クラウドアカウントをTrend Cloud One - Endpoint & Workload Securityに移行する

前提条件

• Deep Security Manager 20.0.635 (20 LTS Update 2022-04-21) 以降を実行していることを確認してください。
• まだ行っていない場合は、Deep SecurityからWorkload Securityへの移行の前の手順を完了してください。これには、Trend Cloud Oneアカウントの作成、APIキーの作成、およびWorkload Securityへのリンクの準備が含まれます。

AWSアカウントを移行する場合

注意 AWS以外のアカウントの移行に関する情報については、移行ツールを使用して他のクラウドアカウントを移行するを参照してください。

制限事項

• アクセスキーを使用して追加されたAWSアカウントは、移行ツールまたは移行APIを使用して移行できます。
• クロスアカウントロールを使用して追加されたAWSアカウントは、移行ツールまたは移行APIを使用して移行できます。ただし、これらのクロスアカウントロールは、Deep Security Managerの元のプリンシパルに加えて、Workload SecurityのAWSプリンシパルを信頼するように設定する必要があります。詳細については、 クロスアカウントロールを使用して追加されたAWSアカウントの移行を参照してください。
• Managerインスタンスロールを使用して追加されたAWSアカウントは、 Workload Securityではサポートされません。これらのアカウントの移行はサポートされていません。
• 従来のAWSアカウントはDeep Security Manager 9.6以前で追加された場合、APIエンドポイント/api/awsconnectors経由でアクセスできないため、サポートされません。

クロスアカウントロールを使用して追加されたAWSアカウントを移行する

• 各AWSアカウント用に新しいクロスアカウントロールを作成する。
• 既存のクロスアカウントロールを再利用してDeep Security Managerを使用します。

新しいクロスアカウントロールを作成する

既存のクロスアカウントロールを再利用する

1. Deep Security Managerからのアクセスを許可するAWSアカウントのクロスアカウントロールを特定します。
   ARNの役割は、 Deep Security ManagerコンソールでAWSアカウントを右クリックし、[プロパティ]を選択すると表示されます。
   ロールARNはこの形式です: arn:aws:iam::<AWSアカウントID>:role/<role name>
2. Workload SecurityのAWSアカウントとテナントの外部IDに注意してください。アカウントIDと外部IDの取得方法については、Workload Securityヘルプのこの記事を参照してください。
3. AWSアカウントにログインします。
4. AWSコンソールで、[IAM service]に移動します。
5. 左側のナビゲーションペインで [役割] をクリックします。
6. メイン画面で、手順1の役割名を見つけてクリックし、概要ページを開きます。
7. [Trust relationships]タブで[Edit trust relationship]をクリックします。
8. ポリシードキュメントでは、信頼関係は次のように表示される必要があります: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<original Deep Security AWS Account>:root" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "<original Deep Security External ID>" } } } ] }
9. 記載されたWorkload Securityアカウント (147995105371) と外部IDをポリシードキュメント (最初のステートメント) に追加してください。以下のようになります: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::147995105371:root" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "<Workload Security External ID>" } } }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<original Deep Security AWS Account>:root" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "<original Deep Security External ID>" } } } ] }
10. 変更を保存するには[Update Trust Policy]をクリックしてください。
11. Workload Securityに移行したい各AWSアカウントについて、前述の手順を繰り返してください。
12. 移行ツールまたは移行APIを使用してAWSアカウントを移行します。

移行ツールを使用して他のクラウドアカウントを移行する

1. Deep Security Managerコンソールで、[サポート情報]→[Trend Vision One Endpoint Securityへの移行]を選択します。
2. [Trend Vision One Endpoint Securityへの移行]ページで、[クラウドアカウント]タブを選択します。
3. 接続されているすべての移行をサポートするクラウドアカウントが表示されたら、移行したいアカウントを選択し、[選択項目を移行]をクリックします。
4. 移行が開始されたら、移行状況を確認するには[表示更新]をクリックしてください。考えられるステータスは次のとおりです:

   • 移行を要求済み: Workload Securityへのクラウドアカウントの移行が要求されましたが、移行はまだ開始されていません。
   • 移行中: クラウドアカウントがWorkload Securityに移行され、完全な同期が開始されました。このプロセスは完了するまでに時間がかかる場合があります。
   • 移行済み: クラウドアカウントが Workload Securityに正常に移行されました。
   • 失敗: クラウドアカウントが何らかの理由で Workload Security に移行できませんでした。エラーコードを確認します。

     • エラーコード [900未満]: Workload Securityで障害が発生しました。応答の詳細については失敗システムイベントを参照するか、サポートにお問い合わせください。
     • エラーコードが[900以上]: Deep Security Managerで Workload Securityとの通信に問題があります。Workload Security リンクが正しく設定されていることを確認するか、詳細について server0.log を確認してください。

VMware vCloudアカウントの移行