本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Infrastructure OU - 共用服務帳戶
| 進行簡短的調查 |
下圖說明共用服務帳戶中設定AWS的安全服務。
Shared Services 帳戶是基礎設施 OU 的一部分,其目的是支援多個應用程式和團隊用來交付其成果的服務。例如,目錄服務 (Active Directory)、傳訊服務和中繼資料服務都屬於此類別。會AWSSRA反白顯示支援安全控制的共用服務。雖然網路帳戶也是基礎設施 OU 的一部分,但它們會從共用服務帳戶中移除,以支援職責分離。將管理這些服務的團隊不需要網路帳戶的許可或存取權。
AWS Systems Manager
AWS Systems Manager
Systems Manager 會掃描受管執行個體,並針對偵測到的任何政策違規進行報告 (或採取修正動作),以協助您維護安全性和合規性。透過將 Systems Manager 與個別成員AWS帳戶 (例如,應用程式帳戶) 中的適當部署配對,您可以協調執行個體庫存資料收集,並集中自動化,例如修補和安全更新。
AWS Managed Microsoft AD
AWS Directory Service
AWS Managed Microsoft AD 可協助您將現有的 Active Directory 擴展到 AWS,並使用現有的內部部署使用者登入資料來存取雲端資源。您也可以管理您的現場部署使用者、群組、應用程式和系統,而不必複雜的操作和維護現場部署、高可用性的 Active Directory。您可以將現有的電腦、筆記型電腦和印表機加入 AWS Managed Microsoft AD 網域。
AWS Managed Microsoft AD 是以 Microsoft Active Directory 為基礎,不需要您將現有 Active Directory 的資料同步或複寫至雲端。您可以使用熟悉的 Active Directory 管理工具和功能,例如群組政策物件 (GPOs)、網域信任、精細密碼政策、群組受管服務帳戶 (gMSAs)、結構描述延伸和 Kerberos 型單一登入。您也可以委派管理任務,並使用 Active Directory 安全群組授權存取。
多區域複寫可讓您跨多個AWS區域部署和使用單一 AWS Managed Microsoft AD 目錄。這可讓您更輕鬆且更具成本效益地在全球部署和管理 Microsoft Windows 和 Linux 工作負載。當您使用自動多區域複寫功能時,您會在應用程式使用本機目錄來獲得最佳效能時獲得更高的彈性。
AWS Managed Microsoft AD 在用戶端和伺服器角色中都支援透過 SSL/ 的輕量型目錄存取通訊協定 (LDAP)LDAPS,TLS也稱為 。做為伺服器時,AWSManaged Microsoft AD 支援LDAPS透過連接埠 636 (SSL) 和 389 ()TLS。您可以從 AWS型 Active Directory Certificate Services (AD CS) 憑證授權機構 (CA) 在 AWS Managed Microsoft AD 網域控制站上安裝憑證,以啟用伺服器端LDAPS通訊。做為用戶端時,AWSManaged Microsoft AD 支援LDAPS透過連接埠 636 (SSL)。您可以將伺服器憑證發行者的 CA 憑證註冊到 ,然後在LDAPS目錄中啟用 AWS,以啟用用戶端LDAPS通訊。
在 AWS 中SRA,De AWS Directory Service 用於共用服務帳戶,為多個AWS成員帳戶的 Microsoft 感知工作負載提供網域服務。
設計考量事項
-
您可以使用 IAM Identity Center 並選擇 AWS Managed Microsoft AD 作為身分來源,授予內部部署 Active Directory 使用者使用現有 Active Directory 憑證登入AWS管理主控台和AWS命令列介面 (AWSCLI) 的存取權。這可讓您的使用者在登入時擔任其中一個指派的角色,並根據角色定義的許可來存取資源並對其採取動作。另一種選擇是使用 AWS Managed Microsoft AD,讓您的使用者擔任 AWS Identity and Access Management
(IAM) 角色。
IAM 身分中心
AWS SRA 使用 IAM Identity Center 支援的委派管理員功能,將 IAM Identity Center 的大部分管理委派給共用服務帳戶。這有助於限制需要存取組織管理帳戶的使用者數量。 IAM仍需要在組織管理帳戶中啟用身分中心,才能執行特定任務,包括管理在組織管理帳戶中佈建的許可集。
使用 Shared Services 帳戶做為 IAM Identity Center 委派管理員的主要原因是 Active Directory 位置。如果您計劃使用 Active Directory 做為IAM身分中心身分來源,則需要在已指定為IAM身分中心委派管理員帳戶的成員帳戶中尋找目錄。在 AWS 中SRA,共用服務帳戶託管 AWS Managed Microsoft AD,以便將帳戶設為 IAM Identity Center 的委派管理員。
IAM Identity Center 支援一次性註冊單一成員帳戶做為委派管理員。只有在使用來自 管理帳戶的登入資料登入時,才能註冊成員帳戶。若要啟用委派,您必須考慮 IAM Identity Center 文件中列出的先決條件。委派的管理員帳戶可以執行大部分IAM的 Identity Center 管理任務,但有一些限制會列在 IAM Identity Center 文件中。應嚴格控制對 IAM Identity Center 委派管理員帳戶的存取。
設計考量
-
如果您決定將 IAM Identity Center 身分來源從任何其他來源變更為 Active Directory,或從 Active Directory 變更為任何其他來源,則目錄必須位於 (由 擁有) IAM Identity Center 委派管理員成員帳戶,如果有的話;否則,必須位於管理帳戶中。
-
您可以在VPC不同帳戶中的專用 中託管 AWS Managed Microsoft AD,然後使用 AWS Resource Access Manager (AWSRAM) 將這個其他帳戶的子網路共用到委派的管理員帳戶。如此一來,AWS受管 Microsoft AD 執行個體就會在委派的管理員帳戶中受控制,但從網路角度來看,它就像是在VPC另一個帳戶的 中部署一樣。當您有多個 AWS Managed Microsoft AD 執行個體,而且您想要將它們部署到工作負載執行所在的本機,但透過一個帳戶集中管理它們時,這會很有幫助。
-
如果您有執行定期身分和存取管理活動的專用身分團隊,或具有嚴格的安全要求,可將身分管理功能與其他共用服務功能分開,您可以託管專用AWS帳戶以進行身分管理。在此案例中,您將此帳戶指定為 IAM Identity Center 的委派管理員,同時也託管您的 AWS Managed Microsoft AD 目錄。您可以在單一共用服務帳戶中使用精細的IAM許可,在身分管理工作負載和其他共用服務工作負載之間達成相同層級的邏輯隔離。
-
IAM Identity Center 目前不提供多區域支援。(若要在不同區域中啟用 IAM Identity Center,您必須先刪除目前的 IAM Identity Center 組態。) 此外,它不支援將不同的身分來源用於不同的帳戶集,或讓您將許可管理委派給組織的不同部分 (即多個委派管理員) 或不同的管理員群組。如果您需要任何這些功能,您可以使用IAM聯合來管理 外部身分提供者 (IdP) 內的使用者身分,AWS並授予這些外部使用者身分許可,以使用您帳戶中AWS的資源。 IdPs IAM支援與 OpenID Connect (OIDC)
或 SAML 2.0 相容。最佳實務是使用 SAML 2.0 聯合與第三方身分提供者,例如 Active Directory Federation Service (AD FS)、Okta、Azure Active Directory (Azure AD) 或 Ping Identity,以提供單一登入功能,讓使用者登入 AWS 管理主控台或呼叫 AWS API 操作。如需IAM聯合和身分提供者的詳細資訊,請參閱 IAM 文件和聯合身分研討會中的關於以 SAML 2.0 為基礎的聯合。 AWS
