AWS Control Towerとの統合

Workload Security を AWS Control Tower と統合して、Control Towerアカウントファクトリを介して追加されたすべてのアカウントが Workload Securityに自動的にプロビジョニングされるようにします。各アカウントおよび基盤に配置されたEC2インスタンスのセキュリティ状況を一元的に把握できます。ポリシーと課金の自動化に対応します。

概要

Lifecycle HookソリューションはCloudFormationテンプレートを提供し、Control Tower Master Accountで起動すると、AWSインフラストラクチャが展開され、 Workload Security が各Account Factory AWSアカウントを自動的に監視できるようになります。このソリューションは、2つのラムダ関数で構成されます。 1つは私たちの役割を管理し、 Workload Securityにアクセスし、もう1つはLambdaのライフサイクルを管理するためのものです。AWS Secrets Managerは、 Workload Security のAPIキーをマスターアカウントに格納するために利用され、CloudWatch Eventsルールは、Control Towerアカウントが正常に配信されたときにカスタマイズLambdaを実行するように設定されています。

一度Workload Securityis AWS Control Towerと統合、それは次の方法で実装されます:

  1. スタックの起動時に、Control Tower Master、Audit、およびLogアカウントを含む既存のControl TowerアカウントごとにライフサイクルLambdaが実行されます。
  2. 起動後、CloudWatchイベントルールによって、成功したControl Towerの[CreateManagedAccount]イベントごとにライフサイクルラムダがトリガされます。
  3. ライフサイクルラムダ関数は、AWS Secrets ManagerからWorkload Security APIキーを取得し、組織の外部IDをWorkload Security APIから取得します。
  4. ラムダ関数は、対象の管理下のアカウントでControlTowerExecutionの役割を引き継ぎ、必要なクロスアカウントの役割と関連するポリシーを作成します。
  5. Workload Security APIが呼び出され、この管理対象アカウントがテナントに追加されます。

AWS Control Towerとの統合

  1. Workload Security コンソールで、 の[管理]→[ユーザ管理]→[APIキー]→[ ]の順に選択し、[ 新規]をクリックします。キーの名前と のフルアクセス の役割を選択します。キーは後で検索できないので、必ず保存してください。このキーは、AWS Control Tower MasterからコンソールAPIへの自動化の認証に使用されます。詳細については、 APIキーの作成を参照してください。
  2. AWS Control Towerマスターアカウントにログインします。CloudFormation Serviceに移動し、AWS Control Towerが配信された地域を選択し、 がライフサイクルテンプレートを起動します。
  3. ライフサイクルテンプレートで、手順1で生成したAPIキーを入力します。コンソールのFQDNは初期設定のままにしてください。
  4. AWS CloudFormationでIAMリソースが作成される可能性があることを確認するボックスにチェックを入れます。 Create Stackを選択すると、AWSアカウントが Workload Securityに追加されます。
  5. すべてのアカウントをインポートしたら、 エージェントのインストール を自動化し、保護を有効にします。

AWS Control Tower統合のアップグレード

Workload Securityに新しい機能が追加されると、アプリケーションのクロスアカウントロールの権限をアップデートする必要が生じることがあります。ライフサイクルフックによって配信された役割をアップデートするには、 Workload Security スタックを、元のURLにある最新のテンプレートでアップデートします。パラメータ値は、トレンドマイクロのサポート担当者が指示しない限り、元の値から変更しないでください。CloudFormationスタックをアップデートすると、既存のすべてのアカウントで使用される役割と、今後の登録で作成される役割が更新されます。

AWS Control Tower統合の削除

ライフサイクルフックを削除するには、CloudFormationスタックを特定して削除します。すでに追加されている管理下のアカウントの保護はそのまま維持されます。 Workload SecurityからのAWSアカウントの削除の詳細については、 AWSアカウントの削除を参照してください。