このページでは、エージェントが組み込まれた状態で新しいAmazon EC2インスタンスとAmazon WorkSpacesを起動する方法について説明します。
既存のAmazon EC2インスタンスおよびAmazon WorkSpacesをWorkload Securityで保護する方法については、Amazon EC2およびWorkSpaceインスタンスにエージェントをインストールするを参照してください。
Amazon EC2 インスタンスを保護した後に Amazon WorkSpaces を保護する方法については、AWS アカウントを追加済みの場合の Amazon WorkSpaces の保護 を参照してください。
エージェントのベイク処理とは、パブリックAMIに基づいてEC2インスタンスを起動し、エージェントをインストールして、このカスタムEC2イメージをAMIとして保存するプロセスです。このAMI
(エージェントが組み込まれたもの) は、新しいAmazon EC2インスタンスを起動するときに選択できます。
同様に、エージェントを複数のAmazon WorkSpacesにデプロイする場合は、そのエージェントを含むカスタムWorkSpaceバンドルを作成できます。カスタムバンドルは、新しいAmazon
WorkSpacesを起動するときに選択できます。
AMIを統合し、事前にインストールされ、有効化されたAgentを使用してカスタムWorkSpaceバンドルを作成するには、次の手順に従います。
手順
次に進む前に
AWSアカウントを Workload Security
AWSアカウントをWorkload Securityに追加する必要があります。これらは、保護するAmazon EC2インスタンスとAmazon WorkSpacesを含むAWSアカウントです。
詳細については、AWSアカウントの追加についてを参照してください。
有効化の種類を設定する
Agentからの有効化を許可するかどうかを指定する必要があります。
手順については、Amazon EC2およびWorkSpacesにエージェントをインストールするおよびアクティベーションタイプを構成するを参照してください。
マスターAmazon EC2インスタンスまたはAmazon WorkSpaceを起動する
マスターAmazon EC2インスタンスまたはAmazon WorkSpaceを起動する必要があります。
手順
- AWSで、Amazon EC2インスタンスまたはAmazon WorkSpaceを起動します。詳細については、Amazon EC2ドキュメントおよびAmazon WorkSpacesドキュメントを参照してください。
- インスタンスマスターを呼び出します。
次に進む前に
マスターインスタンスは、これから作成するEC2 AMIまたはWorkSpaceバンドルの基になります。
Agentをマスターにインストールする
マスターにエージェントをインストールして有効化する必要があります。このプロセス中に、必要に応じてポリシーをインストールできます。
手順については、Amazon EC2およびWorkSpacesにエージェントをインストールするおよびAmazon EC2インスタンスおよびWorkSpacesにエージェントをデプロイするを参照してください。
理想的には、エージェントをAMIまたはワークスペースバンドルに組み込んでから、後で新しいエージェントを使用したい場合は、バンドルを更新して新しいエージェントを含めるべきです。しかし、これが不可能な場合は、エージェントのアクティベーション時に自動的にアップグレードする設定を使用することで、AMIまたはバンドル内のエージェントが自動的にアクティベートされると、Workload
Securityがエージェントを最新バージョンに自動的にアップグレードできます。詳細については、エージェントのアクティベーション時に自動的にアップグレードを参照してください。
Agentが適切にインストールされ有効化されたことを確認する
続行する前に、マスターにAgentが適切にインストールされ、有効化されていることを確認する必要があります。
手順については、Amazon EC2およびWorkSpacesにエージェントをインストールする > エージェントが正しくインストールおよびアクティベートされたことを確認する を参照してください。
ポリシーの自動割り当ての設定
必要に応じて、マスターへのエージェントの配信方法に応じて、ポリシーの自動割り当てを設定する必要があります。
- 配信スクリプトを使用した場合は、ポリシーがすでに割り当てられているため、これ以上の処理は必要ありません。
- エージェントを手動でインストールして有効化した場合は、 エージェントにポリシーが割り当てられていません。この時点でポリシーを割り当てて、マスターを保護する必要があります。マスターに基づいて起動されたAmazon EC2インスタンスとAmazon WorkSpacesも保護されます。
マスターにポリシーを割り当て、マスターを使用して今後EC2インスタンスまたはWorkSpaceにポリシーを自動割り当てする場合は、次の手順に従います。
手順
- Trend Cloud One - Endpoint & Workload Securityコンソールで、次のパラメータを使用してイベントベースのタスクを作成します:
- [イベント] を [Agentからのリモート有効化]に設定します。
- [ポリシーの割り当て] を割り当てるポリシーに設定します。
- 必要に応じて、次のいずれかを使用して条件を [クラウドインスタンスのメタデータ]に設定します。
- [tagKey]の[EC2]および[tagValue.]の[True](EC2インスタンスの場合)
- [WorkSpaces]の[tagKey]と[True]の[tagValue.](WorkSpaces用)
前述のイベントベースのタスクでは、次のように記述されています。エージェントが有効化されると、Amazon EC2インスタンスまたはWorkSpaceにEC2=true
またはWorkSpaces=true
が存在することを条件に、指定されたポリシーを割り当てます。そのキーと値のペアがEC2インスタンスまたはWorkSpaceに存在しない場合、ポリシーは割り当てられません (ただし、エージェントは有効化されたままです)。条件を指定しない場合、ポリシーはアクティベーション時に無条件で割り当てられます。イベントベースタスクの作成の詳細については、AWS EC2インスタンスタグに基づいてポリシーを自動的に割り当てるを参照してください。 - 前の手順でWorkload Securityコンソールでキーと値のペアを追加した場合は、次の手順を実行します。
- AWSにログインします。
- マスターEC2インスタンスまたはWorkSpaceを特定します。
- マスターに[Key]として[EC2]または[WorkSpaces]、[Value]として[True]のタグを追加します。詳細については、Amazon EC2のタグ付けに関するドキュメントおよびAmazon WorkSpaceのタグ付けに関するドキュメントを参照してください。これでポリシーの自動割り当てが設定されました。マスターを使用して起動された新しいAmazon EC2インスタンスおよびAmazon WorkSpacesは自動的にアクティブ化され (マスター上でエージェントが事前にアクティブ化されているため)、その後イベントベースのタスクを通じてポリシーが自動的に割り当てられます。
- マスターEC2インスタンスまたはWorkSpaceで、エージェントのアクティベーションコマンドを再実行するか、Workload Securityコンソールで[再アクティベート]をクリックしてエージェントを再アクティベートします。詳細については、エージェントのアクティベートを参照してください。再アクティベーションにより、イベントベースのタスクがポリシーをマスターに割り当てます。マスターは保護されています。これで、AMIをベイク処理するか、カスタムWorkSpaceバンドルを作成できます。
マスターに基づいてAMIまたはカスタムWorkSpaceバンドルを作成する
AWSからAMIを作成する場合は、作成前にインスタンスを[停止]することを忘れずに、AWS オプション[再起動不要]を選択しないでください。[再起動不要]オプションを使用して作成されたイメージは、エージェントによって保護されません。
- LinuxでAMIを作成するには、このAmazonのドキュメントを参照してください。
- WindowsでAMIを作成するには、このAmazonドキュメントを参照してください。
- カスタムWorkSpaceバンドルを作成するには、このAmazonドキュメントを参照してください。
これで、事前にインストールおよび有効化されたエージェントが含まれるAMIまたはWorkSpaceバンドルが作成されました。
AMIを使用する
カスタムAMIまたはWorkSpaceバンドルを作成すると、今後のAmazon EC2インスタンスおよびAmazon WorkSpacesのベースとして使用できます。カスタムAMIまたはバンドルを使用すると、
エージェントが自動的に起動し、自身をアクティベートして、割り当てられた保護ポリシーを適用します。Workload Securityコンソールには、ステータスの管理対象とそれの隣に緑のドットが表示されます。