以前のバージョンのDeep Security as a Serviceでは、[コンピュータ]ページで[AWSアカウントの追加]をクリックすることでAWSアカウントを追加できました。この方法では、AWS CloudFormationテンプレートを使用してアカウントを追加しました。アカウントに関連付けられたすべてのAWSインスタンスは、コンピュータページにAWSアカウント名とリージョンの下に表示されます。
Workload Securityには、AWSインスタンスをリージョン、VPC、およびサブネット別に表示する機能があります。古いタイプのAWS接続から新しい接続方法への移行は、通常、自動的に行われます。ただし、
Workload Securityで問題が発生し、移行を自動的に実行できない場合は、AWS Account Migration Failedアラートが生成されます。このアラートが発生した場合は、この記事の手順に従って、AWSアカウントの接続を移行してください。移行失敗の主な原因は、アラートメッセージに表示されているAWSロールの権限がないことです。
AWSロールに関連付けられている権限を確認する
手順
- Amazon Web Servicesコンソールにログインし、[IAM]サービスに移動してください。
- 左側のナビゲーションペインで、[役割]をクリックします。
- アラートメッセージに記載されたロールを探してクリックします。
- [権限]の下で[DeepSecurity]ポリシーを展開し、[ポリシーを編集]をクリックします。
- [処理]セクションのポリシーは次のとおりです。
"Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeRegions",git "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "workspaces:DescribeWorkspaces", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeTags", "iam:ListAccountAliases", "iam:GetRole", "iam:GetRolePolicy", "sts:AssumeRole" ]
クロスアカウントロールを使用している場合にのみ、"sts:AssumeRole"
権限が必要です。"iam:GetRole"
および"iam:GetRolePolicy"
の権限はオプションですが、Workload Securityの更新に追加のAWS権限が必要な場合に備えて推奨されます。これらの追加権限を有効にすると、Workload Securityが正しいポリシーを持っているかどうかを判断できます。 - [レビュー ポリシー]と[変更を保存]をクリックしてください。
- 最大30分待つと、接続がアップグレードされます。Workload Securityコンソールの[コンピュータ]タブでは、AWSインスタンスがリージョン、VPC、サブネットごとに整理されています。Amazon WorkSpacesはリージョンとWorkSpaceディレクトリごとに整理されています。