Partager via

Architecture d’authentification pour les connecteurs AWS

Lorsque vous connectez un compte AWS à Microsoft Defender pour Cloud, le service utilise l’authentification fédérée pour appeler en toute sécurité des API AWS sans stocker d’informations d’identification de longue durée. L’accès temporaire est accordé via AWS Security Token Service (STS), à l’aide d’informations d’identification de courte durée échangées par le biais d’une relation d’approbation intercloud.

Cet article explique comment cette approbation est établie et comment les informations d’identification de courte durée sont utilisées pour accéder en toute sécurité aux ressources AWS.

Ressources d’authentification créées dans AWS

Lors de l’intégration, le modèle CloudFormation crée les composants d’authentification requis par Defender pour Cloud pour établir une confiance entre l’ID Microsoft Entra et AWS. Il s’agit généralement des éléments suivants :

  • Un fournisseur d’identité OpenID Connect lié à une application Microsoft Entra gérée par Microsoft

  • Un ou plusieurs rôles IAM que Defender pour Cloud peut assumer par le biais de la fédération d’identité web

Selon le plan Defender que vous activez, des ressources AWS supplémentaires peuvent être créées dans le cadre du processus d’intégration.

Modèle de fournisseur d’identité

Defender pour Cloud s’authentifie auprès d’AWS à l’aide de la fédération OIDC avec une application Microsoft Entra gérée par Microsoft. En tant que service SaaS, il fonctionne indépendamment des fournisseurs d’identité gérés par le client et n’utilise pas d’identités du locataire Entra d’un client pour demander des informations d’identification AWS fédérées.

Les ressources d'authentification créées lors de l’intégration établissent la relation d'approbation requise pour permettre à Defender pour Cloud d'obtenir des informations d'identification AWS temporaires via la fédération d'identités sur le web.

Flux d’authentification multicloud

Le diagramme suivant montre comment Defender pour cloud s’authentifie auprès d’AWS en échangeant des jetons Microsoft Entra pour les informations d’identification AWS de courte durée.

Diagramme montrant Microsoft Defender pour Cloud qui obtient un jeton de Microsoft Entra ID, qu'AWS valide et échange contre des identifiants de sécurité temporaires.

Relations d’approbation de rôle

Le rôle IAM défini par le modèle CloudFormation inclut une stratégie d’approbation qui permet à Defender for Cloud d’assumer le rôle par le biais de la fédération d’identité web. AWS accepte uniquement les jetons qui répondent à cette stratégie d’approbation, ce qui empêche les entités non autorisées d'assumer ce rôle.

Les autorisations accordées à Defender pour Cloud sont contrôlées séparément par les stratégies IAM attachées à chaque rôle. Ces stratégies peuvent être étendues pour suivre les exigences de privilège minimum de votre organisation, tant que les autorisations minimales requises pour les plans Defender sélectionnés sont incluses.

Capture d’écran de l’entrée du fournisseur d’identité AWS CloudFormation créée lors de l’intégration.

Conditions de validation de jeton

Avant que AWS émet des informations d’identification temporaires, il effectue plusieurs vérifications :

  • La validation de l’audience garantit que l’application attendue demande l’accès.

  • La validation de la signature de jeton vérifie que l’ID Microsoft Entra a signé le jeton.

  • La validation de l’empreinte numérique du certificat confirme que le signataire correspond au fournisseur d’identité approuvé.

  • Les conditions au niveau du rôle limitent les identités fédérées qui peuvent assumer le rôle et empêcher d’autres identités Microsoft d’utiliser le même rôle.

AWS accorde l’accès uniquement lorsque toutes les règles de validation réussissent.

  • Last updated on