クロスアカウントロールを使用してAWSアカウントを追加できます。複数のAWSアカウントを追加したい場合や、1つのアカウントを追加したいがクイックセットアップ方法を使用したくない場合は、クロスアカウントロールを使用してください。
次の手順では、AWSアカウントAという名前のAWSアカウントを追加することを想定しています。
Workload Security APIを使用してクロスアカウントロールを追加することもできます。詳細については、APIを使用してアカウントを追加するを参照してください。
まず、 Workload Security アカウントID 
Workload SecurityアカウントID:
147995105371 このIDは、クロスアカウントロールを作成する際に必要になります。次に、managerのインスタンスの役割を設定します。
手順
- Workload Security コンソールで、上部にある[管理] をクリックします。
- 左側にある [システム設定] をクリックします。
- メイン画面の [詳細] タブをクリックします。
- 下にスクロールして、[Manager AWS ID] セクションを探します。
- [Managerインスタンスロールを使用] が選択されていることを確認します。
- [保存]をクリックします。
次に、外部IDを取得します。
手順
- Workload Securityにログインします。
- 上部の [コンピュータ] をクリックします。
- をクリックします。ウィザードが表示されます。
- [詳細]をクリックし、次に[次へ]をクリックします。
- 隠された外部IDの横にある目のアイコンをクリックして表示します。このIDの詳細については、外部IDとは何ですか?をご覧ください
- 外部IDを安全な場所にコピーします。次の手順で、AWSアカウントAと追加するその他のAWSアカウントを設定する必要があります。
- 必要に応じて、ウィザードとWorkload Securityコンソールを閉じます。
次に、AWSアカウントAのIAMポリシーを設定します。
手順
- AWSアカウントAにログインしていることを確認してください。
- Amazon Web Services Consoleで、[IAM] サービスに移動します。
- 左側のナビゲーションペインで [ポリシー] をクリックします。
注意
この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。 - [Create Policy] をクリックします。
- [JSON]タブを選択します。
- テキストボックスに次のJSONコードをコピーします。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "cloudconnector", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "workspaces:DescribeWorkspaces", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeTags", "iam:ListAccountAliases", "iam:GetRole", "iam:GetRolePolicy" ], "Effect": "Allow", "Resource": "*" } ] }注意
"iam:GetRole"および"iam:GetRolePolicy"の権限は任意ですが、Workload Securityの更新時に追加のAWS権限が必要な場合に、正しいポリシーを持っているかどうかをWorkload Securityが判断できるため、推奨されます。 - [Review policy] をクリックします。
- ポリシーに名前と説明を付けてください。例:
Workload_Security_Policy_Cross。 - [Create Policy] をクリックします。これでポリシーを使用する準備ができました。
次に、AWSアカウントAのクロスアカウントロールを作成します。
手順
- AWSアカウントAにログインしていることを確認します。
- [IAM] サービスに移動します。
- 左側のナビゲーションペインで [Roles] をクリックします。
- メイン画面で、[Create role] をクリックします。
- [別のAWSアカウント] をクリックします。
- [アカウントID] フィールドに、Workload SecurityアカウントIDを入力します。内容:
147995105371 - [Options] の横にある [Require external ID] を有効にします。[External ID] フィールドに、以前に Workload Security コンソールから取得した外部IDを入力します。
- [Next: Permissions] をクリックします。
- 作成したIAMポリシー (例:
Workload_Security_Policy_Cross) を選択し、[次へ: 確認]をクリックします。 - [Review] ページで、役割の名前と説明を入力します。ロール名の例:
Workload_Security_Role_Cross。 - メインのロールページで、作成したばかりのロール (
Workload_Security_Role_Cross) を検索します。 - 検索した役割をクリックします。
- 一番上にある[Role ARN]フィールドを見つけます。それは次のように見えます:
arn:aws:iam::2222222222:role/Workload_Security_Role_Cross - [ロールARN]の値に注意してください。後で必要になります。これで、AWSアカウントAの下にクロスアカウントの役割が設定されました。ここには、適切なポリシーが含まれ、AWSプライマリアカウントの参照が含まれます。
次に、AWS Account Aを Workload Securityに追加します。
手順
- Workload Securityにログインします。
- 上部の [コンピュータ] をクリックします。
- [追加] > [AWSアカウントを追加]をクリックします。
- [詳細]を選択し、[次へ]をクリックします。
- [クロスアカウントロールを使用] を選択します。
- AWS Account Aの [クロスアカウントロールARN]を入力します。クロスアカウントロールを作成した時点でこれが以前の例です。この例では、
arn:aws:iam::2222222222:role/Workload_Security_Role_Cross - AWSアカウントAにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。このチェックボックスをオンにすると、Workload Security コンソールの ツリー構造 の正しい場所にAmazon WorkSpacesが表示され、正しい料金が請求されます。
- [次へ]をクリックします。AWSアカウントAのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。AWS Account Aが Workload Securityに追加されました。前述の手順を完了したら、まだ行っていない場合はAmazon EC2およびWorkSpaceインスタンスにエージェントをインストールするためにエージェントのインストールに進んでください。
APIを使用してアカウントを追加する
手順
- 外部IDをまだ持っていない場合は、Workload Security
/api/awsconnectorsettingsエンドポイントを呼び出して取得してください (ExternalIdパラメータ)。このIDの詳細については、外部IDとは何ですか?を参照してください - AWSでは、クロスアカウントロールのIAM信頼ポリシーで外部IDを指定します。
/api/awsconnectorsAPI エンドポイントを使用して AWS アカウントを Workload Security に追加します。/rest/cloudaccounts/awsAPI は廃止されたため、使用しないでください。APIを使用してクロスアカウントロールを使用している場合は処理が必要です /rest/cloudaccounts/aws を参照してください。/rest/cloudaccounts/awsAPI のサポートがどのくらい続くか、および新しいエンドポイントに移行するためのヒントについては、