AWSアカウント接続の手動アップグレード

Deep Security as a Serviceの古いバージョンでは、 Computers ページで[ Add AWS Account ]をクリックしてAWSアカウントを追加できます。この方法では、AWS CloudFormationテンプレートを使用してアカウントが追加されます。[コンピュータ] 画面には、アカウントに関連付けられているすべてのAWSインスタンスがAWSアカウント名とリージョンの下にまとめて表示されます。

Workload Security には、AWSインスタンスを地域、VPC、およびサブネット別に表示する機能があります。通常、古いタイプのAWS接続は、この新しい方法に自動的に移行されます。ただし、 Workload Security で問題が発生し、自動的に移行を実行できない場合は、「AWS Account Migration Failed」アラートが表示されます。このアラートが発生した場合は、このトピックの手順に従ってAWSアカウント接続を移行してください。失敗の主な原因は、アラートメッセージに記載されたAWSロールに対する権限がないことです。

AWSロールに関連付けられている権限を確認する

1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
2. 左側のナビゲーションペインで [Roles] をクリックします。
3. アラートメッセージに記載されたロールを探してクリックします。
4. [Permissions] で「DeepSecurity」ポリシーを展開し、[Edit Policy] をクリックします。
5. [Action] セクションのポリシーが次のようになっていることを確認します。
   

       "Action": [ 
       "ec2:DescribeImages",
       "ec2:DescribeInstances",
       "ec2:DescribeRegions",git 
       "ec2:DescribeSubnets",
       "ec2:DescribeTags",
       "ec2:DescribeVpcs",
       "ec2:DescribeAvailabilityZones",
       "ec2:DescribeSecurityGroups",
       "workspaces:DescribeWorkspaces",
       "workspaces:DescribeWorkspaceDirectories",
       "workspaces:DescribeWorkspaceBundles",
       "workspaces:DescribeTags",
       "iam:ListAccountAliases",
       "iam:GetRole",
       "iam:GetRolePolicy",
       "sts:AssumeRole"
       ]

   "sts:AssumeRole" 権限は、クロスアカウントの役割を使用している場合にのみ必要です。

   "iam:GetRole" および "iam:GetRolePolicy" 権限は任意ですが、 Workload Security へのアップデートで追加のAWS権限が必要な場合に推奨されます。これらの追加の権限を有効にすると、 Workload Security は正しいポリシーを持っているかどうかを判断できます。

6. Review policy および Save changesをクリックします。
7. 接続のアップグレードには最大30分かかることがあります。 Workload Security コンソールの[ Computers ]タブでは、AWSインスタンスは、地域、VPC、およびサブネットごとに編成されます。Amazon WorkSpacesは、リージョンおよびWorkSpaceディレクトリ別に表示されます。