共用方式為

適用於 AWS 的 Microsoft Entra 身分識別與存取權管理

Azure
Microsoft Entra ID

本文為 AWS 身份架構師、管理員及資安分析師提供即時洞見與詳細指引,協助部署 Microsoft Entra 身份與存取解決方案於 AWS 平台。 你可以在不影響現有身份提供者和 AWS 帳號使用者的情況下,設定和測試這些 Microsoft 安全解決方案,直到準備好轉換。

架構

AWS 為每個帳戶建立獨立的 身份與存取管理(IAM)儲存 庫。 下圖顯示具有單一 AWS 帳戶的 AWS 環境標準設定:

顯示單一帳戶 AWS 環境的圖表。

根用戶完全控制 AWS 帳號,並委派其他身份的存取權。 AWS IAM 主體 會為每個需要存取 AWS 帳戶的角色和使用者提供唯一的身分識別。 AWS IAM 可以使用複雜的密碼和基本 MFA 來保護每個根、主體和用戶帳戶。

許多組織需要多個 AWS 帳號,導致身份 孤島 難以管理:

顯示多帳戶 AWS 環境的圖表。

為了實現集中式身份管理並避免管理多個身份與密碼,大多數組織希望對平台資源使用單一登入。 部分 AWS 客戶依賴 Windows Server Active Directory 來整合 SSO。 其他客戶則投資非 Microsoft 解決方案,以同步或聯合身份並提供單點登入(SSO)。

Microsoft Entra ID 提供集中式身份管理及強單一登入(SSO)認證。 幾乎所有遵循常見 Web 驗證標準的應用程式或平臺,包括 AWS,都可以使用Microsoft Entra ID 進行身分識別和存取管理。

許多組織已經使用 Microsoft Entra ID 來指派和保護 Microsoft 365 及混合雲身份。 員工會使用其Microsoft Entra身分識別來存取電子郵件、檔案、立即訊息、雲端應用程式和內部部署資源。 將 Microsoft Entra ID 整合到您的 AWS 帳號,讓管理員和開發人員能以現有身份登入您的 AWS 環境。

下圖顯示Microsoft Entra ID 如何與多個 AWS 帳戶整合,以提供集中式身分識別和存取管理:

顯示 AWS 和 Microsoft Entra 整合的圖表。

Microsoft Entra ID 提供數個功能來直接與 AWS 整合:

  • 跨越傳統、傳統及現代認證解決方案的單一登入(SSO)。
  • 多重驗證(MFA),包括透過外部認證方法與非 Microsoft 解決方案整合。
  • 條件存取功能以強化認證與治理。 Microsoft Entra ID 會使用條件式存取原則和風險型評定來驗證和授權使用者存取 AWS 管理控制台和 AWS 資源。
  • 大規模威脅偵測和自動化回應。 Microsoft 每天處理超過 300 億次認證請求,以及全球數兆條威脅訊號。
  • 啟用特權身分管理(PIM)以提供對特定資源的 即時(JIT) 存取。

使用 AWS 帳戶進行進階Microsoft Entra 身分識別管理

其他進階的 Microsoft Entra 功能則為最敏感的 AWS 帳號提供額外控制層。 Microsoft Entra ID P2 授權包含下列進階功能:

  • 特權身份管理(PIM)為 Azure 與 Microsoft 365 中所有委派角色提供進階控制。 例如,使用者管理員不再被靜態指派為使用者管理員角色,而是按需啟用該角色。 此許可權會停用設定的時間限制之後(例如一小時)。 PIM 會記錄所有啟動事件,並有其他控制措施進一步限制啟動能力。 PIM 會藉由確保額外的治理和保護層級,讓特殊許可權的用戶能夠進行變更,進一步保護您的身分識別架構。

    透過控制自訂群組的存取權限,例如你為 AWS 角色建立的群組,將 PIM 擴展到任何委派的權限。 如需部署 PIM 的詳細資訊,請參閱 規劃 Privileged Identity Management 部署

  • Microsoft Entra ID 保護 透過監控使用者或會話風險,提升 Microsoft Entra 登入的安全性。 用戶風險會定義遭入侵的認證潛力,例如公開發行缺口清單中出現的使用者標識碼和密碼。 登入風險決定登入活動是否來自風險地點、IP 位址或其他入侵指標。 這兩種偵測方式都依賴 Microsoft 全面的威脅情報能力。

    欲了解更多資訊,請參閱 Microsoft Entra ID Protection 安全概述

  • 適用於身分識別的 Microsoft Defender 藉由監視所有活動和威脅訊號,來保護在Active Directory域控制器上執行的身分識別和服務。 Defender for Identity 根據客戶資料外洩調查的真實經驗來識別威脅。 適用於身分識別的Defender會監視用戶行為,並建議降低攻擊面,以防止進階攻擊,例如偵察、橫向移動和網域支配。

    如需適用於身分識別的 Defender 的詳細資訊,請參閱什麼是 適用於身分識別的 Microsoft Defender

案例詳細資料

支援關鍵工作負載及高度敏感資訊的亞馬遜網路服務(AWS)帳號需要強大的身份保護與存取控制。 結合 Microsoft Entra 識別符時,會增強 AWS 身分識別管理。 Microsoft Entra ID 是一款雲端、全面且集中式的身份與存取管理解決方案,協助保護 AWS 帳號與環境的安全。 Microsoft Entra ID 提供集中式 單一登入(SSO) 及透過 多重驗證(MFA) 和條件存取政策進行強認證。 Microsoft Entra ID 支援 AWS 身分識別管理、角色型身分識別和訪問控制。

許多使用 AWS 的組織依賴 Microsoft Entra ID 來管理 Microsoft 365 或混合雲身份管理與存取保護。 這些組織可以用 Microsoft Entra ID 搭配他們的 AWS 帳號,且通常不需額外付費。 其他 進階的 Microsoft Entra 功能 ,如特權身份管理(PIM)和 Microsoft Entra ID 保護,可以幫助保護最敏感的 AWS 帳號。

Microsoft Entra ID 與其他 Microsoft 安全性解決方案整合,例如 Microsoft Defender for Cloud Apps 和 Microsoft Sentinel。 如需詳細資訊,請參閱適用於 AWS 的 適用於雲端的 Defender Apps 和 Microsoft Sentinel。 Microsoft 的安全解決方案具備擴充性,並提供多層級的保護。 組織可以實作一或多個這些解決方案,以及其他類型的保護,以取得保護目前和未來 AWS 部署的完整安全性架構。

考慮

這些考量能實作 Azure Well-Architected Framework 的支柱,這是一組指導原則,可以用來改善工作負載的品質。 如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework

安全性

安全性提供防止蓄意攻擊與濫用您珍貴資料與系統的保障。 如需詳細資訊,請參閱 安全性的設計檢閱檢查清單。

下列原則和指導方針對於任何雲端安全性解決方案都很重要:

  • 遵循 零信任原則:明確驗證、使用最低權限,並假設有違規行為。 零信任模型不會相信公司防火牆背後的一切是安全的,而是假設有缺口,並驗證每個要求,就好像它源自不受控制的網路一樣。 不論要求的來源或存取的資源為何,零信任模型都會教導我們「永遠不要信任,永遠驗證」。

  • 確定組織可以監視、偵測及自動保護使用者和以程式設計方式存取雲端環境。

  • 持續檢閱目前的帳戶,以確保身分識別和許可權控管和控制。

  • 持續監視平臺組態變更,特別是當他們提供提升許可權或攻擊持續性的機會時。

  • 主動檢查和控制內容,以防止未經授權的數據外流。

  • 善用你已經擁有的解決方案,能在不增加額外成本的情況下提升安全性。

基本 AWS 帳戶安全性

為了確保 AWS 帳戶和資源的基本安全性衛生:

  • 請檢閱 AWS 安全性指引,以 取得保護 AWS 帳戶和資源的最佳作法。

  • 透過 AWS 管理主控台主動檢查所有資料傳輸,以降低上傳和下載惡意程式碼和其他惡意內容的風險。 直接上傳或下載至 AWS 平臺內資源的內容,例如網頁伺服器或資料庫,可能需要更多保護。

  • 請考慮保護其他資源的存取,包括:

    • 在 AWS 帳戶內建立的資源。
    • 特定的工作負載平臺,例如 Windows Server、Linux Server 或容器。
    • 系統管理員和開發人員用來存取 AWS 管理主控台的裝置。

AWS IAM 安全性

保護 AWS 管理控制台的重要層面是控制誰可以進行敏感性組態變更。 AWS 帳戶根使用者具有不受限制的存取權。 安全性小組應完全控制根用戶帳戶,以防止其登入 AWS 管理主控台或使用 AWS 資源。

若要控制根用戶帳戶:

  • 請考慮將根使用者登入認證從個人的電子郵件地址變更為安全性小組所控制的服務帳戶。
  • 請確定根用戶帳戶密碼很複雜,併為根用戶強制執行 MFA。
  • 監視用來登入之根用戶帳戶實例的記錄。
  • 只有在緊急情況下才使用根用戶帳戶。
  • 使用 Microsoft Entra ID 來實作委派的系統管理存取權,而不是使用根用戶來執行系統管理工作。

清楚瞭解並檢閱其他 AWS IAM 帳戶元件,以取得適當的對應和指派。

  • 根據預設,AWS 帳戶在根使用者建立一或多個身分識別來委派存取權之前,沒有 IAM 使用者 。 能同步來自其他身份系統(如 Windows Server Active Directory)的現有使用者的解決方案,也能自動配置 IAM 使用者。

  • IAM 原則 會提供 AWS 帳戶資源的委派訪問許可權。 AWS 提供超過 750 個唯一的 IAM 原則,客戶也可以定義自定義原則。

  • IAM 角色 會將特定原則附加至身分識別。 角色是管理 角色型訪問控制 (RBAC) 的方式。 此解決方案利用 外部身份(External Identities )來實作 Microsoft Entra 身份,並承擔 IAM 角色。

  • IAM 群組 也是管理 RBAC 的一種方式。 不要將 IAM 原則直接指派給個別 IAM 使用者、建立 IAM 群組、附加一或多個 IAM 原則來指派許可權,並將 IAM 使用者新增至群組,以繼承資源的適當訪問許可權。

某些 IAM 服務帳戶 必須繼續在 AWS IAM 中執行,以提供程式設計存取。 請務必檢閱這些帳戶、安全地儲存及限制其安全性認證的存取權,並定期輪替認證。

部署此案例

下一節說明如何將Microsoft Entra ID 部署至個別 AWS 帳戶。

規劃和準備

若要準備部署 Azure 安全性解決方案,請檢閱並記錄目前的 AWS 帳戶和Microsoft Entra 資訊。 如果你部署了多個 AWS 帳號,請對每個帳號重複這些步驟。

  1. AWS 計費管理主控台中,記錄下列目前的 AWS 帳戶資訊:

    • AWS 帳戶標識碼,唯一標識符。
    • 帳戶名稱 或根使用者。
    • 付款方式,無論是指派給信用卡還是公司帳單合約。
    • 可存取 AWS 帳戶資訊的替代聯繫人
    • 安全性問題 會安全地更新並記錄為緊急存取。
    • 已啟用或停用 AWS 區域 以符合數據安全策略。

  2. 在 AWS IAM 管理控制台,檢閱並記錄下列 AWS IAM 元件:

    • 已建立的群組 ,包括附加的詳細成員資格和角色型對應原則。
    • 已建立的使用者 ,包括 使用者帳戶的密碼存留期 ,以及 服務帳戶的存取密鑰年齡 。 也請確認每個使用者都已啟用 MFA。
    • 角色。 有兩個預設服務連結角色: AWSServiceRoleForSupportAWSServiceRoleForTrustedAdvisor。 記錄任何其他角色,這些角色都是自定義的。 這些角色會連結至許可權原則,以用於對應Microsoft Entra ID 中的角色。
    • 原則。 現用的原則在 [類型] 數據行中具有 AWS 管理作業函式或客戶管理。 記錄所有其他原則,這些原則都是自定義的。 同時記錄每個原則的指派位置,來自 [用作] 數據行中的專案。
    • 識別提供者,瞭解任何現有的安全性判斷提示標記語言 (SAML) 識別提供者。 規劃如何將現有的識別提供者取代為單一Microsoft Entra 識別提供者。

  3. Microsoft Entra 管理中心,檢閱 Microsoft Entra 租戶。

    • 評估 租用戶資訊 ,以查看租使用者是否有Microsoft Entra ID P1 或 P2 授權。
    • 評估企業應用程式,以查看任何現有的應用程式是否使用 AWS 應用程式類型,如首頁 URL 資料行所示http://aws.amazon.com/

規劃Microsoft Entra 部署

Microsoft Entra 部署程式假設已針對組織設定Microsoft Entra ID,例如針對 Microsoft 365 實作。 帳戶可以從 Active Directory 網域進行同步處理,也可以是直接在 entra 識別符中建立 Microsoft的雲端帳戶。

規劃 RBAC

如果 AWS 安裝使用 RBAC 的 IAM 群組和角色,您可以將現有的 RBAC 結構對應至新的 Microsoft Entra 使用者帳戶和安全組。

如果 AWS 帳戶沒有強式 RBAC 實作,請從處理最敏感的存取開始:

  1. 更新 AWS 帳戶根使用者。

  2. 檢閱附加至 IAM 原則系統管理員Access 的 AWS IAM 使用者、群組和角色。

  3. 請透過其他指派的 IAM 原則,從可修改、建立或刪除資源和其他組態項目的原則開始。 您可以藉由查看 [用作] 數據行來識別使用中的原則。

規劃移轉

Microsoft Entra ID 會集中所有驗證和授權。 您可以規劃和設定用戶對應和 RBAC,而不會影響系統管理員和開發人員,直到您準備好強制執行新的方法為止。

從 AWS IAM 帳戶移轉至 Microsoft Entra 識別子的高階程式如下所示。 如需詳細指示,請參閱 部署

  1. 將 IAM 原則對應至Microsoft Entra 角色,並使用 RBAC 將角色對應至安全組。

  2. 將每個 IAM 使用者取代為Microsoft Entra 使用者,該使用者是適當安全組的成員,以登入並取得適當的許可權。

  3. 要求每個使用者使用其Microsoft Entra 帳戶登入 AWS,並確認他們具有適當的存取層級,以進行測試。

  4. 一旦使用者確認Microsoft Entra ID 存取權,請移除 AWS IAM 用戶帳戶。 重複每個用戶的程式,直到全部移轉為止。

針對服務帳戶和程序設計存取,請使用相同的方法。 請更新每個使用帳戶的應用程式,以改用對等Microsoft Entra 用戶帳戶。

請確定任何剩餘的 AWS IAM 使用者都已啟用 MFA 的複雜密碼,或定期取代的存取密鑰。

下圖顯示跨 Microsoft Entra ID 和 AWS IAM 的設定步驟和最終原則和角色對應範例:

此圖顯示從 AWS IAM 到 Azure AD 的組態步驟和最終角色對應。

單一登錄整合

Microsoft Entra ID 支援與 AWS SSO 的單一登錄整合。 您可以將Microsoft Entra識別符連線到 AWS,並在數百個帳戶和 AWS SSO 整合式應用程式之間集中控管存取權。 此功能可為使用 AWS CLI 的使用者啟用 Microsoft Entra 登入。

下列Microsoft安全性解決方案程式會針對AWS系統管理員AWS開發人員範例角色實作 SSO。 針對您需要的任何其他角色重複此程式。

此程式涵蓋下列步驟:

  1. 建立新的 Microsoft Entra 企業應用程式。
  2. 為 AWS 設定Microsoft Entra SSO。
  3. 更新角色對應。
  4. 在 AWS 管理控制台中測試Microsoft Entra SSO。

下列連結提供完整的詳細實作步驟和疑難解答:

將 AWS 應用程式新增至您的 Microsoft Entra 企業應用程式

AWS 系統管理員和開發人員會使用企業應用程式登入 Microsoft Entra ID 以進行驗證,然後重新導向至 AWS 以進行授權和存取 AWS 資源。 存取應用程式的其中一種方式是登入 https://myapps.microsoft.com,但您也可以將唯一 URL 發佈到任何提供直接存取的位置。

請遵循從資源庫新增 Amazon Web Services (AWS) 中的指示來設定企業應用程式。 這些說明會告訴你該在 Microsoft Entra 企業應用程式中新增哪個 AWS 應用程式。

如果有多個 AWS 帳戶要管理,例如 DevTest 和 Production,請針對包含公司識別碼和特定 AWS 帳戶的企業應用程式使用唯一名稱。

設定 aws 的 Microsoft Entra SSO

請依照以下步驟設定 Microsoft Entra 的 AWS 單點登入:

  1. 請依照文章《 配置 Microsoft Entra SSO 》中的步驟,設定您建立的 企業應用程式 以進行 AWS 單點登入。

  2. AWS 控制台上,遵循設定 AWS SSO 上的步驟,設定 AWS 帳戶以進行單一登錄。 在這個設定過程中,你會建立一個新的 IAM 使用者,代表 Microsoft Entra 配置代理程式,允許所有可用的 AWS IAM 角色 同步到 Microsoft Entra ID。 AWS 需要此 IAM 使用者將用戶對應至 角色,才能登入 AWS 管理主控台

  • 明確您建立哪些元件來支援此整合。 例如,像 Svc- 這類標準命名規則的命名服務帳號。
  • 請務必記錄所有新專案。
  • 請確定任何新的認證都包含您集中儲存的複雜密碼,以進行安全的生命週期管理。

根據這些組態步驟,您可以繪製如下的互動圖表:

組態互動的圖表。

AWS 控制台上,請依照以下步驟建立更多角色。

  1. AWS IAM 中,選取 [ 角色 -> 建立角色]。

  2. 在 [Create role] \(建立角色\) 頁面上,執行下列步驟:

    1. 在 [選取信任的實體類型] 底下,選取 [SAML 2.0 同盟]
    2. 在 [選擇 SAML 2.0 提供者] 下,選取您在上一個步驟中建立的 SAML 提供者。
    3. 選取 [Allow programmatic and AWS Management Console access] \(允許透過程式設計方式和 AWS 管理主控台存取\)
    4. 選取 [下一步:權限]

  3. 在 [ 附加許可權原則 ] 對話框中,選取 [AdministratorAccess]。 然後選取 [下一步:卷標]。

  4. 在 [ 新增標記 ] 對話框中,將它保留空白,然後選取 [ 下一步:檢閱]。

  5. 在 [ 檢閱] 對話框中,執行下列步驟:

    1. 在 [角色名稱] 中,輸入您的角色名稱(系統管理員)。
    2. 在 [ 角色描述] 中,輸入描述。
    3. 選取 [Create Role] \(建立角色\)

  6. 按照前面的步驟創建另一個角色。 將角色命名為開發人員,並提供您所選的一些選取許可權(例如 AmazonS3FullAccess)。

    您已成功在 AWS建立系統管理員開發人員角色。

  7. 在 entra 識別碼Microsoft中建立下列使用者和群組:

    • 使用者 1:Test-AWSAdmin
    • 使用者 2:Test-AWSDeveloper
    • 群組 1:AWS-Account1-Administrators
    • 群組 2:AWS-Account1-Developers
    • Test-AWSAdmin 新增為 AWS-Account1-Administrators 的成員
    • Test-AWSDeveloper 新增為 AWS-Account1-Developers 的成員

  8. 請遵循如何在 AWS 單一帳戶存取中設定角色布建以設定自動化角色布建的步驟。 完成第一個布建週期最多可能需要一小時的時間。

如何更新角色對應

因為您使用的是兩個角色,請執行下列額外步驟:

  1. 確認布建代理程式可以看到至少兩個角色:

    Microsoft Entra ID 中兩個角色的螢幕快照。

  2. 移至 [ 使用者和群組 ],然後選取 [ 新增使用者]。

  3. 選取 [AWS-Account1-Administrators]。

  4. 選取相關聯的角色。

    選取相關聯角色的螢幕快照。

  5. 針對每個群組角色對應重複上述步驟。 完成後,您應該有兩個Microsoft Entra 群組正確對應至 AWS IAM 角色:

    顯示對應至正確角色之群組的螢幕快照。

如果您看不到或選取角色,請返回 [布 建] 頁面,確認 Microsoft Entra 布建代理程式中的布建成功,並確定 IAM 用戶帳戶具有正確的許可權。 您也可以重新啟動佈建引擎,再次嘗試匯入:

功能表欄中重新啟動布建的螢幕快照。

測試 Microsoft Entra SSO 到 AWS 管理控制台

以每個測試使用者身分測試登入,以確認 SSO 運作正常。

  1. 啟動新的私人瀏覽器會話,以確保其他預存認證不會與測試衝突。

  2. 移至 https://myapps.microsoft.com,使用您先前建立的 Test-AWSAdmin 或 Test-AWSDeveloper Microsoft Entra 使用者帳戶認證。

  3. 您應該會看到 AWS 控制台應用程式的新圖示。 選取圖示,並遵循任何驗證提示:

    AWS 主控台應用程式圖示的螢幕快照。

  4. 登入 AWS 控制台之後,流覽功能以確認此帳戶具有適當的委派存取權。

  5. 請注意使用者登入工作階段的命名格式:

    ROLE / UPN / AWS 帳戶號碼

    您可以使用此使用者登入會話資訊,在 適用於雲端的 Defender Apps 或 Microsoft Sentinel 中追蹤使用者登入活動。

    登入會話信息的螢幕快照。

  6. 註銷,並重複其他測試用戶帳戶的程式,以確認角色對應和許可權的差異。

啟用條件式存取

若要建立需要 MFA 的新條件式存取原則:

  1. 請至少以條件式存取管理員的身分登入Microsoft Entra 系統管理中心

  2. 流覽至 Entra ID>條件式存取>策略

  3. 選擇 新政策

  4. 完成表單,如下所示:

    1. 名稱AWS 控制台 – 多因素驗證
    2. 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]
      1. 「包含」中,選擇你先前建立的兩個角色群組:
        1. AWS-帳戶 1-管理員
        2. AWS-Account1-開發人員
      2. 在「排除」下:
        1. 選擇貴組織的 緊急存取帳號或破玻璃帳號
    3. 在 [存取控制] 下的 [授權] 欄位中,選擇 [授予存取權] 和 [要求多重驗證],然後按 [選擇]。

  5. 將 [啟用原則] 設定為 [開啟]

    已填寫新原則窗體的螢幕快照。

  6. 選取 建立。 原則會立即生效。

  7. 若要測試條件式存取原則,請註銷測試帳戶、開啟新的私人瀏覽會話,並使用其中一個角色組帳戶登入。 您會看到 MFA 提示:

    MFA 登入提示的螢幕快照。

  8. 完成 MFA 安裝程式。 最好使用防止釣魚攻擊的方法來進行身份驗證,而非依賴簡訊。

您可能需要建立數個條件式存取原則,以符合強式驗證的商務需求。 請考慮您在建立原則時使用的命名慣例,以確保易於識別和持續維護。 此外,除非已廣泛部署 MFA,否則請確定原則的範圍只影響預期的使用者。 其他原則應涵蓋其他使用者群組的需求。

啟用條件式存取之後,您可以強加其他控件,例如 PAM 和 Just-In-Time (JIT) 布建。 如需詳細資訊,請參閱 什麼是自動化 SaaS 應用程式使用者布建Microsoft Entra ID

如果您有 適用於雲端的 Defender Apps,您可以使用條件式存取來設定 適用於雲端的 Defender Apps 會話原則。 如需詳細資訊,請參閱 設定 AWS 活動的Microsoft Entra 會話原則

下一步