Ansichten:
Wichtig
Wichtig
AWS-Konten in Trend Vision One werden jetzt von der Cloud-Konten-App verwaltet. Um neue AWS-Konten hinzuzufügen, siehe Hinzufügen eines AWS-Kontos mit CloudFormation.
Sie können weiterhin APIs verwenden, um neue Konten zu Server- und Workload Protection hinzuzufügen. Allerdings empfiehlt Trend Micro, die Cloud Accounts-App zu verwenden, die Zugriff auf fortschrittlichere Cloud-Sicherheits- und XDR-Funktionen bietet. Dieses Thema dient nur als Referenz.
Themen:

Was ist die externe ID? Übergeordnetes Thema

Zusammen mit der Kontorolle-ARN wird die externe ID verwendet, um den Zugriff von einer AWS-Rolle auf eine andere zu gewähren. Die externe ID wird von einem Drittanbieterdienst bereitgestellt, der die Rolle Ihres Kontos übernehmen möchte. Wenn Sie diesem Dienst vertrauen, in Ihrem Namen zu handeln, fügen Sie diese externe ID zu Ihrer Kontorolle hinzu. In diesem Fall ist Server- und Workload Protection der Drittanbieterdienst, der Ihnen eine externe ID bereitstellt, um in Ihrem Namen auf Ihr AWS-Konto zuzugreifen. Server- und Workload Protection nutzt diesen Zugriff, um Informationen aus Ihrem AWS-Konto zu synchronisieren und einen aktuellen Überblick über Ihre Ressourcen zu behalten. Weitere Informationen finden Sie in diesem AWS-Dokument: Wie man die externe ID verwendet, um Zugriff auf Ihre AWS-Ressourcen zu gewähren.
Hinweise:
  • Die externe ID wird nur verwendet, wenn ein AWS-Konto mit einer Kontorolle hinzugefügt wird.
  • Die gleiche externe ID wird für alle AWS-Konten verwendet, die mit Cross-Kontorollen hinzugefügt wurden.

Externe ID konfigurieren Übergeordnetes Thema

Das Konfigurieren der externen ID ist ein Schritt in einem größeren Prozess zum Hinzufügen einer Kontorolle über Konten hinweg.

Aktualisieren Sie die externe ID Übergeordnetes Thema

Wenn Sie zuvor ein AWS-Konto mit einer Kontorolle hinzugefügt haben, haben Sie möglicherweise eine benutzerdefinierte externe ID angegeben. Um besser mit den Best Practices von AWS übereinzustimmen, empfiehlt Trend Micro, zur Server- und Workload Protection-definierten externen ID zu wechseln.
Hinweis
Hinweis
AWS-Konten, die zuvor mit einer benutzerdefinierten externen ID hinzugefügt wurden, werden weiterhin normal funktionieren.

Bestimmen Sie, ob Sie eine benutzer- oder managerdefinierte externe ID verwenden Übergeordnetes Thema

Wenn Sie sich nicht sicher sind, ob Sie derzeit eine benutzer- oder managerdefinierte externe ID verwenden, folgen Sie dem unten stehenden Verfahren, um dies herauszufinden.

Prozedur

  1. Melden Sie sich bei Server- und Workload Protection an.
  2. Klicken Sie auf Computers.
  3. Klicken Sie mit der rechten Maustaste auf das AWS-Konto, das mit einer Kontorolle hinzugefügt wurde, und wählen Sie Eigenschaften.
  4. Wenn ein Update-Link neben der externen ID erscheint, bedeutet dies, dass eine benutzerdefinierte externe ID derzeit verwendet wird und aktualisiert werden sollte. Wenn kein Update-Link erscheint, liegt es daran, dass die vom Server- und Workload Protection definierte externe ID derzeit verwendet wird und keine Aktion erforderlich ist.
  5. Wiederholen Sie dieses Verfahren für jedes Konto, das mit einer Kontorolle zu Server- und Workload Protection hinzugefügt wurde.

Nächste Schritte

Aktualisieren Sie die externe ID über die Server- und Workload Protection-Konsole Übergeordnetes Thema

Prozedur

  1. Falls Sie dies noch nicht getan haben, melden Sie sich bei Server- und Workload Protection an, klicken Sie mit der rechten Maustaste auf das AWS-Konto, das Sie aktualisieren möchten, und wählen Sie Eigenschaften aus.
  2. Klicken Sie auf den Update-Link, der neben der externen ID erscheint. Der Update-Link verschwindet.
  3. Notieren Sie die externe ID. Sie benötigen sie im nächsten Schritt, um die Kontorolle über Konten hinweg zu konfigurieren.
  4. Melden Sie sich bei dem AWS-Konto an, dessen externe ID Sie gerade aktualisiert haben. Aktualisieren Sie die IAM-Richtlinie der Kontorolle, indem Sie die alte externe ID durch die neue ersetzen.
  5. Zurück im Eigenschaftenfenster klicken Sie auf Übernehmen, um die Änderungen anzuwenden. Die benutzerdefinierte externe ID Ihres Kontos wurde nun auf die von Server- und Workload Protection definierte aktualisiert.
  6. Wiederholen Sie dieses Verfahren für jedes Konto, das mit einer Kontorolle zu Server- und Workload Protection hinzugefügt wurde.

Nächste Schritte

Aktualisieren Sie die externe ID über die Server- und Workload Protection-API Übergeordnetes Thema

Prozedur

  1. Wenn Sie die neue, vom Manager definierte externe ID noch nicht haben, rufen Sie den Endpunkt /api/awsconnectorsettings auf, um sie abzurufen (den Parameter ExternalId).
  2. Melden Sie sich bei dem AWS-Konto an, in dem die Kontorolle konfiguriert wurde. Aktualisieren Sie die IAM-Richtlinie der Kontorolle, indem Sie die alte externe ID durch die neue ersetzen. Wiederholen Sie diesen Schritt für jedes Konto, das mit einer Kontorolle zu Server- und Workload Protection hinzugefügt wurde.
  3. Verwenden Sie den /api/awsconnectors-Endpunkt, um ein Update action auf das Konto durchzuführen, das Sie aktualisieren, wobei der CrossAccountRoleARN-Parameter auf die gleiche Rollen-ARN gesetzt ist wie derzeit. Geben Sie keine externe ID im Anforderungsobjekt an. Die benutzerdefinierte externe ID Ihres Kontos wurde nun auf die von Server- und Workload Protection definierte aktualisiert.

Nächste Schritte

Externe ID abrufen Übergeordnetes Thema

Es gibt einige Möglichkeiten, die externe ID für die Verwendung mit übergreifenden Konten abzurufen.

Durch die Server- und Workload Protection-API Übergeordnetes Thema

  • Rufen Sie den /api/awsconnectorsettings-Endpunkt auf, um ihn abzurufen (den ExternalId-Parameter).

Deaktiviert das Abrufen der externen ID Übergeordnetes Thema

Möglicherweise möchten Sie die Möglichkeit deaktivieren, die externe ID in der Server- und Workload Protection-Konsole anzuzeigen und abzurufen, um unbefugten Zugriff darauf zu verhindern. Sie können die ID einmal abrufen, sie an einem sicheren Ort wie Ihrem Geheimnis-Manager speichern und dann das Abrufen für alle anderen deaktivieren.
Hinweis
Hinweis
Die Wiederherstellung kann jederzeit wieder aktiviert werden.
Um die Abfrage zu deaktivieren:

Prozedur

  1. Melden Sie sich bei Server- und Workload Protection an.
  2. Klicken Sie oben auf Administration.
  3. Klicken Sie im Hauptbereich auf die Registerkarte Sicherheit.
  4. Abwählen Enable retrieval and viewing of AWS external ID.
  5. Klicken Sie auf Save.

Nächste Schritte

Tipp
Tipp
Sie können auch Rollen verwenden, um den Zugriff auf die externe ID zu verhindern. Weitere Informationen finden Sie unter Benutzerrollen.