AWS Control Towerとの統合
Workload Security を AWS Control Tower と統合して、Control Towerアカウントファクトリを介して追加されたすべてのアカウントが Workload Securityに自動的にプロビジョニングされるようにします。各アカウントおよび基盤に配置されたEC2インスタンスのセキュリティ状況を一元的に把握できます。ポリシーと課金の自動化に対応します。
Lifecycle HookソリューションはCloudFormationテンプレートを提供し、Control Tower Master Accountで起動すると、AWSインフラストラクチャが展開され、 Workload Security が各Account Factory AWSアカウントを自動的に監視できるようになります。このソリューションは、2つのラムダ関数で構成されます。 1つは私たちの役割を管理し、 Workload Securityにアクセスし、もう1つはLambdaのライフサイクルを管理するためのものです。AWS Secrets Managerは、 Workload Security のAPIキーをマスターアカウントに格納するために利用され、CloudWatch Eventsルールは、Control Towerアカウントが正常に配信されたときにカスタマイズLambdaを実行するように設定されています。
Workload SecurityがAWS Control Towerと統合になると、次のように実装されます。
- スタックの起動時に、Control Tower Master、Audit、およびLogアカウントを含む既存のControl TowerアカウントごとにライフサイクルLambdaが実行されます。
- 起動後、CloudWatchイベントルールによって、成功したControl Towerの[CreateManagedAccount]イベントごとにライフサイクルラムダがトリガされます。
- ライフサイクルラムダ関数は、AWS Secrets ManagerからWorkload Security APIキーを取得し、組織の外部IDをWorkload Security APIから取得します。
- ラムダ関数は、対象の管理下のアカウントでControlTowerExecutionの役割を引き継ぎ、必要なクロスアカウントの役割と関連するポリシーを作成します。
- Workload Security APIが呼び出され、この管理対象アカウントがテナントに追加されます。
AWS Control Towerとの統合
- Workload Security コンソールで、 [管理]→[ユーザ管理]→[APIキー]の順に選択し、[ 新規] をクリックします。キーの名前と フルアクセス の役割を選択します。キーは後で検索できないので、必ず保存してください。このキーは、AWS Control Tower MasterからコンソールAPIへの自動化の認証に使用されます。詳細については、 APIキーの作成を参照してください。
- AWS Control Towerのマスターアカウントにログインします。CloudFormationサービスに移動し、AWS Control Towerがデプロイされたリージョンを選択して、ライフサイクルテンプレートを起動 します。
- ライフサイクルテンプレートで、手順1で生成したAPIキーを入力します。コンソールのFQDNは初期設定のままにしてください。
- AWS CloudFormationがIAMリソースを作成する可能性があることを認識してください。[スタックの作成]を選択すると、統合が開始され、AWSアカウントがWorkload Securityに追加されます。
- すべてのアカウントをインポートしたら、 エージェントのインストール を自動化し、保護を有効にします。
AWS Control Tower統合のアップグレード
Workload Securityに新機能が追加されると、アプリケーションのクロスアカウントロールの権限の更新が必要になる場合があります。ライフサイクルフックによってデプロイされた役割を更新するには、元のURLにある最新のテンプレートを使用してWorkload Securityスタックを更新します。トレンドマイクロ サポートからの指示がない限り、パラメータ値を元の値から変更しないでください。 CloudFormationスタックをアップデートすると、既存のすべてのアカウントで使用されるロールと、今後の登録用に作成されるロールがアップデートされます。
AWS Control Tower統合の削除
ライフサイクルフックを削除するには、CloudFormationスタックを特定して削除します。すでに追加されている管理下のアカウントの保護はそのまま維持されます。Workload SecurityからのAWSアカウントの削除の詳細については、 AWSアカウントの削除を参照してください。