 |
注意AWSアカウントの外部IDは、AWSアカウントをクロスアカウントロールを使用して追加する場合にのみ使用されます。
|
トピック:
外部IDとは何ですか?
クロスアカウントロールARNと共に、外部IDはあるAWSロールから別のロールへのアクセスを許可するために使用されます。外部IDは、あなたのアカウントのロールを引き受けたい第三者サービスによって提供されます。そのサービスがあなたの代わりに行動することを信頼する場合、その外部IDをクロスアカウントロールに追加します。この場合、Deep
Securityはあなたに外部IDを提供してあなたのAWSアカウントの代わりに行動する第三者サービスです。Deep Securityはこのアクセスを使用して、あなたのAWSアカウントから情報を同期し、リソースの最新の記録を維持します。詳細については、次のAWSドキュメントを参照してください:
How to Use External ID When Granting Access to Your AWS Resources。
注意:
-
外部IDは、クロスアカウントロールを使用してAWSアカウントを追加する場合にのみ使用されます。
-
すべてのAWSアカウントに対してクロスアカウントロールを使用して追加された同じ外部IDが使用されます。 テナントごとに1つのIDがあります。
外部IDを設定する
外部IDの設定は、クロスアカウントロールを追加するための大きなプロセスの一部です。詳細については、クロスアカウントロールを使用してAWSアカウントを追加するを参照してください。
外部IDを更新する
以前にクロスアカウントロールを使用してAWSアカウントを追加した場合、ユーザ定義の外部IDを指定した可能性があります。AWSのベストプラクティスにより適合するために、トレンドマイクロはマネージャ定義の外部IDへの切り替えを推奨します。
|
注意ユーザ定義の外部IDで以前に追加されたAWSアカウントは通常通り機能し続けます。
|
ユーザ定義のIDとマネージャ定義の外部IDのどちらを使用しているかを判断する
現在、ユーザ定義またはマネージャ定義の外部IDを使用しているかどうか不明な場合は、以下の手順に従って確認してください。
-
Deep Security Managerにログインします。
-
[コンピュータ]をクリックします。
-
クロスアカウントロールを使用して追加されたAWSアカウントを右クリックし、[プロパティ]を選択します。
-
外部IDの横に[アップデート]リンクが表示されている場合、ユーザ定義の外部IDが現在使用されており、更新する必要があります。[アップデート]リンクが表示されていない場合は、マネージャ定義の外部IDが現在使用されており、アクションは不要です。
-
クロスアカウントロールを使用してマネージャに追加された各アカウントについて、この手順を繰り返してください。
マネージャを通じて外部IDを更新する
-
まだ行っていない場合は、Deep Security Managerにログインし、更新したいAWSアカウントを右クリックして、[プロパティ]を選択します。
-
外部IDの横に表示される[アップデート]リンクをクリックします。[アップデート]リンクが消えます。
-
外部IDに注意してください。次のステップでクロスアカウントロールを設定するために必要です。
-
外部IDが更新されたAWSアカウントにログインします。クロスアカウントロールのIAMポリシーを更新するには、古い外部IDを新しいアカウントIDに置き換えます。
-
プロパティウィンドウに戻り、変更を適用するには[適用]をクリックします。お客様のアカウントのユーザ定義の外部IDがマネージャ定義のものに更新されました。
-
クロスアカウントロールを使用してマネージャに追加された各アカウントについて、この手順を繰り返してください。
Deep Security APIを通じて外部IDを更新する
-
新しいマネージャ定義の外部IDをまだ持っていない場合は、
/api/awsconnectorsettingsエンドポイントを呼び出して取得してください (ExternalIdパラメータ)。 -
クロスアカウントロールが設定されたAWSアカウントにログインします。古い外部IDを新しいものに置き換えて、クロスアカウントロールのIAMポリシーを更新します。クロスアカウントロールを使用してマネージャに追加された各アカウントについて、この手順を繰り返します。
-
/api/awsconnectorsエンドポイントを使用して、更新しているアカウントに対してUpdateアクションを実行し、そのCrossAccountRoleARNパラメーターを現在のロールARNと同じに設定します。リクエストオブジェクトに外部IDを提供しないでください。お客様のアカウントのユーザ定義の外部IDがマネージャ定義のものに更新されました。
外部IDを取得する
クロスアカウントで使用する外部IDを取得するには、いくつかの方法があります。
アカウントの追加ウィザードを使用すると
-
クロスアカウントロールを使用してAWSアカウントを追加するを参照してください。ウィザードを通じて外部IDを取得する方法に関するサブセクションが含まれています。
Deep Security APIを通じて
-
/api/awsconnectorsettingsエンドポイントを呼び出して取得します (ExternalIdパラメータ)。
外部IDの取得を無効にする
マネージャで外部IDの表示および取得を無効にして、無許可のアクセスを防止することをお勧めします。IDを一度取得し、秘密マネージャなどの安全な場所に保存してから、他の人が取得できないように無効にすることができます。
|
注意いつでも検索を有効にすることができます。
|
検索を無効にするには
-
Deep Security Managerにログインします。
-
上部の[管理]をクリックしてください。
-
メイン画面で、[セキュリティ]タブをクリックします。
-
[AWS外部IDの取得と表示を有効にする]を選択解除します。
-
[保存]をクリックします。
 |
ヒント外部IDへのアクセスを防ぐためにロールを使用することもできます。詳細については、ユーザのロールを定義するを参照してください。
|