AWSアカウントの追加について

AWSアカウントを追加する方法の概要

AWSアカウントをWorkload Securityに追加する方法はいくつかあります。

  • クイックセットアップを使用してAWSアカウントを追加します。この方法を使用して、1つ以上のAWSアカウントをすばやく追加できます。
  • クロスアカウントロールを使用してAWSアカウントを追加します。複数のAWSアカウントを追加する場合、またはクイックセットアップを使用しない場合は、この方法を使用します。

AWSアカウントを追加するとどうなりますか?

Workload SecurityにAWSアカウントを追加すると、そのアカウントのすべてのAmazon EC2およびAmazon WorkSpaceインスタンスが Workload Security にインポートされ、次のいずれかの場所で表示されます。

  • EC2インスタンスが左側の Computers> your_AWS_account> your_region> your_VPC> your_subnetの下に表示されます。
  • Amazon WorkSpacesは、左側の Computers > your_AWS_account> your_region>WorkSpacesの下に表示されます。

インポートの完了後は、他のコンピュータと同じようにEC2とWorkSpaceのインスタンスを管理できます。これらのインスタンスはツリー構造であり、コンピュータグループとして扱われます。

Amazon EC2インスタンスまたはAmazon WorkSpacesが個別のコンピュータとして追加済みで、ご使用のAWSアカウントに含まれている場合は、アカウントのインポート後に、インスタンスは前述のツリー構造に移動します。

AWSアカウントを追加することのメリットは何ですか?

個々のEC2インスタンスとWorkSpacesを追加する代わりに( Workload Security コンソール→ Computers→Add Computer ), を使用)、AWSアカウント( Workload Security コンソール→ Computers→AWS Accountの追加)の利点は次のとおりです。

  • EC2およびWorkSpacesインベントリの変更は、 Workload Securityに自動的に反映されます。たとえば、AWSでいくつかのEC2インスタンスまたはWorkSpaceインスタンスを削除すると、これらのインスタンスは Workload Security コンソールから自動的に表示されなくなります。対照的に、 の[コンピュータ]→[コンピュータの追加]を使用する場合、AWSから削除されたEC2およびWorkSpaceインスタンスは、 Workload Security コンソールで引き続き手動で削除されるまで表示されます。
  • EC2インスタンスとWorkSpaceインスタンスは、 Workload Security コンソールの[AWS region]→[VPC]サブネットに編成されており、どのインスタンスが保護されているか、どのインスタンスが保護されていないかを簡単に確認できます。AWSアカウントがないと、すべてのEC2インスタンスとWorkSpaceインスタンスが同じルートレベルの Computersに表示されます。
  • イベントベースタスク(EBT) でAWSメタデータを使用してポリシーの割り当てを簡素化できます。また、 スマートフォルダ でメタデータを使用して、AWSインスタンスを整理することもできます。
  • EC2およびWorkSpaceインスタンスの には、 に対して適切な料金が請求されます。

サポートされるAWSリージョン

Workload Securityの コンピュータ>追加> AWSアカウントの追加 オプションは、 iam.amazonaws.comでグローバルAWS IDアクセス管理(IAM)サービスを使用するAWSリージョンのみをサポートします。お住まいの地域でグローバルサービスが使用されているかどうかを確認するには、 this tableを参照してください。

次の地域では、 では ではグローバルIAMサービス(iam.amazonaws.com ):)を使用していません。

  • 中国(北京)
  • 中国(寧夏回族自治区)
  • AWS GovCloud(米国 - 東)
  • AWS GovCloud (米国)

上記の地域、およびグローバルIAMサービスを使用しない地域では、EC2およびWorkSpaceのインスタンスを次の場所にロードできます。Workload SecurityDeep Security REST APIの使用。トレンドマイクロが提供しているこのサンプルスクリプトあなたの使用のために。

AWSセキュリティグループを変更してポート443経由の送信トラフィックを許可する

送信トラフィックを制限するAWSセキュリティグループがある場合は、ポート443を介した送信通信を許可する必要があります。次の手順に従います。

  1. AWSマネジメントコンソールにログインして、[EC2] をクリックします。
  2. ナビゲーションペインで、[ Network&Security]→[Security Groups]の順に選択します。
  3. Security Groupページで、使用するインスタンスに関連付けられたセキュリティグループを選択し、そのグループのアウトバウンドルールを編集して、ポート443を経由するすべてのIPへのトラフィックを許可します。

また、送信トラフィックをさらに制限して、 Deep Security Agentで使用される Workload Security IPs へのアクセスのみを許可することもできます。