本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
基礎結構 OU — 共用服務帳戶
| 通過進行簡短的調查 |
下圖說明共用服務帳戶中設定的 AWS 安全服務。
共用服務帳戶是基礎結構 OU 的一部分,其目的是支援多個應用程式和團隊用來交付成果的服務。例如,目錄服務 (Active Directory)、訊息服務和中繼資料服務都屬於此類別。AWS SRA 強調支援安全控制的共用服務。雖然網路帳戶也是基礎結構 OU 的一部分,但它們會從共用服務帳戶中移除,以支援職責分離。管理這些服務的團隊不需要網路帳戶的權限或存取權。
AWS Systems Manager
AWS Systems Manager
Systems Manager 會掃描您的代管執行個體,並針對偵測到的任何原則違規報告 (或採取修正措施),協助您維護安全性與合規性。透過將 Systems Manager 與個別成員 AWS 帳戶 (例如應用程式帳戶) 中的適當部署配對,您可以協調執行個體庫存資料收集,並集中自動化,例如修補和安全更新。
AWS 管理 Microsoft AD
適用於 Microsoft 活動目錄的 AWS Directory Service
AWS 受管 Microsoft AD 可協助您將現有的 Active Directory 延伸到 AWS,並使用現有的現場部署使用者登入資料存取雲端資源。您也可以管理內部部署使用者、群組、應用程式和系統,而不必複雜地執行及維護內部部署、高可用性 Active Directory。您可以將現有的電腦、筆記型電腦和印表機加入 AWS 受管 Microsoft AD 網域。
AWS 受管 Microsoft AD 是建立在 Microsoft 活動目錄之上,不需要您將現有活動目錄中的數據同步或複寫到雲端。您可以使用熟悉的 Active Directory 系統管理工具和功能,例如群組原則物件 (GPO)、網域信任、精細的密碼原則、群組受管理的服務帳戶 (gMSAs A)、結構描述延伸,以及 Kerberos 型單一登入。您也可以委派系統管理工作,並使用 Active Directory 安全性群組授權存取權。
多區域複寫可讓您跨多個 AWS 區域部署和使用單一 AWS 受管 Microsoft AD 目錄。如此一來,您可以更輕鬆、更符合成本效益,在全球範圍內部署和管理您的 Microsoft Windows 和 Linux 工作負載。當您使用自動化的多區域複寫功能時,您可以獲得更高的復原能力,而您的應用程式則使用本機目錄以獲得最佳效能。
AWS 受管 Microsoft AD 在用戶端和伺服器角色中都支援透過 SSL/TLS 的輕量型目錄存取通訊協定 (LDAP),也稱為 LDAPS。當作為伺服器使用時,AWS 受管 Microsoft AD 支援透過連接埠 636 (SSL) 和 389 (TLS) 進行 LDAPS。您可以從 AWS 的使用中目錄憑證服務 (AD CS) 憑證授權單位 (CA) 在 AWS 受管的 Microsoft AD 網域控制站上安裝憑證,以啟用伺服器端 LDAPS 通訊。當作為用戶端時,AWS 受管 Microsoft AD 支援透過連接埠 636 (SSL) 的 LDAPS。您可以透過將伺服器憑證簽發者的 CA 憑證註冊到 AWS,然後在目錄上啟用 LDAPS,以啟用用戶端 LDAPS 通訊。
在 AWS SRA 中,共用服務帳戶內會使用 AWS Directory Service,為跨多個 AWS 成員帳戶的 Microsoft 感知工作負載提供網域服務。
設計考量
-
您可以使用 IAM 身分中心並選取 AWS 受管 Microsoft AD 作為身分來源,授予現場部署活動目錄使用者存取權限,以使用現有的作用中目錄登入資料登入 AWS 管理主控台和 AWS Command Line Interface (AWS CLI) (AWS CLI)。這可讓您的使用者在登入時擔任其中一個指派的角色,並根據為角色定義的權限存取資源並對資源採取動作。另一個選項是使用 AWS 受管 Microsoft AD,讓您的使用者能夠擔任 AWS Identity and Access Management
(IAM) 角色。
IAM Identity Center
AWS SRA 使用 IAM 身分中心支援的委派管理員功能,將 IAM 身分中心的大部分管理委派給共享服務帳戶。這有助於限制需要存取「組織管理」帳戶的使用者人數。您仍需要在組織管理帳戶中啟用 IAM 身分中心,才能執行特定工作,包括管理組織管理帳戶內佈建的權限集。
使用共用服務帳戶做為 IAM 身分識別中心委派系統管理員的主要原因是 Active Directory 位置。如果您打算使用 Active Directory 做為 IAM 身分中心身分識別來源,則需要在您指定為 IAM 身分中心委派的系統管理員帳戶的成員帳戶中找到目錄。在 AWS SRA 中,共享服務帳戶託管 AWS 受管 Microsoft AD,因此該帳戶成為 IAM 身分中心的委派管理員。
IAM 身分中心支援一次將單一成員帳戶註冊為委派管理員。只有當您使用管理帳戶的憑證登入時,才能註冊會員帳戶。若要啟用委派,您必須考慮 IAM 身分中心文件中列出的先決條件。委派的管理員帳戶可以執行大部分的 IAM 身分中心管理工作,但有一些限制,列於 IAM 身分中心說明文件中。對 IAM 身分中心委派管理員帳戶的存取權應受到嚴格控制。
設計考量
-
如果您決定將 IAM 身分中心身分識別來源從任何其他來源變更為 Active Directory,或將其從 Active Directory 變更為任何其他來源,則該目錄必須位於 (由) IAM 身分中心委派的管理員成員帳戶 (如果有的話);否則,它必須位於管理帳戶中。
-
您可以在不同帳戶的專用 VPC 中託管 AWS 受管 Microsoft AD,然後使用 AWS Resource Access Manager 員 (AWS RAM) 將這個其他帳戶的子網路共用到委派的管理員帳戶。如此一來,AWS 受管 Microsoft AD 執行個體會在委派的管理員帳戶中進行控制,但從網路角度來看,它的作用就像是部署在另一個帳戶的 VPC 中一樣。如果您有多個 AWS 受管 Microsoft AD 執行個體,而且想要將它們部署到工作負載執行的本機位置,但是透過一個帳戶集中管理,這會很有幫助。
-
如果您有專屬的身分團隊執行定期身分和存取管理活動,或者有嚴格的安全要求,將身分管理功能與其他共用服務功能區分開來,您可以託管專用的 AWS 帳戶進行身分管理。在這個案例中,您可以將此帳戶指定為 IAM 身分中心的委派管理員,而且該帳戶也會託管您的 AWS 受管 Microsoft AD 目錄。您可以在單一共用服務帳戶中使用精細的 IAM 許可,在身分管理工作負載與其他共用服務工作負載之間達到相同層級的邏輯隔離。
-
IAM 身分中心目前不提供多區域支援。若要在不同區域中啟用 IAM 身分中心,您必須先刪除目前的 IAM 身分中心組態。) 此外,它不支援針對不同的帳戶集使用不同的身分識別來源,也不允許您將權限管理委派給組織的不同部分 (也就是多個委派系統管理員) 或不同的系統管理員群組。如果您需要這些功能中的任何一項,您可以使用 IAM 聯合來管理 AWS 以外的身分供應商 (IdP) 內的使用者身分,並授予這些外部使用者身分使用您帳戶中的 AWS 資源的權限。與 OpenID Connect (OIDC)
或 SAML 2.0 相容的 IAM 支援 IdPs 。最佳做法是使用 SAML 2.0 與第三方身分提供者 (例如作用中目錄聯合服務 (AD FS)、Okta、Azure 作用中目錄 (Azure AD) 或 Ping 身分識別等第三方身分提供者的聯合,為使用者提供單一登入功能,以便登入 AWS 管理主控台或呼叫 AWS API 操作。如需 IAM 聯合和身分提供者的詳細資訊,請參閱 IAM 文件中的關於 SAML 2.0 聯合和 AWS Identity 聯合 研討會。
