ビュー:
Server & Workload Protection との統合AWS Control Tower Control Towerアカウントファクトリを介して追加されたすべてのアカウントが自動的に Server & Workload Protectionでプロビジョニングされ、各アカウントに導入されたEC2インスタンスのセキュリティ状況を一元的に把握できるほか、ポリシーと課金の自動化の基盤を提供します。

概要 親トピック

ライフサイクルフックソリューションはCloudFormationテンプレートを提供します。CloudFormationテンプレートをControl Towerマスターアカウントで起動すると、 Server & Workload Protection が各Account Factory AWSアカウントを自動的に監視するようにAWSインフラストラクチャをデプロイします。このソリューションは2つのLambda関数で構成されています。 1つはロールを管理して Server & Workload Protectionにアクセスし、もう1つは最初のLambdaのライフサイクルを管理します。 AWS Secrets Managerを利用して Server & Workload Protection のAPIキーをマスターアカウントに保存し、Control Towerアカウントが正常にデプロイされたときにカスタマイズのLambdaをトリガーするようにCloudWatchイベントルールを設定します。
Server & Workload ProtectionAWS Control Towerとの統合の場合、次のように実装されます。

手順

  1. スタックの起動時に、Control Towerのマスター、監査、およびログアカウントを含む既存の各Control Towerアカウントに対して、Lambdaのライフサイクルが実行されます。
  2. 起動後、Control TowerのCreateManagedAccountイベントが成功するたびに、CloudWatchイベントルールによってLambdaライフサイクルがトリガされます。
  3. ライフサイクルLambda関数は、AWS Secrets Managerから Server & Workload Protection APIキーを取得し、次に Server & Workload Protection APIから組織の外部IDを取得します。
  4. Lambda関数は、必要なクロスアカウントロールと関連するポリシーを作成するために、対象の管理アカウントでControlTowerExecutionロールを想定します。
  5. この管理対象アカウントをテナントに追加するために、 Server & Workload Protection APIが呼び出されます。

次に進む前に

AWS Control Towerとの統合 親トピック

手順

  1. Server & Workload Protection コンソールで、[管理] [ユーザ管理] [API Keys]をクリックし、 [新規]をクリックします。キーの名前と [Full Access] の役割を選択します。キーは後で取得できないため、必ず保存してください。このキーは、AWS Control TowerマスターからコンソールAPIへの自動化の認証に使用されます。詳細については、 APIキーの作成
  2. AWS Control Towerのマスターアカウントにログインします。 CloudFormationサービスに移動し、AWS Control Towerがデプロイされたリージョンを選択し、ライフサイクルテンプレートを起動する
  3. ライフサイクルテンプレートで、手順1で生成したAPIキーを入力します。コンソールのFQDNは初期設定のままにします。
  4. AWS CloudFormationがIAMリソースを作成する可能性があることを確認するチェックボックスをオンにします。 [スタックの作成]を選択すると、AWSアカウントの Server & Workload Protectionへの追加が開始されます。
  5. すべてのアカウントのインポートが完了したら、エージェントのインストール保護を有効にします。

次に進む前に

AWS Control Tower統合のアップグレード 親トピック

Server & Workload Protectionに新しい機能が追加されると、アプリケーションのクロスアカウントロールの権限の更新が必要になる場合があります。ライフサイクルフックによってデプロイされたロールを更新するには、元のURLにある最新のテンプレートを使用して Server & Workload Protection スタックを更新します。テクニカルサポートからの指示がない限り、パラメータ値を元の値から変更しないでください。 CloudFormationスタックをアップデートすると、既存のすべてのアカウントで使用されるロールと、今後の登録用に作成されるロールがアップデートされます。

AWS Control Tower統合の削除 親トピック

ライフサイクルフックを削除するには、CloudFormationスタックを特定して削除します。すでに追加されている管理対象アカウントの保護は引き続き有効です。 Trend Vision One コンソールからのAWSアカウントの削除は、Cloud Accountsアプリで処理されるようになりました。Cloud AccountsからのAWSアカウントの削除の詳細については、AWSアカウント を参照してください。