新增 AWS Organizations

檢視次數:

快速透過連接您的 AWS 組織將您的帳戶新增至雲端帳戶。

雲端帳戶支援透過將功能部署到根帳戶或組織單位 (OU) 層級來新增由您的 AWS 組織管理的帳戶。將您的 AWS 組織新增到雲端帳戶可快速允許 Trend Vision One 存取您管理的雲端帳戶，以提供安全性和雲端資產的可見性。某些雲端帳戶功能對 AWS 區域的支援有限。欲了解詳細資訊，請參閱 AWS 支援的區域和限制。

在開始之前，請確保您擁有具有管理員權限的登入或使用者角色，包括建立和管理您希望連接的 AWS 組織的 AWS CloudFormation 堆疊集合的權限。詳細資訊，請參閱 AWS CloudFormation StackSets 和 AWS Organizations。

重要

截至2023年十一月，這些步驟適用於AWS控制台。
將 AWS 組織新增後，該組織管理的帳戶將強制套用為整個組織配置的相同設定。作為組織一部分新增的個別帳戶無法修改設定。

要對 AWS 組織管理的個別帳戶應用不同的配置，您必須分別添加這些帳戶。可以在添加您的 AWS 組織之前添加這些帳戶，或者使用 OrganizationExcludedAccounts 參數將這些帳戶排除在堆疊部署之外。
雲端帳戶應用程式目前僅支援使用 CloudFormation 堆疊範本連接組織。

步驟

登入Trend Vision One主控台。
在另一個瀏覽器標籤中，登入您AWS組織帳戶。
在 Trend Vision One 主控台中，依次選擇 服務管理 → Cloud Accounts → AWS。
點選Add Account。

Add AWS Account 視窗出現。
指定部署類型。
1. 對於Deployment Method，選擇CloudFormation。
2. 對於帳戶類型，選擇AWS Organization。
3. 點選下一步。
指定組織的一般資訊。
1. 指定要在雲端帳戶應用程式中顯示的帳號。
  
  一旦新增 AWS 組織，所有在 AWS 中未先前指定別名的成員帳戶將在雲端帳戶應用程式中收到自動生成的名稱。
2. 新增Description以顯示在雲端帳戶中。
3. 選擇 AWS 區域以部署 CloudFormation 範本。
  
  注意
  
  預設區域是根據您Trend Vision One的區域。
  
  某些功能和權限在某些 AWS 區域的支援有限。欲了解詳細資訊，請參閱 AWS 支援的區域和限制。
4. 如果您有多個伺服器和工作負載保護管理器實例，請選擇要與連接的帳戶關聯的實例。
  注意
  
  如果您只有一個伺服器和工作負載保護管理器實例，該帳戶將自動與該實例關聯。
5. 要將自訂標籤新增到 Trend Vision One 部署的資源，請選擇Resource tagging並指定鍵值對。
  點選Create a new tag以新增最多三個標籤。
  注意
  
  金鑰最多可以有 128 個字元，且不能以 aws 開頭。
  
  值最多可以包含 256 個字元。
6. 點選下一步。

配置您想授予訪問權限的Features and Permissions到您的雲端環境。

重要

無代理弱點與安全威脅偵測以及 AWS VPC 流量日誌的雲端偵測是預發布子功能，並不屬於正式商業或一般發布的現有功能。使用這些子功能前，請先閱讀預發布子功能免責聲明。
如果您想使用Cloud Detections for Amazon Security Lake來監控您的組織，您必須在您的組織內配置一個帳戶以收集其他受管理帳戶的日誌。在連接您的組織帳戶之前，請先將您的Security Lake帳戶連接到Trend Vision One。
Cloud Response for AWS 和 Real-Time Posture Monitoring 需要 Cloud Detections for AWS CloudTrail 已啟動在您帳戶中。
截至2023年十一月，AWS私人和免費帳戶僅允許最多10次Lambda執行。容器保護部署需要至少20次同時Lambda執行。請在啟用此功能前驗證您的AWS帳戶狀態。
僅此處列出的功能和權限支援部署到組織管理的帳戶。如果您想在帳戶上啟用其他功能和權限，必須在連接組織帳戶之前，單獨連接該帳戶。

Core Features：將您的 AWS 帳戶連接到 Trend Vision One，以發現您的雲端資產並快速識別雲端基礎設施中的風險，例如合規性和安全最佳實踐違規。
Agentless Vulnerability & Threat Detection：在您的 AWS 帳戶中部署無代理弱點和安全威脅偵測，以掃瞄附加到 EC2 執行個體的 EBS 磁碟區、ECR 映像檔和 Lambda 函數中的弱點和惡意程式，對您的應用程式零影響。

點選Scanner Configuration以選擇要掃瞄的資源類型，以及是否掃瞄弱點、惡意程式或兩者皆掃瞄。預設情況下，兩者皆已啟動。目前支援三種 AWS 資源類型：EBS (Elastic Block Store)、ECR (Elastic Container Registry) 和 AWS Lambda。
Container Protection for Amazon ECS：在您的 AWS 帳戶中部署 Trend Vision One 容器安全以保護您在 Elastic Container Service (ECS) 環境中的容器和容器映像。Trend Vision One 容器安全發現威脅和弱點，保護您的運行環境，並強制執行部署政策。
Cloud Response for AWS：允許Trend Vision One權限在您的雲端帳戶中採取回應行動，例如撤銷可疑 IAM 使用者的存取權。其他回應行動利用與第三方工單系統的整合。
Real-Time Posture Monitoring：在您的 AWS 帳戶中部署實時姿態監控，以便在您的雲端環境中提供活動和事件的即時警報。
Cloud Detections for AWS VPC Flow Logs：部署以收集您的虛擬私有雲 (VPC) 流量日誌，使 Trend Vision One 能夠收集 VPC 流量的見解，並使用檢測模型識別和提供惡意 IP 流量、SSH 暴力破解攻擊、資料外洩等警報。在啟用此功能之前，請檢閱 VPC 流量日誌建議和要求。

選擇您要部署此功能的 AWS 區域。

重要

XDR for Cloud 僅支援監控 VPC Flow Logs 版本 5 或更新版本。欲了解詳細資訊，請參閱 VPC 流量日誌建議和要求。

點選下一步。
在 AWS 控制台中啟動 CloudFormation 模板。
1. 如果您想在啟動前查看堆疊範本，請點選Download and Review Template。
2. 點選Launch Stack。
  
  AWS 管理控制台會在新標籤頁中開啟，並顯示 Quick Create Stack 畫面。

在 AWS 管理控制台中，完成 Quick Create Stack 畫面中的步驟。

如果您想使用預設名稱以外的名稱，請指定一個新的Stack name。

在Parameters部分，指定以下參數：AWS Account ID或OrganizationID欄位中的Organizational Unit (OU) ID。

OrganizationID：輸入組織帳戶的AWS Account ID或Organizational Unit (OU) ID。
（可選）OrganizationExcludedAccounts：輸入您想要從堆疊中的監控功能中排除的組織內任何 AWS 帳戶的帳戶 ID。

使用此參數欄位來排除您不想監控的帳戶，或是對於您想使用不同功能配置的帳戶。您可以將排除的帳戶單獨連接到雲端帳戶應用程式。將帳戶輸入為以逗號（,）分隔的列表，且不留空格。例如，123456789012,345678901234

重要

OrganizationExcludedAccounts 參數只能包含組織內的帳號 ID。添加不屬於組織管理的帳號 ID 可能會導致堆疊部署失敗。

請勿更改Parameters部分中的任何其他設定。CloudFormation 會自動提供參數的設定。更改參數可能會導致堆疊建立失敗。

在 Capabilities 部分，選擇以下確認項目：
- I acknowledge that AWS CloudFormation might create IAM resources with custom names.
- I acknowledge that AWS CloudFormation might require the following capability: CAPABILITY_AUTO_EXPAND.
點選Create Stack。

新的堆疊的Stack details畫面會顯示Events標籤。創建可能需要幾分鐘。點選重新整理以檢查進度。

在 Trend Vision One 主控台中，點選完成。

組織和相關的成員帳戶在雲端帳戶中顯示，當 CloudFormation 模板部署成功完成後。刷新螢幕以更新表格。

重要

步驟

注意

注意

注意

重要

重要

重要