エージェントをAMIまたはWorkSpaceバンドルにインストールする

このページでは、エージェントが組み込まれた状態で新しいAmazon EC2インスタンスとAmazon WorkSpacesを起動する方法について説明します。

既存のAmazon EC2インスタンスおよびAmazon WorkSpacesをWorkload Securityで保護する方法については、Amazon EC2およびWorkSpaceインスタンスへのエージェントのインストール を参照してください。

Amazon EC2インスタンスを保護した後でAmazon WorkSpacesを保護する方法については、AWSアカウントをすでに追加している場合はAmazon WorkSpacesを保護するを参照してください。

エージェントのベイク処理とは、パブリックAMIに基づいてEC2インスタンスを起動し、エージェントをインストールして、このカスタムEC2イメージをAMIとして保存するプロセスです。このAMI (エージェントが組み込まれたもの) は、新しいAmazon EC2インスタンスを起動するときに選択できます。

同様に、エージェントを複数のAmazon WorkSpacesにデプロイする場合は、そのエージェントを含むカスタムWorkSpaceバンドルを作成できます。カスタムバンドルは、新しいAmazon WorkSpacesを起動するときに選択できます。

AMIを統合し、事前にインストールされ、有効化されたAgentを使用してカスタムWorkSpaceバンドルを作成するには、次の手順に従います。

1. AWSアカウントを Workload Security
2. 有効化の種類を設定する
3. 「マスター」Amazon EC2インスタンスまたはAmazon WorkSpaceを起動する
4. Agentをマスターにインストールする
5. Agentが適切にインストールされ有効化されたことを確認する
6. (推奨) 自動ポリシー割り当てを設定する
7. マスターに基づいてAMIまたはカスタムWorkSpaceバンドルを作成する
8. AMIを使用する

AWSアカウントを Workload Security

AWSアカウントをWorkload Securityに追加する必要があります。これらは、保護するAmazon EC2インスタンスとAmazon WorkSpacesを含むAWSアカウントです。

詳細については、 AWSアカウントの追加について を参照してください。

有効化の種類を設定する

Agentからの有効化を許可するかどうかを指定する必要があります。

手順については、Amazon EC2およびWorkSpacesにエージェントをインストールする およびアクティベーションタイプの設定 を参照してください。

マスターAmazon EC2インスタンスまたはAmazon WorkSpace {#Step2}の起動

マスターAmazon EC2インスタンスまたはAmazon WorkSpaceを起動する必要があります。

1. AWSで、Amazon EC2インスタンスまたはAmazon WorkSpacesを起動します。詳細についてはAmazon EC2ドキュメントとAmazon WorkSpacesドキュメントを参照してください。
2. インスタンスマスターを呼び出します。

マスターインスタンスは、これから作成するEC2 AMIまたはWorkSpaceバンドルの基になります。

Agentをマスターにインストールする

マスターにエージェントをインストールして有効化する必要があります。このプロセス中に、必要に応じてポリシーをインストールできます。

手順については、Amazon EC2とWorkSpacesにエージェントをインストールする および Amazon EC2インスタンスとWorkSpacesにエージェントをデプロイする を参照してください。

理想的には、AgentをAMIまたはワークスペースバンドルに組み込み、後で新しいAgentを使用する場合は、バンドルをアップデートして新しいAgentを含める必要があります。ただし、これが不可能な場合は、[アクティベーション時にAgentを自動的にアップグレードする] 設定を使用して、AMIまたはバンドル内のAgentが自動的にアクティベートされたときに、Workload SecurityがAgentを最新バージョンに自動的にアップグレードできます。詳細については、アクティベーション時にAgentを自動的にアップグレードする を参照してください。

Agentが適切にインストールされ有効化されたことを確認する

続行する前に、マスターにAgentが適切にインストールされ、有効化されていることを確認する必要があります。

手順については、Amazon EC2およびWorkSpacesにエージェントをインストールする → エージェントが正しくインストールおよび有効化されたことを確認する を参照してください。

ポリシーの自動割り当ての設定

必要に応じて、マスターへのエージェントの配信方法に応じて、ポリシーの自動割り当てを設定する必要があります。

• 配信スクリプトを使用した場合は、ポリシーがすでに割り当てられているため、これ以上の処理は必要ありません。
• エージェントを手動でインストールして有効化した場合は、 エージェントにポリシーが割り当てられていません。この時点でポリシーを割り当てて、マスターを保護する必要があります。マスターに基づいて起動されたAmazon EC2インスタンスとAmazon WorkSpacesも保護されます。

マスターにポリシーを割り当て、マスターを使用して今後EC2インスタンスまたはWorkSpaceにポリシーを自動割り当てする場合は、次の手順に従います。

1. Trend Cloud One - Endpoint & Workload Securityコンソールで、次のパラメータを使用してイベントベースのタスクを作成します。

   • イベント を Agentからのリモート有効化に設定します。
   • [ポリシーの割り当て] を割り当てるポリシーに設定します。
   • 必要に応じて、次のいずれかを使用して条件を クラウドインスタンスのメタデータに設定します。
     • EC2 の tagKey と tagValue. の True (EC2インスタンス用)
     • WorkSpaces の tagKey と tagValue. の True (WorkSpaces用)

   前述のイベントベースのタスクでは、次のように記述されています。

   エージェントがアクティブ化されたときに、EC2=trueという条件で、指定されたポリシーを割り当てます またはWorkSpaces=trueAmazon EC2インスタンスに存在します またはWorkSpace。

   そのキーと値のペアがEC2インスタンスまたはWorkSpaceに存在しない場合、ポリシーは割り当てられません (ただし、エージェントは有効化されたままです)。条件を指定しない場合、ポリシーはアクティベーション時に無条件で割り当てられます。

   イベントベースタスクの作成の詳細については、「AWS EC2インスタンスタグに基づくポリシーの自動割り当て」を参照してください。

2. 前の手順でWorkload Securityコンソールでキーと値のペアを追加した場合は、次の手順を実行します。

   1. AWSにログインします。
   2. マスターEC2インスタンスまたはWorkSpaceを特定します。
   3. タグに [Key] は [EC2] または [WorkSpaces] を、[Value] は [True] を設定して、マスターに追加します。
      詳細については、タグ付けに関するAmazon EC2ドキュメント および タグ付けに関するAmazon WorkSpaceドキュメント を参照してください。
      これで、自動ポリシー割り当てが設定されました。マスターを使用して起動した新しいAmazon EC2インスタンスおよびAmazon WorkSpaceは、自動的に有効化され (Agentはマスターで事前に有効化されるため)、イベントベースタスクでポリシーが自動的に割り当てられます。
3. マスターEC2インスタンスまたはWorkSpaceで、エージェントでアクティベーションコマンドを再実行するか、Workload Securityコンソールで[ Reactivate ] をクリックして、 エージェントを再アクティベートします。詳細については、エージェントを有効にする を参照してください。 再有効化により、イベントベースタスクによってポリシーがマスターに割り当てられます。マスターは保護されています。

これで、AMIをベイク処理するか、カスタムWorkSpaceバンドルを作成できます。

マスターに基づいてAMIまたはカスタムWorkSpaceバンドルを作成する

AWSからAMIを作成する場合は、作成前にインスタンスを 停止 することを忘れずに、AWS オプション 再起動不要を選択しないでください。 再起動不要 オプションを使用して作成されたイメージは、エージェントによって保護されません。

• LinuxでAMIを作成する場合は、このAmazonドキュメントを参照してください。
• WindowsでAMIを作成する場合は、このAmazonドキュメントを参照してください。
• カスタムWorkSpaceバンドルを作成するには、このAmazonドキュメントを参照してください。

これで、事前にインストールおよび有効化されたエージェントが含まれるAMIまたはWorkSpaceバンドルが作成されました。

AMIを使用する

カスタムAMIまたはWorkSpaceバンドルを作成すると、今後のAmazon EC2インスタンスおよびAmazon WorkSpacesのベースとして使用できます。カスタムAMIまたはバンドルを使用すると、 エージェントが自動的に起動し、自身をアクティベートして、割り当てられた保護ポリシーを適用します。Workload Securityコンソールには、ステータスの管理対象とそれの隣に緑のドットが表示されます。