檢視次數:

透過連接您的 AWS 組織,快速將您的帳戶新增至 Cloud Accounts 應用程式。

Cloud Accounts 支援透過將功能部署到根帳戶或組織單位 (OU) 層級來新增由您的 AWS 組織管理的帳戶。將您的 AWS 組織新增到 Cloud Accounts 提供了一種快速方式,允許 TrendAI Vision One™ 存取您管理的雲端帳戶,以提供安全性和對您雲端資產的可見性。某些 Cloud Accounts 功能對 AWS 區域的支援有限。欲了解詳細資訊,請參閱 AWS 支援的區域和限制
相關資訊

AWS 組織的先決條件和部署詳情 上層主題

在將 AWS 組織與 TrendAI Vision One™ 連接之前,請檢查部署前的要求以確保連接成功。

在開始之前,請確保您擁有具有管理員權限的登入或使用者角色,包括建立和管理您希望連接的 AWS 組織的 AWS CloudFormation 堆疊集合的權限。詳細資訊請參閱AWS CloudFormation StackSets 和 AWS Organizations
在您開始之前,請先考量下列事項:
  • Cloud Accounts 應用程式目前僅支援透過部署 CloudFormation 堆疊範本來連接 AWS Organizations。
  • 您必須擁有具有管理員權限的登入或使用者角色,包括建立和管理您希望連接的 AWS 組織的 AWS CloudFormation 堆疊集合的權限。欲了解詳細資訊,請參閱 AWS CloudFormation StackSets 和 AWS Organizations
  • 將 AWS 組織新增後,該組織管理的帳戶將強制套用為整個組織配置的相同設定。作為組織一部分新增的個別帳戶無法修改設定。
    若要對 AWS 組織管理的個別帳戶套用不同的配置,您必須分別新增這些帳戶。可以在新增您的 AWS 組織之前新增這些帳戶,或者使用「OrganizationExcludedAccounts」參數將這些帳戶排除在堆疊部署之外。
  • 由於 AWS 的限制,StackSets 不會將資源部署到您的管理帳戶。若要新增您的管理帳戶,請參閱 使用 CloudFormation 連接 AWS 帳戶
    如需詳細資訊,請參閱為什麼在連接我的 AWS 組織後,我的管理帳戶不可見?
TrendAI Vision One™ 使用以下規則結構來填入作為 AWS 組織一部分新增的 AWS 帳戶名稱:
  1. AWS account alias:如果 AWS 帳號有 AWS 帳號別名,則該別名將用作 Cloud Accounts 應用程式中的帳號顯示名稱。帳號別名是指為 AWS 帳號指定的名稱,以取代使用 12 位數的帳號 ID。
  2. Organization AWS account name:如果帳號沒有別名,則使用 AWS 帳號名稱。TrendAI Vision One™ 會查詢組織譜系資料庫,以從 AWS Organizations 階層中檢索帳號名稱。
    注意
    注意
    AWS 帳戶別名與 AWS 帳戶名稱在兩個主要方面有所不同:
    • 別名是可選的,而帳戶名稱是必需的
    • 帳戶名稱用於 AWS Organizations 的組織結構中,而別名則用於唯一識別個別 AWS 帳戶,無論其所屬的組織。
  3. User-provided account name:如果帳號沒有帳號別名,且找不到組織帳號名稱,則TrendAI Vision One™會重試組織查找,並嘗試檢測後備格式{user-input}-{aws-account-id},其中創建帳號的用戶提供了一個包含 AWS 帳號 ID 的帳號名稱。

檢查 TrendAI Vision One™ 在作為 AWS 組織一部分連接的 AWS 帳戶名稱中的命名邏輯。

TrendAI Vision One™ 使用以下邏輯來填充 AWS 組織帳戶的名稱:
  1. AWS account alias:如果 AWS 帳號有 AWS 帳號別名,則該別名將用作 Cloud Accounts 應用程式中的帳號顯示名稱。帳號別名是指為 AWS 帳號指定的名稱,以取代使用 12 位數的帳號 ID。
  2. Organization AWS account name:如果帳號沒有別名,則使用 AWS 帳號名稱。TrendAI Vision One™ 會查詢組織系譜資料庫,以從 AWS Organizations 階層中檢索帳號名稱。
    注意
    注意
    AWS 帳戶別名與 AWS 帳戶名稱在兩個主要方面有所不同:
    • AWS 帳戶別名是可選的,而帳戶名稱是必需的。
    • AWS 帳戶名稱用於 AWS 組織中的組織結構,而別名則用於唯一識別個別 AWS 帳戶,無論其所屬的組織。
    如果您在將 AWS 帳戶連接到 TrendAI Vision One™ 後配置別名,顯示名稱將自動更新為使用該別名。 有關創建帳戶別名的詳細資訊,請參閱 AWS 文件中的 創建帳戶別名
  3. User-provided account name:如果帳號沒有別名,且找不到 AWS 帳號名稱,則 TrendAI Vision One™ 會重試組織查詢,並嘗試偵測後備格式 {user-input}-{aws-account-id},其中創建帳號的使用者提供了包含 AWS 帳號 ID 的帳號名稱。

連接 AWS 組織 上層主題

完成步驟以將 AWS 組織連接到 TrendAI Vision One™
注意
注意
截至2023年11月,這些步驟適用於AWS控制台。

步驟

  1. 登入TrendAI Vision One™主控台。
  2. 在另一個瀏覽器標籤中,登入您AWS組織帳戶。
  3. TrendAI Vision One™控制台中,前往Cloud SecurityCloud AccountsAWS
  4. 點選Add Account
    Add AWS Account 視窗出現。
  5. 指定部署類型。
    1. 對於Deployment Method,選擇CloudFormation
    2. 選取帳號類型:
      • AWS Organization
    3. 點選下一步
  6. 指定組織的一般資訊:
    1. 提供「帳號」「說明」以顯示在Cloud Accounts中。
      一旦加入 AWS 組織,所有在 AWS 中未指定別名的成員帳戶將在 Cloud Accounts 應用程式中收到自動生成的名稱。
    2. 選擇 AWS 區域以部署 CloudFormation 範本。
      注意
      注意
      預設地區是您TrendAI Vision One™地區。
      某些功能和權限在某些 AWS 區域的支援有限。欲了解詳細資訊,請參閱 AWS 支援的區域和限制
    3. 如果您有多個伺服器與工作負載保護管理器實例,請選擇要與已連接帳戶關聯的實例。
      注意
      注意
      • 如果您有一個 伺服器與工作負載保護 管理器實例,帳戶會自動與該實例關聯。
    4. 若要將自訂標籤新增至由 TrendAI Vision One™ 部署的資源,請選擇 「Resource tagging」 並指定鍵值對。
      要新增最多三個標籤,請按一下「Create a new tag」
      注意
      注意
      • 金鑰最多可以有 128 個字元,且不能以 aws 開頭。
      • 值最多可以包含 256 個字元。
    5. 點選下一步
  7. 配置您想授予訪問權限的Features and Permissions到您的雲端環境。
    重要
    重要
    • 無代理弱點與安全威脅偵測是預發布功能,並不屬於正式商業或一般發布的現有功能。使用此功能前,請查看測試版免責聲明
    • 如果您想使用Cloud Detections for Amazon Security Lake來監控您的組織,您必須在您的組織內配置一個帳戶以收集其他受管理帳戶的日誌。在連接您的組織帳戶之前,請先將您的Security Lake帳戶連接到TrendAI Vision One™
    • 「Cloud Response for AWS」 需要您為您的 AWS 帳戶啟用 「Cloud Detections for AWS CloudTrail」 監控,您可以通過以下方式進行:
      • 個別 AWS 帳戶:在 AWS 帳戶中啟用「Cloud Detections for AWS CloudTrail」
      • AWS 組織:啟用「Cloud Detections for AWS CloudTrail」並選擇「AWS Control Tower deployment」核取方塊,或啟用「Cloud Detections for Amazon Security Lake」並啟用 CloudTrail 日誌監控。
    • 截至 2023 年 11 月,AWS 私人和免費帳戶允許最多 10 次 Lambda 執行。Container Protection 部署需要至少 20 次並發 Lambda 執行。請在啟用此功能之前驗證您的 AWS 帳戶狀態。
    • 僅此處列出的功能和權限支援部署到組織管理的帳戶。如果您想在帳戶上啟用其他功能和權限,必須在連接組織帳戶之前,單獨連接該帳戶
    • Core Features and Cyber Risk Exposure Management:將您的 AWS 帳戶連接到 TrendAI Vision One™,以發現您的雲端資產,並快速識別雲端基礎設施中的風險,例如合規性和安全性最佳實踐違規。
    • Agentless Vulnerability & Threat Detection: 在您的雲端帳戶中部署無代理弱點與安全威脅偵測,以掃瞄受支援的雲端資源中的弱點和惡意程式,對您的應用程式零影響。
      點擊 Scanner Configuration 以選擇要掃瞄的資源類型,以及是否掃瞄弱點、惡意程式或兩者。
    • Container Protection for Amazon ECS:在您的 AWS 帳戶中部署 TrendAI Vision One™ Container Security 以保護您在 Elastic Container Service (ECS) 環境中的容器和容器映像。TrendAI Vision One™ Container Security 發現威脅和弱點,保護您的運行環境,並強制執行部署政策。
    • Cloud Response for AWS:允許TrendAI Vision One™權限在您的雲端帳戶中採取回應行動,例如撤銷可疑 IAM 使用者的存取權。其他回應行動利用與第三方工單系統的整合。
    • Real-Time Posture Monitoring:在您的 AWS 帳戶中部署實時姿態監控,以便在您的雲端環境中提供活動和事件的即時警報。
    • Cloud Detections for AWS VPC Flow Logs:部署以收集您的 Virtual Private Cloud (VPC) 流量日誌,讓 TrendAI Vision One™ 能夠深入了解您的 VPC 流量,並使用檢測模型識別和提供有關惡意 IP 流量、SSH 暴力破解攻擊、資料外洩等的警報。在啟用此功能前,請檢閱 AWS VPC 流量日誌的雲端檢測建議和要求
      選擇您要部署此功能的 AWS 區域。
      重要
      重要
      XDR for Cloud 僅支援監控 VPC Flow Logs 版本 5 或更新版本。欲了解詳細資訊,請參閱 AWS VPC 流量日誌的雲端檢測建議和要求
  8. 點選下一步
  9. 在 AWS 控制台中啟動 CloudFormation 模板。
    1. 要在啟動前檢查堆疊範本,請點擊「Download and Review Template」
    2. 點選Launch Stack
      AWS 管理控制台會在新標籤頁中開啟,並顯示 Quick Create Stack 畫面。
  10. 在 AWS 管理控制台中,完成 Quick Create Stack 畫面中的步驟。
    1. 如果您想使用預設名稱以外的名稱,請指定一個新的Stack name
    2. 「參數」區段中,指定下列參數。
      • OrganizationID:輸入組織帳戶的AWS Root IDOrganizational Unit (OU) ID
        若要新增多個組織單位,請輸入您想要新增的每個組織單位 (OU) ID。TrendAI Vision One™ 會將堆疊集合部署到每個組織單位及其相關的子帳戶。
      • OrganizationExcludedAccounts: 輸入您想要從堆疊中的監控功能中排除的組織內任何 AWS 帳戶的帳戶 ID。
        使用此參數欄位來排除您不想監控的帳戶,或是對於您想使用不同功能配置的帳戶。您可以將排除的帳戶單獨連接到雲端帳戶應用程式。將帳戶輸入為以逗號(,)分隔的列表,且不留空格。例如,123456789012,345678901234
        注意
        注意
        「OrganizationExcludedAccounts」 參數必須僅包含組織內的帳號 ID。添加不屬於組織管理的帳號 ID 可能會導致堆疊部署失敗。
      • 「IamPermissionsBoundaryArn」(選填):提供要套用至堆疊所建立的所有 IAM 角色的 IAM 權限邊界政策的 ARN。如果指定,則權限邊界將套用至以下功能所使用的 IAM 角色:
        • AWS CloudTrail(包括 Control Tower)的雲端偵測
        • Amazon Security Lake 的雲端偵測
        • File Security 儲存空間
        IamPermissionsBoundaryArn相關的 IAM 政策必須包含您啟用功能所需的最低必要的權限。如果邊界政策不包含必要的權限,則堆疊部署或功能操作可能會失敗。詳細資訊請參閱AWS 所需權限
      重要
      重要
      除非有指示,否則請勿更改「參數」部分的任何其他設定。CloudFormation會自動提供其餘參數的設定。更改參數可能會導致堆疊建立失敗。
    3. Capabilities 部分,選擇以下確認項目:
      • I acknowledge that AWS CloudFormation might create IAM resources with custom names.
      • I acknowledge that AWS CloudFormation might require the following capability: CAPABILITY_AUTO_EXPAND.
    4. 點選Create Stack
      新的堆疊的Stack details畫面會顯示Events標籤。創建可能需要幾分鐘。點選重新整理以檢查進度。
  11. TrendAI Vision One™ 主控台中,點選 完成
    組織和相關的成員帳戶在雲端帳戶中顯示,當 CloudFormation 模板部署成功完成後。刷新螢幕以更新表格。