ビュー:
重要
重要
Trend Vision One のAWSアカウントは、Cloud Accountsアプリで管理されるようになりました。新しいAWSアカウントを追加するには、CloudFormation を使用して AWS アカウントを追加を参照してください。
API を使用して、新しいアカウントを Server & Workload Protectionに追加することもできます。ただし、 トレンドマイクロ では、より高度なクラウド セキュリティと XDR 機能へのアクセスを提供するクラウド アカウント アプリを使用することをお勧めします。このトピックは参照のみを目的としています。
トピック:

外部IDとは何ですか。 親トピック

外部IDは、クロスアカウントロールARNとともに、あるAWSロールから別のAWSロールへのアクセスを許可するために使用されます。外部IDは、アカウントの役割を引き受けようとしているサードパーティのサービスによって提供されます。そのサービスを信頼する場合は、その外部IDをクロスアカウントロールに追加します。この場合、 Server & Workload Protection は、AWSアカウントの代わりに外部IDを提供するサードパーティのサービスです。 Server & Workload Protection は、このアクセス権を使用してAWSアカウントの情報を同期し、リソースの最新の記録を維持します。詳細については、次のAWSドキュメントを参照してください。 AWSリソースへのアクセスを許可するときに外部IDを使用する方法
注意:
  • 外部IDは、クロスアカウントロールを使用してAWSアカウントを追加する場合にのみ使用されます。
  • クロスアカウントロールを使用して追加されたすべてのAWSアカウントで、同じ外部IDが使用されます。

外部IDの設定 親トピック

外部IDの設定は、クロスアカウントロールを追加する大規模なプロセスの1つの手順です。

外部IDの更新 親トピック

以前にクロスアカウントロールを使用してAWSアカウントを追加したことがある場合は、ユーザ定義の外部IDを指定している可能性があります。 AWSのベストプラクティスに合わせて、 トレンドマイクロで Server & Workload Protectionされた外部IDに切り替えることをお勧めします。
注意
注意
以前にユーザ定義の外部IDを使用して追加されたAWSアカウントは、引き続き通常どおり機能します。

ユーザ定義の外部IDとマネージャ定義の外部IDのどちらを使用しているかを確認する 親トピック

ユーザ定義の外部IDとマネージャ定義の外部IDのどちらを使用しているか不明な場合は、以下の手順に従って確認してください。

手順

  1. Server & Workload Protectionにログインします。
  2. [コンピュータ]をクリックします。
  3. クロスアカウントロールを使用して追加したAWSアカウントを右クリックし、 [プロパティ]を選択します。
  4. 外部IDの横に [アップデート] リンクが表示されている場合は、ユーザ定義の外部IDが現在使用中であり、アップデートする必要があることを示しています。 [アップデート] リンクが表示されない場合は、 Server & Workload Protectionで定義された外部IDが使用されているため、処理は不要です。
  5. クロスアカウントロールを使用して Server & Workload Protection に追加されたアカウントごとに、この手順を繰り返します。

次に進む前に

Server & Workload Protection コンソールを使用して外部IDを更新します。 親トピック

手順

  1. まだログインしていない場合は、 Server & Workload Protectionにログインし、アップデートするAWSアカウントを右クリックして [プロパティ]を選択します。
  2. 外部IDの横に表示される [アップデート] リンクをクリックします。 [アップデート] リンクが表示されなくなります。
  3. 外部IDをメモします。次の手順でクロスアカウントロールを設定するときに必要になります。
  4. 外部IDを更新したAWSアカウントにログインします。古い外部IDを新しいIDに置き換えて、クロスアカウントロールのIAMポリシーを更新します。
  5. プロパティウィンドウに戻り、 [適用] をクリックして変更を適用します。アカウントのユーザ定義の外部IDが、 Server & Workload Protectionで定義されたIDに更新されました。
  6. クロスアカウントロールを使用して Server & Workload Protection に追加されたアカウントごとに、この手順を繰り返します。

次に進む前に

Server & Workload Protection APIを使用した外部IDの更新 親トピック

手順

  1. 新しいマネージャ定義の外部IDをまだ取得していない場合は、/api/awsconnectorsettings取得するエンドポイント (ExternalIdパラメータ)。
  2. クロスアカウントロールが設定されたAWSアカウントにログインします。古い外部IDを新しいIDに置き換えて、クロスアカウントロールのIAMポリシーを更新します。クロスアカウントロールを使用して Server & Workload Protection に追加されたアカウントごとに、この手順を繰り返します。
  3. を使用する/api/awsconnectorsエンドポイント、Update actionアップデートするアカウントでCrossAccountRoleARNパラメータを現在と同じロールARNに設定します。要求オブジェクトに外部IDを指定しないでください。アカウントのユーザ定義の外部IDが、 Server & Workload Protectionで定義されたIDに更新されました。

次に進む前に

外部IDの取得 親トピック

クロスアカウントで使用する外部IDを取得する方法はいくつかあります。

Server & Workload Protection APIを介して 親トピック

  • を呼び出します。/api/awsconnectorsettings取得するエンドポイント (ExternalIdパラメータ)。

外部IDの取得を無効にする 親トピック

外部IDへの不正アクセスを防止するために、 Server & Workload Protection コンソールで外部IDを表示および取得する機能を無効にすることができます。 IDを一度取得し、Secrets Managerなどの安全な場所に保管してから、他のすべてのユーザーに対してIDの取得を無効にすることができます。
注意
注意
取得はいつでも再度有効にできます。
取得を無効にするには

手順

  1. Server & Workload Protectionにログインします。
  2. 上部の [管理] をクリックします。
  3. メインペインで、 [セキュリティ] タブをクリックします。
  4. [AWS外部IDの取得と表示を有効にする]の選択を解除します。
  5. [保存]をクリックします。

次に進む前に

ヒント
ヒント
役割を使用して、外部IDへのアクセスを禁止することもできます。詳細については、User Roles(Foundation Servicesリリース)