Ansichten:

So verbinden Sie Ihr AWS-Konto mit Cloud-Konten, wenn Sie die Stack-Vorlage nicht verwenden können.

Einige AWS-Konten erlauben nicht die Verwendung von Stack-Vorlagen, um Ressourcen innerhalb der Cloud-Umgebung bereitzustellen. Dies liegt in der Regel an Sicherheitsrichtlinien, die die automatische Erstellung von IAM-Richtlinien und -Rollen verhindern, die vom Bereitstellungsskripts innerhalb der Stack-Vorlage benötigt werden.
Um ein AWS-Konto manuell zu verbinden, nutzen Sie die API-Ressourcen im Automation Center.
Wichtig
Wichtig
  • Die dem Benutzer zugewiesene Rolle zur Nutzung der Trend Vision One-APIs muss über vollständige Berechtigungen zum Hinzufügen, Löschen und Bearbeiten von Cloud-Konten verfügen. Weitere Informationen zu Benutzerrollen finden Sie unter Benutzerrollen.
  • Die Bereitstellung mit dieser Methode unterstützt nur Kernfunktionen. Zusätzliche Cloud-Sicherheitsfunktionen können nicht aktiviert werden.
  • Die Schritte gelten für die AWS-Konsole ab Februar 2024.

Prozedur

  1. Generieren und laden Sie die Stack-Vorlage aus Cloud-Konten entweder über die Trend Vision One-Konsole oder durch Aufrufen einer API herunter.
    • Greifen Sie auf die Trend Vision One-Konsole zu und erstellen Sie die Vorlage.
      1. Navigieren Sie in der Trend Vision One Konsole zu Cloud SecurityCloud AccountsAWS
      2. Klicken Sie auf Konto hinzufügen.
      3. Wählen Sie im Fenster Deployment Type CloudFormation und Single AWS Account aus.
      4. Klicken Sie auf Weiter.
      5. Geben Sie Account name, Beschreibung an und wählen Sie die AWS-Region für die Bereitstellung aus.
      6. Wenn Sie mehr als eine Server- und Workload Protection Manager-Instanz haben, wählen Sie die Instanz aus, die mit dem verbundenen Konto verknüpft werden soll, und klicken Sie auf Weiter.
      7. Klicken Sie auf Weiter, ohne das Fenster Features and Permissions zu konfigurieren.
      8. Klicken Sie auf Download and Review Template.
      Hinweis
      Hinweis
      Die Felder Name des Kontos und Beschreibung werden nicht in die Überprüfungsvorlage exportiert. Sie können diese Parameter beim Aufrufen der Connect-Konto-API angeben.
    • Rufen Sie eine API auf, um die Vorlage abzurufen.
      1. Suchen Sie die Get AWS CloudFormation template-API im Automatisierungszentrum.
      2. Wechseln Sie in die query_params-Zeichenfolgen.
      3. Geben Sie für awsRegion die AWS-Region an, in der Sie die Stack-Vorlage und die Kernfunktionen bereitstellen möchten. Die Standardregion basiert auf Ihrer Trend Vision One-Region.
      4. Für features und featureAwsREgions lassen Sie die Parameter leer.
      5. Speichern Sie Ihre Änderungen und rufen Sie die API auf.
        Die API gibt Folgendes zurück:
        • templateUrl: Die URL zum Herunterladen der Vorlage.
        • visionOneOidcProviderUrl: Ein erforderlicher Parameter für die Bereitstellung der Vorlage.
        • createStackUrl: URL der AWS CloudFormation-Konsole, die auf die CloudFormation-Vorlage von Trend Vision One verweist.
      6. Vorlage herunterladen.
  2. Rufen Sie die AWS-Konsole auf.
  3. Fügen Sie Trend Vision One als Identitätsanbieter hinzu.
    1. Öffnen Sie im AWS-Managementkonsole den Dienst Identity and Access Management (IAM).
    2. Navigieren Sie zu Access managementIdentity providers.
    3. Klicken Sie auf Add provider.
      Das Fenster Add an Identity provider screen wird angezeigt.
    4. Wählen Sie im Abschnitt Configure provider die Option OpenID Connect aus.
    5. Geben Sie für die Anbieter-URL die Provider URL ein oder fügen Sie sie ein.
      • Wenn Sie die API verwendet haben, um die Vorlage aufzurufen, kopieren und fügen Sie den Parameter visionOneOidcProviderUrl ein, den die API zurückgegeben hat.
      • Wenn Sie die Vorlage heruntergeladen haben, geben Sie cloudaccounts-{region}.xdr.trendmicro.com ein, wobei {region} Ihre Trend Vision One-Region ist (us, eu, au, sg, in, oder jp)
        Zum Beispiel, wenn Ihre Trend Vision One Region die USA ist, ist Ihr visionOneOidcProviderUrl cloudaccounts-us.xdr.trendmicro.com
    6. Für Audience Eingabe arn:aws:iam::${AWSAccountId}:root.
      Ersetzen Sie ${AWSAccountId} durch Ihre AWS-Konto-ID.
      CAM-AWSManual_Provider=GUID-06b9b214-6b7f-44b0-be1f-886d95805770.png
    7. Klicken Sie auf Get thumbprint.
    8. Klicken Sie auf Add provider.
      Der Anbieter wird zur Liste Identity providers hinzugefügt.
    9. Klicken Sie auf den Namen des Anbieters, den Sie erstellt haben.
      Der Bildschirm mit den Anbieterdetails wird geöffnet.
    10. Kopieren Sie die Anbieter-ARN, um sie in einem späteren Schritt beim Erstellen der Rolle zu verwenden.
    11. Suchen Sie den Abschnitt Thumbprints und klicken Sie auf Manage.
    12. Löschen Sie den beim Erstellen des Anbieters generierten Fingerabdruck und fügen Sie die folgenden Fingerabdrücke ein.
      Klicken Sie auf Add thumbprint, um jede neue Zeile hinzuzufügen.
      • 9e99a48a9960b14926bb7f3b02e22da2b0ab7280
      • 9565AD13689C2C4B4F018BE31767084D197F2692
      • 8CF427FD790C3AD166068DE81E57EFBB932272D4
      • F21C12F46CDB6B2E16F09F9419CDFF328437B2D7
      CAM-AWSManual_Thumbprint=GUID-f74acdc4-fa0c-4439-aadd-267a117fbb20.png
    13. Klicken Sie auf Änderungen speichern.
  4. Fügen Sie die Trend Vision One-Richtlinien hinzu.
    1. Gehen Sie im Identity and Access Management-Dienst zu Access managementRichtlinien.
    2. Klicken Sie auf Create policy.
    3. Für Policy editor wählen Sie JSON.
    4. Kopieren und ersetzen Sie den Statement-Parameter mit demselben Parameter aus VisionOnePolicyPart1 in Ihrer heruntergeladenen Vorlagendatei.
      Sie können auch auf diesen Link klicken, um den JSON-Code direkt anzuzeigen und zu kopieren.
      Wichtig
      Wichtig
      Stellen Sie sicher, dass Sie die zweite Zeile des Codes "Version": "2012-10-17" beibehalten. Das Löschen der Zeile könnte dazu führen, dass die Richtlinie nicht korrekt funktioniert.
    5. Klicken Sie auf Weiter.
    6. Für Richtlinienname geben Sie VisionOnePolicyPart1 ein.
    7. Klicken Sie auf Create policy.
      Die Richtlinie wird erstellt und der Bildschirm Richtlinien erscheint.
    8. Nachdem die Richtlinie erstellt wurde, klicken Sie im Bildschirm Richtlinien auf Create policy.
    9. Für Policy editor wählen Sie JSON.
    10. Kopieren und ersetzen Sie den Statement-Parameter mit demselben Parameter aus VisionOnePolicyPart2 in Ihrer heruntergeladenen Vorlagendatei.
      Sie können auch auf diesen Link klicken, um den JSON-Code direkt anzuzeigen und zu kopieren.
      Wichtig
      Wichtig
      Stellen Sie sicher, dass Sie die zweite Zeile des Codes "Version": "2012-10-17" beibehalten. Das Löschen der Zeile könnte dazu führen, dass die Richtlinie nicht korrekt funktioniert.
    11. Klicken Sie auf Weiter.
    12. Für Richtlinienname geben Sie VisionOnePolicyPart2 ein.
    13. Klicken Sie auf Create policy.
      Die Richtlinie wird erstellt und der Bildschirm Richtlinien erscheint.
    14. Nachdem die Richtlinie erstellt wurde, klicken Sie im Bildschirm Richtlinien auf Create policy.
    15. Für Policy editor wählen Sie JSON.
    16. Kopieren und ersetzen Sie den Statement-Parameter mit demselben Parameter aus VisionOnePolicyPart3 in Ihrer heruntergeladenen Vorlagendatei.
      Sie können auch auf diesen Link klicken, um den JSON-Code direkt anzusehen und zu kopieren.
      Wichtig
      Wichtig
      Stellen Sie sicher, dass Sie die zweite Zeile des Codes "Version": "2012-10-17" beibehalten. Das Löschen der Zeile könnte dazu führen, dass die Richtlinie nicht korrekt funktioniert.
    17. Klicken Sie auf Weiter.
    18. Für Richtlinienname geben Sie VisionOnePolicyPart3 ein.
    19. Klicken Sie auf Create policy.
      Die Richtlinie wird erstellt und der Bildschirm Richtlinien erscheint.
  5. Fügen Sie die Rolle Trend Vision One hinzu.
    1. Im Identity and Access Management-Dienst gehen Sie zu Access managementRollen.
    2. Klicken Sie auf Create role.
    3. Für Trusted entity type wählen Sie Custom trust policy.
      Der JSON-Editor Custom trust policy wird angezeigt.
    4. Ersetzen Sie den Platzhaltercode durch den folgenden JSON-Code:
      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "${visionOneOIDCProvider}"
      },
      "Action": [
        "sts:AssumeRoleWithWebIdentity",
        "sts:SetSourceIdentity"
      ],
      "Condition": {
        "StringEquals": {
          "${visionOneOIDCProviderURL}:aud": "arn:aws:iam::${AWSAccountId}:root",
          "${visionOneOIDCProviderURL}:sub": [
            "urn:visionone:identity:${visionOneRegion}:${visionOneAccountID}:account/${visionOneAccountID}"
          ]
        }
      }
    }
  ]
}
    5. Ersetzen Sie die Zeichenfolgen für die folgenden Parameter:
      Parameter
      Beschreibung
      Beispiel
      "Federated"
      Ersetzen Sie "${visionOneOIDCProvider}" durch die Anbieter-ARN für den von Ihnen erstellten Anbieter.
      Zum Beispiel, wenn Ihre Trend Vision One-Region die USA ist, folgt die ARN dem Format "arn:aws:iam::1xxxxxxxxxx1:oidc-provider/cloudaccounts-us.xdr.trendmicro.com"
      "StringEquals"
      Ersetzen Sie beide Instanzen von "${visionOneOIDCProviderURL}" mit dem Wert, den Sie bei der Erstellung des Anbieters verwendet haben.
      Zum Beispiel, wenn Ihre Trend Vision One-Region die USA ist, verwenden Sie cloudaccounts-us.xdr.trendmicro.com
      Für die Zeichenfolge "arn:aws:iam::${AWSAccountID}:root" ersetzen Sie ${AWS::AccountID} durch Ihre AWS-Konto-ID.
      Die Zeichenfolge sollte dem Format "arn:aws:iam::1xxxxxxxxxx1:root" folgen
      Im String, der mit "urn:visionone:identity:..." beginnt, ersetzen Sie die folgenden Parameter:
      • ${visionOneRegion}: Ihre Trend Vision One-Region (us, eu, au, sg, in, oder jp)
      • ${visionOneAccountID} Ihre Trend Vision One-Geschäfts-ID. Stellen Sie sicher, dass Sie beide Instanzen ersetzen.
      Wenn Ihre Trend Vision One-Region die USA sind, sieht die Zeichenfolge wie "urn:visionone:identity:us:1#####1:account/1#####1" aus
    6. Klicken Sie auf Weiter.
    7. Auf dem Bildschirm Add permissions suchen Sie nach den von Ihnen erstellten Richtlinien und wählen Sie beide aus.
      CAM-AWSManual_Policies=GUID-54c2c4b9-3745-48cb-8e71-9f93ff3f502f.png
    8. Klicken Sie auf Weiter.
    9. Geben Sie auf dem Bildschirm Name, review, and create VisionOneRole für die Role name ein.
    10. Unter Step 3: Add tags die folgenden Tags hinzufügen.
      Schlüssel
      Wert
      VisionOneCloudFormationStackName
      Vision-One-Cloud-Account-Management
      VisionOneCloudFormationStackRegion
      Geben Sie die AWS-Region ein, in der Sie die Ressourcen bereitstellen möchten. Zum Beispiel, us-east-1.
      VisionOneFeatures
      Base
      CAM-AWSManual_Tags02=0a0f3e2f-94cf-4c5f-85eb-157feb978fe5.png
    11. Klicken Sie auf Create role.
    12. Sobald die Erstellung abgeschlossen ist, klicken Sie auf den Rollennamen für die Rolle, die Sie erstellt haben.
    13. Im Bildschirm mit den Rollendetails kopieren Sie die ARN, um sie in einem späteren Schritt mit der API zum Hinzufügen von Konten zu verwenden.
  6. Verbinden Sie Ihr AWS-Konto mit der Cloud-Konten-App über die Add Account API.
    1. Greifen Sie über das Automation Center auf die API zu oder kopieren Sie den folgenden Code zur Anpassung.
      import requests
import json

url_base = 'https://api.xdr.trendmicro.com'
url_path = '/beta/xdr/cam/awsAccounts'
token = 'API Keys'

query_params = {}
headers = {
    'Authorization': 'Bearer ' + token,
    'Content-Type': 'application/json;charset=utf-8'
}
body = {
    'roleArn': 'YOUR_ROLEARN (string)',
    'name': 'YOUR_NAME (string)',
    'description': 'YOUR_DESCRIPTION (string)',
    'features': 'YOUR_FEATURES (array)',
    'connectedSecurityServices': [
        {
            'name': 'YOUR_NAME2 (string)',
            'instanceIds': 'YOUR_INSTANCEIDS (array)'
        }
    ]
}

r = requests.post(url_base + url_path, params=query_params, headers=headers, json=body)

print(r.status_code)
for k, v in r.headers.items():
    print(f'{k}: {v}')
print('')
if 'application/json' in r.headers.get('Content-Type', '') and len(r.content):
    print(json.dumps(r.json(), indent=4))
else:
    print(r.text)
    2. Geben Sie die Werte für die folgenden Parameter im API-Code an.
      Parameter
      Wert
      roleArn
      Die ARN für die von Ihnen erstellte Rolle
      name
      Der Name des Kontos, wie er in der Cloud-Konten-App erscheint.
      Der Name muss innerhalb der Cloud-Konten-App eindeutig sein.
      description
      Die Beschreibung des Kontos, wie sie in der Cloud-Konten-App erscheint.
      features
      Lassen Sie diesen Wert leer.
      token
      Der Wert, der angezeigt wird, wenn Sie einen API-Schlüssel in Server & Workload Protection erstellen. Für weitere Informationen siehe Erstellen Sie einen API-Schlüssel mit der Server- und Workload Protection-Konsole.
      Hinweis
      Hinweis
      Der Token wird nur einmal angezeigt, wenn ein API-Schlüssel erstellt wird. Wenn Sie ihn nicht bestätigen können, erstellen Sie einen neuen Schlüssel zur Verifizierung.
      Wenn Sie mindestens eine Server- & Workload Protection-Instanz bereitgestellt haben, müssen Sie die Parameter für connectedSecurityServices angeben.
      Parameter
      Wert
      name
      workload
      instanceIds
      Die Instanz-ID für die Server- und Workload Protection-Instanz, die Sie mit Ihrem verbundenen AWS-Konto verknüpfen möchten
      Sie können die Instanz-ID in der Trend Vision One-Konsole finden, indem Sie zu Service ManagementProduct Instance gehen.
      Wichtig
      Wichtig
      Sie können nur eine Server- und Workload Protection-Instanz mit einer AWS-Kontoverbindung verknüpfen.
    3. Rufen Sie die API "Konto hinzufügen" auf.
    Die Cloud-Konten-App verbindet sich mit Ihrem AWS-Konto. Sie können die Verbindung in der Cloud-Konten-App überprüfen oder indem Sie die Get Connected Accounts API aufrufen.
Zugehörige Informationen