Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Sie ein AWS-Konto mit Microsoft Defender for Cloud verbinden, verwendet der Dienst Verbundauthentifizierung, um AWS-APIs sicher aufzurufen, ohne langlebige Anmeldeinformationen zu speichern. Temporärer Zugriff wird über AWS Security Token Service (STS) gewährt, wobei kurzlebige Anmeldeinformationen verwendet werden, die über eine cloudübergreifende Vertrauensstellung ausgetauscht werden.
In diesem Artikel wird erläutert, wie diese Vertrauensstellung eingerichtet wird und wie kurzlebige Anmeldeinformationen verwendet werden, um sicher auf AWS-Ressourcen zuzugreifen.
In AWS erstellte Authentifizierungsressourcen
Während des Onboardings erstellt die CloudFormation-Vorlage die Authentifizierungskomponenten, die Defender für Cloud benötigt, um eine Vertrauensstellung zwischen Microsoft Entra ID und AWS herzustellen. Dazu gehören in der Regel:
Ein OpenID Connect-Identitätsanbieter , der an eine von Microsoft verwaltete Microsoft Entra-Anwendung gebunden ist
Mindestens eine oder mehrere IAM-Rollen, die Defender für Cloud durch den Webidentitätsverbund annehmen kann
Je nach aktivierter Defender-Plan können zusätzliche AWS-Ressourcen als Teil des Onboardingprozesses erstellt werden.
Identitätsanbietermodell
Defender for Cloud authentifiziert sich bei AWS mithilfe des OIDC-Verbunds mit einer von Microsoft verwalteten Microsoft Entra-Anwendung. Als SaaS-Dienst arbeitet er unabhängig von vom Kunden verwalteten Identitätsanbietern und verwendet keine Identitäten vom Entra-Mandanten eines Kunden, um Verbund-AWS-Anmeldeinformationen anzufordern.
Die während des Onboardings erstellten Authentifizierungsressourcen richten die für Defender for Cloud erforderliche Vertrauensstellung ein, um kurzlebige AWS-Anmeldeinformationen über den Web-Identitätsverbund abzurufen.
Cloudübergreifender Authentifizierungsfluss
Das folgende Diagramm zeigt, wie Defender für Cloud sich bei AWS authentifiziert, indem Microsoft Entra-Token für kurzlebige AWS-Anmeldeinformationen ausgetauscht werden.
Rollenvertrauensbeziehungen
Die von der CloudFormation-Vorlage definierte IAM-Rolle enthält eine Vertrauensrichtlinie, mit der Defender für Cloud die Rolle über den Webidentitätsverbund übernehmen kann. AWS akzeptiert nur Token, die diese Vertrauensrichtlinie erfüllen. Auf diese Weise werden nicht autorisierte Identitäten daran gehindert, dieselbe Rolle einzunehmen.
Die Berechtigungen, die Defender for Cloud gewährt werden, werden separat von den an jede Rolle angefügten IAM-Richtlinien gesteuert. Diese Richtlinien können so festgelegt werden, dass sie den Anforderungen Ihrer Organisation an das Prinzip der minimalen Berechtigungen entsprechen, solange die für die ausgewählten Defender-Pläne erforderlichen Mindestberechtigungen enthalten sind.
Bedingungen für die Tokenüberprüfung
Bevor AWS temporäre Anmeldeinformationen ausgibt, führt sie mehrere Prüfungen durch:
Die Benutzergruppenüberprüfung stellt sicher, dass die erwartete Anwendung Zugriff anfordert.
Die Überprüfung der Tokensignatur überprüft, ob die Microsoft Entra-ID das Token signiert hat.
Die Überprüfung des Zertifikatfingerabdrucks bestätigt, dass der Signierer dem vertrauenswürdigen Identitätsanbieter entspricht.
Bedingungen auf Rollenebene beschränken, welche Verbundidentitäten die Rolle annehmen und verhindern können, dass andere Microsoft-Identitäten dieselbe Rolle verwenden.
AWS gewährt nur Zugriff, wenn alle Validierungsregeln erfolgreich sind.