Infrastructure OU — Compte Shared Services - AWS Conseils prescriptifs
AWS Systems ManagerAWS Managed Microsoft ADIAM Identity Center

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Infrastructure OU — Compte Shared Services

Influencez le futur de l'architecture de référence de AWS sécurité (AWS SRA) en répondant à une courte enquête.

Le schéma suivant illustre les services AWS de sécurité configurés dans le compte Shared Services.

Services de sécurité pour le compte Shared Services.

Le compte Shared Services fait partie de l'unité d'organisation de l'infrastructure et son objectif est de prendre en charge les services utilisés par de nombreuses applications et équipes pour obtenir leurs résultats. Par exemple, les services d'annuaire (Active Directory), les services de messagerie et les services de métadonnées entrent dans cette catégorie. La AWS SRA met en avant les services partagés qui prennent en charge les contrôles de sécurité. Bien que les comptes réseau fassent également partie de l'unité d'organisation d'infrastructure, ils sont supprimés du compte Shared Services pour faciliter la séparation des tâches. Les équipes chargées de gérer ces services n'ont pas besoin d'autorisations ni d'accès aux comptes du réseau.

AWS Systems Manager

AWS Systems Manager(qui est également inclus dans le compte de gestion de l'organisation et dans le compte de l'application) fournit un ensemble de fonctionnalités qui permettent la visibilité et le contrôle de vos AWS ressources. L'une de ces fonctionnalités, Systems Manager Explorer, est un tableau de bord des opérations personnalisable qui fournit des informations sur vos AWS ressources. Vous pouvez synchroniser les données d'exploitation de tous les comptes de votre AWS organisation à l'aide AWS Organizations de Systems Manager Explorer. Systems Manager est déployé dans le compte Shared Services via la fonctionnalité d'administrateur délégué dans AWS Organizations.

Systems Manager vous aide à maintenir la sécurité et la conformité en scannant vos instances gérées et en signalant (ou en prenant des mesures correctives) les violations des politiques détectées. En associant Systems Manager aux déploiements appropriés chez chaque membre Comptes AWS (par exemple, le compte d'application), vous pouvez coordonner la collecte des données d'inventaire des instances et centraliser les automatisations telles que l'application de correctifs et les mises à jour de sécurité.

AWS Managed Microsoft AD

AWS Directory Service for Microsoft Active Directory, également connu sous le nom de AWS Managed Microsoft AD, permet à vos charges de travail et à vos AWS ressources sensibles aux annuaires d'utiliser Active Directory géré sur. AWS Vous pouvez associer des instances Amazon EC2 pour Windows Server, Amazon EC2 pour Linux et Amazon RDS for SQL Server à votre domaine, et AWS utiliser des services informatiques pour utilisateurs finaux (EUC), tels qu' WorkSpacesAmazon, avec des utilisateurs et des groupes Active Directory. AWS Managed Microsoft AD

AWS Managed Microsoft AD vous permet d'étendre votre Active Directory existant AWS et d'utiliser vos informations d'identification utilisateur locales existantes pour accéder aux ressources du cloud. Vous pouvez également administrer vos utilisateurs, groupes, applications et systèmes locaux sans la complexité liée à l'exécution et à la maintenance d'un Active Directory hautement disponible sur site. Vous pouvez associer vos ordinateurs, ordinateurs portables et imprimantes existants à un AWS Managed Microsoft AD domaine.

AWS Managed Microsoft AD repose sur Microsoft Active Directory et ne vous oblige pas à synchroniser ou à répliquer les données de votre Active Directory existant vers le cloud. Vous pouvez utiliser les outils et fonctionnalités d'administration Active Directory habituels, tels que les objets de stratégie de groupe (GPOs), les approbations de domaine, les politiques de mot de passe détaillées, les comptes de services gérés de groupe (gMSAs), les extensions de schéma et l'authentification unique basée sur Kerberos. Vous pouvez également déléguer des tâches administratives et autoriser l'accès à l'aide des groupes de sécurité Active Directory.

La réplication multirégionale vous permet de déployer et d'utiliser un seul AWS Managed Microsoft AD répertoire sur plusieurs Régions AWS. Cela vous permet de déployer et de gérer plus facilement et à moindre coût vos charges de travail Microsoft Windows et Linux dans le monde entier. Lorsque vous utilisez la fonctionnalité de réplication multirégionale automatisée, vous bénéficiez d'une meilleure résilience tandis que vos applications utilisent un répertoire local pour des performances optimales.

AWS Managed Microsoft AD prend en charge le protocole LDAP (Lightweight Directory Access Protocol) sur SSL/TLS, également appelé LDAPS, dans les rôles client et serveur. Lorsqu'il agit en tant que serveur, AWS Managed Microsoft AD prend en charge le protocole LDAPS sur les ports 636 (SSL) et 389 (TLS). Vous activez les communications LDAPS côté serveur en installant un certificat sur vos contrôleurs de AWS Managed Microsoft AD domaine à partir d'une autorité AWS de certification (CA) Active Directory Certificate Services (AD CS). Lorsque vous agissez en tant que client, AWS Managed Microsoft AD prend en charge le protocole LDAPS sur les ports 636 (SSL). Vous pouvez activer les communications LDAPS côté client en enregistrant les certificats CA des émetteurs de certificats de votre serveur dans AWS, puis en activant LDAPS dans votre annuaire. 

Dans le AWS SRA, Directory Service il est utilisé dans le compte Shared Services pour fournir des services de domaine pour les charges de travail compatibles avec Microsoft sur plusieurs comptes membres. AWS

Considération relative à la conception

Vous pouvez autoriser vos utilisateurs Active Directory locaux à se connecter à AWS Management Console et AWS Command Line Interface (AWS CLI) avec leurs informations d'identification Active Directory existantes en utilisant IAM Identity Center et en sélectionnant AWS Managed Microsoft AD comme source d'identité. Cela permet à vos utilisateurs d'assumer l'un des rôles qui leur sont assignés lors de la connexion, d'accéder aux ressources et d'agir sur celles-ci conformément aux autorisations définies pour le rôle. Une autre option consiste à permettre AWS Managed Microsoft AD à vos utilisateurs d'assumer un rôle IAM.

IAM Identity Center

La AWS SRA utilise la fonctionnalité d'administrateur délégué prise en charge par AWS IAM Identity Center pour déléguer la majeure partie de l'administration d'IAM Identity Center au compte Shared Services. Cela permet de limiter le nombre d'utilisateurs qui ont besoin d'accéder au compte de gestion de l'organisation. IAM Identity Center doit toujours être activé dans le compte de gestion de l'organisation pour effectuer certaines tâches, notamment la gestion des ensembles d'autorisations fournis dans le compte de gestion de l'organisation.

La principale raison de l'utilisation du compte Shared Services en tant qu'administrateur délégué pour IAM Identity Center est l'emplacement Active Directory. Si vous envisagez d'utiliser Active Directory comme source d'identité IAM Identity Center, vous devez localiser le répertoire dans le compte membre que vous avez désigné comme compte d'administrateur délégué IAM Identity Center. Dans le AWS SRA, le compte Shared Services héberge AWS Managed Microsoft AD, de sorte que ce compte est désigné comme administrateur délégué d'IAM Identity Center.

IAM Identity Center prend en charge l'enregistrement d'un seul compte membre en tant qu'administrateur délégué à la fois. Vous ne pouvez créer un compte membre que lorsque vous vous connectez avec les informations d'identification du compte de gestion. Pour activer la délégation, vous devez prendre en compte les conditions requises répertoriées dans la documentation de l'IAM Identity Center. Le compte d'administrateur délégué peut effectuer la plupart des tâches de gestion d'IAM Identity Center, mais avec certaines restrictions, répertoriées dans la documentation d'IAM Identity Center. L'accès au compte d'administrateur délégué pour IAM Identity Center doit être étroitement contrôlé.

Considérations relatives à la conception

  • Si vous décidez de remplacer la source d'identité IAM Identity Center d'une autre source par Active Directory, ou de la remplacer par une autre source, le répertoire doit résider (appartenir à) le compte membre administrateur délégué d'IAM Identity Center, s'il en existe un ; sinon, il doit se trouver dans le compte de gestion.

  • Vous pouvez héberger AWS Managed Microsoft AD votre VPC dédié sur un autre compte, puis utiliser AWS Resource Access Manager (AWS RAM) pour partager des sous-réseaux de cet autre compte avec le compte administrateur délégué. Ainsi, l' AWS Managed Microsoft AD instance est contrôlée dans le compte administrateur délégué, mais du point de vue du réseau, elle agit comme si elle était déployée dans le VPC d'un autre compte. Cela est utile lorsque vous avez plusieurs AWS Managed Microsoft AD instances et que vous souhaitez les déployer localement là où votre charge de travail est exécutée, tout en les gérant de manière centralisée via un seul compte.

  • Si vous disposez d'une équipe dédiée aux identités qui effectue des activités régulières de gestion des identités et des accès ou si vous avez des exigences de sécurité strictes pour séparer les fonctions de gestion des identités des autres fonctions de services partagés, vous pouvez héberger une équipe dédiée à la gestion Compte AWS des identités. Dans ce scénario, vous désignez ce compte comme administrateur délégué pour IAM Identity Center, et il héberge également votre AWS Managed Microsoft AD annuaire. Vous pouvez atteindre le même niveau d'isolation logique entre vos charges de travail de gestion des identités et les charges de travail des autres services partagés en utilisant des autorisations IAM précises au sein d'un seul compte de service partagé.

  • IAM Identity Center ne fournit actuellement pas de support multirégional. (Pour activer IAM Identity Center dans une autre région, vous devez d'abord supprimer votre configuration IAM Identity Center actuelle.) En outre, il ne prend pas en charge l'utilisation de différentes sources d'identité pour différents ensembles de comptes et ne vous permet pas de déléguer la gestion des autorisations à différentes parties de votre organisation (c'est-à-dire plusieurs administrateurs délégués) ou à différents groupes d'administrateurs. Si vous avez besoin de l'une de ces fonctionnalités, vous pouvez utiliser la fédération IAM pour gérer vos identités d'utilisateur au sein d'un fournisseur d'identité (IdP) extérieur AWS et autoriser ces identités d'utilisateurs externes à AWS utiliser les ressources de votre compte. Les supports IAM sont IdPs compatibles avec OpenID Connect (OIDC) ou SAML 2.0. Il est recommandé d'utiliser la fédération SAML 2.0 avec des fournisseurs d'identité tiers tels qu'Active Directory Federation Service (AD FS), Okta, Azure Active Directory (Azure AD) ou Ping Identity pour fournir une fonctionnalité d'authentification unique permettant aux utilisateurs de se connecter AWS Management Console ou d'appeler AWS des opérations d'API. Pour plus d'informations sur la fédération IAM et les fournisseurs d'identité, consultez la section À propos de la fédération basée sur SAML 2.0 dans la documentation IAM.