Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Quando você conecta uma conta do AWS ao Microsoft Defender para Nuvem, o serviço usa a autenticação federada para chamar as APIs AWS com segurança sem armazenar credenciais de longa duração. O acesso temporário é concedido por meio do STS (Serviço de Token de Segurança) da AWS, usando credenciais de curta duração trocadas por meio de uma relação de confiança entre nuvens.
Este artigo explica como essa confiança é estabelecida e como as credenciais de curta duração são usadas para acessar recursos da AWS com segurança.
Recursos de autenticação criados no AWS
Durante a integração, o modelo CloudFormation cria os componentes de autenticação que o Defender para Nuvem requer para estabelecer a confiança entre a ID do Microsoft Entra e a AWS. Normalmente, elas incluem:
Um provedor de identidade do OpenID Connect associado a um aplicativo Microsoft Entra gerenciado pela Microsoft
Uma ou mais funções de IAM que o Defender para Nuvem pode assumir por meio da federação de identidade da Web
Dependendo do plano do Defender que você habilitar, como parte do processo de integração, recursos adicionais da Amazon Web Services podem ser criados.
Modelo de provedor de identidade
O Defender para Nuvem autentica-se na AWS usando a federação OIDC com um aplicativo Microsoft Entra gerenciado pela Microsoft. Como um serviço SaaS, ele opera independentemente de provedores de identidade gerenciados pelo cliente e não usa identidades do locatário do Entra de um cliente para solicitar credenciais federadas da AWS.
Os recursos de autenticação criados durante a integração estabelecem a relação de confiança necessária para que o Defender para Nuvem obtenha credenciais de AWS de curta duração por meio da federação de identidade da Web.
Fluxo de autenticação entre nuvens
O diagrama a seguir mostra como o Defender para Nuvem se autentica na AWS trocando tokens do Microsoft Entra por credenciais de curta duração do AWS.
Relações de confiança de função
A função IAM definida pelo modelo CloudFormation inclui uma política de confiança que permite que o Defender para Nuvem assuma a função por meio da federação de identidade da Web. A AWS só aceita tokens que atendam a essa política de confiança, o que impede que entidades não autorizadas assumam a mesma função.
As permissões concedidas ao Defender para Nuvem são controladas separadamente pelas políticas de IAM anexadas a cada função. Essas políticas podem ser definidas para seguir os requisitos de privilégio mínimo da sua organização, desde que as permissões mínimas necessárias para os planos selecionados do Defender sejam incluídas.
Condições de validação de token
Antes que o AWS emita credenciais temporárias, ele executa várias verificações:
A validação de audiência garante que o aplicativo esperado esteja solicitando acesso.
A validação da assinatura do token verifica se o Microsoft Entra ID assinou o token.
A validação da impressão digital do certificado confirma que o signatário corresponde ao provedor de identidade confiável.
As condições de nível de função restringem quais identidades federadas podem assumir a função e impedir que outras identidades da Microsoft usem a mesma função.
A AWS concede acesso somente quando todas as regras de validação forem bem-sucedidas.