Workload SecurityをAWS Control Towerと統合することで、Control Tower Account Factoryを通じて追加されたすべてのアカウントがWorkload Securityに自動的にプロビジョニングされ、各アカウントに展開されたEC2インスタンスのセキュリティ状態に対する集中管理の可視性を提供し、ポリシーと請求の自動化の基盤を構築します。
Lifecycle HookソリューションはCloudFormationテンプレートを提供し、Control Tower Master Accountで起動すると、AWSインフラストラクチャが展開され、
Workload Security が各Account Factory AWSアカウントを自動的に監視できるようになります。このソリューションは、2つのラムダ関数で構成されます。
1つは私たちの役割を管理し、 Workload Securityにアクセスし、もう1つはLambdaのライフサイクルを管理するためのものです。AWS Secrets
Managerは、 Workload Security のAPIキーをマスターアカウントに格納するために利用され、CloudWatch Eventsルールは、Control
Towerアカウントが正常に配信されたときにカスタマイズLambdaを実行するように設定されています。
Workload SecurityがAWS Control Towerと統合されると、次の方法で実装されます。
- スタックの起動時に、Control Tower Master、Audit、およびLogアカウントを含む既存のControl TowerアカウントごとにライフサイクルLambdaが実行されます。
- 起動後、CloudWatchイベントルールによって、成功したControl Towerの[CreateManagedAccount]イベントごとにライフサイクルラムダがトリガされます。
- ライフサイクルラムダ関数は、AWS Secrets ManagerからWorkload Security APIキーを取得し、組織の外部IDをWorkload Security APIから取得します。
- Lambda関数は、ターゲットマネージドアカウントでControlTowerExecutionロールを引き受け、必要なクロスアカウントロールと関連ポリシーを作成します。
- Workload Security APIが呼び出され、この管理対象アカウントがテナントに追加されます。
AWS Control Towerとの統合
- Workload Securityコンソールで、 に移動し、[新規]をクリックします。
- キーの名前と[Full Access]ロールを選択してください。後で取得できないため、キーを必ず保存してください。このキーはAWS Control TowerマスターからコンソールAPIへの自動化を認証するために使用されます。詳細については、APIキーの作成を参照してください。
- AWS Control Towerのマスターアカウントにログインします。CloudFormationサービスに移動し、AWS Control Towerがデプロイされたリージョンを選択して、ライフサイクルテンプレートを起動します。
- ライフサイクルテンプレートで、手順1で生成したAPIキーを入力します。コンソールのFQDNは初期設定のままにしてください。
- AWS CloudFormationがIAMリソースを作成する可能性があることを認識してください。[Create Stack]を選択すると、統合が開始され、AWSアカウントがWorkload Securityに追加されます。
- すべてのアカウントがインポートされたら、エージェントのインストールを自動化し、保護を有効化してください。
AWS Control Tower統合のアップグレード
Workload Securityに新機能が追加されると、アプリケーションのクロスアカウントロールの権限の更新が必要になる場合があります。ライフサイクルフックによってデプロイされた役割を更新するには、元のURLにある最新のテンプレートを使用してWorkload
Securityスタックを更新します。トレンドマイクロ サポートからの指示がない限り、パラメータ値を元の値から変更しないでください。 CloudFormationスタックをアップデートすると、既存のすべてのアカウントで使用されるロールと、今後の登録用に作成されるロールがアップデートされます。
AWS Control Tower統合の削除
ライフサイクルフックを削除するには、CloudFormationスタックを特定して削除します。すでに追加されている管理対象アカウントの保護はそのまま維持されます。Workload
SecurityからAWSアカウントを削除する方法の詳細については、AWSアカウントの削除を参照してください。