次の手順に従って、クロスアカウントの役割を使用してAWSアカウントを追加します。複数のAWSアカウントを追加する場合は、クロスアカウントの役割を使用します。
次の手順では、AWSアカウントに次の名前を追加することを想定しています。
-
AWSプライマリアカウント
-
AWSアカウントA
![]() |
ヒントまた、Deep Security APIを介してクロスアカウントロールを追加することもできます。詳細については、APIでアカウントを追加するを参照してください。
|
まず、AWSプライマリアカウントを追加します
-
完了アクセスキーを使用してAWSアカウントを追加するのすべてのタスクを完了して、AWSプライマリーアカウントを追加します。
次に、AWS Primary Account identifierを探します
次に、外部IDを取得します。
-
Deep Security Managerにログインします。
-
上部の[コンピュータ]をクリックします。
-
[追加]→[AWSアカウントを追加する]をクリックします。ウィザードが表示されます。
-
隠された外部IDの横にある目のアイコンをクリックして表示します。このIDの詳細については、外部IDとは何ですか?を参照してください
-
外部IDを安全な場所にコピーします。次の手順で、AWSアカウントAと追加するその他のAWSアカウントを設定する必要があります。
-
(オプション)ウィザードとマネージャを閉じます。
次に、AWSアカウントAのIAMポリシーを設定します
![]() |
注意このIAMポリシーは、AWSプライマリアカウントのポリシーと同じですが、sts:AssumeRole権限は必要ありません。
|
-
AWSアカウントAにログインしていることを確認してください。
-
Amazon Web Services Consoleで、 [IAM] サービスに移動します。
-
左側のナビゲーションペインで [ポリシー] をクリックします。
注意
この画面にはじめてアクセスした場合は、[はじめに] をクリックする必要があります。 -
[ポリシーを作成]をクリックします。
-
[JSON]タブを選択します。
-
テキストボックスに次のJSONコードをコピーします。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "cloudconnector", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "workspaces:DescribeWorkspaces", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeTags", "iam:ListAccountAliases", "iam:GetRole", "iam:GetRolePolicy" ], "Effect": "Allow", "Resource": "*" } ] }
注意
iam:GetRole
およびiam:GetRolePolicy
の権限はオプションですが、追加のAWS権限が必要なManagerへのアップデートが発生したときにDeep Securityが正しいポリシーを持っているかどうかを判断できるため、推奨されます。 -
[Review policy]をクリックします。
-
ポリシーの名前と説明を指定します。例の名前:
Deep_Security_Policy_Cross
。 -
[ポリシーを作成] をクリックします。これでポリシーを使用する準備ができました。
次に、AWSアカウントAのクロスアカウントロールを作成します。
-
AWSアカウントAにログインしていることを確認してください。
-
[IAM] サービスに移動します。
-
左側のナビゲーションペインで [役割] をクリックします。
-
メイン画面で、[Create role]をクリックします。
-
[Another AWS account] ボックスをクリックします。
-
[アカウントID]フィールド:
-
と入力します。前の手順でメモしたAWS Primary AccountのアカウントIDを と入力します。次に例を示します。
1111111111
-
-
[オプション]の隣で[Require external ID]を有効にします。[External ID]フィールドに、以前マネージャから取得した外部IDを入力します。
-
[Next: Permissions]をクリックします。
-
作成したIAMポリシー (例:
Deep_Security_Policy_Cross
) を選択し、[Next: Review]をクリックします。 -
[Review] ページで、役割名と説明を入力します。ロール名の例:
Deep_Security_Role_Cross
。 -
メインの役割ページで、作成した役割を検索します (
Deep_Security_Role_Cross
)。 -
検索した役割をクリックします。
-
[Role ARN]の上部にあるフィールドを探します。それは次のようになります:
arn:aws:iam::2222222222:role/Deep_Security_Role_Cross
-
[ロールのARN] 値に注意してください。後で必要になります。
これで、AWS Account Aの下にクロスアカウントの役割が設定され、正しいポリシーが含まれ、AWS Primary Accountの アカウントID が参照されます。
次に、AWS Account Aをマネージャに追加します。
-
Deep Security Managerにログインします。
-
上部の[コンピュータ]をクリックします。
-
[Add > Add AWS Account]をクリックします。
-
[クロスアカウントロールを使用]を選択します。
-
AWSアカウントAの[Cross Account Role ARN]を入力します。クロスアカウントロールを作成した時点でこれが以前の例です。この例では、次のとおりです。
arn:aws:iam::2222222222:role/Deep_Security_Role_Cross
-
AWSアカウントAにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。このチェックボックスをオンにすると、Amazon WorkSpacesがDeep Security Managerの ツリー構造 内の正しい場所に表示され、正しい料金が請求されます。
-
[次へ] をクリックします。AWSアカウントAのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。
AWSアカウントAがマネージャに追加されました。
上記のタスクの完了後、Amazon EC2およびWorkSpaceインスタンスに エージェント をインストールしていない場合は、インストールしてください。
APIを使用してアカウントを追加する
-
外部IDをまだ取得していない場合は、Deep Security
/api/awsconnectorsettings
エンドポイントにコールして取得してください (ExternalId
パラメータ).このIDの詳細については、 外部IDとはを参照してください。 -
AWSでは、クロスアカウントロールのIAM信頼ポリシーで外部IDを指定します。
-
/api/awsconnectors
API エンドポイントを使用して AWS アカウントを Deep Security に追加します。/rest/cloudaccounts/aws
API は非推奨となっているため、使用しないでください。API /rest/cloudaccounts/aws でクロスアカウントロールを使用している場合の対応が必要の詳細については、/rest/cloudaccounts/aws
API のサポートがどのくらい続くか、および新しいエンドポイントに移行するためのヒントをご覧ください。