將 Server & Workload Security保護 與 AWS Control Tower 整合,以確保通過 Control Tower Account Factory 添加的每個帳戶都能自動在 Server & Workload Security保護 中配置,從而提供對每個帳戶中部署的 EC2 實例的安全狀況的集中可見性,並為政策和計費自動化奠定基礎。
防護總覽 
Lifecycle Hook 解決方案提供了一個 CloudFormation 範本,當在 Control Tower 主帳戶中啟動時,會部署 AWS 基礎設施以確保
Server & Workload Security保護 自動監控每個 Account Factory AWS 帳戶。該解決方案包含兩個 Lambda 函數;一個用於管理我們的角色和訪問 Server & Workload Security保護,另一個用於管理第一個 Lambda 的生命週期。AWS Secrets Manager 被用來在主帳戶中存儲 Server & Workload Security保護 的 API 金鑰,並配置了一個 CloudWatch Events 規則,以在成功部署 Control Tower 帳戶時觸發自定義 Lambda。
一旦Server & Workload Security保護與AWS Control Tower整合後,將以以下方式實施:
步驟
- 在堆疊啟動期間,生命週期 Lambda 會針對每個現有的 Control Tower 帳戶執行,包括 Control Tower 主帳戶、稽核帳戶和日誌帳戶。
- 啟動後,CloudWatch 事件規則會在每次成功的 Control Tower CreateManagedAccount 事件中觸發生命週期 Lambda。
- 生命週期 Lambda 函數從 AWS Secrets Manager 檢索 Server & Workload Security保護 API 金鑰,然後從 Server & Workload Security保護 API 獲取您組織的外部 ID。
- Lambda 函數在目標管理帳戶中假設 ControlTowerExecution 角色,以便創建必要的跨帳號角色和相關策略。
- 已呼叫 Server & Workload Security保護 API 將此受管理帳戶新增至您的租戶。
接下來需執行的動作
與 AWS Control Tower 整合
步驟
- 在 Server & Workload Security保護 主控台中,前往 並點選 New。選擇金鑰的名稱和 Full Access 角色。請務必保存金鑰,因為之後無法檢索。此金鑰將用於從 AWS Control Tower Master 驗證到主控台 API 的自動化。欲了解更多資訊,請參閱 建立 API 金鑰。
- 登入 AWS Control Tower 主帳戶。導航至 CloudFormation 服務,選擇部署 AWS Control Tower 的區域,然後啟動生命週期範本。
- 在生命週期範本中,輸入您在步驟 1 中生成的 API 金鑰。將您控制台的 FQDN 保持為預設條目。
- 勾選方框以確認 AWS CloudFormation 可能會創建 IAM 資源。選擇 Create Stack,整合將開始將您的 AWS 帳戶添加到 Server & Workload Security保護。
- 一旦所有您的帳戶都已匯入,請自動化代理安裝並啟動保護。
接下來需執行的動作
升級 AWS Control Tower 整合
隨著Server & Workload Security保護新增功能,可能需要更新應用程式的跨帳號角色的權限。要更新由生命週期掛鉤部署的角色,請使用最新的模板更新Server & Workload Security保護堆疊,該模板可以在其原始 URL 找到。除非趨勢科技支援服務指示,否則參數值不應從其原始值進行修改。更新 CloudFormation 堆疊將更新所有現有帳戶使用的角色以及為未來註冊創建的角色。
移除 AWS Control Tower 整合
要移除生命週期掛鉤,請識別並刪除 CloudFormation 堆疊。已添加的受管帳戶的保護將保持不變。從 Trend Vision One 控制台移除 AWS 帳戶現在由雲端帳戶應用程式處理。有關從雲端帳戶中移除 AWS 帳戶的詳細資訊,請參閱 AWS 帳戶。