Amazon AWSにVirtual Applianceを配置する

Amazon AWSにPrivate Access Connector仮想アプライアンスを配置する方法について説明します。

  1. AWSコマンドラインインタフェース(CLI)をダウンロードしてローカルマシンにインストールします。

    サポートされているオペレーティングシステムでAWS CLIをインストールおよびアップデートする方法の詳細については、「 AWS CLIのインストール」を参照してください。

  2. AWS Management Console にスーパー管理者としてサインインし、AWSにアクセスしてAWS CLIから設定を行うための権限を付与するユーザを追加します。
    1. Identity and Access Management(IAM) サービス画面に移動し、左側のナビゲーションで[ ユーザ ]をクリックし、右側のペインで[ ユーザを追加 ]をクリックします。

      [ ユーザを追加 の追加]画面が表示されます。

    2. 一意のユーザ名を指定し、アクセスの種類として[ プログラムによるアクセス ]を選択して、[ 次へ:権限]をクリックします。
    3. 表示される権限を設定する画面で、既存のポリシーを直接添付をクリックし、検索テキストボックスを使用して、次の4つのAWSマネージドポリシーを見つけて選択します:AmazonEC2FullAccessAmazonS3FullAccessIAMFullAccessVMImportExportRoleForAWSConnector
    4. [ 次へ:タグ]をクリックします。
    5. 初期設定のままにして、[ 次へ:確認]をクリックします。
    6. 設定を確認して確認し、[ ユーザを作成]をクリックします。

      ユーザが作成されました。

    7. 後の手順で使用するため、アクセスキーIDとシークレットアクセスキーを記録しておきます。

      [ .csvファイルをダウンロード ]をクリックして、アクセスキーIDとシークレットアクセスキーを含むファイルをローカルコンピュータにダウンロードすることもできます。

  3. Amazon S3バケットを作成し、ダウンロードしたOVAファイルをバケットにアップロードします。
    1. AWSマネジメントコンソールで、 Amazon S3 サービス画面に移動し、[ バケットを作成]をクリックします。

      バケットを作成 ]画面が表示されます。

    2. [ 一般な設定 ]セクションで、一意のバケット名を指定し、AWSリージョンを選択します。

      トレンドマイクロ では、アクセスを制御するアプリの地域を選択することをお勧めします。

    3. [ 初期設定の暗号化 ]セクションで、[ 無効にする]を選択し、[ バケットを作成]をクリックします。

      バケットが正常に作成されました。

    4. バケット 画面で、作成したバケットをクリックします。
    5. [ オブジェクト ]タブで、[ アップロード]をクリックします。
    6. 表示される[ アップロード ]画面で、[ ファイルを追加する]をクリックし、OVAファイルを探して選択し、他の設定は初期設定値のままにして、[ アップロード]をクリックします。

      アップロードプロセスが完了すると、OVAファイルはAmazon S3に正常に保存されます。

  4. AWS CLIを使用してAmazon Machine Image(AMI)を構築します。
    1. ローカルマシンでコマンドプロンプトウィンドウを開き、次のコマンドを実行してAWS CLIを起動します。 aws configure
    2. 手順 2f で取得したアクセスキーIDを貼り付けて、 入力と入力します。
    3. 手順 2f で取得した秘密アクセスキーを貼り付けて、 入力と入力します。
    4. OVAファイルを保存するAmazon S3バケットの作成時に選択したリージョンを指定し、[ 入力と入力します。
    5. デフォルトの出力フォーマットとして json を指定し、 入力を押します。
    6. 次の3つの.jsonファイルを作成し、ローカルマシンに保存します。

      トレンドマイクロ では、ファイルを同じパスに保存することをお勧めします。

      • ファイル名: trust-policy.json

        {
            "Version":"2012-10-17",
            "Statement":[
               {
                  "Sid":"",
                  "Effect":"Allow",
                  "Principal":{
                     "Service":"vmie.amazonaws.com"
                  },
                  "Action":"sts:AssumeRole",
                  "Condition":{
                     "StringEquals":{
                        "sts:ExternalId":"vmimport"
                     }
                  }
               }
            ]
         }
      • ファイル名: role-policy.json

        <S3-BUCKET-NAME> を作成したバケットの名前に置き換えます。

        {
            "Version":"2012-10-17",
            "Statement":[
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:ListBucket",
                     "s3:GetBucketLocation"
                  ],
                  "Resource":[
                     "arn:aws:s3:::<S3-BUCKET-NAME>"
                  ]
               },
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:GetObject"
                  ],
                  "Resource":[
                     "arn:aws:s3:::<S3-BUCKET-NAME>/*"
                  ]
               },
               {
                  "Effect":"Allow",
                  "Action":[
                     "ec2:ModifySnapshotAttribute",
                     "ec2:CopySnapshot",
                     "ec2:RegisterImage",
                     "ec2:Describe*"
                  ],
                  "Resource":"*"
               }
            ]
         }
      • ファイル名: container.json

        <S3-BUCKET-NAME> を作成したバケットの名前に、 <OVA-FILE-NAME> をOVAファイルの名前(初期設定では TrendMicroVisionOne-SecureAccessConnector.ova )に置き換えます。

        [
            {
                      "Description": "My Server OVA",
                      "Format": "ova",
                      "UserBucket": {
                                  "S3Bucket": "<S3-BUCKET-NAME>",
                                  "S3Key": "<OVA-FILE-NAME>"
                       }
            }
        ]
    7. AWSCLIで、 cd コマンドを実行して、現在の作業ディレクトリをファイルの保存先に変更します。
    8. 次のコマンドを実行して、適切な管理権限を持つ役割を作成します。 aws iam create-role --role-name vmimport --assume-role-policy-document file://trust-policy.json
    9. 次のコマンドを実行して、信頼関係のポリシーを作成します。 aws iam put-role-policy --role-name vmimport --policy-name vmimport --policy-document file://role-policy.json
    10. 次のコマンドを実行してAMIを構築します。 aws ec2 import-image --description "ZTNA VM" --disk-containers file://container.json
    11. 処理が完了するまでお待ちください。この処理には数分かかることがあります。

      次のコマンドを実行してステータスを表示します。

      aws ec2 describe-import-image-tasks --import-task-id "<ImportTaskId>" --output=json

      プロセスが完了すると、 「ステータス」「完了」に変わります。

      ImportTaskIdを忘れないでください。これは、後の手順でAMIを識別するために使用できます。

  5. AWS EC2インスタンスを起動します。
    1. AWSマネジメントコンソールで、 新しいEC2エクスペリエンス サービス画面に移動し、左側のナビゲーションで[ インスタンス ]をクリックします。

      インスタンス 画面が表示されます。

    2. 右側のペインで現在のリージョンを確認し、[ インスタンスを起動]をクリックします。
    3. [ ステップ1:Amazon Machine Image(AMI)を選択する ]画面が表示されたら、 ImportTaskIdを使用して作成したAMIを探し、[ 選択]をクリックします。
    4. [ 手順2:インスタンスの種類を選択する ]画面が表示されたら、初期設定のまま[ 次のトピック:インスタンスの詳細の設定]をクリックします。
    5. [ インスタンスの設定]、[ ストレージを追加]、および[ タグを追加 ]の画面を初期設定のままにして、[ 次へ]をクリックします。
    6. 手順6:セキュリティグループの設定表示される画面、設定セキュリティグループを割り当てる新しいセキュリティグループを作成する、をクリックしますルールの追加設定する種類SSHプロトコルTCPポート範囲22 、 とソースIP 、をクリックします確認して起動
    7. [ 手順7:インスタンスの起動の確認 ]画面が表示されたら、設定を確認して確定し、[ 起動]をクリックします。
    8. [ 既存のキーペアを選択するか、新しいキーペアを作成します ]画面が表示されたら、ドロップダウンリストから[ キーペアなしで続行 ]を選択し、[ インスタンスの起動]をクリックします。

      [ 起動ステータス 画面が表示されます。[ インスタンスの表示 ]をクリックして、インスタンスのステータスを監視します。 実行中 を実行している状態の場合、 インスタンス 画面からインスタンスに接続できます。

  6. Connector仮想アプライアンスを Trend Micro Vision Oneに登録します。
    1. AWSマネジメントコンソールの[ インスタンス ]画面で、起動したインスタンスを選択し、インスタンスのパブリックIPv4アドレスをコピーします。
    2. コマンドプロンプトを開き、次の ssh コマンドを実行して、初期設定の 認証情報でConnector仮想アプライアンスにログオンします。

      ssh admin@<public_IP_address_of_the_instance>

      パスワード: saseztna

    3. 次のコマンドを実行し、 入力 キーを押して、 enable コマンドのパスワードを変更します。 passwd

      初期設定のパスワードは saseztnaです。新しいパスワードを初期設定のパスワードと同じにすることはできません。

      管理者 ユーザ、 ルート ユーザ、および特権モードは、同じパスワードを共有します。

    4. enable 」と入力して 入力 キーを押し、特権モードにします。要求された場合は、更新されたパスワードを入力します。

      コマンドプロンプトが、 > から に変わります。

    5. (オプション)次のコマンドを実行して、コネクタのタイムゾーンを変更します。 configure timezone <timezone>

      初期設定のタイムゾーンは、 America / Los_Angelesです。

    6. ConnectorがNTPサーバ 0.pool.ntp.orgに接続できるかどうかを確認します。

      Connectorの時計を同期するには、NTPサーバに接続する必要があります。 Trend Micro Vision One は、初期設定ではパブリックNTPサーバ 0.pool.ntp.orgを使用します。別のパブリックNTPサーバまたは組織内のローカルNTPサーバに接続するようにConnectorを設定することもできます。

      次のコマンドを実行して、NTPサーバを設定します。 configure ntp server <address>

      注:

      パブリックNTPサーバを使用するには、ファイアウォール設定でポート123の送信UDPトラフィックが許可されていることを確認してください。

    7. 次のコマンドを実行して、Connector仮想アプライアンスを Trend Micro Vision Oneに登録します。 register <registration_token>

      Trend Micro Vision OneでVirtual Applianceをダウンロードしたときと同じ画面からトークンを取得できます。

  7. 必要に応じて、CLIを使用してその他の設定を行います。

    使用可能なコマンドの詳細については、「 Private Access ConnectorのCLIコマンド」を参照してください。

    配置が正常に完了すると、 プライベートアクセスコネクタ ]タブの対応するコネクタグループの下にConnector仮想アプライアンスが表示されます。

組織の内部アプリを追加し、 Trend Micro Vision One コンソールで対応するコネクタグループに関連付けます。詳細については、「 内部アプリケーションの追加」を参照してください。