AWSアカウントをWorkload Securityに追加するには、いくつかの方法があります。
- クイックセットアップを使用してAWSアカウントを追加。この方法を使用して、1つ以上のAWSアカウントを迅速に追加します。
- クロスアカウントロールを使用してAWSアカウントを追加する。複数のAWSアカウントを追加したい場合や、クイックセットアップを使用したくない場合にこの方法を使用してください。
AWSアカウントを追加するとどうなりますか?
Workload SecurityにAWSアカウントを追加すると、そのアカウントのすべてのAmazon EC2およびAmazon WorkSpaceインスタンスが
Workload Security にインポートされ、次のいずれかの場所で表示されます。
- EC2インスタンスは、左側の の下に表示されます
- Amazon WorkSpacesは、左側の の下に表示されます
インポートの完了後は、他のコンピュータと同じようにEC2とWorkSpaceのインスタンスを管理できます。これらのインスタンスはツリー構造であり、コンピュータグループとして扱われます。
以前にAmazon EC2インスタンスやAmazon WorkSpacesを個別のコンピュータとして追加していて、それらがAWSアカウントの一部である場合、アカウントをインポートした後、インスタンスは説明されたツリー構造に移動されます。
AWSアカウントを追加する
個々の EC2 インスタンスと WorkSpaces を追加するのではなく (Workload Security コンソール >
を通じて) AWS アカウントを追加する (Workload Security コンソール > を通じて) ことの利点は次のとおりです。- EC2およびWorkSpacesインベントリの変更は、 Workload Securityに自動的に反映されます。たとえば、AWSでいくつかのEC2インスタンスまたはWorkSpaceインスタンスを削除すると、これらのインスタンスは Workload Security コンソールから自動的に表示されなくなります。対照的に、 を使用する場合、AWSから削除されたEC2およびWorkSpaceインスタンスは、 Workload Security コンソールで引き続き手動で削除されるまで表示されます。
- Workload Securityコンソールでは、EC2およびWorkSpaceインスタンスが[AWS region > VPC > subnet]に整理されており、保護されているインスタンスと保護されていないインスタンスを簡単に確認できます。AWSアカウントがない場合、すべてのEC2およびWorkSpaceインスタンスは[コンピュータ]の同じルートレベルに表示されます。
- AWSメタデータを取得すると、イベントベースタスク (EBTs)で使用してポリシーの割り当てを簡素化できます。また、メタデータをスマートフォルダで使用してAWSインスタンスを整理することもできます。
- お客様のEC2およびWorkSpaceインスタンスは、適切な料金で請求されます。
サポートされているAWSリージョン
Workload Securityの
オプションは、iam.amazonaws.com
でグローバルAWS IDアクセス管理 (IAM) サービスを使用するAWSリージョンのみをサポートします。お住まいの地域でグローバルサービスが使用されているかどうかを確認するには、this tableを参照してください。執筆時点では、次の地域はグローバルIAMサービス (
iam.amazonaws.com
) を使用していません:- 中国(北京)
- 中国(寧夏回族自治区)
- AWS GovCloud(米国 - 東)
- AWS GovCloud (米国)
これらのリージョンおよびグローバルIAMサービスを使用しない可能性のある他のリージョンについても、Deep Security REST APIを使用してEC2およびWorkSpaceインスタンスをWorkload Securityにロードすることができます。トレンドマイクロは、このサンプルスクリプトを提供しています。
AWSセキュリティグループを変更してポート443経由の送信トラフィックを許可する
送信トラフィックを制限するAWSセキュリティグループがある場合は、ポート443を介した送信通信を許可する必要があります。
- Amazon Web Servicesコンソールにログインし、[EC2]をクリックしてください。
- ナビゲーションペインで、 に移動します。
- [セキュリティグループ]ページで、インスタンスに関連付けられているセキュリティグループを選択し、グループのアウトバウンドルールを編集して、ポート443経由で全てのIPへのトラフィックを許可します。
送信トラフィックをさらに制限して、エージェントが使用するWorkload Security IPへのアクセスのみを許可することもできます。