Łączenie kont platformy AWS z usługą Microsoft Defender dla Chmury

Usługa Microsoft Defender for Cloud pomaga chronić obciążenia uruchomione w usługach Amazon Web Services (AWS). Aby ocenić zasoby platformy AWS i uzyskać zalecenia dotyczące zabezpieczeń, musisz połączyć konto platformy AWS z usługą Defender for Cloud. Łącznik zbiera sygnały konfiguracji i zabezpieczeń z usług AWS. Korzystając z tych informacji, usługa Defender for Cloud może analizować stan, generować zalecenia i wyświetlać alerty.

Aby uzyskać więcej informacji, obejrzyj film wideo Nowy łącznik AWS w Defender for Cloud z serii wideo Defender for Cloud in the Field.

Ważne

Jeśli konto platformy AWS zostało już połączone z usługą Microsoft Sentinel, może być konieczne skonfigurowanie dodatkowej konfiguracji podczas nawiązywania połączenia z usługą Defender for Cloud. Ta dodatkowa konfiguracja zapobiega problemom z wdrażaniem lub przetwarzaniem danych. Aby uzyskać więcej informacji, zobacz Connect a Sentinel connected AWS account to Defender for Cloud (Łączenie połączonego konta platformy AWS z usługą Defender for Cloud).

Architektura uwierzytelniania

Po połączeniu konta AWS, Microsoft Defender for Cloud uwierzytelnia się w AWS, korzystając z federacyjnego zaufania i krótkotrwałych poświadczeń, bez przechowywania długoterminowych tajemnic.

Dowiedz się więcej o sposobie ustanawiania uwierzytelniania między Microsoft Entra ID a AWS, w tym rolami IAM i relacjami zaufania utworzonymi podczas procesu włączania.

Wymagania wstępne

Przed nawiązaniem połączenia z kontem platformy AWS upewnij się, że masz następujące elementy:

Subskrypcja platformy Microsoft Azure. Jeśli go nie masz, utwórz konto bezpłatnej subskrypcji.
Usługa Microsoft Defender for Cloud jest włączona w tej subskrypcji.
Dostęp do konta platformy AWS.
Uprawnienie do tworzenia zasobów na platformie Azure (współautor lub powyżej).

Podczas włączania określonych planów usługi Defender obowiązują dodatkowe wymagania. Zapoznaj się z wymaganiami dotyczącymi planu łącznika natywnego.

Uwaga

Łącznik platformy AWS nie jest dostępny w chmurach dla instytucji rządowych (Platforma Azure Government, platforma Microsoft Azure obsługiwana przez firmę 21Vianet).

Wymagania dotyczące planu łącznika natywnego

Każdy plan usługi Defender ma określone wymagania dotyczące konfiguracji.

Co najmniej jeden klaster Amazon EKS z dostępem do serwera interfejsu API Kubernetes. Jeśli go nie masz, utwórz nowy klaster EKS.
Możliwość utworzenia kolejki Amazon SQS, strumienia dostarczania Kinesis Data Firehose i zasobnika Amazon S3 w tym samym regionie, co klaster.

Usługa Microsoft Defender dla serwerów jest włączona w ramach subskrypcji.
Aktywne konto platformy AWS z wystąpieniami usługi EC2.
Usługa Azure Arc dla serwerów zainstalowanych w wystąpieniach usługi EC2. Zaleca się wykorzystanie automatycznego aprowizowania, które wymaga roli Właściciel w subskrypcji platformy Azure.
Upewnij się, że spełniono wymagania sieciowe usługi Azure Arc.
Zainstalowano agenta SSM AWS z polityką AmazonSSMManagedInstanceCore. Jeśli nie jest ona wstępnie zainstalowana, zainstaluj ją dla systemu Windows lub Linux.

Uwaga

Jeśli brakuje lub usunięto agenta programu SSM, automatyczne aprowizowanie usługi Arc nie może kontynuować.
Szablon dołączania CloudFormation tworzy również 30-dniowe zautomatyzowane skanowanie, które sprawdza, czy każde wystąpienie usługi EC2 ma wymagany profil IAM.

Następujące rozszerzenia włączone na maszynach połączonych z usługą Arc:
- Usługa Microsoft Defender dla punktu końcowego
- Rozwiązanie do oceny luk w zabezpieczeniach (TVM lub Qualys)

Uwaga

Agent usługi Log Analytics został wycofany w sierpniu 2024 r. Funkcje, które są od niego zależne, przechodzą do integracji z usługą Defender for Endpoint lub skanowania bez agenta.
Dowiedz się więcej o nadchodzących zmianach.

Usługa Defender for Servers przypisuje tagi zasobów (AccountId, Cloud, InstanceId, MDFCSecurityConnector) do zarządzania procesem automatycznego aprowizowania.

Uwaga

Odpowiednie serwery usługi Azure Arc dla wystąpień usługi EC2 lub maszyn wirtualnych GCP, które już nie istnieją (i odpowiednie serwery usługi Azure Arc ze stanem Odłączone lub Wygasłe) zostaną usunięte po siedmiu dniach. To czyszczenie gwarantuje, że w usłudze Defender for Cloud nadal będą wyświetlane tylko aktywne serwery z obsługą usługi Arc.

Łączenie z kontem platformy AWS

Zaloguj się w witrynie Azure Portal.
Przejdź do Defender for Cloud>Ustawienia środowiska.
Wybierz pozycję Dodaj środowisko>Amazon Web Services.
Wprowadź szczegóły konta platformy AWS, w tym region świadczenia usługi Azure, w którym zostanie utworzony zasób łącznika.

Użyj listy rozwijanej Regiony platformy AWS , aby wybrać regiony monitorów usługi Defender for Cloud. Regiony, które usuwasz, nie odbierają wywołań interfejsu API z usługi Defender for Cloud.

Wybierz interwał skanowania (4, 6, 12 lub 24 godziny).

Ten wybór definiuje standardowy interwał dla większości kontroli postawy. Niektóre moduły zbierające dane z stałymi interwałami są uruchamiane częściej, niezależnie od tego ustawienia:

Interwał skanowania	Kolektory danych
1 godzina	EC2Instance, ECRImage, ECRRepository, RDSDBInstance, S3Bucket, S3BucketTags, S3Region, EKSCluster, EKSClusterName, EKSNodegroup, EKSNodegroupName, AutoScalingAutoScalingGroup
12 godz.	EcsClusterArn, EcsService, EcsServiceArn, EcsTaskDefinition, EcsTaskDefinitionArn, EcsTaskDefinitionTags, AwsPolicyVersion, LocalPolicyVersion, AwsEntitiesForPolicy, LocalEntitiesForPolicy, BucketEncryption, BucketPolicy, S3PublicAccessBlockConfiguration, BucketVersioning, S3LifecycleConfiguration, BucketPolicyStatus, S3ReplicationConfiguration, S3AccessControlList, S3BucketLoggingConfig, PublicAccessBlockConfiguration

Interwał skanowania

Kolektory danych

1 godzina

EC2Instance, ECRImage, ECRRepository, RDSDBInstance, S3Bucket, S3BucketTags, S3Region, EKSCluster, EKSClusterName, EKSNodegroup, EKSNodegroupName, AutoScalingAutoScalingGroup

12 godz.

EcsClusterArn, EcsService, EcsServiceArn, EcsTaskDefinition, EcsTaskDefinitionArn, EcsTaskDefinitionTags, AwsPolicyVersion, LocalPolicyVersion, AwsEntitiesForPolicy, LocalEntitiesForPolicy, BucketEncryption, BucketPolicy, S3PublicAccessBlockConfiguration, BucketVersioning, S3LifecycleConfiguration, BucketPolicyStatus, S3ReplicationConfiguration, S3AccessControlList, S3BucketLoggingConfig, PublicAccessBlockConfiguration

Wybierz pozycję Dalej: wybierz plany i wybierz plany usługi Defender, które chcesz włączyć.

Przejrzyj domyślne wybory planu, ponieważ niektóre plany mogą być włączane automatycznie w zależności od konfiguracji. Na przykład, plan Bazy danych rozszerza zakres usługi Defender for SQL na AWS EC2, RDS Custom for SQL Server oraz relacyjne bazy danych typu open source na RDS.

Każdy plan może wiązać się z opłatami. Dowiedz się więcej o cenach usługi Defender for Cloud.

Ważne

Aby przedstawić aktualne rekomendacje, usługa Defender CSPM wysyła zapytania do interfejsów API zasobów AWS kilka razy dziennie. Te wywołania interfejsu API tylko do odczytu nie generują opłat za platformę AWS. Jeśli jednak włączysz rejestrowanie zdarzeń odczytu, usługa CloudTrail może je zarejestrować. Eksportowanie tych danych do zewnętrznych systemów SIEM może zwiększyć koszty pozyskiwania. W razie potrzeby filtruj wywołania tylko do odczytu z:

arn:aws:iam::<accountId>:role/CspmMonitorAws
Wybierz pozycję Konfiguruj dostęp, a następnie wybierz:
- Dostęp domyślny: przyznaje uprawnienia wymagane dla bieżących i przyszłych możliwości.
- Najmniej uprzywilejowany dostęp: przyznaje tylko uprawnienia wymagane dzisiaj. Jeśli będzie potrzebny dodatkowy dostęp, możesz otrzymywać powiadomienia później.
Wybierz metodę wdrażania:
- AWS CloudFormation
- Terraform.
Uwaga

Podczas dołączania konta zarządzania usługa Defender for Cloud używa zestawów stosów AWS i automatycznie tworzy łączniki dla kont podrzędnych. Automatyczne aprowizowanie jest włączone dla nowo odkrytych kont.

Uwaga

Jeśli wybierzesz Konto zarządzania, aby utworzyć łącznik do konta zarządzania, karta dołączania przy użyciu Terraform nie jest widoczna w interfejsie użytkownika. Dołączanie programu Terraform jest nadal obsługiwane. Aby uzyskać wskazówki, zobacz Dołączanie środowiska AWS/GCP do usługi Microsoft Defender for Cloud za pomocą narzędzia Terraform.
Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby wdrożyć szablon CloudFormation. Jeśli wybierzesz program Terraform, postępuj zgodnie z równoważnymi instrukcjami wdrażania podanymi w portalu.
Wybierz pozycję Dalej: Przeglądanie i generowanie.
Wybierz pozycję Utwórz.

Usługa Defender for Cloud rozpoczyna skanowanie zasobów platformy AWS. Zalecenia dotyczące zabezpieczeń są wyświetlane w ciągu kilku godzin. Po dołączeniu można monitorować stan, alerty i spis zasobów platformy AWS w usłudze Defender for Cloud. Aby uzyskać więcej informacji, zobacz Monitorowanie połączonych zasobów platformy AWS.

Weryfikowanie kondycji łącznika

Aby potwierdzić, że łącznik platformy AWS działa prawidłowo:

Zaloguj się w witrynie Azure Portal.
Przejdź do Defender for Cloud>Ustawienia środowiska.
Znajdź konto platformy AWS i przejrzyj kolumnę Stan łączności , aby sprawdzić, czy połączenie jest w dobrej kondycji, czy ma problemy.
Wybierz wartość wyświetlaną w kolumnie Stan łączności , aby wyświetlić więcej szczegółów.

Strona Szczegóły środowiska zawiera listę wykrytych problemów z konfiguracją lub uprawnieniami wpływających na połączenie z kontem platformy AWS.

Jeśli występuje problem, możesz go wybrać, aby wyświetlić opis problemu i zalecane kroki korygowania. W niektórych przypadkach zostanie udostępniony skrypt korygowania, który pomoże rozwiązać ten problem.

Dowiedz się więcej na temat rozwiązywania problemów z łącznikami wielochmurowymi.

Wdrażanie szablonu CloudFormation na koncie platformy AWS

W ramach wdrażania, wdróż szablon CloudFormation wygenerowany:

Jako Stack (pojedyncze konto)
Jako StackSet (konto menedżerskie)

Opcje wdrażania szablonu

Adres URL usługi Amazon S3: przekaż pobrany szablon CloudFormation do własnego zasobnika S3 przy użyciu własnych konfiguracji zabezpieczeń. Podaj adres URL S3 w kreatorze wdrażania platformy AWS.
Przekaż plik szablonu: AWS automatycznie tworzy bucket S3 do przechowywania szablonu. Ta konfiguracja może uruchomić S3 buckets should require requests to use Secure Socket Layer rekomendację. Można rozwiązać ten problem, stosując następującą politykę koszyka:

{
  "Id": "ExamplePolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSSLRequestsOnly",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": [
        "<S3_Bucket_ARN>",
        "<S3_Bucket_ARN>/*"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      },
      "Principal": "*"
    }
  ]
}

Uwaga

Podczas uruchamiania zestawu StackSet cloudFormation podczas dołączania konta zarządzania platformy AWS może wystąpić następujący komunikat o błędzie: You must enable organizations access to operate a service managed stack set

Ten komunikat o błędzie wskazuje, że nie włączono zaufanego dostępu dla organizacji platformy AWS.

Aby naprawić ten błąd, strona CloudFormation StackSets zawiera monit z przyciskiem, który można wybrać, aby włączyć zaufany dostęp. Po włączeniu zaufanego dostępu ponownie uruchom stos CloudFormation.

Czy musisz zaktualizować szablon CloudFormation?

Ta tabela ułatwia określenie, czy należy zaktualizować szablon CloudFormation wdrożony na koncie platformy AWS.

Step	Question	Jeśli TAK	Jeśli NIE
1	Czy włączono nowy plan usługi Defender (na przykład CSPM, Databases, Defender for Containers)?	Zaktualizuj stos CloudFormation za pomocą najnowszego szablonu.	Przejdź do kroku 2.
2	Czy modyfikujesz konfigurację planu (na przykład włączasz automatyczne aprowizowanie lub zmieniasz region)?	Zaktualizuj stos CloudFormation za pomocą najnowszego szablonu.	Przejdź do kroku 3.
3	Czy firma Microsoft wydała nową wersję szablonu? (Na przykład, obsługa nowych funkcji, naprawa usterek lub aktualizacja środowiska uruchomieniowego)	Zaktualizuj stos CloudFormation za pomocą najnowszego szablonu.	Przejdź do kroku 4.
4	Czy występują błędy wdrażania¹ (na przykład błąd odmowy dostępu, jednostka już istnieje, środowisko uruchomieniowe Lambda)?	Zaktualizuj stos CloudFormation za pomocą najnowszego szablonu.	Nie jest wymagana aktualizacja szablonu CloudFormation.

^{1 Jeśli} otrzymujesz określone błędy lub błędy związane z wdrożeniem szablonu CloudFormation, zapoznaj się z tabelą rozwiązywania błędów CloudFormation.

Włącz gromadzenie dzienników w usłudze AWS CloudTrail (wersja zapoznawcza)

Pozyskiwanie zdarzeń zarządzania w usłudze AWS CloudTrail może zwiększyć wgląd w tożsamość i konfigurację, dodając kontekst dla ocen CIEM, wskaźników ryzyka opartych na działaniach i wykrywania zmian konfiguracji.

Dowiedz się więcej na temat integrowania dzienników platformy AWS CloudTrail z usługą Microsoft Defender for Cloud (wersja zapoznawcza).Dowiedz się więcej o integracji dzienników platformy AWS CloudTrail z usługą Microsoft Defender for Cloud (wersja zapoznawcza).

Dowiedz się więcej

Zapoznaj się z następującymi blogami:

Następne kroki

Przypisz dostęp do właścicieli zadań.
Chroń wszystkie zasoby przy użyciu Defender dla Chmury.
Monitorowanie połączonych zasobów platformy AWS.
Konfigurowanie maszyn lokalnych i projektów GCP.
Uzyskaj odpowiedzi na często zadawane pytania dotyczące dołączania konta platformy AWS.
Rozwiązywanie problemów z łącznikami wielochmurowymi.

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2026-01-06

Udostępnij przez

Łączenie kont platformy AWS z usługą Microsoft Defender dla Chmury

Architektura uwierzytelniania

Wymagania wstępne

Wymagania dotyczące planu łącznika natywnego

Łączenie z kontem platformy AWS

Weryfikowanie kondycji łącznika

Wdrażanie szablonu CloudFormation na koncie platformy AWS

Opcje wdrażania szablonu

Czy musisz zaktualizować szablon CloudFormation?

Włącz gromadzenie dzienników w usłudze AWS CloudTrail (wersja zapoznawcza)

Dowiedz się więcej

Następne kroki

Sprzężenie zwrotne

Dodatkowe źródła