目次

AWSアカウントの追加について

AWSアカウントをWorkload Securityに追加するには、いくつかの方法があります。

  • クイックセットアップを使用してAWSアカウントを追加します。この方法を使用して、1つ以上のAWSアカウントをすばやく追加できます。
  • クロスアカウントロールを使用してAWSアカウントを追加します。複数のAWSアカウントを追加する場合、またはクイックセットアップを使用しない場合は、この方法を使用します。

AWSアカウントを追加するとどうなりますか?

Workload SecurityにAWSアカウントを追加すると、そのアカウントのすべてのAmazon EC2およびAmazon WorkSpaceインスタンスが Workload Security にインポートされ、次のいずれかの場所で表示されます。

  • EC2インスタンスは、[コンピュータ]→[your_AWS_account]→[your_region]→[your_VPC]→[your_subnet] の下に表示されます。
  • Amazon WorkSpacesは、[コンピュータ]→[your_AWS_account]→[your_region]→[WorkSpaces] の下に表示されます。

インポートの完了後は、他のコンピュータと同じようにEC2とWorkSpaceのインスタンスを管理できます。これらのインスタンスはツリー構造であり、コンピュータグループとして扱われます。

Amazon EC2インスタンスまたはAmazon WorkSpacesが個別のコンピュータとして追加済みで、ご使用のAWSアカウントに含まれている場合は、アカウントのインポート後に、インスタンスは前述のツリー構造に移動します。

AWSアカウントを追加する

個々の EC2 インスタンスと WorkSpaces を追加するのではなく (Workload Security コンソール > Computers > Add Computerを通じて) AWS アカウントを追加する (Workload Security コンソール > Computers > Add AWS Accountを通じて) ことの利点は次のとおりです。

  • EC2およびWorkSpacesインベントリの変更は、 Workload Securityに自動的に反映されます。たとえば、AWSでいくつかのEC2インスタンスまたはWorkSpaceインスタンスを削除すると、これらのインスタンスは Workload Security コンソールから自動的に表示されなくなります。対照的に、 [コンピュータ]→[コンピュータの追加] を使用する場合、AWSから削除されたEC2およびWorkSpaceインスタンスは、 Workload Security コンソールで引き続き手動で削除されるまで表示されます。
  • EC2インスタンスとWorkSpaceインスタンスは、 Workload Security コンソールの[AWS region]→[VPC]サブネットに編成されており、どのインスタンスが保護されているか、どのインスタンスが保護されていないかを簡単に確認できます。AWSアカウントがないと、すべてのEC2インスタンスとWorkSpaceインスタンスが同じルートレベルの Computersに表示されます。
  • イベントベースタスク(EBT) でAWSメタデータを使用してポリシーの割り当てを簡素化できます。また、 スマートフォルダ でメタデータを使用して、AWSインスタンスを整理することもできます。
  • EC2およびWorkSpaceインスタンスの には、 に対して適切な料金が請求されます。

サポートされているAWSリージョン

Workload Securityの コンピュータ>追加> AWSアカウントの追加 オプションは、 iam.amazonaws.comでグローバルAWS IDアクセス管理(IAM)サービスを使用するAWSリージョンのみをサポートします。お住まいの地域でグローバルサービスが使用されているかどうかを確認するには、 this tableを参照してください。

執筆時点では、次のリージョンはグローバルIAMサービス (iam.amazonaws.com) を使用していません。

  • 中国(北京)
  • 中国(寧夏回族自治区)
  • AWS GovCloud(米国 - 東)
  • AWS GovCloud (米国)

これらのリージョン、およびグローバルIAMサービスを使用しないその他のリージョンでは、EC2およびWorkSpaceインスタンスをDeep Security REST APIを使用して Workload Securityにロードできます。トレンドマイクロでは、このサンプルスクリプト を提供しています。

AWSセキュリティグループを変更してポート443経由の送信トラフィックを許可する

送信トラフィックを制限するAWSセキュリティグループがある場合は、ポート443を介した送信通信を許可する必要があります。

  1. AWSマネジメントコンソールにログインして、[EC2] をクリックします。
  2. ナビゲーションペインで、[ Network&Security]→[Security Groups]の順に選択します。
  3. Security Groupページで、使用するインスタンスに関連付けられたセキュリティグループを選択し、そのグループのアウトバウンドルールを編集して、ポート443を経由するすべてのIPへのトラフィックを許可します。

また、送信トラフィックをさらに制限して、エージェントが使用する Workload Security IPs へのアクセスのみを許可することもできます。