Workload SecurityをAWS Control Towerと統合して、Control Tower Account Factoryを通じて追加されたすべてのアカウントが自動的にWorkload Securityにプロビジョニングされるようにし、各アカウントにデプロイされたEC2インスタンスのセキュリティ状態を一元的に可視化するとともに、ポリシーと請求の自動化の基盤を提供します。
Lifecycle HookソリューションはCloudFormationテンプレートを提供し、Control Tower Master Accountで起動すると、AWSインフラストラクチャが展開され、 Workload Security が各Account Factory AWSアカウントを自動的に監視できるようになります。このソリューションは、2つのラムダ関数で構成されます。 1つは私たちの役割を管理し、 Workload Securityにアクセスし、もう1つはLambdaのライフサイクルを管理するためのものです。AWS Secrets Managerは、 Workload Security のAPIキーをマスターアカウントに格納するために利用され、CloudWatch Eventsルールは、Control Towerアカウントが正常に配信されたときにカスタマイズLambdaを実行するように設定されています。
Workload SecurityがAWS Control Towerと統合されると、次の方法で実装されます。

手順

  1. スタックの起動時に、Control Tower Master、Audit、およびLogアカウントを含む既存のControl TowerアカウントごとにライフサイクルLambdaが実行されます。
  2. 起動後、CloudWatchイベントルールによって、成功したControl Towerの[CreateManagedAccount]イベントごとにライフサイクルラムダがトリガされます。
  3. ライフサイクルラムダ関数は、AWS Secrets ManagerからWorkload Security APIキーを取得し、組織の外部IDをWorkload Security APIから取得します。
  4. Lambda関数は、ターゲットマネージドアカウントでControlTowerExecutionロールを引き受け、必要なクロスアカウントロールと関連ポリシーを作成します。
  5. Workload Security APIが呼び出され、この管理対象アカウントがテナントに追加されます。

AWS Control Towerとの統合 親トピック

手順

  1. Workload Security コンソールで、[管理][ユーザ管理][APIキー]の順に選択し、[新規]をクリックします。キーの名前と[フルアクセス]の役割を選択します。キーは後で検索できないので、必ず保存してください。このキーは、AWS Control Tower MasterからコンソールAPIへの自動化の認証に使用されます。詳細については、APIキーの作成を参照してください。
  2. AWS Control Towerのマスターアカウントにログインします。CloudFormationサービスに移動し、AWS Control Towerがデプロイされたリージョンを選択して、ライフサイクルテンプレートを起動します。
  3. ライフサイクルテンプレートで、手順1で生成したAPIキーを入力します。コンソールのFQDNは初期設定のままにしてください。
  4. AWS CloudFormationがIAMリソースを作成する可能性があることを確認してください。[Create Stack]を選択すると、統合が開始され、AWSアカウントがWorkload Securityに追加されます。
  5. すべてのアカウントがインポートされたら、エージェントのインストールを自動化し、保護を有効化してください。

AWS Control Tower統合のアップグレード 親トピック

Workload Securityに新機能が追加されると、アプリケーションのクロスアカウントロールの権限の更新が必要になる場合があります。ライフサイクルフックによってデプロイされた役割を更新するには、元のURLにある最新のテンプレートを使用してWorkload Securityスタックを更新します。トレンドマイクロ サポートからの指示がない限り、パラメータ値を元の値から変更しないでください。 CloudFormationスタックをアップデートすると、既存のすべてのアカウントで使用されるロールと、今後の登録用に作成されるロールがアップデートされます。

AWS Control Tower統合の削除 親トピック

ライフサイクルフックを削除するには、CloudFormationスタックを特定して削除します。すでに追加されている管理対象アカウントの保護はそのまま維持されます。Workload SecurityからAWSアカウントを削除する方法の詳細については、AWSアカウントの削除を参照してください。