Agentが統合されている新しいAmazon EC2インスタンスとAmazon WorkSpacesを起動する場合は、このページを参照してください。
ただし、次の場合にはそれぞれの手順に従ってください。
-
既存のAmazon EC2インスタンスおよびAmazon WorkSpaces (Deep Security) を保護する方法については、Amazon EC2およびWorkSpaceインスタンスにエージェントをインストールするを参照してください。
-
Amazon EC2インスタンスを保護した後にAmazon WorkSpacesを保護する場合は、Amazon WorkSpacesを保護する (AWSアカウントをすでに追加している場合)を参照してください。
「Agentの統合」はパブリックAMIをベースにしてEC2インスタンスを起動するプロセスで、AgentをEC2インスタンスにインストールした後にこのカスタムEC2イメージをAMIとして保存します。このAMI
(Agentが「統合」されている) を新しいAmazon EC2インスタンスの起動時に選択できます。
同様に、 Deep Security Agentを複数のAmazon WorkSpacesに配信する場合は、エージェントを含むカスタムの「WorkSpaceバンドル」を作成できます。カスタムバンドルを新しいAmazon
WorkSpacesの起動時に選択できます。
AMIを統合し、事前にインストールされ、有効化されたAgentを使用してカスタムWorkSpaceバンドルを作成するには、次の手順に従います。
AWSアカウントをDeep Security Managerに追加する
Deep Security ManagerにAWSアカウントを追加する必要があります。これらは、保護するAmazon EC2インスタンスおよびAmazon WorkSpacesを含むAWSアカウントです。
詳細については、AWSアカウントの追加についてを参照してください。
通信方向を設定する
通信方向は、[Agent/Applianceから開始]、[Managerから開始]、または [双方向] のいずれかに設定する必要があります。
手順については、「Amazon EC2およびWorkSpacesへのエージェントのインストール」の「通信方向を設定する」を参照してください。
有効化の種類を設定する
Agentからのリモート有効化を許可するかどうかを示す必要があります。
手順については、「Amazon EC2およびWorkSpacesへのエージェントのインストール」の「有効化の種類を設定する」を参照してください。
マスターAmazon EC2インスタンスまたはAmazon WorkSpaceを起動する
「マスター」Amazon EC2インスタンスまたはAmazon WorkSpaceを起動する必要があります。マスターインスタンスは、これから作成するEC2 AMIまたはWorkSpaceバンドルの基になります。
-
AWSで、Amazon EC2インスタンスまたはAmazon WorkSpacesを起動します。詳細についてはAmazon EC2ドキュメントとAmazon WorkSpacesドキュメントを参照してください。
-
このインスタンスを「マスター」とします。
Agentをマスターにインストールする
マスターにAgentをインストールして有効にする必要があります。このプロセスでは、オプションでポリシーをインストールできます。
手順については、「Amazon EC2およびWorkSpacesへのエージェントのインストール」の「エージェントをAmazon EC2インスタンスおよびWorkSpacesにデプロイする」を参照してください。
![]() |
ヒントAgentをAMIまたはWorkSpaceバンドルに統合し、後から新しいAgentを使用する場合は、バンドルをアップデートして新しいAgentを追加するのが理想的です。ただし、これが不可能な場合は、[Agentを有効化するときに自動的にアップグレードする] 設定を使用できます。その結果、AMIまたはバンドル内のAgentが自動的に有効化されたときに、Deep Security ManagerはそのAgentを自動的に最新バージョンにアップグレードできるようになります。詳細については、Agentを有効化するときに自動的にアップグレードするを参照してください。
|
Agentが適切にインストールされ有効化されたことを確認する
続行する前に、マスターにAgentが適切にインストールされ、有効化されていることを確認する必要があります。
手順については、「Amazon EC2およびWorkSpacesへのエージェントのインストール」の「エージェントが適切にインストールされ有効化されたことを確認する」を参照してください。
(推奨) 自動ポリシー割り当てを設定する
マスターにAgentをどのようにインストールしたかによって、自動ポリシー割り当てを設定する必要があります。
-
インストールスクリプトを使用した場合、ポリシーはすでに割り当てられており、追加の処理は必要ありません。
-
Agentを手動でインストールして有効にした場合は、Agentにポリシーが割り当てられていないため、ポリシーを割り当ててマスターを保護する必要があります。マスターに基づいて起動されるAmazon EC2インスタンスおよびAmazon WorkSpacesも保護されます。
マスターにポリシーを割り当て、マスターを使用して今後EC2インスタンスまたはWorkSpaceにポリシーを自動割り当てする場合は、次の手順に従います。
-
Deep Security Managerで、次のパラメータを使用してイベントベースのタスクを作成します。
-
[イベント]を[Agentからのリモート有効化]に設定します。
-
[ポリシーの割り当て]を割り当てたいポリシーに設定します。
-
(オプション)[クラウドインスタンスのメタデータ]に条件を設定する
-
[EC2]の[tagKey]と[True]の[tagValue.*](EC2インスタンスの場合) または
-
[WorkSpaces]の[tagKey]および[True]の[tagValue.*](WorkSpaces用)
上記のイベントベースのタスクは次のように述べています:エージェントが有効化されると、Amazon EC2インスタンスまたはWorkSpaceにEC2=true
またはWorkSpaces=true
が存在することを条件に、指定されたポリシーを割り当てます。そのキー/値のペアがEC2インスタンスまたはWorkSpaceに存在しない場合、ポリシーは割り当てられません (ただし、エージェントは依然としてアクティブ化されます)。条件を指定しない場合、ポリシーは無条件にアクティブ化時に割り当てられます。イベントベースタスクの作成の詳細については、クラウドプロバイダーのタグ/ラベルを使用してポリシーを自動的に割り当てる を参照してください。 -
-
-
前の手順でDeep Security Managerでキーと値のペアを追加した場合は、次の手順を実行します。
-
AWSにログインします。
-
マスターEC2インスタンスまたはWorkSpaceを特定します。
-
タグに [Key] は [EC2] または [WorkSpaces] を、[値] は [True] を設定して、マスターに追加します。詳細については、タグ付けに関するAmazon EC2のドキュメントとタグ付けに関するAmazon WorkSpaceのドキュメントを参照してください。これで、自動ポリシー割り当てが設定されました。マスターを使用して起動した新しいAmazon EC2インスタンスおよびAmazon WorkSpaceは、自動的に有効化され (Agentはマスターで事前に有効化されるため)、イベントベースタスクでポリシーが自動的に割り当てられます。
-
-
マスターEC2インスタンスまたはWorkSpaceで、エージェントでアクティベーションコマンドを再実行するか、 Deep Security Managerの[再有効化]の再アクティベートボタンをクリックして、エージェントを再度アクティベートします。詳細については、Agentの有効化を参照してください。再有効化を実行すると、イベントベースタスクがポリシーをマスターに割り当てます。これでマスターは保護されます。
AMIまたはカスタムWorkSpaceバンドルを作成する準備ができました。
マスターに基づいてAMIまたはカスタムWorkSpaceバンドルを作成する
![]() |
注意AWSからAMIを作成するときは、AWSオプション [再起動不要] を選択しないでください。 [再起動不要] オプションで作成されたイメージは、エージェントによって保護されません。
|
-
LinuxでAMIを作成する場合は、このAmazonドキュメントを参照してください。
-
WindowsでAMIを作成する場合は、このAmazonドキュメントを参照してください。
-
カスタムWorkSpaceバンドルを作成するには、このAmazonドキュメントを参照してください。
Agentが事前にインストールされ、有効化されたAMIまたはWorkSpaceバンドルが作成されました。
AMIを使用する
カスタムAMIまたはWorkSpaceバンドルを作成すると、今後のAmazon EC2インスタンスおよびAmazon WorkSpacesのベースとして使用できます。カスタムAMIまたはバンドルを使用すると、
Deep Security Agentは自動的に起動し、自身をアクティベートして、割り当てられた保護ポリシーを適用します。Deep Security Managerの
[ステータス]が [管理対象] で、その横に緑色の点が表示されます。