エージェントをAMIまたはWorkSpaceバンドルにインストールする

Agentが「統合」されている新しいAmazon EC2インスタンスとAmazon WorkSpacesを起動する場合は、このページを参照してください。

ただし、次の場合にはそれぞれの手順に従ってください。

「Agentの統合」はパブリックAMIをベースにしてEC2インスタンスを起動するプロセスで、AgentをEC2インスタンスにインストールした後にこのカスタムEC2イメージをAMIとして保存します。このAMI (Agentが「統合」されている) を新しいAmazon EC2インスタンスの起動時に選択できます。

同様に、Deep Security Agentを複数のAmazon WorkSpacesに配信する場合は、エージェントを含むカスタムの「WorkSpaceバンドル」を作成できます。カスタムバンドルを新しいAmazon WorkSpacesの起動時に選択できます。

AMIを統合し、事前にインストールされ、有効化されたAgentを使用してカスタムWorkSpaceバンドルを作成するには、次の手順に従います。

  1. AWSアカウントをWorkload Securityに追加する
  2. 有効化の種類を設定する
  3. 「マスター」Amazon EC2インスタンスまたはAmazon WorkSpaceを起動する
  4. Agentをマスターにインストールする
  5. Agentが適切にインストールされ有効化されたことを確認する
  6. (推奨) 自動ポリシー割り当てを設定する
  7. マスターに基づいてAMIまたはカスタムWorkSpaceバンドルを作成する
  8. AMIを使用する

AWSアカウントをWorkload Securityに追加する

AWSアカウントをWorkload Securityに追加する必要があります。これらは、保護するAmazon EC2インスタンスおよびAmazon WorkSpacesを含むAWSアカウントです。

詳細については、AWSアカウントの追加についてを参照してください。

有効化の種類を設定する

Agentからのリモート有効化を許可するかどうかを示す必要があります。

手順については、「Amazon EC2およびWorkSpacesへのAgentのインストール」「有効化の種類を設定する」を参照してください。

「マスター」Amazon EC2インスタンスまたはAmazon WorkSpaceを起動する

「マスター」Amazon EC2インスタンスまたはAmazon WorkSpaceを起動する必要があります。マスターインスタンスは、これから作成するEC2 AMIまたはWorkSpaceバンドルの基になります。

  1. AWSで、Amazon EC2インスタンスまたはAmazon WorkSpacesを起動します。詳細についてはAmazon EC2ドキュメントAmazon WorkSpacesドキュメントを参照してください。
  2. このインスタンスを「マスター」とします。

Agentをマスターにインストールする

マスターにAgentをインストールして有効にする必要があります。このプロセスでは、オプションでポリシーをインストールできます。

手順については、「Amazon EC2およびWorkSpacesへのAgentのインストール」「AgentをAmazon EC2インスタンスおよびWorkSpacesにインストールする」を参照してください。

AgentをAMIまたはWorkSpaceバンドルに統合し、後から新しいAgentを使用する場合は、バンドルをアップデートして新しいAgentを追加するのが理想的です。ただし、これが不可能な場合は、Agentを有効化するときに自動的にアップグレードするする設定を使用できます。このため、AMIまたはバンドルのエージェントがアクティベートする場合は、Workload Securityでは自動的にエージェントを最新バージョンにアップグレードできます。詳細については、「Agentを有効化するときに自動的にアップグレードする」を参照してください。

Agentが適切にインストールされ有効化されたことを確認する

続行する前に、マスターにAgentが適切にインストールされ、有効化されていることを確認する必要があります。

手順については、「Amazon EC2およびWorkSpacesへのAgentのインストール」「Agentが適切にインストールされ有効化されたことを確認する」を参照してください。

(推奨) 自動ポリシー割り当てを設定する

マスターにAgentをどのようにインストールしたかによって、自動ポリシー割り当てを設定する必要があります。

  • インストールスクリプトを使用した場合、ポリシーはすでに割り当てられており、追加の処理は必要ありません。
  • Agentを手動でインストールして有効にした場合は、Agentにポリシーが割り当てられていないため、ポリシーを割り当ててマスターを保護する必要があります。マスターに基づいて起動されるAmazon EC2インスタンスおよびAmazon WorkSpacesも保護されます。

マスターにポリシーを割り当て、マスターを使用して今後EC2インスタンスまたはWorkSpaceにポリシーを自動割り当てする場合は、次の手順に従います。

  1. Workload Securityコンソールで、次のパラメータを使用してイベントベースのタスクを作成します。
    • イベントAgentからのリモート有効化に設定します。
    • [ポリシーの割り当て] を割り当てるポリシーに設定します。
    • (オプション) 条件を [クラウドインスタンスのメタデータ] に設定して、
      • [tagKey][EC2][tagValue.][True]にします (EC2インスタンスの場合)。
        または
      • [tagKey][WorkSpaces] に、[tagValue.]を [True] にします (WorkSpacesの場合)

      上記のイベントベースのタスクは次のように述べています。
      エージェントがアクティブ化されたときに、EC2 = trueという条件で、指定されたポリシーを割り当てます またはWorkSpaces = true Amazon EC2インスタンスに存在します またはWorkSpace
      このキー/値ペアがAmazon EC2インスタンスまたはWorkSpaceに存在しない場合、ポリシーは割り当てられません (Agentの有効化は維持されます)。条件を設定しないと、有効化時に無条件でポリシーが割り当てられます。
      イベントベースタスクの作成の詳細については、「AWS EC2インスタンスタグに基づくポリシーの自動割り当て」を参照してください。

  2. 前の手順でWorkload Securityコンソールに key/value ペアを追加した場合は、次の手順を実行します。
    1. AWSにログインします。
    2. マスターEC2インスタンスまたはWorkSpaceを特定します。
    3. タグに [Key][EC2] または [WorkSpaces] を、[Value][True] を設定して、マスターに追加します。
      詳細については、タグ付けに関するAmazon EC2のドキュメントタグ付けに関するAmazon WorkSpaceのドキュメントを参照してください。
      これで、自動ポリシー割り当てが設定されました。マスターを使用して起動した新しいAmazon EC2インスタンスおよびAmazon WorkSpaceは、自動的に有効化され (Agentはマスターで事前に有効化されるため)、イベントベースタスクでポリシーが自動的に割り当てられます。
  3. マスターEC2インスタンスまたはWorkSpaceで、エージェントでアクティベーションコマンドを再実行するか、Workload Securityコンソールを使用します。詳細については、「Agentの有効化」を参照してください。
    再有効化を実行すると、イベントベースタスクがポリシーをマスターに割り当てます。これでマスターは保護されます。

AMIまたはカスタムWorkSpaceバンドルを作成する準備ができました。

マスターに基づいてAMIまたはカスタムWorkSpaceバンドルを作成する

Agentが事前にインストールされ、有効化されたAMIまたはWorkSpaceバンドルが作成されました。

AMIを使用する

カスタムAMIまたはWorkSpaceバンドルを作成すると、今後のAmazon EC2インスタンスおよびAmazon WorkSpacesのベースとして使用できます。カスタムAMIまたはバンドルを使用すると、Deep Security Agentは自動的に起動し、自身をアクティベートして、割り当てられた保護ポリシーを適用します。Workload Securityコンソールには、ステータス管理対象とそれの隣に緑のドットが表示されます。