本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
基础架构 OU — 共享服务账户
| 通过进行简短的调查 |
下图说明了在共享服务帐户中配置AWS的安全服务。
共享服务账户是基础设施 OU 的一部分,其目的是支持多个应用程序和团队用来交付成果的服务。例如,目录服务(Active Directory)、邮件服务和元数据服务属于此类别。AWSSRA重点介绍了支持安全控制的共享服务。尽管网络帐户也是基础架构 OU 的一部分,但为了支持职责分离,它们已从共享服务帐户中删除。管理这些服务的团队不需要网络账户的权限或访问权限。
AWSSystems Manager
AWSSystems Manager
Systems Manager 通过扫描您的托管实例并报告(或采取纠正措施)它检测到的任何违反策略的情况来帮助您努力维护安全与合规性。通过将 Systems Manager 与个人成员AWS账户(例如应用程序账户)中的适当部署配对,您可以协调实例清单数据收集并集中自动化,例如修补和安全更新。
AWS Managed Microsoft AD
AWSMicrosoft Active Directory 的@@ 目录服务
AWS托管 Microsoft AD 可帮助您将现有的活动目录扩展到云资源,AWS并使用现有的本地用户凭据来访问云资源。您还可以管理本地用户、群组、应用程序和系统,而无需复杂地运行和维护本地、高度可用的 Active Directory。你可以将现有的计算机、笔记本电脑和打印机加入AWS托管 Microsoft AD 域中。
AWS托管 Microsoft AD 建立在 Microsoft Active Directory 之上,不需要你将现有活动目录中的数据同步或复制到云端。您可以使用熟悉的 Active Directory 管理工具和功能,例如组策略对象 (GPOs)、域信任、精细密码策略、群组托管服务帐户 (gMSAs)、架构扩展和基于 Kerberos 的单点登录。您还可以使用 Active Directory 安全组委派管理任务和授权访问权限。
多区域复制使您能够跨多个AWS区域部署和使用单个AWS托管 Microsoft AD 目录。这使你能够更轻松、更具成本效益地在全球部署和管理微软 Windows 和 Linux 工作负载。当您使用自动多区域复制功能时,您可以获得更高的弹性,而您的应用程序则使用本地目录来实现最佳性能。
AWS托管 Microsoft AD 在客户端和服务器角色中都支持通过SSL/TLS(也称为 LDAPLDAPS)的轻量级目录访问协议 ()。当用作服务器时,Microsoft AD AWS 托LDAPS管支持通过端口 636 (SSL) 和 389 (TLS)。通过在AWS托管 Microsoft AD 域控制器上安装来自AWS基于 Active Directory 证书服务 (AD CS) 的证书颁发机构 (CA) 的证书,可以启用服务器端LDAPS通信。作为客户端时,Microsoft AD AWS 托LDAPS管支持通过端口 636 (SSL)。您可以启用客户端LDAPS通信,方法是将服务器证书颁发机构的 CA 证书注册到AWS,然后LDAPS在您的目录中启用。
在中 AWSSRA,AWSDirectory Service 在共享服务账户中用于为多个AWS成员账户中具有 Microsoft 感知能力的工作负载提供域服务。
设计注意事项
-
您可以使用IAM身份中心并选择AWS托管 Microsoft AD 作为身份源,向本地 Active Directory 用户授予使用其现有 Active Directory 凭据登录AWS管理控制台和AWS命令行界面 (AWSCLI) 的访问权限。这样,您的用户就可以在登录时扮演分配给他们的角色之一,并根据为该角色定义的权限访问资源并对其执行操作。另一种选择是使用AWS托管 Microsoft AD 让你的用户能够扮演AWS身份和访问管理
(IAM) 角色。
IAM身份中心
AWSSRA使用 Identity Center 支持的委派管理员功能将IAM身份中心的大部分管理权IAM委托给 Shared Services 账户。这有助于限制需要访问组织管理账户的用户数量。IAM仍然需要在组织管理账户中启用 Identity Center 才能执行某些任务,包括管理在组织管理账户中配置的权限集。
使用 Shared Services 帐户作为IAM身份中心的委派管理员的主要原因是 Active Directory 位置。如果您计划使用 Active Directory 作为IAM身份中心身份源,则需要在已指定为 Ident IAM ity Center 委托管理员帐户的成员账户中找到该目录。在中 AWSSRA,共享服务帐户AWS托管托管 Microsoft AD,因此该帐户成为IAM身份中心的委托管理员。
IAMIdentity Center 支持将单个成员账户同时注册为委托管理员。只有使用管理账户的凭据登录后,才能注册成员账户。要启用委托,您必须考虑IAM身份中心文档中列出的先决条件。委派的管理员帐户可以执行大多数 Ident IAM ity Center 管理任务,但有一些限制,这些限制在 Ident IAMity Center 文档中列出。应严格控制对 IAM Identity Center 委托管理员帐户的访问权限。
设计注意事项
-
如果您决定将 Identity Center IAM 身份源从任何其他来源更改为 Active Directory,或者将其从 Active Directory 更改为任何其他来源,则该目录必须位于IAM身份中心委托的管理员成员帐户(如果存在)中(归其所有);否则,它必须位于管理帐户中。
-
您可以将AWS托管的 Microsoft AD 托管VPC在不同的专用帐户中,然后使用 R es AWS ource Access Manager (AWSRAM) 将该其他账户的子网共享给委派的管理员帐户。这样,Microsoft AD AWS 托管实例就可以在委派的管理员帐户中进行控制,但从网络的角度来看,它的行为就像部署在VPC另一个账户中一样。如果您有多个 Microsoft AD AWS 托管实例,并且想要将它们部署到工作负载运行的本地位置,但要通过一个帐户集中管理这些实例,这会很有用。
-
如果您有专门的身份团队负责定期执行身份和访问管理活动,或者有严格的安全要求将身份管理功能与其他共享服务功能区分开来,则可以托管一个用于身份管理的专用AWS帐户。在这种情况下,您将此帐户指定为IAM身份中心的委派管理员,它还托AWS管您的托管 Microsoft AD 目录。通过在单个共享服务账户中使用精细IAM权限,可以在身份管理工作负载与其他共享服务工作负载之间实现相同级别的逻辑隔离。
-
IAMIdentity Center 目前不提供多区域支持。(要在其他区域启用 Ident IAM ity Center,必须先删除当前的IAM身份中心配置。) 此外,它不支持对不同的账户集使用不同的身份源,也不允许您将权限管理委托给组织的不同部分(即多个委派的管理员)或不同的管理员组。如果您需要这些功能中的任何一项,则可以使用IAM联合功能在外部的身份提供商 (IdP) 内管理您的用户身份,AWS并授予这些外部用户身份使用您账户中的AWS资源的权限。IAM与 OpenID Connect (OIDC)
或 SAML 2.0 兼容的支持 IdPs 。最佳实践是,使用与第三方身份提供商(例如活动目录联合身份验证服务 (AD FS)、Okta、Azure Active Directory (Azure AD) 或 Ping 身份)的 SAML 2.0 联合,为用户提供登录AWS管理控制台或调用AWSAPI操作的单点登录功能。有关IAM联合身份验证和身份提供商的更多信息,请参阅IAM文档和身份联合研讨会中的关于SAML基于 2.0 的联AWS合 。
