當你將 AWS 帳號連接到 Microsoft Defender for Cloud 時,該服務會使用聯邦認證來安全地呼叫 AWS API,且不會儲存長期憑證。 臨時存取是透過 AWS 安全性權杖服務 (STS) 授予,並使用透過跨雲端信任關係交換的短效憑證。
本文說明這種信任如何建立,以及短暫憑證如何被用來安全存取 AWS 資源。
AWS 建立的認證資源
在導入過程中,CloudFormation 範本建立了 Defender for Cloud 所需的驗證元件,以建立 Microsoft Entra ID 與 AWS 之間的信任。 這些通常包括:
綁定於 Microsoft 管理的 Microsoft Entra 應用程式的 OpenID Connect 身份提供者
適用於雲端的 Defender 可透過網頁身分識別同盟承擔的一或多個 IAM 角色
根據你啟用的 Defender 方案,入職過程中可能會新增額外的 AWS 資源。
身份提供者模型
Defender for Cloud 透過 OIDC 聯盟與 Microsoft 管理的 Microsoft Entra 應用程式進行 AWS 認證。 作為 SaaS 服務,它獨立於客戶管理的身份提供者運作,且不會使用客戶 Entra 租戶的身份來申請聯邦 AWS 憑證。
在導入過程中建立的認證資源,建立了 Defender for Cloud 透過 Web 身份聯盟取得 AWS 短暫憑證所需的信任關係。
跨雲認證流程
下圖展示了 Defender for Cloud 如何透過將 Microsoft Entra 憑證交換為短壽命的 AWS 憑證來驗證 AWS。
角色信任關係
CloudFormation 範本定義的 IAM 角色包含信任政策,允許 Defender for Cloud 透過網頁身份聯合來承擔此角色。 AWS 僅接受符合此信任原則的權杖,這可防止未經授權的主體承擔相同角色。
Defender for Cloud 所獲得的權限由每個角色所附加的 IAM 政策分別控制。 這些原則可依貴組織的最低權限要求進行範圍設定,只要包含所選 Defender 方案所需的最低權限即可。
代幣驗證條件
AWS 在發放臨時憑證前,會進行多項檢查:
受眾驗證確保 預期的應用程式正在請求存取權限。
令牌簽章驗證 確認 Microsoft Entra ID 是否簽署了該令牌。
憑證指紋驗證 確認簽署者與受信任的身份提供者相符。
角色層級條件 限制哪些聯邦身份能擔任該角色,並防止其他 Microsoft 身份使用相同角色。
AWS 只有在所有驗證規則成功時才會授予存取權限。