Deep Security as a Serviceの以前のバージョンでは、 [コンピュータ] 画面の [AWSアカウントを追加する] をクリックしてAWSアカウントを追加できました。この方法では、AWS CloudFormationテンプレートを使用してアカウントを追加していました。アカウントに関連付けられているすべてのAWSインスタンスが、[コンピュータ]
画面のAWSアカウント名とリージョンの下に表示されます。
Server & Workload Protection には、AWS インスタンスをリージョン、VPC、サブネットごとに整理して表示する機能が含まれています。古いタイプの AWS 接続から新しい方法への移行は、通常、自動的に行われます。ただし、
Server & Workload Protection で問題が発生し、移行を自動的に実行できない場合は、「AWS アカウントの移行に失敗しました」というアラートが生成されます。このアラートが発生した場合は、この記事の手順に従って
AWS アカウント接続を移行してください。移行失敗の主な原因は、アラート メッセージにリストされている AWS ロールの権限が不足していることです。
AWSロールに関連付けられている権限を確認する
手順
- Amazon Web Servicesコンソールにログインし、 [IAM] サービスに移動します。
- 左側のナビゲーションペインで、 [役割]をクリックします。
- アラートメッセージに記載されたロールを探してクリックします。
- [権限] で [DeepSecurity] ポリシーを展開し、 [ポリシーの編集]をクリックします。
- [Action] セクションのポリシーが次のようになっていることを確認します。
"Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeRegions",git "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "workspaces:DescribeWorkspaces", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeTags", "iam:ListAccountAliases", "iam:GetRole", "iam:GetRolePolicy", "sts:AssumeRole" ]
注意
は"sts:AssumeRole"
権限は、クロスアカウントロールを使用している場合にのみ必要です。注意
は"iam:GetRole"
そして"iam:GetRolePolicy"
権限はオプションですが、 Server & Workload Protection のアップデートで追加のAWS権限が必要な場合に備えて、お勧めします。これらの追加権限を有効にすると、ポリシーが正しいかどうかを Server & Workload Protection で判断できます。 - [ポリシーの確認] および [変更の保存]をクリックします。
- 30分ほど待つと、接続がアップグレードされます。 Server & Workload Protection コンソールの [コンピュータ] タブでは、AWSインスタンスがリージョン、VPC、およびサブネット別に整理されています。 Amazon WorkSpacesは、リージョンおよびWorkSpaceディレクトリ別に整理されています。