AWS
- Michael Hayen
- Khoi Nguyen
- Demi Egghe
Voor het onboarden van AWS accounts zal er met verschillende zaken rekening mee moet worden gehouden, die zullen hier worden besproken.
- 1 Vereiste onboarding van accounts
- 2 Aanmaken van een geprivilegieerd account op AWS
- 2.1 Logon account creëren in AWS
- 2.2 Creëer een nieuwe IAM Policy voor de Logon gebruiker voor CyberArk om de credentials te roteren in AWS
- 2.3 Wijs de IAM Policy toe aan de Logon Gebruiker in AWS
- 2.4 Creëer IAM roles die door de Logon User in AWS gebruikt zal worden
- 2.5 Creëer een nieuwe IAM policy voor de Logon gebruiker om de IAM roles te gebruiker
- 2.6 Wijs de STS IAM Policy toe aan de Logon Account in AWS
- 3 AWS-console timeout uitbreiden
Vereiste onboarding van accounts
IAM users worden in PAMaaS geonboard door gebruik te maken van de secret key. Voordat de onboarding gestart wordt, moet een user ook worden toegewezen zijn aan een role. Op deze role moeten de juiste permissies worden toegewezen, wanneer dat gebruiker verbindt met deze user zal deze een switch role uitvoeren naar deze role.
Hier zal er geen vooraf gedefinieerde password policy nodig zijn omdat we hier gebruik maken van secret keys.
AWS IAM account - CLI toegang - Parameters
Parameter | Beschrijving | Voorbeeld |
|---|---|---|
AWS Access Key ID | Een uniek identificatienummer van de AWS Access Key dat gebruikt wordt door APIs tot de AWS console. | AKIAJIPU0000L5LB7OIB |
Username | Naam van het AWS account. | Administrator |
Address | De account-specifieke URL die gebruikt door IAM users om aan te melden. | |
AWS ARN Role | De rol die veilige toegang heeft tot de AWS Console. | arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/JaneDoe |
Comments | Optionele beschrijving. | Â |
AWS IAM account - Console toegang - Parameters
Parameter | Beschrijving | Voorbeeld |
|---|---|---|
IAM Username | Naam van het AWS IAM Account. | StorageAdministrator |
AWS Access Key ID | Een uniek identificatienummer van de AWS Access Key dat gebruikt wordt door APIs tot de AWS console. | AKIAJIPU0000L5LB7OIB |
AWS Account Number | De account-specifieke URL die gebruikt door IAM users om aan te melden. | 123456789012 |
Comments | Optionele beschrijving. | Â |
AWS IAM role - Console toegang - Parameters
Parameter | Beschrijving | Voorbeeld |
|---|---|---|
IAM Username | Naam van de AWS IAM Role. | S3AccessRole |
AWS ARN Role | De rol die veilige toegang heeft tot de AWS Console. | arn:aws:iam::123456789012:role/S3Access |
AWS Account Number | De account-specifieke URL die gebruikt door IAM users om aan te melden. | 123456789012 |
Comments | Optionele beschrijving. | Â |
Use logon | Hier moet het Account ID (beschikbaar in de onboardingsexcel kolom A) toegevoegd worden van het AWS IAM Account die deze rol kan opvragen. | AWS-Console-L1 |
Aanmaken van een geprivilegieerd account op AWS
Logon account creëren in AWS
In deze hoofdstuk wordt beschreven hoe men een account in AWS kan aanmaken.
Nagiveer naar aws.console.com en login met een administratieve gebruiker.
Navigeer naar de "IAM Service" en selecteer "Users" aan de linker kant
Klik "Add User"
Geef de User name van de gebruiker en selecteer "Access Key - Programmatic Access" als AWS credential type.
Geef geen permissions en klik "Next"
Voeg tags toe als nodig en kilk "Next"
Klik "Create User" en schrijf de waarden van de volgende velden neer. Deze hebben we nodig voor de onboarding van de logon account in CyberArk.
User (Jij zal deze veld moeten geven)
Access Key ID
Secret Access Key
Creëer een nieuwe IAM Policy voor de Logon gebruiker voor CyberArk om de credentials te roteren in AWS
Creëer een nieuwe policy waar we genoeg permissies zullen toewijzen aan de logon account zodat het zijn eigen keys kan roteren rekeninghoudend met het veiligheidsbeleid van het bedrijf.
Navigeer naar de "IAM Service" en selecteer "Policies"
Klik "Create Policy"
Geef de volgende input:
{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "VisualEditor0",
           "Effect": "Allow",
           "Action": [
               "iam:DeleteAccessKey",
               "iam:GetAccessKeyLastUsed",
               "iam:CreateAccessKey",
               "iam:ListAccessKeys"
           ],
           "Resource": "arn:aws:iam::308572059815:user/AWSSTSLogonAccount"
       }
   ]
}
Klik "Next
Voeg tags toe als nodig en klik "Next"
Klik "Create"
Wijs de IAM Policy toe aan de Logon Gebruiker in AWS
Navigeer naar de IAM Service en klik "Gebruikers"
Selecteer de logon account
Klik "Add Permissions"
Wijs de policy aan de Logon account
Selecteer "Attach Existing policies directly"
Zoek voor de policy dat je gecreëerd hebt in de vorige stappen
Selecteer de policy
Klik "Next"
Klik "Add Permissions"
Â
Creëer IAM roles die door de Logon User in AWS gebruikt zal worden
Navigeeer naar de IAM Service en selecteer "Roles"
Creëer een nieuwe role
Creëer een custom trust policy, waar je de ARN van de logon user gebruikt als princpial (e.g., "arn:aws:iam::308572059815:user/AWSSTSLogonAccount").
Klik "Next"
Voeg de permissies toe die de logon account zal gebruiken.
Wijs een role naam en beschrijving toe
 Voeg tags toe als nodig
Klik "Create Role"
Kopieer de ARN (of meerdere als je meerdere roles creëert), want dit zal nodig zijn voor de volgende stappen om toegang te restricteren tot deze specifieke rollen
Creëer een nieuwe IAM policy voor de Logon gebruiker om de IAM roles te gebruiker
Creëer een nieuwe beleid waar we voldoende permissies zullen toewijzen aan de gebruiker om te verifiëren en roteren van de access keys per het beleid van de organistatie.
Navigeer naar de IAM Policy
Klik "Create Policy"Â
Geef de volgende input:Â
Service: STS
Action: Write > AssumeRole
Klik "Next"
Voeg tags toe en klik "Next"
Geef een policy naam en een beschrijving
Kilk "Create"
Wijs de STS IAM Policy toe aan de Logon Account in AWS
Navigeer naar de IAM Service en klik "Users"
Selecteer de IAM User (Logon Account) en klik op de gebruikersnaam
Klik "Add Permissions"
Wijs de policy toe aan de Logon gebruiker
Selecteer ""Attach existing policies directly"
Zoek voor de policy dat was gecreëerd in de vorige stap
Selecteer de gecreëerde policyÂ
Klik "Next"
Klik "Add Permissions"
AWS-console timeout uitbreiden
Het is mogelijk om de AWS-console timeout uit te breiden van 60 minuten naar 240 minuten. Hiervoor moeten enkele aanpassingen gebeuren op het target systeem en op PAMaaS.
Aanpassing op het target systeem
Voordat je als klant het integratieteam contacteert met de vraag om de AWS-console timeout uit te breiden naar 240 minuten, is het belangrijk dat de sessieduur van het AWS-account reeds gewijzigd werd op target systeem. Op deze pagina kan je raadplegen hoe je de sessieduur van een AWS-account instelt.
Aanpassing op PAMaaS
Na de aanpassing van het target systeem dient er contact opgenomen te worden met integraties@vlaanderen.be. Het is belangrijk om volgende informatie mee te geven aan het integratieteam:
Vraag voor het uitbreiden van de sessietijd van een AWS-Console naar 240 minuten
De safe waarvoor dit van toepassing is
De AWS-accountnaam waarop de aanpassing doorgevoerd werd
Screenshot van de "details"-tab in PAMaaS-portaal
Bevestiging dat het targetsysteem reeds aangepast werd
