什麼是外部 ID? 
隨著跨帳號角色 ARN,外部 ID 用於從一個 AWS 角色授予訪問權限到另一個角色。外部 ID 由想要擔任您帳號角色的第三方服務提供。如果您信任該服務代表您行事,您可以將該外部
ID 添加到您的跨帳號角色中。在這種情況下,伺服器與工作負載保護 是提供外部 ID 給您的第三方服務,以便代表您的 AWS 帳號行事。伺服器與工作負載保護 使用此訪問權限來同步您 AWS 帳號中的信息,並保持您資源的最新記錄。詳情請參閱此 AWS 文件:授予訪問權限給您的 AWS 資源時如何使用外部 ID。
註釋:
- 外部 ID 僅在使用跨帳號角色添加 AWS 帳戶時使用。
- 相同的外部 ID 用於所有使用跨帳戶角色新增的 AWS 帳戶。
配置外部 ID
配置外部 ID 是新增跨帳號角色的更大過程中的一步。
更新外部 ID
如果您之前使用跨帳號角色新增 AWS 帳號,您可能已指定使用者定義的外部 ID。為了更符合 AWS 的最佳實踐,趨勢科技建議切換至 伺服器與工作負載保護 定義的外部 ID。
 |
注意先前使用自定義外部 ID 添加的 AWS 帳戶將繼續正常運作。
|
確定您使用的是使用者或管理者定義的外部 ID
如果您不確定目前使用的是使用者定義還是管理者定義的外部 ID,請按照以下步驟查找。
步驟
- 登入伺服器與工作負載保護。
- 點選 Computers。
- 右鍵點選使用跨帳號角色新增的 AWS 帳號,然後選擇 Properties。
- 如果外部 ID 旁邊出現 更新 連結,表示目前正在使用使用者定義的外部 ID,應該進行更新。如果沒有出現 更新 連結,則表示目前正在使用 伺服器與工作負載保護 定義的外部 ID,無需採取任何行動。
- 對於每個使用跨帳號角色新增到伺服器與工作負載保護的帳號,重複此程序。
接下來需執行的動作
通過伺服器與工作負載保護控制台更新外部 ID
步驟
- 如果您尚未這樣做,請登入伺服器與工作負載保護,右鍵點選您想要更新的 AWS 帳戶,然後選擇Properties。
- 點選出現在外部 ID 旁邊的 更新 連結。更新 連結會消失。
- 請記下外部 ID。您將在下一步中需要它來配置跨帳號角色。
- 登入您剛剛更新外部 ID 的 AWS 帳戶。通過將舊的外部 ID 替換為新的外部 ID 來更新跨帳號角色的 IAM 政策。
- 回到屬性視窗,點選 Apply 以套用變更。您帳戶的使用者定義外部 ID 現已更新為 伺服器與工作負載保護 定義的 ID。
- 對於每個使用跨帳號角色新增到伺服器與工作負載保護的帳號,重複此程序。
接下來需執行的動作
通過 伺服器與工作負載保護 API 更新外部 ID
步驟
- 如果您還沒有新的管理者定義的外部 ID,請呼叫
/api/awsconnectorsettings端點來檢索它(ExternalId參數)。 - 登入配置跨帳號角色的 AWS 帳戶。通過將舊的外部 ID 替換為新的外部 ID 來更新跨帳號角色的 IAM 政策。對於每個使用跨帳號角色添加到 伺服器與工作負載保護 的帳戶,重複此步驟。
- 使用
/api/awsconnectors端點,對您正在更新的帳戶執行Update action,並將其CrossAccountRoleARN參數設置為當前的角色 ARN。在請求對象中不要提供外部 ID。您帳戶的使用者定義外部 ID 現已更新為 伺服器與工作負載保護 定義的外部 ID。
接下來需執行的動作
檢索外部 ID
有幾種方法可以檢索用於跨帳戶的外部 ID。
通過伺服器與工作負載保護 API
- 請呼叫
/api/awsconnectorsettings端點來檢索它(ExternalId參數)。
關閉擷取外部 ID
您可能想要關閉在伺服器與工作負載保護控制台中查看和檢索外部ID的功能,以防止未經授權的訪問。您可以檢索一次ID,將其存儲在像您的秘密管理器這樣的安全地方,然後關閉其他人的檢索功能。
|
注意檢索可以隨時再次已啟動。
|
要關閉檢索:
步驟
- 登入伺服器與工作負載保護。
- 點選頂部的Administration。
- 在主窗格中,點選安全標籤。
- 取消選取Enable retrieval and viewing of AWS external ID。
- 點選 儲存。
接下來需執行的動作
 |
秘訣您也可以使用角色來防止訪問外部 ID。詳情請參閱使用者角色(Foundation Services 版本)。
|