お使いの運用環境では、Microsoft Entra IDのグローバル管理者ロールとAzureサブスクリプションのサブスクリプション所有者ロールの両方を持つアカウントでDeep
Security ManagerがAzureリソースにアクセスすることは望ましくない場合があります。代替として、Azureリソースへの読み取り専用アクセスを提供するDeep
Security Manager用のAzureアプリケーションを作成することができます。
複数のAzureサブスクリプションがある場合、すべて同じActive Directoryに接続されている限り、それらすべてに対して単一のDeep Security
Azureアプリケーションを作成できます。
Azureアプリケーションを作成するには、次の手順を実行する必要があります:
適切な役割を割り当てる
Azureアプリケーションを作成するには、アカウントがMicrosoft Entra IDのユーザ管理者ロールとAzureサブスクリプションのユーザアクセス管理者ロールを持っている必要があります。これらのロールをAzureアカウントに割り当ててから進めてください。
Azure アプリケーションを作成
-
[Microsoft Entra ID] ブレードで、[App registrations] をクリックします。
-
[New registration]をクリックします。
-
[名前] (Deep Security Azureコネクタなど) を入力します。
-
[Supported account types]には[Accounts in this organizational directory only]を選択します。
-
[登録] をクリックします。Azureアプリケーションは、提供された[名前]を使用して[App registrations]リストに表示されます。
AzureアプリIDとActive Directory IDを記録する
-
[App registrations]リストで、Azureアプリケーションをクリックします。
-
[Application (client) ID]を記録します。
-
[Directory (tenant) ID]を記録する
アプリケーションシークレットを作成するか、アプリケーション証明書をアップロードします。
-
[Certificates & secrets]タブで、使用するアプリケーション認証情報の種類を選択します。
-
オプション1:クライアントシークレット(アプリケーションパスワード)
-
オプション2:証明書
Azureでは複数のアプリケーション資格情報を作成できますが、 Deep Security Managerでは、Azureアカウントに1つの資格情報(アプリケーションシークレットまたはアプリケーション証明書)のみが必要でした。 -
-
使用する資格情報の種類に応じて、オプション1またはオプション2(下記)のいずれかの手順に従います。
オプション1:クライアントシークレットを作成する(アプリケーションパスワード)
-
[New client secret]をクリックします。
-
クライアントシークレットの[説明]を入力してください。
-
適切な [Duration] を選択します。この時間が経過すると、クライアントシークレットが期限切れになります。
-
[追加] をクリックします。クライアントシークレットの[値]が表示されます。
-
クライアントシークレット[値]を記録してください。AzureアプリケーションをDeep Securityに登録する際に、アプリケーションパスワードとして使用する必要があります。クライアントシークレットの[値]は一度しか表示されないため、この時点で必ず記録してください。ここで記録しておかないと、後でクライアントシークレットを再生成して新しい[値]を取得することが必要になります。クライアントシークレットの[値]が期限切れになった場合は、再生成して、古い値が関連付けられているAzureアカウントで値を更新する必要があります。
オプション2:アプリケーション証明書をアップロードする
-
X.509 PEMテキスト形式の証明書を準備します。証明書は公開署名または自己署名のいずれかであり、有効期限が切れてはなりません。秘密で保護された秘密鍵の場合、Deep Security ManagerでAzureアカウントを設定する際に証明書の秘密鍵とオプションのパスフレーズまたは秘密が必要です。RSA鍵のサイズは少なくとも2048ビットでなければなりません。Deep Security Managerは現在、バイナリ形式の証明書をサポートしていません。
-
[Upload certificate] ボタンをクリックします。
-
アップロードする証明書ファイルを選択してください。
-
[追加]をクリックします。
無効な資格情報や構成を提供した場合 (例えば、RSAキーが短すぎる場合)、Azureコネクタは「Azure Entra IDに認証できません。資格情報または構成が無効です」というエラーメッセージを表示します。
サブスクリプションIDを記録
-
左側で[All Services]に移動し、[サブスクリプション]をクリックします。サブスクリプションのリストが表示されます。[サブスクリプション] が左側に表示されない場合は、画面の上部にある検索ボックスを使用して検索します。
-
各サブスクリプションに関連付けたいAzureアプリケーションの[Subscription ID]を記録してください。後でAzureアカウントをDeep Securityに追加する際にIDが必要になります。
Azureアプリケーションに役割とコネクタを割り当てる
-
[All Services]→[Subscriptions]の下で、Azureアプリケーションに関連付けたいサブスクリプションをクリックします。必要に応じて、後で別のサブスクリプションをAzureアプリケーションに関連付けることができます。
-
[Access Control (IAM)]をクリックします。
-
メインペインで[追加]をクリックし、メニューから[Add Role Assignment]を選択します。
-
[役割]の下に
Reader
を入力し、表示される[Reader]ロールをクリックします。 -
[Assign access to]の下で、[User, user group, or service principal]を選択します。
-
[Select members]の下に、Azureアプリケーション[名前](例:
Deep Security Azure Connector
) を入力します。Azureアプリケーションは、Azureアプリケーションの作成手順のステップ3で選択した[名前]と共に表示されます。 -
[保存] をクリックします。
-
Azureアプリケーションを別のサブスクリプションに関連付けたい場合は、そのサブスクリプションに対してこの手順 (Azureアプリケーションにロールとコネクタを割り当てる) を繰り返してください。
この時点で、Deep SecurityへのMicrosoft Azureアカウントの追加の手順に従うことにより、Deep Securityを設定してAzure仮想マシンを追加できるようになります。