View a markdown version of this page

Ruolo federativo di Azure - AWS Systems Manager

• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la documentazione di Amazon CloudWatch Dashboard.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruolo federativo di Azure

Il ruolo federativo di Azure consente a Systems Manager di ottenere un token di identità Web da Servizio di token di sicurezza AWS (AWS STS) e di scambiarlo con credenziali di Azure tramite la federazione OIDC. L'automazione assume questo ruolo durante l'esecuzione del runbook per l'autenticazione sul tenant di Azure. Il servizio Systems Manager assume anche questo ruolo direttamente per convalidare il Cloud Connector prima che esista qualsiasi State Manager associazione.

Schema del nome del ruolo: SSM-AzureRole-connector-name-id8

La politica di fiducia include due dichiarazioni:

  • La prima istruzione consente al cliente di Account AWS assumere il ruolo, ma solo quando il principale chiamante è il ruolo di assunzione dell'automazione o il ruolo di invio dell'automazione (corrispondente alla aws:PrincipalArn condizione) e tale principale è etichettato con. caller=SSM La corrispondenza principale-ARN richiede il ruolo assume e il ruolo dispatch per vivere nel percorso IAM. /service-role/

  • La seconda istruzione consente al responsabile del servizio Systems Manager di assumere direttamente il ruolo. Le aws:SourceArn condizioni aws:SourceAccount e forniscono una protezione confusa, limitando la fiducia al tuo ARN Account AWS e a un Cloud Connector ARN.

Account AWS Sostituiscilo con il tuo ID. 123456789012

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Condition": { "StringEquals": { "aws:PrincipalTag/caller": "SSM" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/service-role/SSM-AzureAssumeRole*", "arn:aws:iam::123456789012:role/service-role/SSM-AzureDispatchRole*" ] } } }, { "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": { "Service": "ssm.amazonaws.com" }, "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:ssm:*:123456789012:connector/*" } } } ] }

La politica di autorizzazione consente al ruolo di ottenere un token di identità Web il cui pubblico è limitatoapi://AzureADTokenExchange, che è il pubblico richiesto da Microsoft Entra ID per la federazione OIDC.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • sts:GetWebIdentityToken— Consente al ruolo di ottenere un token di identità Web AWS STS che Systems Manager può presentare a Microsoft Entra ID per lo scambio con le credenziali di Azure.

  • sts:TagGetWebIdentityToken— Consente a Systems Manager di aggiungere tag di identità (come l'ID del connettore) al token di identità Web emesso. Ciò consente di estendere le regole di federazione Microsoft Entra ID a uno specifico Cloud Connector.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sts:GetWebIdentityToken", "sts:TagGetWebIdentityToken" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "sts:IdentityTokenAudience": [ "api://AzureADTokenExchange" ] } } } ] }