Share via

將 Amazon Web Services (AWS) 帳戶上線

  • 發行項

本文說明如何在 Microsoft Entra 權限管理 中將 Amazon Web Services (AWS) 帳戶上線。

注意

您必須是許可權管理 管理員 istrator,才能執行本文中的工作。

說明

在 AWS 和 Azure 之間有數個行動元件,在上線之前必須設定這些元件。

  • Microsoft Entra OIDC 應用程式
  • AWS OIDC 帳戶
  • (選擇性) AWS 管理帳戶
  • (選擇性) AWS 中央記錄帳戶
  • AWS OIDC 角色
  • OIDC 角色所擔任的 AWS 跨帳戶角色

將 AWS 帳戶上線

  1. 如果 [資料收集器] 儀表板未在 [許可權管理] 啟動時顯示:

    • 在 [許可權管理] 首頁中,選取 [設定 (齒輪圖示),然後選取 [數據收集器] 子索引標籤。

  2. 在 [ 數據收集器 ] 儀錶板上,選取 [AWS],然後選取 [ 建立組態]。

1.建立 Microsoft Entra OIDC 應用程式

  1. 在 [ 許可權管理上線 - Microsoft Entra OIDC 應用程式建立 ] 頁面上,輸入 OIDC Azure 應用程式名稱

    此應用程式可用來設定與 AWS 帳戶的 OpenID 連線 (OIDC) 連線。 OIDC是以 OAuth 2.0 系列規格為基礎的互通驗證通訊協定。 此頁面上產生的腳本會在具有正確設定的 Microsoft Entra 租使用者中建立此指定名稱的應用程式。

  2. 若要建立應用程式註冊,請複製腳本並在您的 Azure 命令行應用程式中執行。

    注意

    1. 若要確認應用程式已建立,請在 Azure 中開啟 應用程式註冊,然後在 [所有應用程式] 索引標籤上找出您的應用程式。
    2. 選取應用程式名稱以開啟 [公開 API ] 頁面。 [概觀] 頁面中顯示的應用程式識別碼 URI與 AWS 帳戶建立 OIDC 連線時所使用的物件值

  3. 返回 [許可權管理],然後在 [ 許可權管理上線 - Microsoft Entra OIDC 應用程式建立] 中,選取 [ 下一步]。

2.設定 AWS OIDC 帳戶

  1. 在 [ 許可權管理上線 - AWS OIDC 帳戶設定 ] 頁面中,輸入 建立 OIDC 提供者所在的 AWS OIDC 帳戶識別碼 。 您可以將角色名稱變更為需求。

  2. 開啟另一個瀏覽器視窗,然後登入您要在其中建立 OIDC 提供者的 AWS 帳戶。

  3. 選取 [ 啟動範本]。 此連結會帶您前往 AWS CloudFormation 建立堆棧 頁面。

  4. 捲動至頁面底部,然後在 [功能] 方塊中,選取 [我確認 AWS CloudFormation 可能會建立具有自定義名稱的 IAM 資源]。 然後選取 [ 建立堆棧]。

    此 AWS CloudFormation 堆疊會建立 OIDC 識別提供者 (IdP),代表 Microsoft Entra STS 和 AWS IAM 角色,其具有信任原則,可讓來自 Microsoft Entra ID 的外部身分識別透過 OIDC IdP 來假設。 這些實體會列在 [ 資源 ] 頁面上。

  5. 返回 [許可權管理],然後在 [許可權管理上線 - AWS OIDC 帳戶設定 ] 頁面中,選取 [ 下一步]。

3.設定 AWS 管理帳戶連線 (選擇性)

  1. 如果您的組織有管理部分或所有成員帳戶的服務控制原則(SCP),請在 [許可權管理上線 - AWS 管理帳戶詳細數據] 頁面中設定管理帳戶連線

    設定管理帳戶連線可讓許可權管理自動偵測並上線任何具有正確許可權管理角色的AWS成員帳戶。

  2. 在 [ 許可權管理上線 - AWS 管理帳戶詳細數據] 頁面中,輸入 管理帳戶標識碼 和管理 帳戶角色

  3. 開啟另一個瀏覽器視窗,然後登入您管理帳戶的 AWS 控制台。

  4. 返回 [許可權管理],然後在 [ 許可權管理上線 - AWS 管理帳戶詳細 數據] 頁面中,選取 [ 啟動範本]。

    AWS CloudFormation 建立堆疊頁面隨即開啟,並顯示範本。

  5. 視需要檢閱範本中的資訊、進行變更,然後捲動至頁面底部。

  6. 在 [功能] 方塊中,選取 [我確認 AWS CloudFormation 可能會建立具有自定義名稱的 IAM 資源]。 然後選取 [ 建立堆棧]。

    此 AWS CloudFormation 堆疊會在管理帳戶中建立角色,並具有收集 SCP 的必要許可權(原則),並列出您組織中的所有帳戶。

    此角色上會設定信任原則,以允許在 AWS OIDC 帳戶中建立的 OIDC 角色存取它。 這些實體會列在 CloudFormation 堆疊的 [ 資源 ] 索引標籤中。

  7. 返回 [許可權管理],然後在 [許可權管理上線 - AWS 管理帳戶詳細數據] 中,選取 [下一步]。

  1. 如果您的組織有集中記錄帳戶,其中儲存來自部分或所有 AWS 帳戶的記錄,請在 [許可權管理上線 - AWS 中央記錄帳戶詳細 數據] 頁面中,設定記錄帳戶連線。

    在 [ 許可權管理上線 - AWS 中央記錄帳戶詳細數據] 頁面中,輸入 記錄帳戶標識碼記錄帳戶角色

  2. 在另一個瀏覽器視窗中,登入您用於集中記錄之 AWS 帳戶的 AWS 控制台。

  3. 返回 [許可權管理],然後在 [許可權管理上線 - AWS 中央記錄帳戶詳細 數據] 頁面中,選取 [ 啟動範本]。

    AWS CloudFormation 建立堆疊頁面隨即開啟,並顯示範本。

  4. 視需要檢閱範本中的資訊、進行變更,然後捲動至頁面底部。

  5. 在 [ 功能] 方塊中,選取 [我確認 AWS CloudFormation 可能會使用自定義名稱建立 IAM 資源],然後選取 [ 建立堆棧]。

    此 AWS CloudFormation 堆疊會在記錄帳戶中建立具有必要許可權(原則)的角色,以讀取用於集中記錄的 S3 貯體。 此角色上會設定信任原則,以允許在 AWS OIDC 帳戶中建立的 OIDC 角色存取它。 這些實體會列在 CloudFormation 堆疊的 [ 資源 ] 索引標籤中。

  6. 返回 [許可權管理],然後在 [許可權管理上線 - AWS 中央記錄帳戶詳細 數據] 頁面中,選取 [ 下一步]。

5.設定 AWS 成員帳戶

如果 AWS 帳戶存取是透過 AWS SSO 設定,請選取 [啟用 AWS SSO] 複選框

從三個選項中選擇來管理 AWS 帳戶。

選項 1:自動管理

選擇此選項可自動偵測並新增至受監視的帳戶清單,而不需要額外的設定。 偵測帳戶清單並上線以進行收集的步驟:

  • 部署管理帳戶 CFT (Cloudformation 範本),其會建立組織帳戶角色,以授與稍早建立的 OIDC 角色許可權,以列出帳戶、OU 和 SCP。
  • 如果已啟用 AWS SSO,組織帳戶 CFT 也會新增收集 AWS SSO 設定詳細資料所需的原則。
  • 在需要受 Microsoft Entra 權限管理 監視的所有帳戶中部署成員帳戶 CFT。 這些動作會建立跨帳戶角色,信任稍早建立的 OIDC 角色。 SecurityAudit 原則會附加至為數據收集建立的角色。

找到的任何目前或未來帳戶都會自動上線。

若要在儲存組態之後檢視上線狀態:

  • 移至 [ 資料收集器] 索引標籤
  • 按兩下資料收集器的狀態。
  • 在 [ 進行 中] 頁面上檢視帳戶

選項 2:輸入授權系統

  1. 在 [ 許可權管理上線 - AWS 成員帳戶詳細數據] 頁面中,輸入 成員帳戶角色成員帳戶標識碼

    您最多可以輸入 100 個帳戶識別碼。 按下文字框旁的加號圖示,以新增更多帳戶標識碼。

    注意

    針對您新增的每個帳戶標識碼,執行下列步驟:

  2. 開啟另一個瀏覽器視窗,然後登入成員帳戶的 AWS 控制台。

  3. 返回 [ 許可權管理上線 - AWS 成員帳戶詳細數據] 頁面,選取 [ 啟動範本]。

    AWS CloudFormation 建立堆疊頁面隨即開啟,並顯示範本。

  4. 在 CloudTrailBucketName 頁面中,輸入名稱。

    您可以從 AWS 中的 [追蹤] 頁面複製並貼上 CloudTrailBucketName 名稱

    注意

    雲端貯體會收集許可權管理監視的單一帳戶中的所有活動。 在這裡輸入雲端貯體的名稱,以提供許可權管理收集活動數據所需的存取權。

  5. 從 [ 啟用控制器] 下拉式清單中,選取:

    • True 是表示 如果您想要讓控制器提供許可權管理具有讀取和寫入許可權,以便從許可權管理平台執行的任何補救都可以自動完成。
    • 如果想要控制器提供唯讀存取權管理,則為 False

  6. 捲動至頁面底部,然後在 [功能] 方塊中,選取 [我確認 AWS CloudFormation 可能會建立具有自定義名稱的 IAM 資源]。 然後選取 [ 建立堆棧]。

    此 AWS CloudFormation 堆疊會在成員帳戶中建立集合角色,其中包含數據收集的必要許可權(原則)。

    此角色上會設定信任原則,以允許在 AWS OIDC 帳戶中建立的 OIDC 角色存取它。 這些實體會列在 CloudFormation 堆疊的 [ 資源 ] 索引標籤中。

  7. 返回 [許可權管理],然後在 [ 許可權管理上線 - AWS 成員帳戶詳細 數據] 頁面中,選取 [ 下一步]。

    此步驟會完成從 Microsoft Entra STS 到 OIDC 連線帳戶和 AWS 成員帳戶的必要連線順序。

選項 3:選取授權系統

此選項會偵測透過稍早建立的 OIDC 角色存取來存取的所有 AWS 帳戶。

  • 部署管理帳戶 CFT (Cloudformation 範本),其會建立組織帳戶角色,以授與稍早建立的 OIDC 角色許可權,以列出帳戶、OU 和 SCP。
  • 如果已啟用 AWS SSO,組織帳戶 CFT 也會新增收集 AWS SSO 設定詳細資料所需的原則。
  • 在需要受 Microsoft Entra 權限管理 監視的所有帳戶中部署成員帳戶 CFT。 這些動作會建立跨帳戶角色,信任稍早建立的 OIDC 角色。 SecurityAudit 原則會附加至為數據收集建立的角色。
  • 按兩下 [驗證並儲存]。
  • 移至 AWSdata collectors 下新建立的數據收集器數據列。
  • 當數據列具有 擱置 狀態時,按兩下 [狀態] 資料行
  • 若要上線並啟動收集,請從偵測到的清單選擇特定集合,並同意收集。

6.檢閱並儲存

  1. [許可權管理上線 – 摘要] 中,檢閱您新增的信息,然後選取 [立即驗證] 和 [ 儲存]。

    出現下列訊息: 已成功建立組態。

    在 [ 數據收集器 ] 儀錶板上,[ 最近上傳的 On ] 資料行會顯示 [收集]。 [ 最近轉換的 On] 資料行會顯示 [處理]。

    [許可權管理] UI 中的 [狀態] 資料行會顯示您位於的數據收集步驟:

    • 置:許可權管理尚未開始偵測或上線。
    • 探索:許可權管理正在偵測授權系統。
    • 進行中:許可權管理已完成偵測授權系統並上線。
    • 上線:數據收集已完成,且所有偵測到的授權系統都會上線至許可權管理。

7.檢視數據

  1. 若要檢視數據,請選取 [ 授權系統] 索引標籤

    數據表中的 [ 狀態 ] 資料行會顯示 [收集數據]。

    在大部分情況下,數據收集程式需要一些時間,並以大約 4-5 小時間隔發生。 時間範圍取決於您擁有的授權系統大小,以及可供收集的數據量。

下一步

  • 如需如何在上線完成後啟用或停用控制器的資訊,請參閱 啟用或停用控制器
  • 如需如何在上線完成後新增帳戶/訂用帳戶/專案的資訊,請參閱 完成上線之後新增帳戶/訂用帳戶/專案。