AWSアカウントの追加について

AWSアカウントをWorkload Securityに追加するには、いくつかの方法があります。

クイックセットアップを使用してAWSアカウントを追加。この方法を使用して、1つ以上のAWSアカウントを迅速に追加します。
クロスアカウントロールを使用してAWSアカウントを追加する。複数のAWSアカウントを追加する場合、またはクイックセットアップを使用したくない場合は、この方法を使用してください。

AWSアカウントを追加するとどうなりますか？

Workload SecurityにAWSアカウントを追加すると、そのアカウントのすべてのAmazon EC2およびAmazon WorkSpaceインスタンスが Workload Security にインポートされ、次のいずれかの場所で表示されます。

EC2インスタンスは、左側の[コンピュータ] → [your_AWS_account] → [your_region] → [your_VPC] → [your_subnet]の下に表示されます
Amazon WorkSpacesは、左側の[コンピュータ] → [your_AWS_account] → [your_region] → [WorkSpaces]の下に表示されます

インポートの完了後は、他のコンピュータと同じようにEC2とWorkSpaceのインスタンスを管理できます。これらのインスタンスはツリー構造であり、コンピュータグループとして扱われます。

以前にAmazon EC2インスタンスやAmazon WorkSpacesを個別のコンピュータとして追加していて、それらがAWSアカウントの一部である場合、アカウントをインポートした後、インスタンスは上記のツリー構造に移動されます。

AWSアカウントを追加する

個々の EC2 インスタンスと WorkSpaces を追加するのではなく (Workload Security コンソール > [コンピュータ ] → [コンピュータの追加]を通じて) AWS アカウントを追加する (Workload Security コンソール > [コンピュータ] → [AWSアカウントを追加する]を通じて) ことの利点は次のとおりです。

EC2およびWorkSpacesインベントリの変更は、 Workload Securityに自動的に反映されます。たとえば、AWSでいくつかのEC2インスタンスまたはWorkSpaceインスタンスを削除すると、これらのインスタンスは Workload Security コンソールから自動的に表示されなくなります。対照的に、[コンピュータ] → [コンピュータの追加]を使用する場合、AWSから削除されたEC2およびWorkSpaceインスタンスは、 Workload Security コンソールで引き続き手動で削除されるまで表示されます。
あなたのEC2およびWorkSpaceインスタンスは、Workload Securityコンソール内でAWSリージョン> VPC > サブネットに整理されており、どのインスタンスが保護されているか、どのインスタンスが保護されていないかを簡単に確認できます。AWSアカウントがない場合、すべてのEC2およびWorkSpaceインスタンスは[コンピュータ]の下に同じルートレベルで表示されます。
AWSメタデータを取得すると、イベントベースタスク (EBTs)で使用してポリシーの割り当てを簡素化できます。また、メタデータをスマートフォルダで使用してAWSインスタンスを整理することもできます。
お客様のEC2およびWorkSpaceインスタンスは、適切な料金で請求されます。

サポートされているAWSリージョン

Workload Securityの [コンピュータ] → [追加] → [AWSアカウントの追加] オプションは、iam.amazonaws.comでグローバルAWS IDアクセス管理 (IAM) サービスを使用するAWSリージョンのみをサポートします。お住まいの地域でグローバルサービスが使用されているかどうかを確認するには、this tableを参照してください。

執筆時点では、次の地域はグローバルIAMサービス (iam.amazonaws.com) を使用していません:

中国（北京）
中国（寧夏回族自治区）
AWS GovCloud（米国 - 東）
AWS GovCloud (米国)

これらのリージョンおよびグローバルIAMサービスを使用しない可能性のある他のリージョンについても、Deep Security REST APIを使用してEC2およびWorkSpaceインスタンスをWorkload Securityにロードすることができます。トレンドマイクロは、このサンプルスクリプトを提供しています。

AWSセキュリティグループを変更してポート443経由の送信トラフィックを許可する

送信トラフィックを制限するAWSセキュリティグループがある場合は、ポート443を介した送信通信を許可する必要があります。

手順

AWSマネジメントコンソールにログインして、[EC2] をクリックします。
ナビゲーションペインで、[Network & Security] → [Security Groups]に移動します。
Security Groupページで、使用するインスタンスに関連付けられたセキュリティグループを選択し、そのグループのアウトバウンドルールを編集して、ポート443を経由するすべてのIPへのトラフィックを許可します。

送信トラフィックをさらに制限して、エージェントが使用するWorkload Security IPへのアクセスのみを許可することもできます。