エージェントをAMIまたはWorkSpaceバンドルにインストールする

Agentが「統合」されている新しいAmazon EC2インスタンスとAmazon WorkSpacesを起動する場合は、このページを参照してください。

ただし、次の場合にはそれぞれの手順に従ってください。

「Agentの統合」はパブリックAMIをベースにしてEC2インスタンスを起動するプロセスで、AgentをEC2インスタンスにインストールした後にこのカスタムEC2イメージをAMIとして保存します。このAMI (Agentが「統合」されている) を新しいAmazon EC2インスタンスの起動時に選択できます。

同様に、 Deep Security Agentを複数のAmazon WorkSpacesに配信する場合は、エージェントを含むカスタムの「WorkSpaceバンドル」を作成できます。カスタムバンドルを新しいAmazon WorkSpacesの起動時に選択できます。

AMIを統合し、事前にインストールされ、有効化されたAgentを使用してカスタムWorkSpaceバンドルを作成するには、次の手順に従います。

  1. AWSアカウントを Workload Security
  2. 有効化の種類を設定する
  3. 「マスター」Amazon EC2インスタンスまたはAmazon WorkSpaceを起動する
  4. Agentをマスターにインストールする
  5. Agentが適切にインストールされ有効化されたことを確認する
  6. (推奨) 自動ポリシー割り当てを設定する
  7. マスターに基づいてAMIまたはカスタムWorkSpaceバンドルを作成する
  8. AMIを使用する

AWSアカウントを Workload Security

AWSアカウントを Workload Securityに追加する必要があります。これらは、保護するAmazon EC2インスタンスおよびAmazon WorkSpacesを含むAWSアカウントです。

詳細については、 AWSアカウントの追加について を参照してください。

有効化の種類を設定する

Agentからのリモート有効化を許可するかどうかを示す必要があります。

手順については、「Amazon EC2およびWorkSpacesへのAgentのインストール」「有効化の種類を設定する」を参照してください。

「マスター」Amazon EC2インスタンスまたはAmazon WorkSpaceを起動する

「マスター」Amazon EC2インスタンスまたはAmazon WorkSpaceを起動する必要があります。マスターインスタンスは、これから作成するEC2 AMIまたはWorkSpaceバンドルの基になります。

  1. AWSで、Amazon EC2インスタンスまたはAmazon WorkSpacesを起動します。詳細についてはAmazon EC2ドキュメントAmazon WorkSpacesドキュメントを参照してください。
  2. このインスタンスを「マスター」とします。

Agentをマスターにインストールする

マスターにAgentをインストールして有効にする必要があります。このプロセスでは、オプションでポリシーをインストールできます。

手順については、「Amazon EC2およびWorkSpacesへのAgentのインストール」「AgentをAmazon EC2インスタンスおよびWorkSpacesにインストールする」を参照してください。

AgentをAMIまたはWorkSpaceバンドルに統合し、後から新しいAgentを使用する場合は、バンドルをアップデートして新しいAgentを追加するのが理想的です。ただし、これが不可能な場合は、Agentを有効化するときに自動的にアップグレードするする設定を使用できます。このため、AMIまたはバンドルのエージェントがアクティベートする場合は、Workload Securityでは自動的にエージェントを最新バージョンにアップグレードできます。詳細については、「Agentを有効化するときに自動的にアップグレードする」を参照してください。

Agentが適切にインストールされ有効化されたことを確認する

続行する前に、マスターにAgentが適切にインストールされ、有効化されていることを確認する必要があります。

手順については、「Amazon EC2およびWorkSpacesへのAgentのインストール」「Agentが適切にインストールされ有効化されたことを確認する」を参照してください。

(推奨) 自動ポリシー割り当てを設定する

マスターにAgentをどのようにインストールしたかによって、自動ポリシー割り当てを設定する必要があります。

  • インストールスクリプトを使用した場合、ポリシーはすでに割り当てられており、追加の処理は必要ありません。
  • Agentを手動でインストールして有効にした場合は、Agentにポリシーが割り当てられていないため、ポリシーを割り当ててマスターを保護する必要があります。マスターに基づいて起動されるAmazon EC2インスタンスおよびAmazon WorkSpacesも保護されます。

マスターにポリシーを割り当て、マスターを使用して今後EC2インスタンスまたはWorkSpaceにポリシーを自動割り当てする場合は、次の手順に従います。

  1. Workload Security コンソールで、次のパラメータを使用してイベントベースのタスクを作成します。

    • イベントAgentからのリモート有効化に設定します。
    • [ポリシーの割り当て] を割り当てるポリシーに設定します。
    • (オプション)条件を クラウドインスタンスのメタデータに設定します。
      • EC2tagKey および tagValue.True* (EC2インスタンスの場合)
      • WorkSpacestagKey および tagValue. of True* (for WorkSpaces)

    上記のイベントベースのタスクは次のように述べています。

    エージェントがアクティブ化されたときに、EC2=trueという条件で、指定されたポリシーを割り当てます またはWorkSpaces=trueAmazon EC2インスタンスに存在します またはWorkSpace。

    このキー/値ペアがAmazon EC2インスタンスまたはWorkSpaceに存在しない場合、ポリシーは割り当てられません (Agentの有効化は維持されます)。条件を設定しないと、有効化時に無条件でポリシーが割り当てられます。

    イベントベースタスクの作成の詳細については、「AWS EC2インスタンスタグに基づくポリシーの自動割り当て」を参照してください。

  2. 前の手順でWorkload Securityコンソールに key/value ペアを追加した場合は、次の手順を実行します。

    1. AWSにログインします。
    2. マスターEC2インスタンスまたはWorkSpaceを特定します。
    3. タグに [Key][EC2] または [WorkSpaces] を、[Value][True] を設定して、マスターに追加します。
      詳細については、タグ付けに関するAmazon EC2のドキュメントタグ付けに関するAmazon WorkSpaceのドキュメントを参照してください。
      これで、自動ポリシー割り当てが設定されました。マスターを使用して起動した新しいAmazon EC2インスタンスおよびAmazon WorkSpaceは、自動的に有効化され (Agentはマスターで事前に有効化されるため)、イベントベースタスクでポリシーが自動的に割り当てられます。
  3. マスターEC2インスタンスまたはWorkSpaceで、エージェントでアクティベーションコマンドを再実行するか、Workload Securityコンソールを使用します。詳細については、「Agentの有効化」を参照してください。
    再有効化を実行すると、イベントベースタスクがポリシーをマスターに割り当てます。これでマスターは保護されます。

AMIまたはカスタムWorkSpaceバンドルを作成する準備ができました。

マスターに基づいてAMIまたはカスタムWorkSpaceバンドルを作成する

Agentが事前にインストールされ、有効化されたAMIまたはWorkSpaceバンドルが作成されました

AMIを使用する

カスタムAMIまたはWorkSpaceバンドルを作成すると、今後のAmazon EC2インスタンスおよびAmazon WorkSpacesのベースとして使用できます。カスタムAMIまたはバンドルを使用すると、 Deep Security Agentは自動的に起動し、自身をアクティベートして、割り当てられた保護ポリシーを適用します。Workload Securityコンソールには、ステータスの管理対象とそれの隣に緑のドットが表示されます。