本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Infrastructure OU - 共用服務帳戶
| 進行簡短的問卷 |
下圖說明在 Shared Services 帳戶中設定的 AWS 安全服務。
Shared Services 帳戶是基礎設施 OU 的一部分,其目的是支援多個應用程式和團隊用來交付其成果的服務。例如,目錄服務 (Active Directory)、簡訊服務和中繼資料服務都屬於此類別。AWS SRA 會反白顯示支援安全控制的共用服務。雖然網路帳戶也是基礎設施 OU 的一部分,但它們會從共用服務帳戶中移除,以支援職責分離。將管理這些服務的團隊不需要網路帳戶的許可或存取權。
AWS Systems Manager
AWS Systems Manager
Systems Manager 會掃描受管執行個體,並針對偵測到的任何政策違規進行報告 (或採取修正動作),以協助您維護安全性和合規性。透過將 Systems Manager 與個別成員 AWS 帳戶 (例如應用程式帳戶) 的適當部署配對,您可以協調執行個體庫存資料收集,並集中自動化,例如修補和安全更新。
AWS 受管 Microsoft AD
AWS Directory Service
AWS Managed Microsoft AD 可協助您將現有的 Active Directory 擴展至 AWS,並使用現有的現場部署使用者登入資料來存取雲端資源。您也可以管理您的現場部署使用者、群組、應用程式和系統,而不必複雜的操作和維護現場部署、高可用性的 Active Directory。您可以將現有的電腦、筆記型電腦和印表機加入 AWS Managed Microsoft AD 網域。
AWS Managed Microsoft AD 是以 Microsoft Active Directory 為基礎,不需要您將現有 Active Directory 的資料同步或複寫至雲端。您可以使用熟悉的 Active Directory 管理工具和功能,例如群組政策物件 (GPOs)、網域信任、精細密碼政策、群組受管服務帳戶 (gMSAs)、結構描述延伸和 Kerberos 型單一登入。您也可以委派管理任務,並使用 Active Directory 安全群組授權存取。
多區域複寫可讓您跨多個 AWS 區域部署和使用單一 AWS Managed Microsoft AD 目錄。這可讓您更輕鬆且更具成本效益地在全球部署和管理 Microsoft Windows 和 Linux 工作負載。當您使用自動多區域複寫功能時,您會在應用程式使用本機目錄來獲得最佳效能時獲得更高的彈性。
AWS Managed Microsoft AD 透過 SSL/TLS 支援輕量型目錄存取通訊協定 (LDAP),也稱為 LDAPS,適用於用戶端和伺服器角色。做為伺服器時,AWS Managed Microsoft AD 透過連接埠 636 (SSL) 和 389 (TLS) 支援 LDAPS。您可以透過從 AWS 型 Active Directory Certificate Services (AD CS) 憑證授權機構 (CA) 在 AWS Managed Microsoft AD 網域控制站上安裝憑證來啟用伺服器端 LDAPS 通訊。做為用戶端時,AWS Managed Microsoft AD 透過連接埠 636 (SSL) 支援 LDAPS。您可以將伺服器憑證發行者的 CA 憑證註冊到 AWS,然後在目錄中啟用 LDAPS,以啟用用戶端 LDAPS 通訊。
在 AWS SRA 中,AWS Directory Service 會在共用服務帳戶中使用,為多個 AWS 成員帳戶的 Microsoft 感知工作負載提供網域服務。
設計考量事項
-
您可以使用 IAM Identity Center 並選擇 AWS Managed Microsoft AD 作為身分來源,授予現場部署 Active Directory 使用者使用其現有 Active Directory 憑證登入 AWS 管理主控台和 AWS 命令列界面 (AWS CLI) 的存取權。這可讓您的使用者在登入時擔任其中一個指派的角色,並根據角色定義的許可來存取資源並對其採取動作。另一種選擇是使用 AWS Managed Microsoft AD,讓您的使用者擔任 AWS Identity and Access Management
(IAM) 角色。
IAM Identity Center
AWS SRA 使用 IAM Identity Center 支援的委派管理員功能,將大部分 IAM Identity Center 管理委派給 Shared Services 帳戶。這有助於限制需要存取 Org Management 帳戶的使用者數量。IAM Identity Center 仍需要在 Org Management 帳戶中啟用,才能執行特定任務,包括管理在 Org Management 帳戶中佈建的許可集。
使用 Shared Services 帳戶做為 IAM Identity Center 委派管理員的主要原因是 Active Directory 位置。如果您打算使用 Active Directory 做為 IAM Identity Center 身分來源,則需要在您指定為 IAM Identity Center 委派管理員帳戶的成員帳戶中尋找目錄。在 AWS SRA 中,共用服務帳戶託管 AWS Managed Microsoft AD,因此帳戶會成為 IAM Identity Center 的委派管理員。
IAM Identity Center 支援一次將單一成員帳戶註冊為委派管理員。只有在您從 管理帳戶使用登入資料登入時,才能註冊成員帳戶。若要啟用委派,您必須考慮 IAM Identity Center 文件中列出的先決條件。委派的管理員帳戶可以執行大多數 IAM Identity Center 管理任務,但有一些限制,這些限制會列在 IAM Identity Center 文件中。對 IAM Identity Center 委派管理員帳戶的存取應受到嚴格控制。
設計考量
-
如果您決定將 IAM Identity Center 身分來源從任何其他來源變更為 Active Directory,或從 Active Directory 變更為任何其他來源,則目錄必須位於 IAM Identity Center 委派管理員成員帳戶 (由其擁有),如果有的話;否則,必須位於管理帳戶中。
-
您可以在不同帳戶中的專用 VPC 中託管 AWS Managed Microsoft AD,然後使用 AWS Resource Access Manager (AWS RAM) 將這個其他帳戶的子網路共用到委派的管理員帳戶。如此一來,委派管理員帳戶中會控制 AWS Managed Microsoft AD 執行個體,但從網路的角度來看,它就如同在另一個帳戶的 VPC 中部署一樣。當您有多個 AWS Managed Microsoft AD 執行個體,而且您想要將它們部署到本機工作負載執行的位置,但透過一個帳戶集中管理它們時,這會很有幫助。
-
如果您有執行定期身分和存取管理活動的專用身分團隊,或具有嚴格的安全要求,可將身分管理功能與其他共用服務功能分開,則可以託管專用 AWS 帳戶以進行身分管理。在此案例中,您將此帳戶指定為 IAM Identity Center 的委派管理員,它也會託管您的 AWS Managed Microsoft AD 目錄。您可以在單一共用服務帳戶中使用精細的 IAM 許可,在身分管理工作負載和其他共用服務工作負載之間達成相同層級的邏輯隔離。
-
IAM Identity Center 目前不提供多區域支援。(若要在不同區域中啟用 IAM Identity Center,您必須先刪除目前的 IAM Identity Center 組態。) 此外,它不支援將不同的身分來源用於不同的帳戶集,或讓您將許可管理委派給組織的不同部分 (即多個委派管理員) 或不同的管理員群組。如果您需要任何這些功能,您可以使用 IAM 聯合來管理 AWS 外部身分提供者 (IdP) 內的使用者身分,並授予這些外部使用者身分許可,以使用您帳戶中的 AWS 資源。IAM 支援與 OpenID Connect (OIDC)
或 SAML 2.0 相容的 IdPs。最佳實務是,使用 SAML 2.0 聯合與第三方身分提供者,例如 Active Directory Federation Service (AD FS)、Okta、Azure Active Directory (Azure AD) 或 Ping Identity,以提供單一登入功能,讓使用者登入 AWS 管理主控台或呼叫 AWS API 操作。如需 IAM 聯合和身分提供者的詳細資訊,請參閱 IAM 文件和 AWS Identity Federation 研討會 中的關於 SAML 2.0 型聯合。
