目次
このページのトピック
サポートされるクラウドプロバイダ
Cloud Oneに必要な権限
Cloud One - Network Security
クラウドプロバイダへの接続方法

クラウドアカウント管理について

クラウドアカウント機能を使用すると、クラウドプロバイダをTrend Cloud Oneに簡単に接続して、 Cloud One でクラウドアカウントのリソースを保護できます。

サポートされるクラウドプロバイダ

現在、AWSおよびGoogle Cloud Platform(GCP)の File Storage Security 保護には、共通のクラウドアカウント機能が使用されています。今後さらにサポートと統合が追加される予定です。 Cloud One のその他のサービスについては、クラウドアカウントをサービスに直接接続してください。

Cloud Oneに必要な権限

必要な読み取り専用権限については、各クラウドプロバイダの設定手順を参照してください。 GCPアカウントを追加するときは、 Cloud One に 閲覧者のロールを付与する必要があります。リソースやデータを変更する権限は付与されません。

Cloud One - Network Security

ホスト型インフラストラクチャの展開には、書き込み権限が必要です。 以下は、要求される書き込みアクセス許可と、それらの許可によって有効になる機能の内訳です。 Network Securityは、書き込み権限がなくても、ユーザ環境に関する情報を読み取ることができます。

権限が要求されました Reason
cloudformation:CreateStack

これらの権限により、 Cloud OneはCloudFormationを使用して、ホストされたインフラストラクチャでNetwork Security用のサブネットとVPCエンドポイントを管理することができます。

Cloud Oneでは、このためにCloudFormationテンプレートを使用して、セキュリティサブネットとエンドポイントでInfrastructure as Codeの利点を活用しています。

AWSでは、 Cloud One CloudFormationスタックの使用を、ここに記載されているその他の権限のみに制限します。
cloudformation:DeleteStack
ec2:CreateSubnet

これらの権限により、 Cloud OneはサブネットとVPCエンドポイントを作成して、ホストされたインフラストラクチャを使用してNetwork Securityをアカウントにデプロイすることができます。

これらは、 Cloud Oneが必要なリソースをAWSアカウントにデプロイし、ホスト型インフラストラクチャでNetwork Securityを使用してトラフィックを検査するために必要です。
ec2:CreateTags
ec2:CreateVpcEndpoint
ec2:DeleteSubnet
ec2:DeleteVpcEndpoints
ログ:CreateLogGroup

これらの権限により、 Cloud Oneは、ホスト型インフラストラクチャを使用するNetwork Securityのために、AWSアカウントのCloudWatch Logsにログを送信することができます。

これらのログには、 Network Securityによってブロックされるフローなどの項目が含まれます。
logs:CreateLogStream
logs:PutLogEvents

クラウドプロバイダへの接続方法

Cloud One は、OpenID Connect(OIDC)を使用して、外部IDプロバイダとして機能する Cloud OneとAWSやGCPなどのサードパーティのクラウドプロバイダとの間に信頼関係を構築します。