外部IDについて 親トピック

クロスアカウントロールARNとともに、外部IDはあるAWSロールから別のロールへのアクセスを許可するために使用されます。外部IDは、あなたのアカウントのロールを引き受けたいと考えるサードパーティサービスによって提供されます。そのサービスがあなたの代わりに行動することを信頼する場合、その外部IDをクロスアカウントロールに追加します。この場合、Workload Securityはあなたに外部IDを提供してあなたのAWSアカウントの代わりに行動するサードパーティサービスです。Workload Securityはこのアクセスを使用して、あなたのAWSアカウントから情報を同期し、リソースの最新の記録を維持します。詳細については、次のAWSドキュメントを参照してください: あなたのAWSリソースへのアクセスを許可する際の外部IDの使用方法
次の点に注意してください。
  • 外部IDは、クロスアカウントロールを使用してAWSアカウントを追加する場合にのみ使用されます。
  • 同じ外部IDが、クロスアカウントの役割を使用して追加されたすべてのAWSアカウントに使用されます。

外部IDを設定する 親トピック

外部IDの設定は、クロスアカウントロールを追加するための大きなプロセスの一部です。詳細については、クロスアカウントロールを使用してAWSアカウントを追加するを参照してください。

外部IDを更新する 親トピック

以前にクロスアカウントロールを使用してAWSアカウントを追加した場合、ユーザ定義の外部IDを指定している可能性があります。AWSのベストプラクティスにより適合させるために、トレンドマイクロはWorkload Securityで定義された外部IDへの切り替えを推奨します。
以前にユーザ定義の外部IDを使用して追加されたAWSアカウントは、引き続き通常どおり機能します。

ユーザ定義のIDとマネージャ定義の外部IDのどちらを使用しているかを判断する 親トピック

ユーザ定義の外部IDとマネージャ定義の外部IDのどちらを使用しているか不明な場合は、次の手順を実行します。

手順

  1. Workload Securityにログインします。
  2. [コンピュータ]をクリックします。
  3. クロスアカウントロールを使用して追加されたAWSアカウントを右クリックし、[プロパティ]を選択します。
  4. 外部IDの横に [Update] リンクが表示されている場合は、ユーザ指定の外部IDが現在使用中であるため、アップデートする必要があります。 [Update] リンクが表示されない場合は、Workload Security定義の外部IDが現在使用されているため、処理は必要ありません。
  5. クロスアカウントロールを使用して Workload Security に追加されたアカウントごとに、この手順を繰り返します。

外部IDをWorkload Securityコンソールからアップデートする 親トピック

手順

  1. まだ Workload Securityにログオンしていない場合は、アップデートするAWSアカウントを右クリックして、[Properties]を選択します。
  2. 外部IDの横に表示される[アップデート]リンクをクリックします。[アップデート]リンクが表示されなくなります。
  3. 外部IDを書き留めます。次の手順でクロスアカウントロールを設定するときに必要になります。
  4. 外部IDが更新されたAWSアカウントにログインします。クロスアカウントロールのIAMポリシーを更新するには、古い外部IDを新しいアカウントIDに置き換えます。
  5. プロパティウィンドウに戻り、[適用]をクリックして変更を適用します。アカウントのユーザ定義の外部IDがWorkload Security定義のものに更新されました。
  6. クロスアカウントロールを使用して Workload Security に追加されたアカウントごとに、この手順を繰り返します。

外部IDをWorkload Security APIを使用してアップデートする 親トピック

手順

  1. 新しいマネージャ定義の外部IDをまだ持っていない場合は、/api/awsconnectorsettingsエンドポイントを呼び出して取得してください (ExternalIdパラメータ)。
  2. クロスアカウントロールが設定されているAWSアカウントにログインします。クロスアカウントロールのIAMポリシーを更新するには、古い外部IDを新しいアカウントIDに置き換えます。クロスアカウントロールを使用して、 Workload Security に追加されたアカウントごとにこの手順を繰り返します。
  3. /api/awsconnectorsエンドポイントを使用して、更新しているアカウントに対してUpdate actionを実行し、そのCrossAccountRoleARNパラメータを現在のロールARNと同じに設定します。リクエストオブジェクトに外部IDを提供しないでください。アカウントのユーザ定義の外部IDは、Workload Security定義のものに更新されました。

外部IDを取得する 親トピック

クロスアカウントで使用する外部IDを取得するには、いくつかの方法があります。

アカウントの追加ウィザードを使用すると 親トピック

Workload Security APIを使用すると 親トピック

  • /api/awsconnectorsettingsエンドポイントを呼び出して取得します (ExternalIdパラメータ)。

外部IDの取得を無効にする 親トピック

Workload Security コンソールで外部IDを表示および取得する機能を無効にして、不正なアクセスを防ぐことができます。IDを一度取得して、秘密管理者などの安全な場所に保存してから、他のすべてのユーザの検索を無効にすることができます。
いつでも検索を有効にすることができます。
警告
警告
外部IDの取得を無効にすると、AWSアカウントを追加するためのクイックセットアップ方法も無効になります。
検索を無効にするには

手順

  1. Workload Securityにログインします。
  2. 上部の [管理] をクリックします。
  3. メイン画面で、[セキュリティ]タブをクリックします。
  4. [AWS外部IDの取得と表示を有効にする] の選択を解除します。
  5. [保存]をクリックします。
    ロールを使用して外部IDへのアクセスを防ぐこともできます。詳細については、ユーザのロールを定義するを参照してください。