Verbinden Sie ein AWS-Konto mit CloudFormation

Prozedur

1. Melden Sie sich bei der Trend Vision One-Konsole an.
2. Öffnen Sie in derselben Browsersitzung einen neuen Tab und melden Sie sich bei dem AWS-Konto an, das Sie mit einer Rolle verbinden möchten, die Administratorrechte hat.
3. Navigieren Sie in der Trend Vision One Konsole zu Cloud Security → Cloud Accounts → AWS.
4. Klicken Sie auf Konto hinzufügen.
   Das Fenster Add AWS Account wird angezeigt.
5. Geben Sie den Bereitstellungstyp an.
   1. Für Deployment Method wählen Sie CloudFormation.
   2. Wählen Sie den Kontotyp aus:
   3. Klicken Sie auf Weiter.
6. Geben Sie allgemeine Informationen für das Konto an;
   1. Geben Sie ein Account name und ein Beschreibung an, um in Cloud-Konten anzuzeigen.
   2. Wählen Sie die AWS-Region für die Bereitstellung der CloudFormation-Vorlage aus.

      Hinweis Die Standardregion ist Ihre Trend Vision One-Region. Einige Funktionen und Berechtigungen werden in bestimmten AWS-Regionen nur eingeschränkt unterstützt. Weitere Informationen finden Sie unter Von AWS unterstützte Regionen und Einschränkungen.

   3. Wenn Sie mehr als eine Server- und Workload Protection-Manager-Instanz haben, wählen Sie die Instanz aus, die mit dem verbundenen Konto verknüpft werden soll.

      Hinweis Wenn Sie eine Server- und Workload Protection Manager-Instanz haben, wird das Konto automatisch mit dieser Instanz verknüpft.

   4. Wählen Sie die Scanbereiche für die im vorherigen Schritt ausgewählte Server- und Workload Protection-Instanz aus:
      • Wenn das AWS-Konto, mit dem Sie sich verbinden, bestimmte Regionen nicht verwendet, entfernen Sie diese Regionen aus der Liste.
      • Wenn das AWS-Konto alle Regionen verwendet, lassen Sie alle Regionen ausgewählt.

      Standardmäßig versuchen Kernfunktionen und Funktionen, die auf Server- und Workload Protection-Scans basieren (wie Container Security und Dateispeichersicherheit), eine Verbindung zu allen AWS-Regionen herzustellen. Wenn Ihr AWS-Konto bestimmte Regionen nicht verwendet, kann dies unnötige Fehlerprotokolle in CloudTrail durch fehlgeschlagene Verbindungsversuche erzeugen.
   5. Um benutzerdefinierte Tags zu den von Trend Vision One bereitgestellten Ressourcen hinzuzufügen, wählen Sie Resource tagging und geben Sie die Schlüssel-Wert-Paare an.
      Zum Hinzufügen von bis zu drei Tags klicken Sie auf Create a new tag.

      Hinweis Schlüssel können bis zu 128 Zeichen lang sein und dürfen nicht mit aws beginnen. Werte können bis zu 256 Zeichen lang sein.

   6. Klicken Sie auf Weiter.
7. Konfigurieren Sie das Features and Permissions, dem Sie Zugriff auf Ihre Cloud-Umgebung gewähren möchten.
   Weitere Informationen finden Sie unter AWS-Funktionen und Berechtigungen.
8. Klicken Sie auf Weiter.
9. Starten Sie die CloudFormation-Vorlage in der AWS-Konsole.
   1. Um die Stapelvorlage vor dem Start zu überprüfen, klicken Sie auf Download and Review Template.
   2. Klicken Sie auf Launch Stack.
      Die AWS-Managementkonsole öffnet sich in einem neuen Tab und zeigt den Bildschirm Quick Create Stack an.
10. Im AWS-Managementkonsole führen Sie die Schritte auf dem Bildschirm Quick Create Stack aus.
    1. Wenn Sie einen anderen Namen als den Standardnamen verwenden möchten, geben Sie einen neuen Stack name an.
    2. Konfigurieren Sie im Abschnitt Parameters die folgenden Parameter nach Bedarf.
       • Für CloudAuditLogMonitoringCloudTrailArn geben Sie die ARN für den CloudTrail an, den Sie überwachen möchten. Dieser Parameter ist nur erforderlich, wenn Sie Cloud-Erkennungen für AWS CloudTrail aktiviert haben.
       • Für CloudAuditLogMonitoringCloudTrailSNSTopicArn geben Sie die ARN des CloudTrail SNS-Themas an. Dieser Parameter ist nur erforderlich, wenn Sie Cloud-Erkennungen für AWS CloudTrail aktiviert haben.

         Wichtig Der überwachte CloudTrail und CloudTrail SNS müssen sich im selben Konto und in derselben Region befinden, die für die Vorlagenbereitstellung ausgewählt wurden. Ändern Sie keine anderen Einstellungen im Parameters-Abschnitt, es sei denn, Sie werden dazu aufgefordert. CloudFormation stellt automatisch die Einstellungen für die verbleibenden Parameter bereit. Änderungen an den Parametern können dazu führen, dass die Stapelerstellung fehlschlägt.

       • Geben Sie für IamPermissionsBoundaryArn die ARN einer IAM-Berechtigungsgrenzenrichtlinie an, die auf alle von dem Stack erstellten IAM-Rollen angewendet werden soll. Dieser Parameter ist optional. Wenn angegeben, wird die Berechtigungsgrenze auf IAM-Rollen angewendet, die von den folgenden Funktionen verwendet werden:
         • Cloud-Erkennungen für AWS CloudTrail (einschließlich Control Tower)
         • Cloud-Erkennungen für Amazon Security Lake
         • Dateisicherheitspeicher
         Die mit dem IamPermissionsBoundaryArn verknüpfte IAM-Richtlinie muss die minimalen Berechtigungen enthalten, die für die von Ihnen aktivierten Funktionen erforderlich sind. Wenn die Grenzrichtlinie die erforderlichen Berechtigungen nicht enthält, kann die Stapelbereitstellung oder der Funktionsbetrieb fehlschlagen. Weitere Informationen finden Sie unter Erforderliche AWS-Berechtigungen.
    3. Wählen Sie im Abschnitt Capabilities die folgenden Bestätigungen aus:
       • I acknowledge that AWS CloudFormation might create IAM resources with custom names.
       • I acknowledge that AWS CloudFormation might require the following capability: CAPABILITY_AUTO_EXPAND.
    4. Klicken Sie auf Create Stack.
       Der Bildschirm Stack details für den neuen Stack erscheint mit dem Tab Ereignisse angezeigt. Die Erstellung kann einige Minuten dauern. Klicken Sie auf Aktualisieren, um den Fortschritt zu überprüfen.
11. Klicken Sie in der Trend Vision One Konsole auf Fertig.
    Das Konto erscheint in Cloud-Konten, sobald die Bereitstellung der CloudFormation-Vorlage erfolgreich abgeschlossen ist. Aktualisieren Sie den Bildschirm, um die Tabelle zu aktualisieren.