目次
このページのトピック

クロスアカウントロールを使用したAWSアカウントの追加

クロスアカウントロールを使用してAWSアカウントを追加できます。複数のAWSアカウントを追加する場合、または単一のアカウントを追加するがクイックセットアップ方法 を使用しない場合は、クロスアカウントロールを使用します。

次の手順では、AWSアカウントAという名前のAWSアカウントを追加することを想定しています。

クロスアカウントロールは、 Workload Security APIから追加することもできます。詳細については、 API でアカウントを追加するを参照してください。

まず、 Workload Security アカウントID

Workload Security アカウントID: 147995105371
このIDは、後でクロスアカウントロールを作成するときに必要になります。

次に、managerのインスタンスの役割を設定します。
  1. Workload Security コンソールで、上部にある[ 管理] をクリックします。 2.左側にある [システム設定] をクリックします。 3.メイン画面の [詳細] タブをクリックします。 4.下にスクロールして、[Manager AWS ID] セクションを探します。 5.[Managerインスタンスロールを使用] が選択されていることを確認します。 6.[Save] をクリックします。
次に、外部IDを取得します。
  1. Workload Securityにログインします。 2.上部の [コンピュータ] をクリックします。 3.[ 追加]→[AWSアカウントの追加]をクリックします。ウィザードが表示されます。 4.[ 詳細]をクリックし、[ 次へ]をクリックします。 5.隠された外部IDの横にある目のアイコンをクリックして表示します。このIDの詳細については、 外部IDとはを参照してください。 6.外部IDを安全な場所にコピーします。次の手順で、AWSアカウントAと追加するその他のAWSアカウントを設定する必要があります。
  2. 必要に応じて、ウィザードとWorkload Securityコンソールを閉じます。
次に、AWSアカウントAのIAMポリシーを設定します。

1.AWSアカウントAにログインしていることを確認してください。 2.Amazon Web Services Consoleで、 IAM サービスに移動します。 3.左側のナビゲーションペインで [Policies] をクリックします。

この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

4.[Create policy] をクリックします。 5.[ JSON ]タブを選択します。 6.テキストボックスに次のJSONコードをコピーします。
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "cloudconnector",
            "Action": [
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeRegions",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeVpcs",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "workspaces:DescribeWorkspaces",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeTags",
                "iam:ListAccountAliases",
                "iam:GetRole",
                "iam:GetRolePolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

"iam:GetRole" および "iam:GetRolePolicy" 権限は任意ですが、追加のAWSが必要な Workload Security のアップデート時に Workload Security が正しいポリシーを持っているかどうかを判断できるため、この権限はオプションです。アクセス許可。

7.[Review policy] をクリックします。 8.ポリシーの名前と説明を指定します。例の名前: Workload_Security_Policy_Cross。 9.[Create policy] をクリックします。これでポリシーを使用する準備ができました。

次に、AWSアカウントAのクロスアカウントロールを作成します。
  1. AWSアカウントAにログインしていることを確認します。 2.[IAM] サービスに移動します。 3.左側のナビゲーションペインで [Roles] をクリックします。 4.メイン画面で、[Create role] をクリックします。
  2. [別のAWSアカウント] をクリックします。
  3. [アカウントID] フィールドに、Workload SecurityアカウントIDを入力します。内容: 147995105371 7.[Options] の横にある [Require external ID] を有効にします。[ 外部ID] フィールドに、以前に Workload Security コンソールから取得した外部IDを入力します。 8. [次へ] [権限] の順にクリックします。 9.作成したIAMポリシー(例: Workload_Security_Policy_Cross)を選択し、をクリックします。[次へ]:を確認します。
  4. Review ページで、役割の名前と説明を入力します。ロール名の例: Workload_Security_Role_Cross。 11.メインの役割ページで、作成した役割(Workload_Security_Role_Cross)を検索します。 12.検索した役割をクリックします。 13.[ の役割] [ARN ]の上部にあるフィールドを探します。次のようになります。
    arn:aws:iam::2222222222:role/Workload_Security_Role_Cross
  5. Role ARN の値をメモします。後で必要になります。
    これで、AWSアカウントAの下にクロスアカウントの役割が設定されました。ここには、適切なポリシーが含まれ、AWSプライマリアカウントの参照が含まれます。
次に、AWS Account Aを Workload Securityに追加します。
  1. Workload Securityにログインします。 2.上部の [コンピュータ] をクリックします。
  2. [追加][AWSアカウントの追加]をクリックします。 4.[詳細] を選択し、[次へ] をクリックします。 5.[クロスアカウントロールを使用] を選択します。 6.AWS Account Aの クロスアカウントロールARNを入力します。クロスアカウントロールを作成した時点でこれが以前の例です。この例では、 arn:aws:iam::2222222222:role/Workload_Security_Role_Cross 7.AWSアカウントAにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。このチェックボックスをオンにすると、 Workload Security コンソールの ツリー構造 の正しい場所にAmazon WorkSpacesが表示され、正しい料金が請求されます。 8.[Next] をクリックします。
    AWSアカウントAのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。

AWS Account Aが Workload Securityに追加されました。

前述の手順を完了し、まだエージェントをインストールしていない場合は、Amazon EC2およびWorkSpaceインスタンスへのエージェントのインストール に進みます。

APIを使用してアカウントを追加する

  1. 外部IDをまだ取得していない場合は、Workload Securityの/api/awsconnectorsettingsエンドポイントを呼び出して取得します (ExternalIdパラメータ)。このIDの詳細については、外部IDとは を参照してください。
  2. AWSでは、クロスアカウントロールのIAM信頼ポリシーで外部IDを指定します。
  3. /api/awsconnectors APIエンドポイントを使用してAWSアカウントを Workload Securityに追加します。( /rest/cloudaccounts/aws APIは推奨されていません。使用しないでください。)/rest/cloudaccounts/aws APIが引き続きサポートされる期間についての詳細、および新しいエンドポイントへの移行方法に関するヒントについては、https://success.trendmicro.com/solution/000241973を参照してください。