クロスアカウントロールを使用したAWSアカウントの追加

まず、AWSプライマリアカウントを追加します

• 完了アクセスキーを使用してAWSアカウントを追加するのすべてのタスクを完了して、AWSプライマリーアカウントを追加します。

次に、AWS Primary Account identifierを探します

次に、外部IDを取得します。

1. Deep Security Managerにログインします。
2. 上部の[コンピュータ]をクリックします。
3. [追加]→[AWSアカウントを追加する]をクリックします。ウィザードが表示されます。
4. 隠された外部IDの横にある目のアイコンをクリックして表示します。このIDの詳細については、外部IDとは何ですか?を参照してください
5. 外部IDを安全な場所にコピーします。次の手順で、AWSアカウントAと追加するその他のAWSアカウントを設定する必要があります。
6. (オプション)ウィザードとマネージャを閉じます。

次に、AWSアカウントAのIAMポリシーを設定します

注意 このIAMポリシーは、AWSプライマリアカウントのポリシーと同じですが、sts:AssumeRole権限は必要ありません。

1. AWSアカウントAにログインしていることを確認してください。
2. Amazon Web Services Consoleで、 [IAM] サービスに移動します。
3. 左側のナビゲーションペインで [ポリシー] をクリックします。

   注意 この画面にはじめてアクセスした場合は、[はじめに] をクリックする必要があります。

4. [ポリシーを作成]をクリックします。
5. [JSON]タブを選択します。
6. テキストボックスに次のJSONコードをコピーします。

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "cloudconnector",
               "Action": [
                   "ec2:DescribeImages",
                   "ec2:DescribeInstances",
                   "ec2:DescribeRegions",
                   "ec2:DescribeSubnets",
                   "ec2:DescribeTags",
                   "ec2:DescribeVpcs",
                   "ec2:DescribeAvailabilityZones",
                   "ec2:DescribeSecurityGroups",
                   "workspaces:DescribeWorkspaces",
                   "workspaces:DescribeWorkspaceDirectories",
                   "workspaces:DescribeWorkspaceBundles",
                   "workspaces:DescribeTags",
                   "iam:ListAccountAliases",
                   "iam:GetRole",
                   "iam:GetRolePolicy"
               ],
               "Effect": "Allow",
               "Resource": "*"
           }
       ]
   }

   注意 iam:GetRole および iam:GetRolePolicy の権限はオプションですが、追加のAWS権限が必要なManagerへのアップデートが発生したときにDeep Securityが正しいポリシーを持っているかどうかを判断できるため、推奨されます。

7. [Review policy]をクリックします。
8. ポリシーの名前と説明を指定します。例の名前: Deep_Security_Policy_Cross。
9. [ポリシーを作成] をクリックします。これでポリシーを使用する準備ができました。

次に、AWSアカウントAのクロスアカウントロールを作成します。

1. AWSアカウントAにログインしていることを確認してください。
2. [IAM] サービスに移動します。
3. 左側のナビゲーションペインで [役割] をクリックします。
4. メイン画面で、[Create role]をクリックします。
5. [Another AWS account] ボックスをクリックします。
6. [アカウントID]フィールド:

   • と入力します。前の手順でメモしたAWS Primary AccountのアカウントIDを と入力します。次に例を示します。1111111111
7. [オプション]の隣で[Require external ID]を有効にします。[External ID]フィールドに、以前マネージャから取得した外部IDを入力します。
8. [Next: Permissions]をクリックします。
9. 作成したIAMポリシー (例: Deep_Security_Policy_Cross) を選択し、[Next: Review]をクリックします。
10. [Review] ページで、役割名と説明を入力します。ロール名の例: Deep_Security_Role_Cross。
11. メインの役割ページで、作成した役割を検索します (Deep_Security_Role_Cross)。
12. 検索した役割をクリックします。
13. [Role ARN]の上部にあるフィールドを探します。それは次のようになります: arn:aws:iam::2222222222:role/Deep_Security_Role_Cross
14. [ロールのARN] 値に注意してください。後で必要になります。

次に、AWS Account Aをマネージャに追加します。

1. Deep Security Managerにログインします。
2. 上部の[コンピュータ]をクリックします。
3. [Add > Add AWS Account]をクリックします。
4. [クロスアカウントロールを使用]を選択します。
5. AWSアカウントAの[Cross Account Role ARN]を入力します。クロスアカウントロールを作成した時点でこれが以前の例です。この例では、次のとおりです。arn:aws:iam::2222222222:role/Deep_Security_Role_Cross
6. AWSアカウントAにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。このチェックボックスをオンにすると、Amazon WorkSpacesがDeep Security Managerの ツリー構造 内の正しい場所に表示され、正しい料金が請求されます。
7. [次へ] をクリックします。AWSアカウントAのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。

APIを使用してアカウントを追加する

1. 外部IDをまだ取得していない場合は、Deep Security /api/awsconnectorsettings エンドポイントにコールして取得してください ( ExternalId パラメータ).このIDの詳細については、 外部IDとはを参照してください。
2. AWSでは、クロスアカウントロールのIAM信頼ポリシーで外部IDを指定します。
3. /api/awsconnectors API エンドポイントを使用して AWS アカウントを Deep Security に追加します。/rest/cloudaccounts/aws API は非推奨となっているため、使用しないでください。API /rest/cloudaccounts/aws でクロスアカウントロールを使用している場合の対応が必要の詳細については、/rest/cloudaccounts/aws API のサポートがどのくらい続くか、および新しいエンドポイントに移行するためのヒントをご覧ください。