Workload Securityを使用して、既存のAmazon EC2インスタンスとAmazon WorkSpacesを保護できます。
- 新しいAmazon EC2インスタンスとAmazon WorkSpacesをエージェントを組み込んで起動するには、エージェントをAMIまたはWorkSpaceバンドルに組み込むを参照してください。
- Amazon EC2インスタンスを保護した後にAmazon WorkSpacesを保護するには、AWSアカウントを既に追加している場合のAmazon WorkSpacesの保護を参照してください。
エージェントはAmazon WorkSpaces Windowsデスクトップのみをサポートし、Linuxデスクトップはサポートしないことに注意してください。
既存のAmazon EC2インスタンスと Workload Securityを使用するAmazon WorkSpacesを保護するには、次の手順を実行します。
Workload Security
AWSアカウントをWorkload Securityに追加する必要があります。これらのAWSアカウントには、Workload Securityで保護するAmazon
EC2インスタンスとAmazon WorkSpacesが含まれています。
詳細については、AWSアカウントの追加についてを参照してください。
AWSアカウントを追加すると、次のようになります。
- 既存のAmazon EC2インスタンスとAmazon WorkSpacesはWorkload Securityコンソールに表示されます。エージェントがインストールされていない場合、[Status of 非管理対象 (不明)]と灰色のドットが表示されます。すでにエージェントがインストールされている場合、[管理対象のステータス (オンライン)]と緑色のドットが表示されます。
- このAWSアカウントでAWSを介して起動した新しいAmazon EC2インスタンスまたはAmazon WorkSpacesは、Workload Securityによって自動検出され、コンピュータのリストに表示されます。
有効化の種類を設定する
アクティベーションは、エージェントをManagerに登録するプロセスです。 Agentからの有効化を許可するかどうかを指定する必要があります。そうでない場合は、Managerからのアクティベーションのみが許可されます。
手順
- Workload Security コンソールにログインします。
- 上部の[管理]をクリックしてください。
- 左側で[システム設定]をクリックします。
- メインペインで、[エージェント]タブが選択されていることを確認してください。
- [Agentからのリモート有効化を許可]を選択または選択解除してください。注意事項:
- Agentからのリモート有効化では、Amazon EC2インスタンスまたはAmazon WorkSpacesに対する受信ポートを開く必要はありません。ただし、Managerからのリモート有効化では開く必要があります。
- Agentからのリモート有効化を有効にしても、Managerからのリモート有効化は引き続き機能します。
- [Agentからのリモート有効化を許可]を選択した場合は、[Reactivate cloned Agents]と[Enable Reactivate unknown Agents]も選択してください。詳細については、エージェント設定を参照してください。
- [保存] をクリックします。
- Amazon WorkSpacesを使用していて、エージェントによる起動を許可していない場合は、このページの次の手順に進む前に、各WorkSpaceにエラスティックIPアドレスを手動で割り当ててください。これにより、各Amazon WorkSpaceに他のコンピュータから接続可能なパブリックIPが割り当てられます。EC2インスタンスについては、既にパブリックIPアドレスを使用しているため、この手順は不要です。
ポートを開く
Amazon EC2インスタンスまたはAmazon WorkSpacesに対して必要なポートが開いていることを確認する必要があります。
手順
- Amazon EC2に対するポートを次のように開きます。
-
Amazon Web Servicesコンソールにログインしてください。
-
に移動します。
-
EC2インスタンスに関連付けられているセキュリティグループを選択し、[処理]→[Edit outbound rules]を選択します。
-
必要なポートを開く:
- AgentからManagerへの通信では、送信TCPポート (初期設定では443または80) を開く必要があります。
- ManagerからAgentへの通信では、受信TCPポート (4118) を開く必要があります。
- [Agentからのリモート有効化を許可]を有効にした場合、アウトバウンドTCPポート (デフォルトでは443または80) を開く必要があります。
- [Agentからのリモート有効化を許可]を無効にした場合、4118のインバウンドTCPポートを開く必要があります。
-
- Amazon WorkSpacesに対するポートを次のように開きます。
- Amazon WorkSpacesを保護しているファイアウォールソフトウェアに移動し、必要なポートを開いてください。
これで、エージェントと Workload Security が通信できるように必要なポートが開きました。
AgentをAmazon EC2インスタンスおよびWorkSpacesにインストールする
Amazon EC2インスタンスとAmazon WorkSpacesにエージェントをデプロイする必要があります。
-
オプション1: デプロイメントスクリプトを使用して、インストール、アクティベーション、およびポリシーの割り当てを行います。Agentを多数のAmazon EC2インスタンスおよびAmazon WorkSpacesにインストールする必要がある場合は、オプション1を使用します。このオプションを使用する場合、Amazon EC2インスタンスまたはAmazon WorkSpacesでデプロイメントスクリプトを実行する必要があります。スクリプトはエージェントをインストールしてアクティブ化し、ポリシーを割り当てます。詳細については、デプロイメントスクリプトを使用してコンピュータを追加および保護するを参照してください。または
-
オプション2: 手動でインストールしてアクティベートする。AgentをインストールするEC2インスタンスおよびAmazon WorkSpacesが少ない場合は、オプション2を使用します。
-
エージェントソフトウェアを取得し、それをAmazon EC2インスタンスまたはAmazon WorkSpaceにコピーしてからインストールします。詳細については、エージェントソフトウェアを取得するおよびエージェントを手動でインストールするを参照してください。
-
エージェントを有効化します。エージェント (エージェントによる有効化が有効になっている場合) またはWorkload Securityで有効化できます。詳細については、エージェントを有効化するを参照してください
-
これで、Amazon EC2インスタンスまたはAmazon WorkSpaceにエージェントがインストールされ、有効化されました。ポリシーは、選択するオプションに応じて割り当てられるかどうかが異なります。オプション1
(インストールスクリプトを使用) を選択した場合、ポリシーは有効化中にAgentに割り当てられます。オプション2 (Agentを手動でインストールして有効化) を選択した場合、ポリシーは割り当てられません。このページの以降の手順に従ってポリシーを割り当てる必要があります。
エージェントがインストールされ、有効化されていることを確認します。
エージェントが正しくインストールおよび有効化されていることを確認する必要があります。
手順
- Workload Security コンソールにログインします。
- 上部の[コンピュータ]をクリックします。
- 左側のナビゲーションペインで、 の下にAmazon EC2インスタンスまたはAmazon WorkSpaceが表示されていることを確認してください。[WorkSpaces]サブノードでWorkSpacesを探してください。
- メインペインで、Amazon EC2インスタンスまたはAmazon WorkSpacesが[管理 (オンライン)]の[ステータス]と緑色のドットが表示されていることを確認してください。
ポリシーを割り当てる
インストールスクリプトを実行して、Agentをインストールして有効化した場合は、次の手順を省略します。スクリプトがポリシーをすでに割り当てているため、これ以上の処理は必要ありません。
Agentを手動でインストールして有効化した場合は、Agentにポリシーを割り当てる必要があります。ポリシーを割り当てると、コンピュータが保護されるように必要な保護モジュールがAgentに送信されます。
ポリシーを割り当てるには、コンピュータにポリシーを割り当てるを参照してください。
ポリシーを割り当てると、Amazon EC2インスタンスまたはAmazon WorkSpaceが保護されます。