Workload Security で、AWS自動スケーリングで作成された新しいインスタンスを自動保護することができます。
自動スケーリングで作成された各インスタンスには、 エージェントがインストールされている必要があります。Agentのインストールには、AMIの作成に使用されたEC2インスタンスにインストール済みのAgentを組み込む方法と、AMIの起動設定にインストールスクリプトを組み込んでAgentをインストールする方法があります。それぞれのオプションにはメリットとデメリットがあります。
  • プリインストールされたエージェントを含めると、エージェントソフトウェアをダウンロードしてインストールする必要がないため、インスタンスがより迅速に起動します。欠点は、エージェントソフトウェアが最新でない可能性があることです。この問題を回避するには、アクティベーション時のアップグレード機能を有効にすることができます。
  • 配信スクリプトを使用してエージェントをインストールする場合は、常に最新バージョンのエージェントソフトウェアがWorkload Securityから取得されます。

エージェントのプレインストール 親トピック

すでにエージェントで設定済みのEC2インスタンスがある場合は、そのインスタンスを使用してオートスケーリング用のAMIを作成できます。AMIを作成する前に、EC2インスタンスのAgentを無効にし、インスタンスを停止する必要があります。
dsa_control -r
オートスケーリングで新規に作成された各EC2インスタンスでAgentを有効にし、ポリシーがまだない場合は適用する必要があります。これには次の2つの方法があります。
  • エージェントをアクティベートし、オプションでポリシーを適用するデプロイスクリプトを作成できます。次に、デプロイスクリプトをAWSの起動設定に追加して、新しいインスタンスが作成されたときに実行されるようにします。手順については、以下の「デプロイスクリプトを使用してエージェントをインストールする」セクションを参照してください。ただし、エージェントを取得してインストールするデプロイスクリプトのセクションは省略してください。スクリプトのdsa_control -aセクションのみが必要です。
    デプロイメントスクリプトを機能させるには、Workload Securityでエージェント開始の通信を有効にする必要があります。この設定の詳細については、エージェント開始のアクティベーションと通信を使用してエージェントをアクティベートおよび保護するを参照してください
  • エージェントをアクティブ化するイベントベースのタスクをWorkload Securityで設定できます。また、インスタンスの起動時およびコンピュータによる作成 (システム別) イベントの発生時にポリシーを適用することもできます。

インストールスクリプトでAgentをインストールする 親トピック

Workload Security には、EC2インスタンスの作成時に実行できる、カスタマイズされた配置スクリプトを生成する機能があります。EC2インスタンスにインストール済みAgentが含まれていない場合は、インストールスクリプトでAgentをインストールして有効にし、ポリシーを適用し、オプションでコンピュータをコンピュータグループとRelayグループに割り当てる必要があります。
Workload Security APIを使用してエージェントのインストールを自動化するためのデプロイメントスクリプトを生成できます。詳細については、デプロイメントスクリプトの生成を参照してください。
インストールスクリプトが機能するためには、以下の要件を満たす必要があります。
インストールスクリプトを使用してインスタンスの自動保護を設定するには

手順

  1. Workload Security コンソールにログオンします。
  2. 右上隅にある [Support] メニューから、[Deployment Scripts] を選択します。
  3. プラットフォームを選択します。
  4. [[インストール後にAgentを自動的に有効化] を選択します
  5. 適切な [セキュリティポリシー][コンピュータグループ]、および [Relayグループ] を選択します。
  6. [クリップボードにコピー]をクリックします。
  7. AWSの起動設定に移動し、[詳細情報]を展開し、配置スクリプトを[ユーザデータ]に貼り付けます。
    aws-autoscaling-and-ds-launchconfig_2=0cebf60a-5361-40dd-b343-e95f1dc31876.png

次に進む前に

Microsoft WindowsベースのAMIでPowerShellデプロイメントスクリプトを実行する際に問題が発生している場合、その問題は実行中のインスタンスからAMIを作成することによって引き起こされている可能性があります。AWSは実行中のインスタンスからのAMI作成をサポートしていますが、このオプションはAMIから作成されたインスタンスの起動時に実行されるEc2Configタスクをすべて無効にします。この動作により、インスタンスがPowerShellスクリプトを実行しようとするのを防ぎます。
WindowsでAMIを作成する際には、ユーザーデータの処理を手動で、またはイメージ作成プロセスの一部として再度有効にする必要があります。ユーザーデータの処理は、WindowsベースのAMIの最初の起動時にのみ実行されます (初回の起動プロセス中に無効化されます)、そのためカスタムAMIから作成されたインスタンスは、機能が再度有効にされない限りユーザーデータを実行しません。EC2Configサービスを使用してWindowsインスタンスを設定するには、機能をリセットする方法や初回起動時に無効化されないようにする方法についての詳細な説明と手順が記載されています。最も簡単な方法は、EC2Configバージョン2.1.10以降を使用している場合、ユーザーデータに<persist>true</persist>を含めることです。

自動スケーリングの結果、Workload Securityからインスタンスを削除します。 親トピック

Workload SecurityにAWSアカウントを追加すると、Auto Scalingの結果としてAWSに存在しなくなったインスタンスは自動的に Workload Securityから削除されます。
AWSアカウントの追加の詳細については、AWSアカウントの追加についてを参照してください。