このページでは、エージェントが組み込まれた状態で新しいAmazon EC2インスタンスとAmazon WorkSpacesを起動する方法について説明します。
既存のAmazon EC2インスタンスおよびAmazon WorkSpacesをWorkload Securityで保護する方法については、Amazon EC2およびWorkSpaceインスタンスにエージェントをインストールするを参照してください。
Amazon EC2 インスタンスを保護した後に Amazon WorkSpaces を保護する方法については、AWS アカウントを追加済みの場合の Amazon WorkSpaces の保護 を参照してください。
エージェントのベイク処理とは、パブリックAMIに基づいてEC2インスタンスを起動し、エージェントをインストールして、このカスタムEC2イメージをAMIとして保存するプロセスです。このAMI (エージェントが組み込まれたもの) は、新しいAmazon EC2インスタンスを起動するときに選択できます。
同様に、エージェントを複数のAmazon WorkSpacesにデプロイする場合は、そのエージェントを含むカスタムWorkSpaceバンドルを作成できます。カスタムバンドルは、新しいAmazon WorkSpacesを起動するときに選択できます。
AMIを統合し、事前にインストールされ、有効化されたAgentを使用してカスタムWorkSpaceバンドルを作成するには、次の手順に従います。

手順

  1. AWSアカウントをWorkload Securityに追加する
  2. アクティベーションタイプを設定する
  3. 'master' Amazon EC2 インスタンスまたは Amazon WorkSpace を起動する
  4. マスターにエージェントをデプロイする
  5. エージェントが正しくインストールおよび有効化されたことを確認してください
  6. (推奨) ポリシーの自動割り当てを設定
  7. マスターに基づいてAMIまたはカスタムWorkSpaceバンドルを作成する
  8. AMIを使用する

次に進む前に

AWSアカウントを Workload Security 親トピック

AWSアカウントをWorkload Securityに追加する必要があります。これらは、保護するAmazon EC2インスタンスとAmazon WorkSpacesを含むAWSアカウントです。
詳細については、AWSアカウントの追加についてを参照してください。

有効化の種類を設定する 親トピック

Agentからの有効化を許可するかどうかを指定する必要があります。

マスターAmazon EC2インスタンスまたはAmazon WorkSpaceを起動する 親トピック

マスターAmazon EC2インスタンスまたはAmazon WorkSpaceを起動する必要があります。

手順

  1. AWSで、Amazon EC2インスタンスまたはAmazon WorkSpaceを起動します。詳細については、Amazon EC2ドキュメントおよびAmazon WorkSpacesドキュメントを参照してください。
  2. インスタンスマスターを呼び出します。

次に進む前に

マスターインスタンスは、これから作成するEC2 AMIまたはWorkSpaceバンドルの基になります。

Agentをマスターにインストールする 親トピック

マスターにエージェントをインストールして有効化する必要があります。このプロセス中に、必要に応じてポリシーをインストールできます。
理想的には、エージェントをAMIまたはワークスペースバンドルに組み込んでから、後で新しいエージェントを使用したい場合は、バンドルを更新して新しいエージェントを含めるべきです。しかし、これが不可能な場合は、エージェントのアクティベーション時に自動的にアップグレードする設定を使用することで、AMIまたはバンドル内のエージェントが自動的にアクティベートされると、Workload Securityがエージェントを最新バージョンに自動的にアップグレードできます。詳細については、エージェントのアクティベーション時に自動的にアップグレードを参照してください。

Agentが適切にインストールされ有効化されたことを確認する 親トピック

続行する前に、マスターにAgentが適切にインストールされ、有効化されていることを確認する必要があります。

ポリシーの自動割り当ての設定 親トピック

必要に応じて、マスターへのエージェントの配信方法に応じて、ポリシーの自動割り当てを設定する必要があります。
  • 配信スクリプトを使用した場合は、ポリシーがすでに割り当てられているため、これ以上の処理は必要ありません。
  • エージェントを手動でインストールして有効化した場合は、 エージェントにポリシーが割り当てられていません。この時点でポリシーを割り当てて、マスターを保護する必要があります。マスターに基づいて起動されたAmazon EC2インスタンスとAmazon WorkSpacesも保護されます。
マスターにポリシーを割り当て、マスターを使用して今後EC2インスタンスまたはWorkSpaceにポリシーを自動割り当てする場合は、次の手順に従います。

手順

  1. Trend Cloud One - Endpoint & Workload Securityコンソールで、次のパラメータを使用してイベントベースのタスクを作成します:
    • [イベント][Agentからのリモート有効化]に設定します。
    • [ポリシーの割り当て] を割り当てるポリシーに設定します。
    • 必要に応じて、次のいずれかを使用して条件を [クラウドインスタンスのメタデータ]に設定します。
      • [tagKey][EC2]および[tagValue.][True](EC2インスタンスの場合)
      • [WorkSpaces][tagKey][True][tagValue.](WorkSpaces用)
    前述のイベントベースのタスクでは、次のように記述されています。
    エージェントが有効化されると、Amazon EC2インスタンスまたはWorkSpaceにEC2=trueまたはWorkSpaces=trueが存在することを条件に、指定されたポリシーを割り当てます。
    そのキーと値のペアがEC2インスタンスまたはWorkSpaceに存在しない場合、ポリシーは割り当てられません (ただし、エージェントは有効化されたままです)。条件を指定しない場合、ポリシーはアクティベーション時に無条件で割り当てられます。
    イベントベースタスクの作成の詳細については、AWS EC2インスタンスタグに基づいてポリシーを自動的に割り当てるを参照してください。
  2. 前の手順でWorkload Securityコンソールでキーと値のペアを追加した場合は、次の手順を実行します。
    1. AWSにログインします。
    2. マスターEC2インスタンスまたはWorkSpaceを特定します。
    3. マスターに[Key]として[EC2]または[WorkSpaces][Value]として[True]のタグを追加します。詳細については、Amazon EC2のタグ付けに関するドキュメントおよびAmazon WorkSpaceのタグ付けに関するドキュメントを参照してください。これでポリシーの自動割り当てが設定されました。マスターを使用して起動された新しいAmazon EC2インスタンスおよびAmazon WorkSpacesは自動的にアクティブ化され (マスター上でエージェントが事前にアクティブ化されているため)、その後イベントベースのタスクを通じてポリシーが自動的に割り当てられます。
  3. マスターEC2インスタンスまたはWorkSpaceで、エージェントのアクティベーションコマンドを再実行するか、Workload Securityコンソールで[再アクティベート]をクリックしてエージェントを再アクティベートします。詳細については、エージェントのアクティベートを参照してください。再アクティベーションにより、イベントベースのタスクがポリシーをマスターに割り当てます。マスターは保護されています。
    これで、AMIをベイク処理するか、カスタムWorkSpaceバンドルを作成できます。

マスターに基づいてAMIまたはカスタムWorkSpaceバンドルを作成する 親トピック

AWSからAMIを作成する場合は、作成前にインスタンスを[停止]することを忘れずに、AWS オプション[再起動不要]を選択しないでください。[再起動不要]オプションを使用して作成されたイメージは、エージェントによって保護されません。
これで、事前にインストールおよび有効化されたエージェントが含まれるAMIまたはWorkSpaceバンドルが作成されました。

AMIを使用する 親トピック

カスタムAMIまたはWorkSpaceバンドルを作成すると、今後のAmazon EC2インスタンスおよびAmazon WorkSpacesのベースとして使用できます。カスタムAMIまたはバンドルを使用すると、 エージェントが自動的に起動し、自身をアクティベートして、割り当てられた保護ポリシーを適用します。Workload Securityコンソールには、ステータスの管理対象とそれの隣に緑のドットが表示されます。