執行之後建立的 EC2。

如果您想要在現有的和未來的 EC2 執行個體上手動安裝 Azure Arc，請利用 EC2 執行個體應連線至 Azure Arc 中的建議，識別未安裝 Azure Arc 的執行個體。

在與 Azure Arc 連線的機器上啟用這些其他延伸模組：

適用於端點的 Microsoft Defender
弱點評量解決方案 (TVM 或 Qualys)
與 Azure Arc 連線的機器上的 Log Analytics 代理程式，或是 Azure 監視器代理程式

確定選取的 Log Analytics 工作區已安裝安全性解決方案。 Log Analytics 代理程式和 Azure 監視器代理程式目前設定在 訂用帳戶 層級。同一訂用帳戶下的所有 AWS 帳戶和 GCP 專案都會繼承 Log Analytics 代理程式和 Azure 監視器代理程式的訂用帳戶設定。

深入了解適用於雲端的 Defender 的監視元件 (部分內容可能是機器或 AI 翻譯)。

注意

由於 Log Analytics 代理程式（也稱為 MMA）於 2024 年 8 月淘汰，因此在淘汰日期之前，所有相依於伺服器的 Defender 功能和安全性功能，包括此頁面所述的功能，都可以透過 Microsoft適用於端點的 Defender 整合或無代理程式掃描取得。如需目前依賴 Log Analytics 代理程式的每個功能藍圖詳細資訊，請參閱此公告。

適用於伺服器的 Defender 會將標籤指派給您的 EC2 執行個體，以及您的 Azure ARC 資源，以管理自動佈建流程。您必須將這些標籤正確指派給您的資源，讓適用於雲端的 Defender 可以加以管理：AccountId、Cloud、InstanceId 與 MDFCSecurityConnector。

連接 AWS 帳戶

重要

如果您的 AWS 帳戶已連線到 Microsoft Sentinel，則您無法將其連線到適用於雲端的 Defender。為了確保連接器正確運作，請依照將 Sentinel 連接的 AWS 帳戶連接到 Defender for Cloud 上的指示。

若要使用原生連接器將您的 AWS 連線至適用於雲端的 Defender：

登入 Azure 入口網站。
移至 [適用於雲端的 Defender]>[環境設定]。
選取 [新增環境]> [Amazon Web Services]。
輸入 AWS 帳戶的詳細資料，包括儲存連接器資源的位置。

AWS 區域下拉式清單可讓您選擇「Defender for Cloud」進行 API 呼叫的區域。所有從下拉式清單中取消選取的區域代表「適用於雲端的 Defender」將不會對這些區域進行 API 呼叫。

選取間隔以每 4、6、12 或 24 小時掃描 AWS 環境。

某些數據收集器會以固定掃描間隔執行，而且不會受到自定義間隔設定的影響。下表顯示每個被排除的資料收集器的固定掃描間隔：

資料收集器名稱	掃描間隔
EC2Instance ECRImage ECRRepository RDSDBInstance S3Bucket S3BucketTags S3Region EKSCluster EKSClusterName EKSNodegroup EKS節點組名稱 AutoScalingAutoScalingGroup	1 小時
EcsClusterArn EcsService EcsServiceArn ECS任務定義 EcsTaskDefinitionArn EcsTaskDefinitionTags AwsPolicyVersion LocalPolicyVersion AwsEntitiesForPolicy LocalEntitiesForPolicy BucketEncryption BucketPolicy S3PublicAccessBlockConfiguration BucketVersioning S3LifecycleConfiguration BucketPolicyStatus S3ReplicationConfiguration S3AccessControlList S3BucketLoggingConfig 公共訪問阻止配置	12 小時

注意

(選擇性) 選取 [管理帳戶] 以建立管理帳戶的連接器。接著會為在所提供管理帳戶下找到的每個成員帳戶建立連接器。所有新上線的帳戶也會啟用自動佈建。

(選擇性) 使用 [AWS 區域] 下拉式功能表來選取要掃描的特定 AWS 區域。預設會選取所有區域。

接下來，檢閱並選取適用於雲端的 Defender 方案，以啟用此 AWS 帳戶。

選取 Defender 方案

在精靈的這個區段中，您會選取想要啟用的 Microsoft Defender for Cloud 方案。

選取 [下一步: 選取方案]。

[選取方案] 索引標籤是您針對此 AWS 帳戶選擇要啟用適用於雲端的 Defender 功能的位置。每個方案都有其專屬的權限需求，並且可能產生費用。

重要

為了呈現您建議的目前狀態，Microsoft Defender 雲端安全性態勢管理方案每天都會查詢 AWS 資源 API 數次。這些只讀 API 呼叫不會產生任何費用，但如果您啟用讀取事件的追蹤，則會在 CloudTrail 中註冊這些呼叫。

AWS 的文件說明，保留一個記錄沒有額外費用。如果您將資料從 AWS 匯出 (例如，匯出至外部 SIEM 系統)，則此增加的呼叫量也可能會增加擷取成本。在那種情況下，建議您從適用於雲端的 Defender 使用者或 ARN 角色中篩掉唯讀呼叫：arn:aws:iam::[accountId]:role/CspmMonitorAws。 (這是預設的角色名稱。請確認您帳戶上設定的角色名稱。)
根據預設，會將伺服器方案設定為 [開啟]。此設定是將適用於伺服器的 Defender 涵蓋範圍延伸至 AWS EC2 的必要設定。請確定您已滿足 Azure Arc 的網路需求 (部分內容可能是機器或 AI 翻譯)。

您也可以選取 [設定] 以視需要編輯設定。

注意

EC2 實例或 GCP 虛擬機的個別 Azure Arc 伺服器已不存在（且狀態為「已中斷連線或已過期」的個別 Azure Arc 伺服器會在七天后移除。此流程會移除無關的 Azure Arc 實體，以確保只會顯示與現有執行個體相關的 Azure Arc 伺服器。
根據預設，會將容器方案設定為 [開啟]。若要讓適用於容器的 Defender 保護 AWS EKS 叢集，這是必要的設定。請確定您已滿足適用於容器的 Defender 方案的網路需求 (部分內容可能是機器或 AI 翻譯)。

注意

應該安裝已啟用 Azure Arc 的 Kubernetes、適用於 Defender 感應器的 Azure Arc 延伸模組，以及適用於 Kubernetes 的 Azure 原則。請使用 Defender for Cloud 的建議來部署延伸模組（如果需要，還包括 Azure Arc），如保護 Amazon Elastic Kubernetes Service 叢集中所說明。

您也可以選取 [設定] 以視需要編輯設定。如果您選擇關閉此設定，則也將會停用 [威脅偵測 (控制平面)] 功能。深入了解功能供應情況
根據預設，資料庫方案會設定為 [開啟]。此設定是將適用於 SQL 的 Defender 涵蓋範圍延伸至 AWS EC2 和 RDS Custom for SQL Server 以及 RDS 上開放原始碼關聯式資料庫的必要條件。

(選擇性) 選取 [設定] 以視需要編輯設定。我們建議您將其設定為預設設定。
選取 [設定存取權]，然後選取下列選項：

一。選取部署類型：
- 預設存取：允許適用於雲端的 Defender 掃描您的資源，並自動包括未來的功能。
- 最低權限存取：僅授予 Defender for Cloud 所選方案目前所需的權限。如果您選擇最低許可權，您將會收到有關所有新角色及取得連接器健康狀態完整功能所需許可權的通知。
b。選取部署方法：AWS CloudFormation 或 Terraform。

注意

如果您選取 管理帳戶 以建立管理帳戶的連接器，則在 UI 中看不到使用 Terraform 上線的標籤，但您仍然可以使用 Terraform 上線，這與使用 Terraform 將 AWS/GCP 環境上架到 Microsoft Defender for Cloud - Microsoft Community Hub 中提到的步驟類似。
遵循畫面上適用於所選取部署方法的指示，以在 AWS 上完成必要的相依性。如果要將管理帳戶上線，您必須以 Stack 和 StackSet 兩種形式執行 CloudFormation 範本。在上線之後，最晚 24 小時內會針對成員帳戶建立連接器。
選擇「下一步：檢閱並產生」。
選取 [建立]。

適用於雲端的 Defender 會立即開始掃描您的 AWS 資源。安全性建議會在數小時後顯示。

將 CloudFormation 範本部署至您的 AWS 帳戶

將 AWS 帳戶連線至適用於雲端的 Microsoft Defender 時，您會將 CloudFormation 範本部署至 AWS 帳戶。此範本會針對連線建立所有必要的資源。

使用 Stack（或在具有管理帳戶時使用 StackSet）來部署 CloudFormation 範本。部署範本時，堆疊建立精靈提供下列選項。

Amazon S3 URL：使用您自己的安全性設定，將下載的 CloudFormation 範本上傳至您自己的 S3 貯體。在 AWS 部署精靈中輸入 S3 儲存桶的 URL。
上傳範本檔案：AWS 會自動建立用來儲存 CloudFormation 範本的 S3 貯體。 S3 貯體自動化有安全性設定錯誤，這會導致出現 S3 buckets should require requests to use Secure Socket Layer 建議。您可以套用下列原則來補救此建議：
```
{ 
  "Id": "ExamplePolicy", 
  "Version": "2012-10-17", 
  "Statement": [ 
    { 
      "Sid": "AllowSSLRequestsOnly", 
      "Action": "s3:*", 
      "Effect": "Deny", 
      "Resource": [ 
        "<S3_Bucket ARN>", 
        "<S3_Bucket ARN>/*" 
      ], 
      "Condition": { 
        "Bool": { 
          "aws:SecureTransport": "false" 
        } 
      }, 
      "Principal": "*" 
    } 
  ] 
} 
```
注意

在對 AWS 管理帳戶進行上線期間執行 CloudFormation StackSets 時，您可能會遇到下列錯誤訊息：You must enable organizations access to operate a service managed stack set

此錯誤表示您尚未啟用 AWS 組織的受信任存取權。

若要補救此錯誤訊息，您的 CloudFormation StackSets 頁面會有一則提示，其中有一個按鈕可讓您選取來啟用信任存取。啟用信任存取之後，必須再次執行 CloudFormation 堆疊。

監視您的 AWS 資源

適用於雲端的 Defender 中的安全性建議頁面會顯示您的 AWS 資源。您可以使用環境篩選來享受適用於雲端的 Defender 中的多重雲端功能。

若要依資源類型檢視您的資源的所有活動建議，請在雲端防護者的資產清查頁面中使用篩選功能，並篩選為您所需的 AWS 資源類型。

與 Microsoft Defender XDR 整合

啟用適用於雲端的 Defender 時，系統會自動將其安全性警示整合至 Microsoft Defender 入口網站中。

適用於雲端的 Microsoft Defender 和 Microsoft Defender XDR 之間的整合，能將您的雲端環境導入 Microsoft Defender XDR 中。現在，藉由將適用於雲端的 Defender 警示和雲端關聯性整合到 Microsoft Defender XDR，SOC 小組就能從單一介面中存取所有安全性資訊。

深入了解適用於雲端的 Defender 在 Microsoft Defender 全面偵測回應中的警示。

深入了解

查看下列部落格：

清除資源

本文沒有任何資源需要清理。

下一步

與 AWS 帳戶連線是適用於雲端的 Microsoft Defender 所提供的多重雲端體驗之一：

將存取權指派給工作負載擁有者。
使用適用於雲端的 Defender 保護所有資源 (部分機器翻譯)。
設定您的內部部署機器 (部分內容可能是機器或 AI 翻譯) 和 GCP 專案 (部分內容可能是機器或 AI 翻譯)。
取得有關將 AWS 帳戶上線之常見問題 (部分機器翻譯) 的解答。
針對多雲端連接器進行疑難排解 (部分內容可能是機器或 AI 翻譯)。