Подключение учетной записи Amazon Web Services (AWS)

В этой статье описывается, как подключить учетную запись Amazon Web Services (AWS) в Управление разрешениями Microsoft Entra.

Объяснение

Перед подключением к системе необходимо настроить несколько подвижных частей в AWS и Azure.

• Приложение Microsoft Entra OIDC
• Учетная запись AWS OIDC
• Учетная запись управления AWS (необязательно)
• Необязательная учетная запись для центрального логирования в AWS
• Роль AWS OIDC
• Роль между учетными записями AWS, принимаемая через роль OIDC

Подключение учетной записи AWS

1. Если панель мониторинга Сборщики данных не отображается при запуске Управления разрешениями, выполните следующие действия:

   • На домашней странице службы "Управление разрешениями" выберите Параметры (значок шестеренки), а затем перейдите на вложенную вкладку Сборщики данных.

2. На панели мониторинга Сборщики данных выберите AWS и нажмите Создать конфигурацию.

1. Создание приложения Microsoft Entra OIDC

1. На странице Permissions Management Onboarding - Microsoft Entra OIDC App Creation введите название приложения OIDC Azure.

   Это приложение используется для настройки подключения по протоколу OpenID Connect (OIDC) в учетной записи AWS. OIDC — это протокол проверки подлинности с возможностью взаимодействия на основе семейства спецификаций OAuth 2.0. Скрипты, созданные на этой странице, создают приложение с указанным именем в клиенте Microsoft Entra с корректной конфигурацией.

2. Чтобы создать регистрацию приложения, скопируйте сценарий и запустите его в приложении командной строки Azure.

   Примечание.

   1. Чтобы убедиться, что приложение создано, откройте Регистрация приложений в Azure, а затем на вкладке Все приложения выберите свое приложение.
   2. Выберите имя приложения, чтобы открыть страницу Предоставление API. URI идентификатора приложения, отображаемый на странице Обзор, — это значение аудитории, используемое при создании подключения OIDC к вашей учетной записи AWS.

3. Вернитесь в управление разрешениями и в области подключения к управлению разрешениями — создание приложения Microsoft Entra OIDC выберите «Далее».

2. Настройка учетной записи AWS OIDC

1. На странице Подключение службы "Управление разрешениями" — настройка учетной записи OIDC AWS введите идентификатор учетной записи OIDC AWS, в которой создан поставщик OIDC. Вы можете изменить имя роли в соответствии с вашими требованиями.

2. Откройте другое окно браузера и войдите в ту учетную запись AWS, в которой нужно создать поставщика OIDC.

3. Выберите Запустить шаблон. Эта ссылка позволяет перейти на страницу создания стека AWS CloudFormation.

4. Прокрутите страницу вниз и в поле Capabilities (Возможности) выберите I acknowledge that AWS CloudFormation might create IAM resources with custom names (Я подтверждаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами). Затем выберите Create stack (Создать стек).

   Этот стек AWS CloudFormation создает поставщика удостоверений OIDC (IdP), представляющего Microsoft Entra STS, и роль AWS IAM с политикой доверия, которая позволяет внешним удостоверениям из Microsoft Entra ID принимать эту роль через поставщика OIDC IdP. Эти сущности перечислены на странице Ресурсы.

5. Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — настройка учетной записи OIDC AWS нажмите кнопку Далее.

3. Настройка подключения учетной записи управления AWS (необязательно)

1. Если у вашей организации есть политики управления службами (SCPs), которые управляют некоторыми или всеми учетными записями участников, настройте подключение учетной записи управления в разделе "Подключение управления разрешениями" — страница сведений об учетной записи управления AWS.

   Настройка подключения учетной записи управления позволяет управлению разрешениями автоматически обнаруживать и подключить все учетные записи участников AWS, имеющие правильную роль управления разрешениями.

2. На странице «Подключение управления разрешениями - сведения об учетной записи управления AWS» введите ID учетной записи управления и роль учетной записи управления.

3. Откройте другое окно браузера и войдите в консоль AWS для учетной записи управления.

4. Вернитесь к управлению разрешениями и на странице сведений об учетной записи управления AWS выберите "Запустить шаблон".

   Откроется страница Создание стека AWS CloudFormation, на которой отобразится шаблон.

5. Просмотрите сведения в шаблоне, внесите необходимые изменения, а затем прокрутите страницу вниз.

6. В поле Capabilities (Возможности) выберите I acknowledge that AWS CloudFormation might create IAM resources with custom names (Я подтверждаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами). Затем выберите Create stack (Создать стек).

   Этот стек AWS CloudFormation создает роль в управляющей учетной записи с необходимыми разрешениями (политиками) для сбора SCP и составления списка всех учетных записей в вашей организации.

   Для этой роли установлена политика доверия, которая разрешает роли OIDC, созданной в вашей учетной записи AWS OIDC, доступ к ней. Эти сущности перечислены на вкладке Resources (Ресурсы) в стеке CloudFormation.

7. Вернитесь к управлению разрешениями и в разделе "Подключение управления разрешениями" — сведения об учетной записи управления AWS, нажмите кнопку "Далее".

4. Настройка подключения учетной записи ведения журнала AWS Central (необязательно, но рекомендуется)

1. Если в вашей организации есть учетная запись для централизованного ведения журнала, где хранятся журналы некоторых или всех учетных записей AWS, настройте подключение к учетной записи ведения журнала на странице Подключение службы "Управление разрешениями" — сведения об учетной записи централизованного ведения журнала AWS.

   На странице Подключение службы "Управление разрешениями" — сведения об учетной записи централизованного ведения журнала AWS введите идентификатор учетной записи ведения журнала и роль учетной записи ведения журнала.

2. В другом окне браузера войдите в консоль AWS для учетной записи AWS, используемой для централизованного ведения журнала.

3. Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — сведения об учетной записи централизованного ведения журнала AWS нажмите кнопку Запустить шаблон.

   Откроется страница Создание стека AWS CloudFormation, на которой отобразится шаблон.

4. Просмотрите сведения в шаблоне, внесите необходимые изменения, а затем прокрутите страницу вниз.

5. В поле Capabilities (Возможности) выберите I acknowledge that AWS CloudFormation might create IAM resources with custom names (Я подтверждаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами), а затем выберите Create stack (Создать стек).

   Этот стек AWS CloudFormation создает роль в учетной записи ведения журнала с необходимыми разрешениями (политиками) для чтения контейнеров S3, используемых для централизованного ведения журнала. Для этой роли установлена политика доверия, которая разрешает роли OIDC, созданной в вашей учетной записи AWS OIDC, доступ к ней. Эти сущности перечислены на вкладке Resources (Ресурсы) в стеке CloudFormation.

6. Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — сведения об учетной записи централизованного ведения журнала AWS нажмите кнопку Далее.

5. Настройка учетной записи участника AWS

Установите Флажок "Включить AWS SSO", если доступ к аккаунту AWS настроен через AWS SSO.

Выберите один из трех вариантов управления учетными записями AWS.

Вариант 1. Автоматическое управление

Выберите этот параметр для автоматического обнаружения и добавления в список отслеживаемых учетных записей без дополнительной настройки. Шаги для определения списка учетных записей и подключения для сбора:

• Разверните CloudFormation шаблон (CFT) для учетной записи управления, который создает роль учетной записи организации, предоставляющую разрешение ранее созданной роли OIDC перечислять учетные записи, организационные единицы и SCP.
• Если AWS SSO включен, CFT учетной записи организации также добавляет политику, необходимую для сбора сведений о конфигурации AWS SSO.
• Разверните CFT учетной записи участника во всех учетных записях, которые необходимо отслеживать с помощью Microsoft Entra Permissions Management. Эти действия создают перекрестную роль учетной записи, которая доверяет созданной ранее роли OIDC. Политика SecurityAudit привязана к роли, созданной для сбора данных.

Любые найденные текущие или будущие учетные записи подключаются автоматически.

Чтобы просмотреть состояние подключения после сохранения конфигурации, сделайте следующее:

• Перейдите на вкладку "Сборщики данных".
• Щелкните на статус сборщика данных.
• Просмотр учетных записей на странице "Ход выполнения "

Вариант 2. Ввод систем авторизации

1. На странице Подключение службы "Управление разрешениями" — сведения об учетной записи участника AWS введите роль учетной записи участника и идентификаторы учетных записей участников.

   Вы можете ввести до 100 идентификаторов учетных записей. Щелкните значок "плюс" рядом с текстовым полем, чтобы добавить дополнительные идентификаторы учетных записей.

   Примечание.

   Выполните следующие действия для каждого добавляемого идентификатора учетной записи:

2. Откройте другое окно браузера и войдите в консоль AWS для учетной записи участника.

3. Вернитесь на страницу Подключение службы "Управление разрешениями" — сведения об учетной записи участника AWS и выберите Шаблон запуска.

   Откроется страница Создание стека AWS CloudFormation, на которой отобразится шаблон.

4. На странице CloudTrailBucketName введите имя.

   Вы можете скопировать и вставить имя CloudTrailBucketName со страницы Trails в AWS.

   Примечание.

   Облачный контейнер собирает все действия в одной учетной записи, которую отслеживает служба "Управление разрешениями". Введите имя облачного контейнера, чтобы предоставить службе "Управление разрешениями" доступ, необходимый для получения данных о действиях.

5. В раскрывающемся списке Включить контроллер выберите один из следующих пунктов:

   • Значение true, если требуется, чтобы контроллер предоставил службе "Управление разрешениями" доступ на чтение и запись, чтобы любое исправление, которое вы хотите выполнить с платформы "Permissions Management", выполнялось автоматически.
   • Значение false, если требуется, чтобы контроллер предоставил службе управления разрешениями доступ только для чтения.

6. Прокрутите страницу вниз и в поле Capabilities (Возможности) выберите I acknowledge that AWS CloudFormation might create IAM resources with custom names (Я подтверждаю, что AWS CloudFormation может создавать ресурсы IAM с пользовательскими именами). Затем выберите Create stack (Создать стек).

   Этот стек AWS CloudFormation создаст роль коллекции в учетной записи участника с необходимыми разрешениями (политиками) для сбора данных.

   Для этой роли установлена политика доверия, которая разрешает роли OIDC, созданной в вашей учетной записи AWS OIDC, доступ к ней. Эти сущности перечислены на вкладке Resources (Ресурсы) в стеке CloudFormation.

7. Вернитесь в службу "Управление разрешениями" и на странице Подключение службы "Управление разрешениями" — сведения об учетной записи участника AWS нажмите кнопку Далее.

   На этом шаге завершается последовательность необходимых подключений от Microsoft Entra STS к учетной записи подключения OIDC и учетной записи участника AWS.

Вариант 3. Выбор систем авторизации

Этот вариант обнаруживает все учетные записи AWS, доступные через созданный ранее доступ к роли OIDC.

• Разверните CloudFormation шаблон (CFT) для учетной записи управления, который создает роль учетной записи организации, предоставляющую разрешение ранее созданной роли OIDC перечислять учетные записи, организационные единицы и SCP.
• Если AWS SSO включен, учетная запись организации в CFT также добавляет политику, необходимую для сбора сведений о конфигурации AWS SSO.
• Разверните CFT учетной записи участника во всех учетных записях, которые необходимо отслеживать с помощью Microsoft Entra Permissions Management. Эти действия создают перекрестную роль учетной записи, которая доверяет созданной ранее роли OIDC. Политика SecurityAudit привязана к роли, созданной для сбора данных.
• Щелкните "Проверить и сохранить".
• Перейдите к вновь созданной строке сборщика данных в разделе сборщиков данных AWS.
• Щелкните столбец "Состояние", если строка имеет состояние "Ожидание "
• Чтобы подключиться и начать сбор, выберите определенные пункты из обнаруженного списка и дайте согласие на сбор.

6. Проверка и сохранение

1. В разделе "Подключение управления разрешениями" — сводка, просмотрите добавленные сведения и нажмите кнопку "Проверить сейчас и сохранить".

   Появится следующее сообщение: Конфигурация успешно создана.

   На панели мониторинга Сборщики данных в столбце Дата недавней загрузки отображается значение Сбор данных. В столбце Недавно преобразовано отображается В обработке.

   Столбец состояния в пользовательском интерфейсе управления разрешениями показывает, на каком этапе сбора данных вы находитесь:

   • Ожидание: Управление разрешениями еще не начало обнаруживать или включение.
   • Обнаружение. Управление разрешениями обнаруживает системы авторизации.
   • В процессе: управление разрешениями завершило обнаружение систем авторизации и идет процесс интеграции.
   • Подключено: сбор данных завершен, и все обнаруженные системы авторизации подключены к управлению разрешениями.

7. Просмотр данных

1. Чтобы просмотреть данные, перейдите на вкладку Системы авторизации.

   В столбце Состояние в таблице отображается сообщение Сбор данных.

   Процесс сбора данных занимает некоторое время и в большинстве случаев выполняется примерно через 4–5 часов. Интервал времени зависит от размера используемой системы авторизации и объема данных, доступных для сбора.

Следующие шаги

• Сведения о том, как включить или отключить контроллер после подключения, см. в разделе Включение или отключение контроллера.
• Сведения о том, как добавить учетную запись, подписку или проект после завершения подключения, см. в статье Добавление учетной записи, подписки или проекта после завершения подключения.