このページのトピック
クロスアカウントロールを使用したAWSアカウントの追加
クロスアカウントロールを使用してAWSアカウントを追加できます。複数のAWSアカウントを追加する場合、または単一のアカウントを追加するがクイックセットアップ方法 を使用しない場合は、クロスアカウントロールを使用します。
次の手順では、AWSアカウントAという名前のAWSアカウントを追加することを想定しています。
クロスアカウントロールは、 Workload Security APIから追加することもできます。詳細については、 API でアカウントを追加するを参照してください。
まず、 Workload Security アカウントID
Workload Security アカウントID: 147995105371
このIDは、後でクロスアカウントロールを作成するときに必要になります。
次に、managerのインスタンスの役割を設定します。
- Workload Security コンソールで、上部にある[管理] をクリックします。
- 左側にある [システム設定] をクリックします。
- メイン画面の [詳細] タブをクリックします。
- 下にスクロールして、[Manager AWS ID] セクションを探します。
- [Managerインスタンスロールを使用] が選択されていることを確認します。
- [保存] をクリックします。
次に、外部IDを取得します。
- Workload Securityにログインします。
- 上部の [コンピュータ] をクリックします。
- [追加]→[AWSアカウントの追加]をクリックします。ウィザードが表示されます。
- [詳細]をクリックし、[次へ]をクリックします。
- 隠された外部IDの横にある目のアイコンをクリックして表示します。このIDの詳細については、 外部IDとはを参照してください。
- 外部IDを安全な場所にコピーします。次の手順で、AWSアカウントAと追加するその他のAWSアカウントを設定する必要があります。
- 必要に応じて、ウィザードとWorkload Securityコンソールを閉じます。
次に、AWSアカウントAのIAMポリシーを設定します。
- AWSアカウントAにログインしていることを確認してください。
- Amazon Web Services Consoleで、 IAM サービスに移動します。
- 左側のナビゲーションペインで [Policies] をクリックします。
この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。
- [Create policy] をクリックします。
- [JSON]タブを選択します。
- テキストボックスに次のJSONコードをコピーします。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "cloudconnector", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "workspaces:DescribeWorkspaces", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeTags", "iam:ListAccountAliases", "iam:GetRole", "iam:GetRolePolicy" ], "Effect": "Allow", "Resource": "*" } ] }"iam:GetRole" および "iam:GetRolePolicy" 権限は任意ですが、追加のAWSが必要な Workload Security のアップデート時に Workload Security が正しいポリシーを持っているかどうかを判断できるため、この権限はオプションです。アクセス許可。
- [Review policy] をクリックします。
- ポリシーの名前と説明を指定します。例の名前:
Workload_Security_Policy_Cross。 - [Create policy] をクリックします。これでポリシーを使用する準備ができました。
次に、AWSアカウントAのクロスアカウントロールを作成します。
- AWSアカウントAにログインしていることを確認します。
- [IAM] サービスに移動します。
- 左側のナビゲーションペインで [Roles] をクリックします。
- メイン画面で、[Create role] をクリックします。
- [別のAWSアカウント] をクリックします。
- [アカウントID] フィールドに、Workload SecurityアカウントIDを入力します。内容:
147995105371 - [Options] の横にある [Require external ID] を有効にします。[外部ID]フィールドに、以前に Workload Security コンソールから取得した外部IDを入力します。
- [Next: Permissions] をクリックします。
- 作成したIAMポリシー(例:
Workload_Security_Policy_Cross)を選択し、をクリックします。[次へ]:を確認します。 - Review ページで、役割の名前と説明を入力します。ロール名の例:
Workload_Security_Role_Cross。 - メインの役割ページで、作成した役割(
Workload_Security_Role_Cross)を検索します。 - 検索した役割をクリックします。
- 上部にある [ロールARN] フィールドを探します。次のようになります。
arn:aws:iam::2222222222:role/Workload_Security_Role_Cross - Role ARN の値をメモします。後で必要になります。
これで、AWSアカウントAの下にクロスアカウントの役割が設定されました。ここには、適切なポリシーが含まれ、AWSプライマリアカウントの参照が含まれます。
次に、AWS Account Aを Workload Securityに追加します。
- Workload Securityにログインします。
- 上部の [コンピュータ] をクリックします。
- [追加]→[AWSアカウントの追加]をクリックします。
- [詳細] を選択し、[次へ] をクリックします。
- [クロスアカウントロールを使用] を選択します。
- AWS Account Aの クロスアカウントロールARNを入力します。クロスアカウントロールを作成した時点でこれが以前の例です。この例では、
arn:aws:iam::2222222222:role/Workload_Security_Role_Cross - AWSアカウントAにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。このチェックボックスをオンにすると、 Workload Security コンソールの ツリー構造 の正しい場所にAmazon WorkSpacesが表示され、正しい料金が請求されます。
- [Next] をクリックします。
AWSアカウントAのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。
AWS Account Aが Workload Securityに追加されました。
前述の手順を完了し、まだエージェントをインストールしていない場合は、Amazon EC2およびWorkSpaceインスタンスへのエージェントのインストール に進みます。
APIを使用してアカウントを追加する
- 外部IDをまだ取得していない場合は、Workload Securityの
/api/awsconnectorsettingsエンドポイントを呼び出して取得します (ExternalIdパラメータ)。このIDの詳細については、外部IDとは を参照してください。 - AWSでは、クロスアカウントロールのIAM信頼ポリシーで外部IDを指定します。
/api/awsconnectorsAPI エンドポイントを使用して AWS アカウントを Workload Security に追加します。/rest/cloudaccounts/awsAPI は廃止されたため、使用しないでください。/rest/cloudaccounts/awsAPI のサポートがどのくらい続くか、および新しいエンドポイントに移行するためのヒントについては、APIを使用してクロスアカウントロールを使用している場合は処理が必要です /rest/cloudaccounts/aws を参照してください。