Document toolboxDocument toolbox

AWS

Voor het onboarden van AWS accounts zal er met verschillende zaken rekening mee moet worden gehouden, die zullen hier worden besproken.

Vereiste onboarding van accounts

IAM users worden in PAMaaS geonboard door gebruik te maken van de secret key. Voordat de onboarding gestart wordt, moet een user ook worden toegewezen zijn aan een role. Op deze role moeten de juiste permissies worden toegewezen, wanneer dat gebruiker verbindt met deze user zal deze een switch role uitvoeren naar deze role.

Hier zal er geen vooraf gedefinieerde password policy nodig zijn omdat we hier gebruik maken van secret keys.

AWS IAM account - CLI toegang - Parameters

Parameter

Beschrijving

Voorbeeld

Parameter

Beschrijving

Voorbeeld

AWS Access Key ID

Een uniek identificatienummer van de AWS Access Key dat gebruikt wordt door APIs tot de AWS console.

AKIAJIPU0000L5LB7OIB

Username

Naam van het AWS account.

Administrator

Address

De account-specifieke URL die gebruikt door IAM users om aan te melden.

https://[UwAWSAccountID].signin.aws.amazon.com/console

AWS ARN Role

De rol die veilige toegang heeft tot de AWS Console. 

arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/JaneDoe

Comments

Optionele beschrijving.

 

AWS IAM account - Console toegang - Parameters

Parameter

Beschrijving

Voorbeeld

Parameter

Beschrijving

Voorbeeld

IAM Username

Naam van het AWS IAM Account.

StorageAdministrator

AWS Access Key ID

Een uniek identificatienummer van de AWS Access Key dat gebruikt wordt door APIs tot de AWS console.

AKIAJIPU0000L5LB7OIB

AWS Account Number

De account-specifieke URL die gebruikt door IAM users om aan te melden.

123456789012

Comments

Optionele beschrijving.

 

AWS IAM role - Console toegang - Parameters

Parameter

Beschrijving

Voorbeeld

Parameter

Beschrijving

Voorbeeld

IAM Username

Naam van de AWS IAM Role.

S3AccessRole

AWS ARN Role

De rol die veilige toegang heeft tot de AWS Console. 

arn:aws:iam::123456789012:role/S3Access

AWS Account Number

De account-specifieke URL die gebruikt door IAM users om aan te melden.

123456789012

Comments

Optionele beschrijving.

 

Use logon

Hier moet het Account ID (beschikbaar in de onboardingsexcel kolom A) toegevoegd worden van het AWS IAM Account die deze rol kan opvragen. 

AWS-Console-L1 

Aanmaken van een geprivilegieerd account op AWS

Logon account creëren in AWS

In deze hoofdstuk wordt beschreven hoe men een account in AWS kan aanmaken.

  • Nagiveer naar aws.console.com en login met een administratieve gebruiker.

  • Navigeer naar de "IAM Service" en selecteer "Users" aan de linker kant

  • Klik "Add User"

  • Geef de User name van de gebruiker en selecteer "Access Key - Programmatic Access" als AWS credential type.

  • Geef geen permissions en klik "Next"

  • Voeg tags toe als nodig en kilk "Next"

  • Klik "Create User" en schrijf de waarden  van de volgende velden neer. Deze hebben we nodig voor de onboarding van de logon account in CyberArk.

    • User (Jij zal deze veld moeten geven)

    • Access Key ID

    • Secret Access Key

Creëer een nieuwe IAM Policy voor de Logon gebruiker voor CyberArk om de credentials te roteren in AWS

Creëer een nieuwe policy waar we genoeg permissies zullen toewijzen aan de logon account zodat het zijn eigen keys kan roteren rekeninghoudend met het veiligheidsbeleid van het bedrijf.

  1. Navigeer naar de "IAM Service" en selecteer "Policies"

  2. Klik "Create Policy"

  3. Geef de volgende input:

{

    "Version": "2012-10-17",

    "Statement": [

        {

            "Sid": "VisualEditor0",

            "Effect": "Allow",

            "Action": [

                "iam:DeleteAccessKey",

                "iam:GetAccessKeyLastUsed",

                "iam:CreateAccessKey",

                "iam:ListAccessKeys"

            ],

            "Resource": "arn:aws:iam::308572059815:user/AWSSTSLogonAccount"

        }

    ]

}

  1. Klik "Next

  2. Voeg tags toe als nodig en klik "Next"

  3. Klik "Create"

Wijs de IAM Policy toe aan de Logon Gebruiker in AWS

  1. Navigeer naar de IAM Service en klik "Gebruikers"

  2. Selecteer de logon account

  3. Klik "Add Permissions"

  4. Wijs de policy aan de Logon account

    1. Selecteer "Attach Existing policies directly"

    2. Zoek voor de policy dat je gecreëerd hebt in de vorige stappen

    3. Selecteer de policy

  5. Klik "Next"

  6. Klik "Add Permissions"

 

Creëer IAM roles die door de Logon User in AWS gebruikt zal worden

  1. Navigeeer naar de IAM Service en selecteer "Roles"

  2. Creëer een nieuwe role

  3. Creëer een custom trust policy, waar je de ARN van de logon user gebruikt als princpial (e.g., "arn:aws:iam::308572059815:user/AWSSTSLogonAccount").

  4. Klik "Next"

  5. Voeg de permissies toe die de logon account zal gebruiken.

  6. Wijs een role naam en beschrijving toe

  7.  Voeg tags toe als nodig

  8. Klik "Create Role"

  9. Kopieer de ARN (of meerdere als je meerdere roles creëert), want dit zal nodig zijn voor de volgende stappen om toegang te restricteren tot deze specifieke rollen

Creëer een nieuwe IAM policy voor de Logon gebruiker om de IAM roles te gebruiker

Creëer een nieuwe beleid waar we voldoende permissies zullen toewijzen aan de gebruiker om te verifiëren en roteren van de access keys per het beleid van de organistatie.

  1. Navigeer naar de IAM Policy

  2. Klik "Create Policy" 

  3. Geef de volgende input: 

    1. Service: STS

    2. Action: Write > AssumeRole

  4. Klik "Next"

  5. Voeg tags toe en klik "Next"

  6. Geef een policy naam en een beschrijving

  7. Kilk "Create"

Wijs de STS IAM Policy toe aan de Logon Account in AWS

  1. Navigeer naar de IAM Service en klik "Users"

  2. Selecteer de IAM User (Logon Account) en klik op de gebruikersnaam

  3. Klik "Add Permissions"

  4. Wijs de policy toe aan de Logon gebruiker

    1. Selecteer ""Attach existing policies directly"

    2. Zoek voor de policy dat was gecreëerd in de vorige stap

    3. Selecteer de gecreëerde policy 

  5. Klik "Next"

  6. Klik "Add Permissions"

AWS-console timeout uitbreiden

Het is mogelijk om de AWS-console timeout uit te breiden van 60 minuten naar 240 minuten. Hiervoor moeten enkele aanpassingen gebeuren op het target systeem en op PAMaaS.

Aanpassing op het target systeem

Voordat je als klant het integratieteam contacteert met de vraag om de AWS-console timeout uit te breiden naar 240 minuten, is het belangrijk dat de sessieduur van het AWS-account reeds gewijzigd werd op target systeem. Op deze pagina kan je raadplegen hoe je de sessieduur van een AWS-account instelt.

Aanpassing op PAMaaS

Na de aanpassing van het target systeem dient er contact opgenomen te worden met integraties@vlaanderen.be. Het is belangrijk om volgende informatie mee te geven aan het integratieteam:

  • Vraag voor het uitbreiden van de sessietijd van een AWS-Console naar 240 minuten

  • De safe waarvoor dit van toepassing is

  • De AWS-accountnaam waarop de aanpassing doorgevoerd werd

  • Screenshot van de "details"-tab in PAMaaS-portaal

  • Bevestiging dat het targetsysteem reeds aangepast werd