ビュー:
Agentが統合されている新しいAmazon EC2インスタンスとAmazon WorkSpacesを起動する場合は、このページを参照してください。
ただし、次の場合にはそれぞれの手順に従ってください。
「Agentの統合」はパブリックAMIをベースにしてEC2インスタンスを起動するプロセスで、AgentをEC2インスタンスにインストールした後にこのカスタムEC2イメージをAMIとして保存します。このAMI (Agentが「統合」されている) を新しいAmazon EC2インスタンスの起動時に選択できます。
同様に、 Deep Security Agentを複数のAmazon WorkSpacesに配信する場合は、エージェントを含むカスタムの「WorkSpaceバンドル」を作成できます。カスタムバンドルを新しいAmazon WorkSpacesの起動時に選択できます。
AMIを統合し、事前にインストールされ、有効化されたAgentを使用してカスタムWorkSpaceバンドルを作成するには、次の手順に従います。
  1. AWSアカウントをDeep Security Managerに追加する
  2. 通信方向を設定する
  3. アクティベーションタイプを設定する
  4. マスターAmazon EC2インスタンスまたはAmazon WorkSpaceを起動する
  5. マスターにエージェントをデプロイする
  6. Agentが適切にインストールされ有効化されたことを確認する
  7. (推奨) 自動ポリシー割り当てを設定する
  8. マスターに基づいてAMIまたはカスタムWorkSpaceバンドルを作成する
  9. AMIを使用する

AWSアカウントをDeep Security Managerに追加する

Deep Security ManagerにAWSアカウントを追加する必要があります。これらは、保護するAmazon EC2インスタンスおよびAmazon WorkSpacesを含むAWSアカウントです。
詳細については、AWSアカウントの追加についてを参照してください。

通信方向を設定する

通信方向は、[Agent/Applianceから開始]、[Managerから開始]、または [双方向] のいずれかに設定する必要があります。
手順については、「Amazon EC2およびWorkSpacesへのエージェントのインストール」「通信方向を設定する」を参照してください。

有効化の種類を設定する

Agentからのリモート有効化を許可するかどうかを示す必要があります。
手順については、「Amazon EC2およびWorkSpacesへのエージェントのインストール」「有効化の種類を設定する」を参照してください。

マスターAmazon EC2インスタンスまたはAmazon WorkSpaceを起動する

「マスター」Amazon EC2インスタンスまたはAmazon WorkSpaceを起動する必要があります。マスターインスタンスは、これから作成するEC2 AMIまたはWorkSpaceバンドルの基になります。
  1. AWSで、Amazon EC2インスタンスまたはAmazon WorkSpacesを起動します。詳細についてはAmazon EC2ドキュメントAmazon WorkSpacesドキュメントを参照してください。
  2. このインスタンスを「マスター」とします。

Agentをマスターにインストールする

マスターにAgentをインストールして有効にする必要があります。このプロセスでは、オプションでポリシーをインストールできます。
手順については、「Amazon EC2およびWorkSpacesへのエージェントのインストール」「エージェントをAmazon EC2インスタンスおよびWorkSpacesにデプロイする」を参照してください。
ヒント
ヒント
AgentをAMIまたはWorkSpaceバンドルに統合し、後から新しいAgentを使用する場合は、バンドルをアップデートして新しいAgentを追加するのが理想的です。ただし、これが不可能な場合は、[Agentを有効化するときに自動的にアップグレードする] 設定を使用できます。その結果、AMIまたはバンドル内のAgentが自動的に有効化されたときに、Deep Security ManagerはそのAgentを自動的に最新バージョンにアップグレードできるようになります。詳細については、Agentを有効化するときに自動的にアップグレードするを参照してください。

Agentが適切にインストールされ有効化されたことを確認する

続行する前に、マスターにAgentが適切にインストールされ、有効化されていることを確認する必要があります。
手順については、「Amazon EC2およびWorkSpacesへのエージェントのインストール」「エージェントが適切にインストールされ有効化されたことを確認する」を参照してください。

(推奨) 自動ポリシー割り当てを設定する

マスターにAgentをどのようにインストールしたかによって、自動ポリシー割り当てを設定する必要があります。
  • インストールスクリプトを使用した場合、ポリシーはすでに割り当てられており、追加の処理は必要ありません。
  • Agentを手動でインストールして有効にした場合は、Agentにポリシーが割り当てられていないため、ポリシーを割り当ててマスターを保護する必要があります。マスターに基づいて起動されるAmazon EC2インスタンスおよびAmazon WorkSpacesも保護されます。
マスターにポリシーを割り当て、マスターを使用して今後EC2インスタンスまたはWorkSpaceにポリシーを自動割り当てする場合は、次の手順に従います。
  1. Deep Security Managerで、次のパラメータを使用してイベントベースのタスクを作成します。
    • [イベント][Agentからのリモート有効化]に設定します。
    • [ポリシーの割り当て]を割り当てたいポリシーに設定します。
    • (オプション)[クラウドインスタンスのメタデータ]に条件を設定する
      • [EC2][tagKey][True][tagValue.*](EC2インスタンスの場合) または
      • [WorkSpaces][tagKey]および[True][tagValue.*](WorkSpaces用)
      上記のイベントベースのタスクは次のように述べています:
      エージェントが有効化されると、Amazon EC2インスタンスまたはWorkSpaceにEC2=true またはWorkSpaces=trueが存在することを条件に、指定されたポリシーを割り当てます。
      そのキー/値のペアがEC2インスタンスまたはWorkSpaceに存在しない場合、ポリシーは割り当てられません (ただし、エージェントは依然としてアクティブ化されます)。条件を指定しない場合、ポリシーは無条件にアクティブ化時に割り当てられます。
      イベントベースタスクの作成の詳細については、クラウドプロバイダーのタグ/ラベルを使用してポリシーを自動的に割り当てる を参照してください。
  2. 前の手順でDeep Security Managerでキーと値のペアを追加した場合は、次の手順を実行します。
    1. AWSにログインします。
    2. マスターEC2インスタンスまたはWorkSpaceを特定します。
    3. タグに [Key][EC2] または [WorkSpaces] を、[値][True] を設定して、マスターに追加します。詳細については、タグ付けに関するAmazon EC2のドキュメントタグ付けに関するAmazon WorkSpaceのドキュメントを参照してください。これで、自動ポリシー割り当てが設定されました。マスターを使用して起動した新しいAmazon EC2インスタンスおよびAmazon WorkSpaceは、自動的に有効化され (Agentはマスターで事前に有効化されるため)、イベントベースタスクでポリシーが自動的に割り当てられます。
  3. マスターEC2インスタンスまたはWorkSpaceで、エージェントでアクティベーションコマンドを再実行するか、 Deep Security Managerの[再有効化]の再アクティベートボタンをクリックして、エージェントを再度アクティベートします。詳細については、Agentの有効化を参照してください。再有効化を実行すると、イベントベースタスクがポリシーをマスターに割り当てます。これでマスターは保護されます。
AMIまたはカスタムWorkSpaceバンドルを作成する準備ができました。

マスターに基づいてAMIまたはカスタムWorkSpaceバンドルを作成する

注意
注意
AWSからAMIを作成するときは、AWSオプション [再起動不要] を選択しないでください。 [再起動不要] オプションで作成されたイメージは、エージェントによって保護されません。
Agentが事前にインストールされ、有効化されたAMIまたはWorkSpaceバンドルが作成されました。

AMIを使用する

カスタムAMIまたはWorkSpaceバンドルを作成すると、今後のAmazon EC2インスタンスおよびAmazon WorkSpacesのベースとして使用できます。カスタムAMIまたはバンドルを使用すると、 Deep Security Agentは自動的に起動し、自身をアクティベートして、割り当てられた保護ポリシーを適用します。Deep Security Managerの [ステータス][管理対象] で、その横に緑色の点が表示されます。