Amazon EC2およびWorkSpacesへのAgentのインストール

Workload Securityを使用して、既存のAmazon EC2インスタンスとAmazon WorkSpacesを保護できます。

ただし、次の場合にはそれぞれの手順に従ってください。

• エージェントが組み込まれた状態で、新しいAmazon EC2インスタンスとAmazon WorkSpacesを起動します。
• Amazon EC2インスタンスを保護した後にAmazon WorkSpacesを保護する場合は、「Amazon WorkSpacesを保護する (AWSアカウントをすでに追加している場合)」を参照してください。

エージェントはAmazon WorkSpaces Windowsデスクトップのみをサポートし、Linuxデスクトップはサポートしないことに注意してください。

既存のAmazon EC2インスタンスと Workload Securityを使用するAmazon WorkSpacesを保護するには、次の手順を実行します。

1. Workload Security
2. 有効化の種類を設定する
3. ポートを開く
4. AgentをAmazon EC2インスタンスおよびWorkSpacesにインストールする
5. Agentが適切にインストールされ有効化されたことを確認する
6. ポリシーを割り当てる

Workload Security

AWSアカウントをWorkload Securityに追加する必要があります。これらのAWSアカウントには、Workload Securityで保護するAmazon EC2インスタンスとAmazon WorkSpacesが含まれています。

詳細については、 AWSアカウントの追加について を参照してください。

AWSアカウントを追加すると、次のようになります。

• 既存のAmazon EC2インスタンスとAmazon WorkSpacesがWorkload Securityコンソールに表示されます。エージェントがインストールされていない場合は、[管理対象外 (不明)] のステータスが表示され、その横に灰色の点が表示されます。 エージェントがすでにインストールされている場合は、[管理対象 (オンライン)] というステータスが表示され、その横に緑色の点が表示されます。
• このAWSアカウントでAWSを介して起動した新しいAmazon EC2インスタンスまたはAmazon WorkSpacesは、Workload Securityによって自動検出され、コンピュータのリストに表示されます。

有効化の種類を設定する

アクティベーションは、エージェントをManagerに登録するプロセスです。 Agentからの有効化を許可するかどうかを指定する必要があります。そうでない場合は、Managerからのアクティベーションのみが許可されます。

1. Workload Security コンソールにログインします。
2. 上部の [管理] をクリックします。
3. 左側で [システム設定] をクリックします。
4. メイン画面で [Agent] タブが選択されていることを確認します。
5. [Agentからのリモート有効化を許可] をオンまたはオフにし、次の点に注意します。
   • Agentからのリモート有効化では、Amazon EC2インスタンスまたはAmazon WorkSpacesに対する受信ポートを開く必要はありません。ただし、Managerからのリモート有効化では開く必要があります。
   • Agentからのリモート有効化を有効にしても、Managerからのリモート有効化は引き続き機能します。
6. [Agentからのリモート有効化を許可] を選択した場合は、[クローンAgentの再有効化] および [不明なAgentの再有効化] を選択します。詳細については、「Agentの設定」を参照してください。
7. [保存] をクリックします。
8. Amazon WorkSpacesを使用していて、Agentからの有効化を許可しなかった場合は、ここで各WorkSpaceにElastic IPアドレスを手動で割り当て、このページの以降の手順に進みます。これにより、各Amazon WorkSpaceには、他のコンピュータから接続可能なパブリックIPが提供されます。 EC2インスタンスはすでにパブリックIPアドレスを使用しているため、これは必要ありません。
   

ポートを開く

Amazon EC2インスタンスまたはAmazon WorkSpacesに対して必要なポートが開いていることを確認する必要があります。

ポートを開くには:

1. Amazon EC2に対するポートを次のように開きます。

   a. Amazon Web Services Consoleにログインします。
   b. EC2>ネットワーク&セキュリティ>セキュリティグループに移動します。
   c. EC2インスタンスに関連付けられているセキュリティグループを選択し、[ Actions ]→[ Edit outbound rules]の順に選択します。
   d. 必要なポートを開きます。次の「開くポート」を参照してください。

2. Amazon WorkSpacesに対するポートを次のように開きます。

   a. Amazon WorkSpacesを保護しているファイアウォールソフトウェアにアクセスし、上記のポートを開きます。

これで、エージェントと Workload Security が通信できるように必要なポートが開きました。

開くポート

一般的に:

• AgentからManagerへの通信では、送信TCPポート (初期設定では443または80) を開く必要があります。
• ManagerからAgentへの通信では、受信TCPポート (4118) を開く必要があります。

詳細:

• [エージェントからのアクティベーションを許可] を有効にした場合は、送信TCPポート (初期設定では443または80) を開く必要があります。
• Agentからのリモート有効化を許可を無効にした場合は、受信TCPポート4118を開く必要があります。

AgentをAmazon EC2インスタンスおよびWorkSpacesにインストールする

Amazon EC2インスタンスとAmazon WorkSpacesにエージェントをデプロイする必要があります。

• オプション1: 配信スクリプトを使用して、ポリシーをインストール、有効化、および割り当てます。

  Agentを多数のAmazon EC2インスタンスおよびAmazon WorkSpacesにインストールする必要がある場合は、オプション1を使用します。

  このオプションでは、Amazon EC2インスタンスまたはAmazon WorkSpacesでインストールスクリプトを実行する必要があります。このスクリプトはAgentをインストールして有効化し、ポリシーを割り当てます。詳細については、「インストールスクリプトを使用したコンピュータの追加と保護」を参照してください。

  または

• オプション2: を手動でインストールして有効化します。

  AgentをインストールするEC2インスタンスおよびAmazon WorkSpacesが少ない場合は、オプション2を使用します。

  • エージェントソフトウェアを入手し、Amazon EC2インスタンスまたはAmazon WorkSpaceにコピーしてインストールします。詳細については、 エージェントソフトウェアの取得およびAgentの手動インストール を参照してください。

  • エージェントを有効にします。これは、 エージェント (Agentからの有効化が有効になっている場合) またはWorkload Securityで実行できます。詳細については、Agentの有効化 を参照してください。

これで、Amazon EC2インスタンスまたはAmazon WorkSpaceにエージェントがインストールされ、有効化されました。ポリシーは、選択するオプションに応じて割り当てられるかどうかが異なります。オプション1 (インストールスクリプトを使用) を選択した場合、ポリシーは有効化中にAgentに割り当てられます。オプション2 (Agentを手動でインストールして有効化) を選択した場合、ポリシーは割り当てられません。このページの以降の手順に従ってポリシーを割り当てる必要があります。

エージェントがインストールされ、有効{#Step2}されていることを確認します。

エージェントが正しくインストールおよび有効化されていることを確認する必要があります。

1. Workload Security コンソールにログインします。
2. 上部の [コンピュータ] をクリックします。
3. 左側のナビゲーションペインで、Amazon EC2インスタンスまたはAmazon WorkSpaceが [コンピュータ]→[your_AWS_account]→[your_region] の下に表示されていることを確認します。 WorkSpacesサブノードでWorkSpacesを探します。
4. メインペインで、Amazon EC2インスタンスまたはAmazon WorkSpaceが Status の Managed（Online） と表示され、その横に緑色の点があることを確認します。

ポリシーを割り当てる

インストールスクリプトを実行して、Agentをインストールして有効化した場合は、次の手順を省略します。スクリプトがポリシーをすでに割り当てているため、これ以上の処理は必要ありません。

Agentを手動でインストールして有効化した場合は、Agentにポリシーを割り当てる必要があります。ポリシーを割り当てると、コンピュータが保護されるように必要な保護モジュールがAgentに送信されます。

ポリシーを割り当てるには、「ポリシーをコンピュータに割り当てる」を参照してください。

ポリシーを割り当てると、Amazon EC2インスタンスまたはAmazon WorkSpaceが保護されます。