ビュー:

生成されたスタックテンプレートを使用してAWSアカウントをTrend Vision Oneに追加および接続し、クラウドアセットのセキュリティを提供します。

AWSアカウントをCloud Accountsに接続すると、Trend Vision Oneがクラウドサービスにアクセスし、クラウドアセットのセキュリティと可視性を提供します。一部のCloud Accounts機能は、AWSリージョンでのサポートが限定されています。詳細については、AWSがサポートするリージョンと制限事項を参照してください。
重要
重要
この手順は、2023年11月現在のAWSコンソールで有効です。

手順

  1. Trend Vision One コンソールにサインインします。
  2. 同じブラウザセッションの新しいタブで、管理者権限を持つロールを使用して、接続するAWSアカウントにサインインします。
  3. Trend Vision Oneコンソールで、[Cloud Security]Cloud Accounts[AWS]に移動します。
  4. [アカウントを追加]をクリックします。
    [Add AWS Account] ウィンドウが表示されます。
  5. デプロイタイプを指定してください。
    1. [Deployment Method] を選択し、[CloudFormation] を選択します。
    2. アカウントの種類を選択します。
    3. [次へ] をクリックします。
  6. アカウントの一般情報を指定します。
    1. Cloud Accountsに表示するために[アカウント名][説明]を提供してください。
    2. CloudFormationテンプレートをデプロイするAWSリージョンを選択します。
      注意
      注意
      デフォルトのリージョンはあなたのTrend Vision Oneリージョンです。
      一部の機能と権限では、一部のAWSリージョンのサポートが制限されています。詳細については、AWSがサポートするリージョンと制限事項を参照してください。
    3. 複数のServer & Workload Protectionマネージャインスタンスがある場合は、接続されたアカウントに関連付けるインスタンスを選択してください。
      注意
      注意
      • Server & Workload Protectionマネージャインスタンスが1つある場合、アカウントは自動的にそのインスタンスに関連付けられます。
    4. 前の手順で選択したServer & Workload Protectionインスタンスのスキャン領域を選択してください。
      • 接続しているAWSアカウントが特定のリージョンを使用していない場合は、そのリージョンをリストから削除してください。
      • AWSアカウントがすべてのリージョンを使用する場合は、すべてのリージョンを選択したままにしてください。
      デフォルトでは、Core FeaturesとServer & Workload Protectionスキャンに依存する機能 (例えば、Container SecurityやFile Storage Security) は、すべてのAWSリージョンへの接続を試みます。お使いのAWSアカウントが特定のリージョンを使用していない場合、接続試行の失敗によりCloudTrailに不要なエラーログが生成される可能性があります。
    5. Trend Vision Oneによってデプロイされたリソースにカスタムタグを追加するには、[Resource tagging]を選択し、キーと値のペアを指定します。
      3 つまでのタグを追加するには、[新しいタグを作成] をクリックします。
      注意
      注意
      • キーは最大128文字までで、awsで始めることはできません。
      • 値は最大256文字までです。
    6. [次へ] をクリックします。
  7. クラウド環境へのアクセスを許可する[機能と権限]を構成します。
    詳細については、AWSの機能と権限を参照してください。
  8. [次へ] をクリックします。
  9. AWSコンソールでCloudFormationテンプレートを起動します。
    1. スタックテンプレートを起動する前に確認するには、[テンプレートをダウンロードして確認]をクリックしてください。
    2. [スタックを起動]をクリックします。
      AWSマネジメントコンソールが新しいタブで開き、 [スタックの簡易作成] 画面が表示されます。
  10. AWSマネジメントコンソールで、 [スタックの簡易作成] 画面の手順を完了します。
    1. デフォルト以外の名前を使用する場合は、新しい [スタック名]を指定します。
    2. [パラメータ] セクションで、必要に応じて以下のパラメーターを設定します。
      • [CloudAuditLogMonitoringCloudTrailArn]について、モニタしたいCloudTrailのARNを提供してください。このパラメータは、AWS CloudTrailのクラウド検出を有効にした場合にのみ必要です。
      • [CloudAuditLogMonitoringCloudTrailSNSTopicArn]には、CloudTrail SNSトピックのARNを指定してください。このパラメータは、AWS CloudTrailのクラウド検出を有効にした場合にのみ必要です。
        重要
        重要
        • 監視対象のCloudTrailとCloudTrail SNSは、テンプレートのデプロイメントに選択された同じアカウントおよび同じリージョンに存在する必要があります。
        • [パラメータ]セクションの他の設定は指示がない限り変更しないでください。CloudFormationは残りのパラメーターの設定を自動的に提供します。パラメーターを変更すると、スタックの作成が失敗する可能性があります。
      • [IamPermissionsBoundaryArn]には、スタックによって作成されるすべてのIAMロールに適用するIAM権限境界ポリシーのARNを指定してください。このパラメータは任意です。指定した場合、権限境界は次の機能で使用されるIAMロールに適用されます。
        • AWS CloudTrail (Control Towerを含む) のクラウド検出
        • Amazon Security Lakeのクラウド検出
        • File Security Storage
        IamPermissionsBoundaryArnに関連付けられたIAMポリシーには、有効にする機能に必要な最小限の権限が含まれている必要があります。境界ポリシーに必要な権限が含まれていない場合、スタックのデプロイまたは機能の操作が失敗する可能性があります。詳細については、AWSに必要な権限を参照してください。
    3. [機能] セクションで、次の確認応答を選択します。
      • [AWS CloudFormationがカスタム名のIAMリソースを作成する可能性があることを認めます。]
      • [AWS CloudFormationが次の機能を必要とする可能性があることを認めます: CAPABILITY_AUTO_EXPAND]
    4. [スタックの作成]をクリックします。
      新しいスタックの [スタックの詳細] 画面が表示され、 [イベント] タブが表示されます。作成には数分かかることがあります。 [更新] をクリックして、進行状況を確認します。
  11. Trend Vision One コンソールで、 [終了]をクリックします。
    CloudFormation テンプレートのデプロイが正常に完了すると、アカウントが Cloud Accounts に表示されます。テーブルを更新するには画面をリフレッシュしてください。