• 教程简介
  • 敏感数据保护解决方案

    部署所需时间:大约 30 分钟

    按照以下步骤在 AWS 上部署此解决方案。

    步骤一:创建 OIDC 应用程序(使用带身份提供商的模板可跳过此步)
    步骤二:将 AWS CloudFormation 的 Admin 模板部署到您的 AWS 管理员账户
    步骤三:配置 OIDC 应用程序(使用带身份提供商的模板可跳过此步)
    步骤四:配置自定义域名
    步骤五:访问控制台
    步骤六:将 AWS CloudFormation 的 Agent 模板部署到需要检测的 AWS 账户

  • 1 - 创建 OIDC 应用程序
  • 步骤一:创建 OIDC 应用程序

    您可以使用不同类型的 OpenID Connector(OIDC)提供者。本节介绍了选项一到选项三的选项。

    • 选项一:Cognito,使用 Amazon Cognito 作为 OIDC 提供者。
    • 选项二:Authing,这是一个第三方认证提供者的示例。
    • 选项三:OKTA,这是一个第三方认证提供者的示例。

    选项一:Cognito

    您可以在支持的 AWS 区域中利用 Cognito 用户池 作为 OIDC 提供者。

    1. 访问 Amazon Cognito 控制台。

    2. 根据此指南,使用 Amazon Cognito 控制台设置托管的 UI。

    3. 创建用户池时,从步骤一到步骤四,根据您的需要进行配置。

    4. 请确保您在托管身份验证页面区域选择了使用 Cognito 托管 UI。在选择 App 类型时选择 Public client。在选择 Client secret 时选择 Don't generate a client secret。

    5. 在高级应用客户端设置中,设置 OpenID Connect scopes 时选择 OpenIDEmail Profile

    6. 确认托管的 UI 状态为 Available。确保 OpenID Connect scopes 包括 emailopenid profile

    7. 将应用的 Client IDUser pool ID AWS 区域保存到一个文件中,稍后将用到。在步骤二:部署管理员堆栈(Deploy admin stack)中,Client ID 即为应用的 Client IDIssuer URLhttps://cognito-idp.${REGION}.amazonaws.com/${USER_POOL_ID}

    注意:该页面配置的参数 Allowed callback URLs Allowed sign-out URLs 将会在步骤三:配置 OIDC 应用中重新配置.

    选项二:Authing

    1. 转到 Authing 控制台
    2. 在左侧导航栏中,选择 Applications下的 Self-built App。
    3. 点击创建按钮。
    4. 输入 Application Name 和 Subdomain。
    5. 从 Endpoint Information 中保存 App ID(即 Client ID)和 Issuer(Issuer URL)到一个文本文件中,稍后将用到。

    6. 在 Protocol Configuration 选项卡中设置 Authorization Configuration

    7. 在访问授权选项卡中,选择可访问的用户。

    选项 3:OKTA

    1. 转到 OKTA 控制台
    2. 点击 Applications → Create App Integration

    3. 选择 OIDC - OpenID Connect → 选择 Single-Page Application → 点击 Next

    4. 在受控访问中,选择适合您的方式。

    5. 从 Endpoint Information 中将 Client ID Issuer URL 保存到一个文本文件中,稍后将用到。
    Issuer URL可以在您的个人资料中找到。完整的 Issuer URL 为“https://dev-xxx.okta.com”。 

  • 2 - 部署管理员堆栈
  • 步骤二:部署管理员堆栈(Deploy admin stack)

    1. 登录到 AWS 管理控制台,并使用以下按钮启动 AWS CloudFormation 模板。

    从 AWS 控制台中启动

    在新 VPC (AWS 全球区域)中启动解决方案

    在现有 VPC (AWS 全球区域)中启动解决方案

    在新 VPC(AWS 中国区域)中启动解决方案

    在现有 VPC(AWS 中国区域)中启动解决方案
    重要提示

      使用现有 VPC 必须满足以下条件:

    • 至少有两个公有子网和两个私有子网。
    • 该 VPC 必须有 NAT gateway。
    • 两个私有子网都有到 NAT gateway 的路由。

    1. 要在不同的 AWS 区域中启动此解决方案,请使用控制台导航栏中的区域选择器。

    2. 在 Create stack 页面上,验证 Amazon S3 URL 文本框中显示的正确模板 URL,并选择 Next

    3. 在 Specify stack details 页面上,为解决方案堆栈分配一个有效且账户级唯一的名称。

    4. 在 Parameters 下,查看模板的参数并根据需要进行修改。该解决方案使用以下默认值。

    参数 默认值 描述
    Issuer URL   指定安全的 OpenID Connect URL。最大长度为 255 个字符。URL 必须以"https://"开头。使用带身份提供商的模板无此参数
    Client ID   指定身份提供商颁发的客户端 ID。最大长度为 255 个字符。使用字母数字或 ?:_.-/? 字符。使用带身份提供商的模板无此参数
    Public Access Yes 如果选择 No,则只能在 VPC 中访问门户网站。如果要通过 Internet 访问门户网站,需要选择 Yes。使用纯私有子网的模板无此参数
    Port 80 如果已添加 ACM 证书 ARN,建议使用默认端口 443 作为 HTTPS 协议的端口。否则,可以将端口设置为 80 作为备用选项
    ACM Certificate ARN   (可选)为了通过加密实现安全通信并增强解决方案的安全性,可以添加来自 ACM 的公共证书 ARN,以基于 HTTPS 协议创建门户网站 URL
    Custom Domain Name   (可选)通过添加您自己的域名(例如 sdps.example.com),您可以在部署堆栈后通过将 CNAME 记录添加到该域名来直接访问门户网站。只填写域名,不要填写 http(s)

    5. 选择 Next

    6. 在 Configure stack options 页面上,选择 Next

    7. 在 Review 页面上,查看并确认设置。选中 3 个 “我确认” 的复选框。

    8. 选择 Create stack 以部署堆栈。

    9. 等待约 20 分钟,以确保创建了所有相关资源。您可以选择 “资源” 和 “事件” 选项卡查看堆栈的状态。在 “输出” 选项卡中,您将看到门户网站的 URL 和 SigninRedirectUri。

  • 3 - 配置 OIDC 应用程序
  • 步骤三:配置 OIDC 应用程序(Configure OIDC application)

    将 SigninRedirectUriHTTP(S) 和 PortalUrlHTTP(S) 的值分别填入您的 OIDC 应用程序中的登录回调地址和退出回调地址中。

    选项一:Cognito

    1. 访问您的用户池。
    2. 选择 App integration
    3. 选择 Your App
    4. 进行以下配置。  

    选项二:Authing

    选项三:OKTA

  • 4 - 配置自定义域名
  • 步骤四:配置自定义域名(Configure custom domain name)

    如果在创建堆栈时填写了自定义域名,请将自定义域名的 CName 设置为 CloudFormation 输出选项卡中的 LoadBalancerDnsNameHTTP(S) 值。

    1. Outputs 选项卡中获取 LoadBalancerDnsNameHTTP(S) 作为终端节点。
    2. 在 DNS 解析器中创建一个指向终端地址的 CNAME 记录。
  • 5 - 访问控制台
  • 步骤五:访问控制台

    1. Outputs 选项卡中获取 PortalUrlHTTP(S) 的值。
    2. 在浏览器中输入该值,启动解决方案的控制台。
  • 6 - 部署 Agent 堆栈
  • 步骤六:部署 Agent 堆栈(Deploy agent stack)

    1. 登录 AWS 管理控制台,并使用下面的按钮启动 AWS CloudFormation 模板。

    您可以选择一个或多个账户部署 Agent 堆栈,从而检测敏感数据。

    从 AWS 控制台中启动

    从 AWS 全球区域部署 Agent template

    从 AWS 中国区域部署 Agent template

    2. 要在其他 AWS 区域中启动此解决方案,请使用控制台导航栏中的区域选择器。
    3. 在创建堆栈页面上,确认在 Amazon S3 URL 文本框中显示了正确的模板 URL,并选择下一步。
    4. 在指定堆栈详细信息页面上,输入一个堆栈名称。
    5. 在 Admin Account ID 字段中,输入管理员帐户的帐户 ID(12 位数字)。这意味着此帐户将成为由指定的管理员帐户监控的帐户。
    6. 按照步骤二:部署 Admin 堆栈中描述的剩余步骤完成 Agent 堆栈的部署。