我如何使用 AWS Control Tower 但忽略 AWS SSO 功能以支持自定義 ADFS 方法?
[英]How do I use AWS Control Tower but ignore the AWS SSO feature in favor of a custom ADFS approach?
原文
2020-10-23 16:57:53
2
1
amazon-web-services/
single-sign-on/
adfs/
aws-control-tower/
aws-landing-zone
問題描述
目標:使用除AWS SSO之外的所有 AWS Control Tower 功能,因為與我合作的組織目前不想更改身份管理和單點登錄的任何方面。
目前,該組織在其數據中心使用 ADFS 進行 SSO 和 MFA,並具有使用該身份解決方案設置新 AWS 賬戶的一些自動化和流程。
我不在乎這種與 ADFS 的集成是否會在創建新帳戶時觸發自動運行,因為組織還沒有這種級別的身份自動化,目標不是改變這一點。
如果您想要更自定義的方法, AWS Control Tower 常見問題解答建議使用 Landing Zones 解決方案而不是Control Tower:
雖然 Control Tower 使用預配置的藍圖(例如,用於目錄和訪問的 AWS SSO)自動創建新的登陸區,但 AWS Landing Zone 解決方案通過自定義附加組件(例如, 、Active Directory、Okta Directory)以及通過代碼部署和配置管道進行的持續修改。
用於着陸區方法的 CloudFormation 模板和指南在這里:
- CloudFormation 着陸區啟動模板: https : //s3.amazonaws.com/solutions-reference/aws-landing-zone/latest/aws-landing-zone-initiation.template
- AWS 登陸區開發人員指南: https : //s3.amazonaws.com/solutions-reference/aws-landing-zone/latest/aws-landing-zone-developer-guide.pdf
- AWS 着陸區實施指南: https : //s3.amazonaws.com/solutions-reference/aws-landing-zone/latest/aws-landing-zone-implementation-guide.pdf
- AWS 登陸區用戶指南: https : //s3.amazonaws.com/solutions-reference/aws-landing-zone/latest/aws-landing-zone-user-guide.pdf
但我想要這一切:控制塔的易用性和使用自定義身份方法。 此外,該組織使用 Terraform,所以我不想介紹一堆 CloudFormation 模板,而且 AWS Terraform Landing Zone Accelerator (TLZ)盡管已經在一年多前發布,但尚未發布。
AWS Control Tower 的 Account Factory 要求您輸入 AWS SSO 電子郵件地址,因此似乎無法避免使用 AWS SSO,至少在初始設置或“帳戶注冊”期間:
另一個方面:由於組織使用 ADFS 進入 AWS,我無法通過控制塔創建的AWSControlTowerExecution的切換角色訪問由 AWS Control Tower 創建的帳戶,因為我已登錄到 Control Tower(主)帳戶通過聯邦。
( AWSControlTowerExecution角色的信任關系中的委托人是主賬號。當您通過聯合身份驗證時,AWS 不會將您的委托人視為您聯合到的賬戶的一部分,因此AWSControlTowerExecution角色不信任我,聯合用戶,可以這么說。)
1 個解決方案
解決方案1
0 已采納 2020-10-23 16:58:17
您可以使用 AWS SSO 作為控制塔默認設置,包括 AWS SSO,使用 SSO 用戶進入新賬戶並配置 ADFS,然后通過 AWS 服務控制策略 (SCP) 使 SSO 用戶無法使用。
因此,在 Account Factory 中,根據要求為 SSO 字段輸入電子郵件地址和名稱。
正如您所提到的,ControlTower 會自動在每個新帳戶中創建一個角色,主帳戶中的管理員無需額外配置即可切換到該角色。
但是,由於您通過聯合處於主賬戶中,因此您可以通過接受通過電子郵件收到的 SSO 邀請來進入新賬戶。
這將要求您創建密碼,然后通過您可以在控制塔 > 用戶和訪問 > 用戶門戶 URL 中找到的鏈接登錄。
通過該 AWS SSO 登錄進入新創建的賬戶后,您可以使用您組織的流程設置 ADFS。
一旦您確認 ADFS 集成有效並且您可以通過 ADFS 進入新賬戶,您可以通過添加以下 SCP 拒絕您在賬戶設置期間使用的占位符 AWS SSO 用戶的所有操作:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAWSSSOUser",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalArn": [
"*AWSReservedSSO*"
]
}
}
}
]
}
SSO 用戶仍然可以登錄到該帳戶,但不能執行任何操作或查看任何內容。
但是,為了簡化此操作,您可能需要等到所有帳戶都已創建后再添加此 SCP。 這樣,您可以先在 AWS Organizations 中為新賬戶創建 OU,然后將新賬戶移動到該 OU,最后將此 SCP 應用到整個 OU。
這個 SCP 附件沒有將您鎖定的風險,因為作為備份/緊急訪問,您仍然可以在主賬戶中創建 IAM 用戶並將角色切換到控制塔創建的賬戶。
如何將現有 AWS IAM 用戶遷移到 AWS SSO 跨賬戶?
[英]How do I migrate existing AWS IAM users to AWS SSO cross-account?
如何將 GitHub Desktop 與 AWS CodeCommit 和 AWS SSO 配置文件一起使用?
[英]How to use GitHub Desktop with AWS CodeCommit and AWS SSO profile?
如何將 AWS Organizations 下的 aws 賬戶注冊到 Control Tower 創建的 OU
[英]How to enroll aws accounts under AWS Organizations into a Control Tower created OU
AWS Control Tower 創建的 aws 多賬戶環境中的 Terraform
[英]Terraform in aws multi account env created by AWS Control Tower
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
AWS SSO 不由 Control Tower 管理
AWS Control Tower 設置失敗
從 AWS Control Tower 中刪除已注冊的賬戶
控制塔 AWS - 共享 s3 存儲桶
如何將現有 AWS IAM 用戶遷移到 AWS SSO 跨賬戶?
如何將 GitHub Desktop 與 AWS CodeCommit 和 AWS SSO 配置文件一起使用?
如何將 AWS Organizations 下的 aws 賬戶注冊到 Control Tower 創建的 OU
AWS Control Tower 創建的 aws 多賬戶環境中的 Terraform
用於自定義功能的 AWS 服務?
如何將另一個AWS終端節點與另一個AWS區域一起使用?
相關標簽