Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Infrastruttura organizzativa — account Shared Services
| Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio |
Il diagramma seguente illustra i servizi AWS di sicurezza configurati nell'account Shared Services.
L'account Shared Services fa parte dell'unità organizzativa dell'infrastruttura e il suo scopo è supportare i servizi utilizzati da più applicazioni e team per fornire i propri risultati. Ad esempio, i servizi di directory (Active Directory), i servizi di messaggistica e i servizi di metadati rientrano in questa categoria. I AWS SRA punti salienti sono i servizi condivisi che supportano i controlli di sicurezza. Sebbene gli account di rete facciano anche parte dell'unità organizzativa dell'infrastruttura, vengono rimossi dall'account Shared Services per supportare la separazione delle funzioni. I team che gestiranno questi servizi non necessitano di autorizzazioni o accesso agli account di rete.
AWS Systems Manager
AWSSystems Manager
Systems Manager ti aiuta a mantenere la sicurezza e la conformità scansionando le istanze gestite e segnalando (o adottando azioni correttive) su eventuali violazioni delle policy rilevate. Associando Systems Manager alla distribuzione appropriata nei singoli AWS account membro (ad esempio, l'account Application), è possibile coordinare la raccolta dei dati di inventario delle istanze e centralizzare l'automazione come l'applicazione di patch e aggiornamenti di sicurezza.
Microsoft AD gestito da AWS
AWSDirectory Service
AWSMicrosoft AD gestito consente di estendere l'Active Directory esistente AWS e di utilizzare le credenziali utente locali esistenti per accedere alle risorse cloud. Puoi anche amministrare utenti, gruppi, applicazioni e sistemi locali senza la complessità dell'esecuzione e della manutenzione di un Active Directory locale ad alta disponibilità. È possibile aggiungere computer, laptop e stampanti esistenti a un dominio AWS Microsoft AD gestito.
AWSManaged Microsoft AD è basato su Microsoft Active Directory e non richiede la sincronizzazione o la replica dei dati dall'Active Directory esistente al cloud. Puoi utilizzare strumenti e funzionalità di amministrazione familiari di Active Directory, come Group Policy Objects (GPOs), domain trust, policy granulari in materia di password, Managed Service Account di gruppo (gMSAs), estensioni dello schema e Single Sign-On basato su Kerberos. È inoltre possibile delegare attività amministrative e autorizzare l'accesso utilizzando i gruppi di sicurezza di Active Directory.
La replica multiregione consente di distribuire e utilizzare una singola directory AWS Microsoft AD gestita in più regioni. AWS In questo modo è più semplice ed economico distribuire e gestire i carichi di lavoro Microsoft Windows e Linux a livello globale. Quando si utilizza la funzionalità di replica automatizzata in più regioni, si ottiene una maggiore resilienza mentre le applicazioni utilizzano una directory locale per prestazioni ottimali.
AWSMicrosoft AD gestito supporta Lightweight Directory Access Protocol (LDAP) suSSL/TLSLDAPS, noto anche come, nei ruoli client e server. Quando funge da server, AWS Managed Microsoft AD supporta LDAPS oltre le porte 636 (SSL) e 389 (TLS). È possibile abilitare LDAPS le comunicazioni lato server installando un certificato sui controller di dominio AWS Microsoft AD gestiti da un'autorità di certificazione (CA) Active Directory Certificate Services (AD CS) AWS basata su Active Directory. Quando funge da client, AWS Managed Microsoft AD supporta LDAPS oltre le porte 636 (SSL). È possibile abilitare LDAPS le comunicazioni lato client registrando i certificati CA degli emittenti dei certificati del server nella directory e quindi AWS abilitandoli nella directory. LDAPS
In AWSSRA, AWS Directory Service viene utilizzato all'interno dell'account Shared Services per fornire servizi di dominio per carichi di lavoro compatibili con Microsoft su più account membri. AWS
Considerazione di natura progettuale
-
Puoi concedere agli utenti di Active Directory locali l'accesso alla Console di AWS gestione e all'interfaccia a riga di AWS comando (AWSCLI) con le loro credenziali Active Directory esistenti utilizzando IAM Identity Center e selezionando AWS Managed Microsoft AD come origine dell'identità. Ciò consente agli utenti di assumere uno dei ruoli loro assegnati al momento dell'accesso e di accedere alle risorse e agire sulle risorse in base alle autorizzazioni definite per il ruolo. Un'opzione alternativa consiste nell'utilizzare AWS Managed Microsoft AD per consentire agli utenti di assumere un ruolo AWSIdentity and Access Management
(IAM).
IAMIdentity Center
AWSSRAUtilizza la funzionalità di amministratore delegato supportata da IAM Identity Center per delegare la maggior parte dell'amministrazione di IAM Identity Center all'account Shared Services. Ciò consente di limitare il numero di utenti che richiedono l'accesso all'account di gestione dell'organizzazione. IAMIdentity Center deve comunque essere abilitato nell'account di gestione dell'organizzazione per eseguire determinate attività, inclusa la gestione dei set di autorizzazioni forniti all'interno dell'account di gestione dell'organizzazione.
Il motivo principale per utilizzare l'account Shared Services come amministratore delegato per IAM Identity Center è la posizione di Active Directory. Se prevedi di utilizzare Active Directory come fonte di identità dell'Identity Center, dovrai individuare la directory nell'account membro che hai designato come account amministratore delegato di IAM Identity Center. IAM In AWSSRA, l'account Shared Services ospita AWS Managed Microsoft AD, quindi tale account diventa amministratore delegato per IAM Identity Center.
IAMIdentity Center supporta la registrazione di un singolo account membro come amministratore delegato contemporaneamente. È possibile registrare un account membro solo quando si accede con le credenziali dell'account di gestione. Per abilitare la delega, è necessario considerare i prerequisiti elencati nella documentazione dell'IAMIdentity Center. L'account amministratore delegato può eseguire la maggior parte delle attività di gestione IAM dell'Identity Center, ma con alcune restrizioni, elencate nella documentazione di IAMIdentity Center. L'accesso all'account amministratore delegato di IAM Identity Center deve essere strettamente controllato.
Considerazioni di natura progettuale
-
Se si decide di modificare l'origine IAM dell'identità di Identity Center da qualsiasi altra fonte ad Active Directory o di cambiarla da Active Directory a qualsiasi altra fonte, la directory deve risiedere nell'account membro amministratore delegato di IAM Identity Center, se esistente; in caso contrario, deve trovarsi nell'account di gestione.
-
Puoi ospitare il tuo AWS Managed Microsoft AD all'interno di un account dedicato VPC in un altro account e quindi utilizzare AWSResource Access Manager (AWSRAM) per condividere le sottoreti da quest'altro account all'account amministratore delegato. In questo modo, l'istanza AWS Managed Microsoft AD è controllata nell'account amministratore delegato, ma dal punto di vista della rete si comporta come se fosse distribuita in un altro account. VPC Ciò è utile quando si dispone di più istanze di Microsoft AD AWS gestite e si desidera distribuirle localmente dove è in esecuzione il carico di lavoro, ma gestirle centralmente tramite un unico account.
-
Se disponi di un team dedicato alle identità che svolge regolarmente attività di gestione delle identità e degli accessi o hai requisiti di sicurezza rigorosi per separare le funzioni di gestione delle identità dalle altre funzioni dei servizi condivisi, puoi ospitare un AWS account dedicato per la gestione delle identità. In questo scenario, si designa questo account come amministratore delegato per IAM Identity Center e ospita anche la directory Managed AWS Microsoft AD. È possibile ottenere lo stesso livello di isolamento logico tra i carichi di lavoro di gestione delle identità e altri carichi di lavoro di servizi condivisi utilizzando IAM autorizzazioni granulari all'interno di un singolo account di servizio condiviso.
-
IAMAl momento Identity Center non fornisce supporto multiregionale. (Per abilitare IAM Identity Center in un'altra regione, devi prima eliminare la configurazione corrente di IAM Identity Center.) Inoltre, non supporta l'uso di diverse fonti di identità per diversi set di account né consente di delegare la gestione delle autorizzazioni a diverse parti dell'organizzazione (ovvero più amministratori delegati) o a diversi gruppi di amministratori. Se hai bisogno di una di queste funzionalità, puoi utilizzare la IAMfederazione per gestire le tue identità utente all'interno di un provider di identità (IdP) esterno e concedere a queste identità utente esterne l'autorizzazione a AWS utilizzare le risorse AWS del tuo account. IAM IdPs supporti compatibili con OpenID Connect (OIDC) o SAML 2.0
. Come best practice, usa la federazione SAML 2.0 con provider di identità di terze parti come Active Directory Federation Service (AD FS), Okta, Azure Active Directory (Azure AD) o Ping Identity per fornire funzionalità Single Sign-On agli utenti per accedere alla Console di AWS gestione o effettuare chiamate operative. AWS API Per ulteriori informazioni sulla IAM federazione e sui provider di identità, vedere Informazioni sulla federazione SAMLbasata su 2.0 nella IAM documentazione e nei workshop sulla federazione delle identità. AWS
