重要 Trend Vision One のAWSアカウントは、Cloud Accountsアプリで管理されるようになりました。新しいAWSアカウントを追加するには、CloudFormation を使用して AWS アカウントを追加を参照してください。
API を使用して、新しいアカウントを Server & Workload Protectionに追加することもできます。ただし、 トレンドマイクロ では、より高度なクラウド セキュリティと XDR 機能へのアクセスを提供するクラウド アカウント アプリを使用することをお勧めします。このトピックは参照のみを目的としています。
|
トピック:
外部IDとは何ですか。
外部IDは、クロスアカウントロールARNとともに、あるAWSロールから別のAWSロールへのアクセスを許可するために使用されます。外部IDは、アカウントの役割を引き受けようとしているサードパーティのサービスによって提供されます。そのサービスを信頼する場合は、その外部IDをクロスアカウントロールに追加します。この場合、
Server & Workload Protection は、AWSアカウントの代わりに外部IDを提供するサードパーティのサービスです。 Server & Workload Protection は、このアクセス権を使用してAWSアカウントの情報を同期し、リソースの最新の記録を維持します。詳細については、次のAWSドキュメントを参照してください。 AWSリソースへのアクセスを許可するときに外部IDを使用する方法。
注意:
- 外部IDは、クロスアカウントロールを使用してAWSアカウントを追加する場合にのみ使用されます。
- クロスアカウントロールを使用して追加されたすべてのAWSアカウントで、同じ外部IDが使用されます。
外部IDの設定
外部IDの設定は、クロスアカウントロールを追加する大規模なプロセスの1つの手順です。
外部IDの更新
以前にクロスアカウントロールを使用してAWSアカウントを追加したことがある場合は、ユーザ定義の外部IDを指定している可能性があります。 AWSのベストプラクティスに合わせて、
トレンドマイクロで Server & Workload Protectionされた外部IDに切り替えることをお勧めします。
注意以前にユーザ定義の外部IDを使用して追加されたAWSアカウントは、引き続き通常どおり機能します。
|
ユーザ定義の外部IDとマネージャ定義の外部IDのどちらを使用しているかを確認する
ユーザ定義の外部IDとマネージャ定義の外部IDのどちらを使用しているか不明な場合は、以下の手順に従って確認してください。
手順
- Server & Workload Protectionにログインします。
- [コンピュータ]をクリックします。
- クロスアカウントロールを使用して追加したAWSアカウントを右クリックし、 [プロパティ]を選択します。
- 外部IDの横に [アップデート] リンクが表示されている場合は、ユーザ定義の外部IDが現在使用中であり、アップデートする必要があることを示しています。 [アップデート] リンクが表示されない場合は、 Server & Workload Protectionで定義された外部IDが使用されているため、処理は不要です。
- クロスアカウントロールを使用して Server & Workload Protection に追加されたアカウントごとに、この手順を繰り返します。
次に進む前に
Server & Workload Protection コンソールを使用して外部IDを更新します。
手順
- まだログインしていない場合は、 Server & Workload Protectionにログインし、アップデートするAWSアカウントを右クリックして [プロパティ]を選択します。
- 外部IDの横に表示される [アップデート] リンクをクリックします。 [アップデート] リンクが表示されなくなります。
- 外部IDをメモします。次の手順でクロスアカウントロールを設定するときに必要になります。
- 外部IDを更新したAWSアカウントにログインします。古い外部IDを新しいIDに置き換えて、クロスアカウントロールのIAMポリシーを更新します。
- プロパティウィンドウに戻り、 [適用] をクリックして変更を適用します。アカウントのユーザ定義の外部IDが、 Server & Workload Protectionで定義されたIDに更新されました。
- クロスアカウントロールを使用して Server & Workload Protection に追加されたアカウントごとに、この手順を繰り返します。
次に進む前に
Server & Workload Protection APIを使用した外部IDの更新
手順
- 新しいマネージャ定義の外部IDをまだ取得していない場合は、
/api/awsconnectorsettings
取得するエンドポイント (ExternalId
パラメータ)。 - クロスアカウントロールが設定されたAWSアカウントにログインします。古い外部IDを新しいIDに置き換えて、クロスアカウントロールのIAMポリシーを更新します。クロスアカウントロールを使用して Server & Workload Protection に追加されたアカウントごとに、この手順を繰り返します。
- を使用する
/api/awsconnectors
エンドポイント、Update action
アップデートするアカウントでCrossAccountRoleARN
パラメータを現在と同じロールARNに設定します。要求オブジェクトに外部IDを指定しないでください。アカウントのユーザ定義の外部IDが、 Server & Workload Protectionで定義されたIDに更新されました。
次に進む前に
外部IDの取得
クロスアカウントで使用する外部IDを取得する方法はいくつかあります。
Server & Workload Protection APIを介して
- を呼び出します。
/api/awsconnectorsettings
取得するエンドポイント (ExternalId
パラメータ)。
外部IDの取得を無効にする
外部IDへの不正アクセスを防止するために、 Server & Workload Protection コンソールで外部IDを表示および取得する機能を無効にすることができます。 IDを一度取得し、Secrets Managerなどの安全な場所に保管してから、他のすべてのユーザーに対してIDの取得を無効にすることができます。
注意取得はいつでも再度有効にできます。
|
取得を無効にするには
手順
- Server & Workload Protectionにログインします。
- 上部の [管理] をクリックします。
- メインペインで、 [セキュリティ] タブをクリックします。
- [AWS外部IDの取得と表示を有効にする]の選択を解除します。
- [保存]をクリックします。
次に進む前に
ヒント役割を使用して、外部IDへのアクセスを禁止することもできます。詳細については、User Roles(Foundation Servicesリリース)。
|