Настройка Центра удостоверений AWS IAM в качестве поставщика удостоверений (предварительная версия)

Если вы являетесь клиентом Amazon Web Services (AWS), использующим Центр удостоверений AWS IAM, вы можете настроить Центр удостоверений в качестве поставщика удостоверений в разделе "Управление разрешениями". Настройка сведений центра удостоверений AWS IAM позволяет получать более точные данные для удостоверений в разделе "Управление разрешениями".

Примечание.

Настройка Центра удостоверений AWS IAM в качестве поставщика удостоверений является необязательным шагом. Настроив сведения о поставщике удостоверений, управление разрешениями может читать доступ пользователей и ролей, настроенных в Центре удостоверений AWS IAM. Администратор могут видеть расширенное представление назначенных разрешений для удостоверений. Вы можете вернуться к этим шагам для настройки поставщика удостоверений в любое время.

Настройка Центра удостоверений AWS IAM в качестве поставщика удостоверений

1. Если панель мониторинга сборщиков данных не отображается при запуске управления разрешениями, выберите Параметры (значок шестеренки), а затем выберите подзадаку сборщиков данных.

2. На панели мониторинга Сборщики данных выберите AWS и нажмите Создать конфигурацию. Если сборщик данных уже существует в учетной записи AWS и вы хотите добавить интеграцию AWS IAM, выполните следующие действия.

   • Выберите сборщик данных, для которого требуется настроить AWS IAM.
   • Щелкните многоточие рядом с состоянием системы авторизации.
   • Выберите " Интегрировать поставщик удостоверений".

3. На странице "Интеграция поставщика удостоверений (IdP) выберите поле для Центра удостоверений AWS IAM.

4. Заполните следующие поля:

   • Регион Центра удостоверений AWS IAM. Укажите регион, в котором установлен центр удостоверений AWS IAM. Все данные, настроенные в Центре удостоверений IAM
     хранится в регионе, где установлен центр удостоверений IAM.
   • Идентификатор учетной записи управления AWS
   • Роль учетной записи управления AWS

5. Выберите "Запустить шаблон учетной записи управления". Шаблон откроется в новом окне.

6. Если стек учетной записи управления создается с помощью шаблона CloudFormation в рамках предыдущих шагов подключения, обновите стек, выполнив EnableSSO значение true. При выполнении этой команды создается новый стек при запуске шаблона учетной записи управления.

Выполнение шаблона присоединяет управляемую политику AWS и только что созданную пользовательскую политику AWSSSOReadOnlySSOPolicy к роли AWS IAM, которая позволяет Управление разрешениями Microsoft Entra собирать сведения о организации. В шаблоне запрашиваются следующие сведения. Все поля предварительно заполнены, и вы можете изменить данные по мере необходимости:

• Имя стека — это имя стека AWS для создания необходимых ресурсов AWS для управления разрешениями для сбора сведений о организации. Значение по умолчанию — mciem-org-<tenant-id>.

• Параметры CFT

  • Имя роли поставщика OIDC — имя поставщика OIDC роли IAM, который может принимать роль. Значением по умолчанию является роль учетной записи OIDC (как указано в разделе "Управление разрешениями").

  • Имя роли учетной записи организации — имя роли IAM. Значение по умолчанию предварительно заполнено именем роли учетной записи управления (как указано в Microsoft Entra PM).

  • true — включает единый вход AWS. Значение по умолчанию — при true запуске шаблона с страницы "Настройка поставщика удостоверений( поставщик удостоверений) в противном случае используется falseзначение по умолчанию.

  • Идентификатор учетной записи поставщика OIDC — идентификатор учетной записи, в которой создается поставщик OIDC. Значением по умолчанию является идентификатор учетной записи поставщика OIDC (как указано в разделе "Управление разрешениями").

  • Идентификатор клиента — идентификатор клиента, в котором создается приложение. Значением по умолчанию является tenant-id (настроенный клиент).

7. Нажмите кнопку "Далее ", чтобы просмотреть и подтвердить введенные сведения.

8. Нажмите кнопку "Проверить сейчас" и " Сохранить".

Следующие шаги

• Сведения о том, как присоединить и отсоединить разрешения для удостоверений AWS, см. в статье Присоединение и отсоединение политик для удостоверений AWS.