AWSアカウントの外部IDは、AWSアカウントをクロスアカウントロールを使用して追加する場合にのみ使用されます。
トピック:
外部IDについて 
クロスアカウントロールARNとともに、外部IDはあるAWSロールから別のロールへのアクセスを許可するために使用されます。外部IDは、あなたのアカウントのロールを引き受けたいと考えるサードパーティサービスによって提供されます。そのサービスがあなたの代わりに行動することを信頼する場合、その外部IDをクロスアカウントロールに追加します。この場合、Workload
Securityはあなたに外部IDを提供してあなたのAWSアカウントの代わりに行動するサードパーティサービスです。Workload Securityはこのアクセスを使用して、あなたのAWSアカウントから情報を同期し、リソースの最新の記録を維持します。詳細については、次のAWSドキュメントを参照してください:
あなたのAWSリソースへのアクセスを許可する際の外部IDの使用方法。
次の点に注意してください。
- 外部IDは、クロスアカウントロールを使用してAWSアカウントを追加する場合にのみ使用されます。
- 同じ外部IDが、クロスアカウントの役割を使用して追加されたすべてのAWSアカウントに使用されます。
外部IDを設定する
外部IDの設定は、クロスアカウントロールを追加するための大きなプロセスの一部です。詳細については、クロスアカウントロールを使用してAWSアカウントを追加するを参照してください。
外部IDを更新する
以前にクロスアカウントロールを使用してAWSアカウントを追加した場合、ユーザ定義の外部IDを指定している可能性があります。AWSのベストプラクティスにより適合させるために、トレンドマイクロはWorkload Securityで定義された外部IDへの切り替えを推奨します。
以前にユーザ定義の外部IDを使用して追加されたAWSアカウントは、引き続き通常どおり機能します。
現在、ユーザ定義またはマネージャ定義の外部IDを使用しているかどうか不明な場合は、次の手順に従って確認してください。
- Workload Securityにログインします。
- [コンピュータ]をクリックします。
- クロスアカウントロールを使用して追加されたAWSアカウントを右クリックし、[プロパティ]を選択します。
- 外部IDの横に[アップデート]リンクが表示される場合、ユーザ定義の外部IDが現在使用されており、更新が必要です。[アップデート]リンクが表示されない場合は、Workload Security定義の外部IDが現在使用されているため、特にアクションは必要ありません。
- クロスアカウントロールを使用して Workload Security に追加されたアカウントごとに、この手順を繰り返します。
Workload Securityコンソールを使用して外部IDを更新してください
手順
- まだ行っていない場合は、Workload Securityにログインし、更新したいAWSアカウントを右クリックして[プロパティ]を選択してください。
- 外部IDの横に表示される[アップデート]リンクをクリックします。[アップデート]リンクが消えます。
- 外部IDを書き留めます。次の手順でクロスアカウントロールを設定するときに必要になります。
- 外部IDが更新されたAWSアカウントにログインします。クロスアカウントロールのIAMポリシーを更新するには、古い外部IDを新しいアカウントIDに置き換えます。
- プロパティウィンドウに戻り、[適用]をクリックして変更を適用します。アカウントのユーザ定義外部IDがWorkload Security定義のものに更新されました。
- クロスアカウントロールを使用して Workload Security に追加されたアカウントごとに、この手順を繰り返します。
Workload Security APIを使用して外部IDを更新する
手順
- 新しいマネージャ定義の外部IDを持っていない場合は、
/api/awsconnectorsettingsエンドポイントを呼び出して取得してください (ExternalIdパラメータ)。 - クロスアカウントロールが設定されているAWSアカウントにログインします。クロスアカウントロールのIAMポリシーを更新するには、古い外部IDを新しいアカウントIDに置き換えます。クロスアカウントロールを使用して、 Workload Security に追加されたアカウントごとにこの手順を繰り返します。
/api/awsconnectorsエンドポイントを使用して、更新しているアカウントに対してUpdate actionを実行し、そのCrossAccountRoleARNパラメータを現在のロールARNと同じに設定します。リクエストオブジェクトに外部IDを提供しないでください。アカウントのユーザ定義の外部IDは、Workload Security定義のものに更新されました。
外部IDを取得する
Workload SecurityコンソールまたはAPIを使用して、クロスアカウントで使用するための外部IDを取得できます。
- Workload Securityコンソールの使用に関する情報は、クロスアカウントロールを使用してAWSアカウントを追加するを参照してください。
- APIを使用するには、
/api/awsconnectorsettingsエンドポイントを呼び出してExternalIdパラメータを取得します。
外部IDの取得を無効にする
Workload Security コンソールで外部IDを表示および取得する機能を無効にして、不正なアクセスを防ぐことができます。IDを一度取得して、秘密管理者などの安全な場所に保存してから、他のすべてのユーザの検索を無効にすることができます。
いつでも検索を有効にすることができます。
 |
警告外部IDの取得を無効にすると、AWSアカウントを追加するためのクイックセットアップ方法も無効になります。
|
検索を無効にするには
- Workload Securityにログインします。
- 上部の[管理]をクリックしてください。
- メインペインで、[セキュリティ]タブをクリックします。
- [AWS外部IDの取得と表示を有効にする]を選択解除します。
- [保存] をクリックします。
ロールを使用して外部IDへのアクセスを防ぐこともできます。詳細については、ユーザのロールを定義するを参照してください。