Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Image Removed

Voor het onboarden van AWS accounts zal er met verschillende zaken rekening mee moet worden gehouden, die zullen hier worden besproken.

Vereiste onboarding van accounts

IAM users worden in PAMaaS geonboard door gebruik te maken van de secret key. Voordat de onboarding gestart wordt, moet een user ook worden toegewezen zijn aan een role. Op deze role moeten de juiste permissies worden toegewezen, wanneer dat gebruiker verbindt met deze user zal deze een switch role uitvoeren naar deze role.

Hier zal er geen vooraf gedefinieerde password policy nodig zijn omdat we hier gebruik maken van secret keys.

...

Standaard ondersteunde technologieën

Vereisten

/wiki/spaces/81034/pages/6377156496

Kostenmodel

Niet-standaardonboarding

Live Search
spaceKeyGAEP
placeholderStel je vraag?
labelspam, geprivilegieerd, toegangsbeheer

Info

Vragen of suggesties, contacteer ons via: integraties@vlaanderen.be 

Heb je nood aan ondersteuning bij het gebruik van de toepassing, contacteer de 1700.

...

AWS IAM account - CLI toegang - Parameters

Parameter

Beschrijving

Voorbeeld

AWS Access Key ID

Een uniek identificatienummer van de AWS Access Key dat gebruikt wordt door APIs tot de AWS console.

AKIAJIPU0000L5LB7OIB

Username

Naam van het AWS account.

Administrator

Address

De account-specifieke URL die gebruikt door IAM users om aan te melden.

https://[UwAWSAccountID].signin.aws.amazon.com/console

AWS ARN Role

De rol die veilige toegang heeft tot de AWS Console. 

arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/JaneDoe

Comments

Optionele beschrijving.

AWS IAM account - Console toegang - Parameters

Parameter

Beschrijving

Voorbeeld

IAM Username

Naam van het AWS IAM Account.

StorageAdministrator

AWS Access Key ID

Een uniek identificatienummer van de AWS Access Key dat gebruikt wordt door APIs tot de AWS console.

AKIAJIPU0000L5LB7OIB

AWS Account Number

De account-specifieke URL die gebruikt door IAM users om aan te melden.

123456789012

Comments

Optionele beschrijving.

AWS IAM role - Console toegang - Parameters

Parameter

Beschrijving

Voorbeeld

IAM Username

Naam van de AWS IAM Role.

S3AccessRole

AWS ARN Role

De rol die veilige toegang heeft tot de AWS Console. 

arn:aws:iam::123456789012:role/S3Access

AWS Account Number

De account-specifieke URL die gebruikt door IAM users om aan te melden.

123456789012

Comments

Optionele beschrijving.

Use logon

Hier moet het Account ID (beschikbaar in de onboardingsexcel kolom A) toegevoegd worden van het AWS IAM Account die deze rol kan opvragen. 

AWS-Console-L1 

Aanmaken van een geprivilegieerd account op AWS

Logon account creëren in AWS

In deze hoofdstuk wordt beschreven hoe men een account in AWS kan aanmaken.

  • Nagiveer naar aws.console.com en login met een administratieve gebruiker.

  • Navigeer naar de "IAM Service" en selecteer "Users" aan de linker kant

  • Klik "Add User"

  • Geef de User name van de gebruiker en selecteer "Access Key - Programmatic Access" als AWS credential type.

    Image Added
  • Geef geen permissions en klik "Next"

  • Voeg tags toe als nodig en kilk "Next"

  • Klik "Create User" en schrijf de waarden  van de volgende velden neer. Deze hebben we nodig voor de onboarding van de logon account in CyberArk.

    • User (Jij zal deze veld moeten geven)

    • Access Key ID

    • Secret Access Key

Creëer een nieuwe IAM Policy voor de Logon gebruiker voor CyberArk om de credentials te roteren in AWS

Creëer een nieuwe policy waar we genoeg permissies zullen toewijzen aan de logon account zodat het zijn eigen keys kan roteren rekeninghoudend met het veiligheidsbeleid van het bedrijf.

  1. Navigeer naar de "IAM Service" en selecteer "Policies"

  2. Klik "Create Policy"

  3. Geef de volgende input:

{

    "Version": "2012-10-17",

    "Statement": [

        {

            "Sid": "VisualEditor0",

            "Effect": "Allow",

            "Action": [

                "iam:DeleteAccessKey",

                "iam:GetAccessKeyLastUsed",

                "iam:CreateAccessKey",

                "iam:ListAccessKeys"

            ],

            "Resource": "arn:aws:iam::308572059815:user/AWSSTSLogonAccount"

        }

    ]

}

  1. Klik "Next

  2. Voeg tags toe als nodig en klik "Next"

  3. Klik "Create"

Wijs de IAM Policy toe aan de Logon Gebruiker in AWS

  1. Navigeer naar de IAM Service en klik "Gebruikers"

  2. Selecteer de logon account

  3. Klik "Add Permissions"

    Image Added
  4. Wijs de policy aan de Logon account

    1. Selecteer "Attach Existing policies directly"

    2. Zoek voor de policy dat je gecreëerd hebt in de vorige stappen

    3. Selecteer de policy

      Image Added
  5. Klik "Next"

  6. Klik "Add Permissions"

Creëer IAM roles die door de Logon User in AWS gebruikt zal worden

  1. Navigeeer naar de IAM Service en selecteer "Roles"

  2. Creëer een nieuwe role

  3. Creëer een custom trust policy, waar je de ARN van de logon user gebruikt als princpial (e.g., "arn:aws:iam::308572059815:user/AWSSTSLogonAccount").

  4. Klik "Next"

  5. Voeg de permissies toe die de logon account zal gebruiken.

  6. Wijs een role naam en beschrijving toe

    Image Added
  7.  Voeg tags toe als nodig

  8. Klik "Create Role"

  9. Kopieer de ARN (of meerdere als je meerdere roles creëert), want dit zal nodig zijn voor de volgende stappen om toegang te restricteren tot deze specifieke rollen

Creëer een nieuwe IAM policy voor de Logon gebruiker om de IAM roles te gebruiker

Creëer een nieuwe beleid waar we voldoende permissies zullen toewijzen aan de gebruiker om te verifiëren en roteren van de access keys per het beleid van de organistatie.

  1. Navigeer naar de IAM Policy

  2. Klik "Create Policy" 

  3. Geef de volgende input: 

    1. Service: STS

    2. Action: Write > AssumeRole

  4. Klik "Next"

  5. Voeg tags toe en klik "Next"

  6. Geef een policy naam en een beschrijving

    Image Added
  7. Kilk "Create"

Wijs de STS IAM Policy toe aan de Logon Account in AWS

  1. Navigeer naar de IAM Service en klik "Users"

  2. Selecteer de IAM User (Logon Account) en klik op de gebruikersnaam

  3. Klik "Add Permissions"

    Image Added
  4. Wijs de policy toe aan de Logon gebruiker

    1. Selecteer ""Attach existing policies directly"

    2. Zoek voor de policy dat was gecreëerd in de vorige stap

    3. Selecteer de gecreëerde policy 

      Image Added
  5. Klik "Next"

  6. Klik "Add Permissions"