目次

AWS自動スケーリングと Workload Security

Workload Security で、AWS自動スケーリングで作成された新しいインスタンスを自動保護することができます。

自動スケーリングで作成された各インスタンスには、 エージェントがインストールされている必要があります。Agentのインストールには、AMIの作成に使用されたEC2インスタンスにインストール済みのAgentを組み込む方法と、AMIの起動設定にインストールスクリプトを組み込んでAgentをインストールする方法があります。それぞれのオプションにはメリットとデメリットがあります。

  • プレインストールされたエージェントを含めると、エージェントソフトウェアをダウンロードしてインストールする必要がないため、インスタンスがより迅速に起動します。欠点は、エージェントソフトウェアが最新でない可能性があることです。この問題を回避するには、アクティベーション時のアップグレード 機能を有効にします。

  • 配信スクリプトを使用してエージェントをインストールする場合は、常に最新バージョンのエージェントソフトウェアがWorkload Securityから取得されます。

Agentをプレインストールする

すでにエージェントで設定済みのEC2インスタンスがある場合は、そのインスタンスを使用してオートスケーリング用のAMIを作成できます。AMIを作成する前に、EC2インスタンスのAgentを無効にし、インスタンスを停止する必要があります。

dsa_control -r 

オートスケーリングで新規に作成された各EC2インスタンスでAgentを有効にし、ポリシーがまだない場合は適用する必要があります。これには次の2つの方法があります。

  • Agentを有効にしてポリシーを適用 (オプション) するインストールスクリプトを作成します。このインストールスクリプトをAWS起動設定に追加して、新しいインスタンスが作成されたときに実行されるようにします。手順については、この後の「インストールスクリプトでAgentをインストールする」を参照してください。ただし、インストールスクリプトの、Agentを取得してインストールするセクションは除外します。必要なのは、スクリプトのdsa_control -aセクションだけです。

配信スクリプトを使用するには、 Workload Securityでエージェントが開始する通信を有効にする必要があります。この設定の詳細については、「Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護する」を参照してください。

  • エージェントをアクティブ化するイベントベースのタスクをWorkload Securityで設定できます。また、インスタンスの起動時およびコンピュータによる作成 (システム別) イベントの発生時にポリシーを適用することもできます。

インストールスクリプトでAgentをインストールする

Workload Security には、EC2インスタンスの作成時に実行できる、カスタマイズされた配置スクリプトを生成する機能があります。EC2インスタンスにインストール済みAgentが含まれていない場合は、インストールスクリプトでAgentをインストールして有効にし、ポリシーを適用し、オプションでコンピュータをコンピュータグループとRelayグループに割り当てる必要があります。

Workload Security APIを使用して、エージェントのインストールを自動化する配信スクリプトを生成できます。詳細については、 の配信スクリプトの生成を参照してください。

インストールスクリプトが機能するためには、以下の要件を満たす必要があります。

インストールスクリプトを使用してインスタンスの自動保護を設定するには

  1. Workload Security コンソールにログオンします。
  2. 右上隅にある Support メニューから、[ Deployment Scripts]を選択します。
  3. プラットフォームを選択します。
  4. [インストール後にAgentを自動的に有効化] を選択します。
  5. 適切な [セキュリティポリシー][コンピュータグループ]、および [Relayグループ] を選択します。
  6. [ クリップボードにコピー]をクリックします。
  7. AWSの起動設定に移動し、[ 詳細情報 ]を展開し、配置スクリプトを ユーザデータに貼り付けます。
    AWS起動設定詳細情報

Microsoft WindowsベースのAMIでPowerShellインストールスクリプトを実行する際に問題が発生した場合は、実行中のインスタンスからAMIを作成したことが原因である可能性があります。AWSでは、実行中のインスタンスからのAMIの作成をサポートしていますが、AMIからEc2Config作成されたすべてのインスタンスに対して開始時に実行されるすべてのタスクが無効になります。その結果、インスタンスはPowerShellスクリプトを実行できなくなります。

WindowsにAMIを作成する場合は、ユーザデータ処理を手動で、またはイメージ作成プロセスの一環として、再有効化する必要があります。ユーザデータ処理は、明示的に指定されていないかぎり、WindowsベースのAMIの最初の起動時にのみ実行される (最初の起動プロセスの実行中に無効になる) ため、カスタムAMIから作成されたインスタンスでは、この機能を再び有効にしないとユーザデータが実行されません。この機能をリセットする方法または最初の起動で無効にならないようにする方法については、「EC2Configサービスを使用したWindowsインスタンスの設定」で詳しく説明されています。最も簡単な方法は<persist>true</persist>、ユーザのデータにEC2Config 2.1.10以降が含まれていることを確認することです。

自動スケーリングの結果、Workload Securityからインスタンスを削除します。

Workload SecurityにAWSアカウントを追加すると、Auto Scalingの結果としてAWSに存在しなくなったインスタンスは自動的に Workload Securityから削除されます。

AWSアカウントの追加の詳細については、 AWSアカウントの追加について を参照してください。