Workload SecurityコンソールまたはWorkload Security API (APIを通じてアカウントを追加するを参照) を使用して、クロスアカウントロールを介してAWSアカウントを追加できます。複数のAWSアカウントを追加したい場合や、単一のアカウントを追加したいがクイックセットアップ方法を使用したくない場合は、クロスアカウントロールを使用することをお勧めします。

Workload Securityコンソールを使用してアカウントを追加してください 親トピック

次の手順では、AWSアカウントAという名前のAWSアカウントを追加することを想定しています。

Workload SecurityアカウントIDをメモしてください 親トピック

Workload SecurityアカウントID: 147995105371.
後でクロスアカウントロールを作成する際にこのIDが必要になります。

マネージャインスタンスの役割を設定する 親トピック

  1. Workload Securityコンソールで、上部の[管理]をクリックします。
  2. 左側の[システム設定]をクリックしてください。
  3. メインペインで[詳細]タブを選択してください。
  4. 一番下までスクロールして、[Manager AWS Identity]セクションを探してください。
  5. [Managerインスタンスロールを使用]が選択されていることを確認してください。
  6. [保存] をクリックします。

外部IDを取得する 親トピック

  1. Workload Securityにログインします。
  2. 上部の[コンピュータ]をクリックしてください。
  3. [追加][AWSアカウントを追加]をクリックします。ウィザードが表示されます。
  4. [詳細]をクリックし、次に[次へ]をクリックします。
  5. 隠された外部IDの横にある目のアイコンをクリックして表示します。このIDの詳細については、外部IDとは何ですか?をご覧ください
  6. 外部IDを安全な場所にコピーします。次の手順で、AWSアカウントAと追加するその他のAWSアカウントを設定する必要があります。
  7. 必要に応じて、ウィザードとWorkload Securityコンソールを閉じます。

AWSアカウントAのIAMポリシーを設定する 親トピック

  1. AWSアカウントAにログインしていることを確認します。
  2. Amazon Web Servicesコンソールで、[IAM]サービスに移動します。
  3. 左側のナビゲーションペインで[ポリシー]をクリックします。このページに初めてアクセスする場合は、[開始する]をクリックします。
  4. [ポリシーを作成]をクリックします。
  5. [JSON]タブを選択してください。
  6. 次のJSONコードをテキストフィールドにコピーしてください: 
    {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "cloudconnector",
"Action": [
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeRegions",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"workspaces:DescribeWorkspaces",
"workspaces:DescribeWorkspaceDirectories",
"workspaces:DescribeWorkspaceBundles",
"workspaces:DescribeTags",
"iam:ListAccountAliases",
"iam:GetRole",
"iam:GetRolePolicy"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
    "iam:GetRole"および"iam:GetRolePolicy"の権限は任意ですが、Workload Securityの更新時に追加のAWS権限が必要な場合に、正しいポリシーを持っているかどうかをWorkload Securityが判断できるため、推奨されます。
  7. [Review policy]をクリックします。
  8. ポリシーに名前と説明を付けてください。例: Workload_Security_Policy_Cross
  9. [ポリシーを作成]をクリックします。ポリシーが使用可能になりました。

AWSアカウントAのクロスアカウントロールを作成する 親トピック

  1. AWSアカウントAにログインしていることを確認します。
  2. [IAM]サービスに移動します。
  3. 左側のナビゲーションペインで、[役割]をクリックします。
  4. メインペインで、[ 役割の作成]をクリックします。
  5. [Another AWS account]をクリックします。
  6. [アカウントID]フィールドにWorkload SecurityアカウントIDを入力してください。147995105371です
  7. [オプション]の横で[外部IDが必要です]を有効にします。[外部ID]フィールドに、以前にWorkload Securityコンソールから取得した外部IDを入力します。
  8. [Next: Permissions]をクリックします。
  9. 作成したIAMポリシー (例: Workload_Security_Policy_Cross) を選択し、[次へ: レビュー]をクリックします。
  10. [確認]ページで、ロール名と説明を入力します。例: ロール名: Workload_Security_Role_Cross
  11. メインのロールページで、作成したばかりのロール (Workload_Security_Role_Cross) を検索します。
  12. 検索した役割をクリックします。
  13. 上部にある[Role ARN]フィールドを見つけてください。次のように表示されます: arn:aws:iam::2222222222:role/Workload_Security_Role_Cross
  14. [ロールARN]の値に注意してください。後で必要になります。
あなたは現在、AWSアカウントAの下で、正しいポリシーを含みAWSプライマリーアカウントを参照するクロスアカウントロールを持っています。

AWSアカウントAをWorkload Securityに追加 親トピック

  1. Workload Securityにログインします。
  2. 上部の[コンピュータ]をクリックしてください。
  3. [追加][AWSアカウントの追加]をクリックします。
  4. [詳細]を選択し、[次へ]をクリックしてください。
  5. [Use Cross Account Role]を選択します。
  6. AWSアカウントAの[Cross Account Role ARN]を入力してください。これは、クロスアカウントロールを作成した際にメモしたものです。この例では、arn:aws:iam::2222222222:role/Workload_Security_Role_Crossです
  7. AWSアカウントAにAmazon WorkSpacesが含まれている場合、Amazon EC2インスタンスに含めるために[Amazon WorkSpacesを含める]を選択します。この設定を有効にすることで、Amazon WorkSpacesがWorkload Securityコンソールのツリー構造内で正しい場所に表示され、正しい料金で請求されることを保証します。
  8. [次へ]をクリックします。AWSアカウントAのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。
AWS Account Aが Workload Securityに追加されました。
前述の手順を完了したら、まだ行っていない場合はAmazon EC2およびWorkSpaceインスタンスにエージェントをインストールするためにエージェントのインストールに進んでください。

APIを使用してアカウントを追加する 親トピック

  1. 外部IDをまだ持っていない場合は、Workload Security /api/awsconnectorsettingsエンドポイントを呼び出して取得してください (ExternalIdパラメータ)。このIDの詳細については、外部IDとは何ですか?を参照してください
  2. AWSでは、クロスアカウントロールのIAM信頼ポリシーで外部IDを指定します。
  3. /api/awsconnectors API エンドポイントを使用して AWS アカウントを Workload Security に追加します。/rest/cloudaccounts/aws API は廃止されたため、使用しないでください。APIを使用してクロスアカウントロールを使用している場合は処理が必要です /rest/cloudaccounts/aws を参照してください。/rest/cloudaccounts/aws API のサポートがどのくらい続くか、および新しいエンドポイントに移行するためのヒントについては、