このページのトピック

クロスアカウントロールを使用したAWSアカウントの追加

次の手順に従って、クロスアカウントの役割を使用してAWSアカウントを追加します。複数のAWSアカウントを追加する場合、または1つのアカウントを追加する場合は クイックセットアップ方法を使用しない場合は、クロスアカウントの役割を使用します。

次の手順では、この名前のAWSアカウントを追加することを想定しています。

  • AWSアカウントA

クロスアカウントロールは、 Workload Security APIから追加することもできます。詳細については、 API でアカウントを追加するを参照してください。

まず、 Workload Security アカウントID

Workload Security アカウントID: 147995105371
このIDは、クロスアカウントの役割を作成する際に必要になります。

次に、managerのインスタンスの役割を設定します。
  1. Workload Security コンソールで、上部にある[ 管理] をクリックします。 2.左側にある [システム設定] をクリックします。 3.メイン画面の [詳細] タブをクリックします。 4.下にスクロールして、[Manager AWS ID] セクションを探します。 5.[Managerインスタンスロールを使用] が選択されていることを確認します。 6.[Save] をクリックします。
次に、外部IDを取得します。
  1. Workload Securityにログインします。 2.上部の [コンピュータ] をクリックします。 3.[ 追加]→[AWSアカウントの追加]をクリックします。ウィザードが表示されます。 4.隠された外部IDの横にある目のアイコンをクリックして表示します。このIDの詳細については、 外部IDとはを参照してください。 5.外部IDを安全な場所にコピーします。次の手順で、AWSアカウントAと追加するその他のAWSアカウントを設定する必要があります。 6.(オプション)ウィザードと Workload Security コンソールを閉じます。
次に、AWSアカウントAのIAMポリシーを設定します。

1.AWSアカウントAにログインしていることを確認してください。 2.Amazon Web Services Consoleで、 IAM サービスに移動します。 3.左側のナビゲーションペインで [Policies] をクリックします。

この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

4.[Create policy] をクリックします。 5.[ JSON ]タブを選択します。 6.テキストボックスに次のJSONコードをコピーします。
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "cloudconnector",
            "Action": [
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeRegions",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeVpcs",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "workspaces:DescribeWorkspaces",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeTags",
                "iam:ListAccountAliases",
                "iam:GetRole",
                "iam:GetRolePolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

"iam:GetRole" および "iam:GetRolePolicy" 権限は任意ですが、追加のAWSが必要な Workload Security のアップデート時に Workload Security が正しいポリシーを持っているかどうかを判断できるため、この権限はオプションです。アクセス許可。

7.[Review policy] をクリックします。 8.ポリシーの名前と説明を指定します。例の名前: Workload_Security_Policy_Cross。 9.[Create policy] をクリックします。これでポリシーを使用する準備ができました。

次に、AWSアカウントAのクロスアカウントロールを作成します。

1.AWSアカウントAにログインしていることを確認してください。 2.[IAM] サービスに移動します。 3.左側のナビゲーションペインで [Roles] をクリックします。 4.メイン画面で、[Create role] をクリックします。 5.[ 別のAWSアカウント] ボックスをクリックします。 6.[ アカウントID] フィールドに次の情報を入力します。
- Workload Security アカウントIDを入力します。それは次のとおりです。 147995105371 7.[Options] の横にある [Require external ID] を有効にします。[ 外部ID] フィールドに、以前に Workload Security コンソールから取得した外部IDを入力します。 8. [次へ] [権限] の順にクリックします。 9.作成したIAMポリシー(例: Workload_Security_Policy_Cross)を選択し、をクリックします。[次へ]:を確認します。 10. Review ページで、役割の名前と説明を入力します。ロール名の例: Workload_Security_Role_Cross。 11.メインの役割ページで、作成した役割(Workload_Security_Role_Cross)を検索します。 12.検索した役割をクリックします。 13.[ の役割] [ARN ]の上部にあるフィールドを探します。次のようになります。
arn:aws:iam::2222222222:role/Workload_Security_Role_Cross 14. ロールのARN 値に注意してください。後で必要になります。
これで、AWSアカウントAの下にクロスアカウントの役割が設定されました。ここには、適切なポリシーが含まれ、AWSプライマリアカウントの参照が含まれます。

次に、AWS Account Aを Workload Securityに追加します。
  1. Workload Securityにログインします。 2.上部の [コンピュータ] をクリックします。
  2. [ の追加]→[ AWSアカウントの追加]をクリックします。 4.[詳細] を選択し、[次へ] をクリックします。 5.[クロスアカウントロールを使用] を選択します。 6.AWS Account Aの クロスアカウントロールARNを入力します。クロスアカウントロールを作成した時点でこれが以前の例です。この例では、 arn:aws:iam::2222222222:role/Workload_Security_Role_Cross 7.AWSアカウントAにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。このチェックボックスをオンにすると、 Workload Security コンソールの ツリー構造 の正しい場所にAmazon WorkSpacesが表示され、正しい料金が請求されます。 8.[Next] をクリックします。
    AWSアカウントAのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。

AWS Account Aが Workload Securityに追加されました。

上記のタスクの完了後、Amazon EC2およびWorkSpaceインスタンスに エージェント をインストールしていない場合は、インストールしてください。

APIを使用してアカウントを追加する

  1. 外部IDがまだない場合は、 Workload Security/api/awsconnectorsettings エンドポイント( ExternalId パラメータ)を呼び出して取得してください。このIDの詳細については、 外部IDとはを参照してください。
  2. AWSでは、クロスアカウントロールのIAM信頼ポリシーで外部IDを指定します。
  3. /api/awsconnectors APIエンドポイントを使用してAWSアカウントを Workload Securityに追加します。( /rest/cloudaccounts/aws APIは推奨されていません。使用しないでください。) /rest/cloudaccounts/aws APIが引き続きサポートされる期間についての詳細、および新しいエンドポイントへの移行方法に関するヒントについては、https://success.trendmicro.com/solution/000241973を参照してください。