檢視次數:
重要
重要
Trend Vision One 中的 AWS 帳戶現在由雲端帳戶應用程式管理。要新增 AWS 帳戶,請參閱 使用 CloudFormation 新增 AWS 帳戶
您仍然可以使用 API 將新帳戶添加到 Server & Workload Security保護。但是,趨勢科技 建議使用雲端帳戶應用程式,該應用程式提供更先進的雲端安全性和 XDR 功能。本主題僅供參考。
主題:

什麼是外部 ID? 上層主題

隨著跨帳號角色 ARN,外部 ID 用於從一個 AWS 角色授予訪問權限到另一個角色。外部 ID 由想要擔任您帳號角色的第三方服務提供。如果您信任該服務代表您行事,您可以將該外部 ID 添加到您的跨帳號角色中。在這種情況下,Server & Workload Security保護 是提供外部 ID 給您的第三方服務,以便代表您的 AWS 帳號行事。Server & Workload Security保護 使用此訪問權限來同步您 AWS 帳號中的信息,並保持您資源的最新記錄。詳情請參閱此 AWS 文件:授予訪問權限給您的 AWS 資源時如何使用外部 ID
註釋:
  • 外部 ID 僅在使用跨帳號角色添加 AWS 帳戶時使用。
  • 相同的外部 ID 用於所有使用跨帳戶角色新增的 AWS 帳戶。

配置外部 ID 上層主題

配置外部 ID 是新增跨帳號角色的更大過程中的一步。

更新外部 ID 上層主題

如果您之前使用跨帳號角色新增 AWS 帳號,您可能已指定使用者定義的外部 ID。為了更符合 AWS 的最佳實踐,趨勢科技建議切換至 Server & Workload Security保護 定義的外部 ID。
注意
注意
先前使用自定義外部 ID 添加的 AWS 帳戶將繼續正常運作。

確定您使用的是使用者或管理者定義的外部 ID 上層主題

如果您不確定目前使用的是使用者定義還是管理者定義的外部 ID,請按照以下步驟查找。

步驟

  1. 登入Server & Workload Security保護
  2. 點選 Computers
  3. 右鍵點選使用跨帳號角色新增的 AWS 帳號,然後選擇 Properties
  4. 如果外部 ID 旁邊出現 更新 連結,表示目前正在使用使用者定義的外部 ID,應該進行更新。如果沒有出現 更新 連結,則表示目前正在使用 Server & Workload Security保護 定義的外部 ID,無需採取任何行動。
  5. 對於每個使用跨帳號角色新增到Server & Workload Security保護的帳號,重複此程序。

接下來需執行的動作

通過Server & Workload Security保護控制台更新外部 ID 上層主題

步驟

  1. 如果您尚未這樣做,請登入Server & Workload Security保護,右鍵點選您想要更新的 AWS 帳戶,然後選擇Properties
  2. 點選出現在外部 ID 旁邊的 更新 連結。更新 連結會消失。
  3. 請記下外部 ID。您將在下一步中需要它來配置跨帳號角色。
  4. 登入您剛剛更新外部 ID 的 AWS 帳戶。通過將舊的外部 ID 替換為新的外部 ID 來更新跨帳號角色的 IAM 政策。
  5. 回到屬性視窗,點選 Apply 以套用變更。您帳戶的使用者定義外部 ID 現已更新為 Server & Workload Security保護 定義的 ID。
  6. 對於每個使用跨帳號角色新增到Server & Workload Security保護的帳號,重複此程序。

接下來需執行的動作

通過 Server & Workload Security保護 API 更新外部 ID 上層主題

步驟

  1. 如果您還沒有新的管理者定義的外部 ID,請呼叫 /api/awsconnectorsettings 端點來檢索它(ExternalId 參數)。
  2. 登入配置跨帳號角色的 AWS 帳戶。通過將舊的外部 ID 替換為新的外部 ID 來更新跨帳號角色的 IAM 政策。對於每個使用跨帳號角色添加到 Server & Workload Security保護 的帳戶,重複此步驟。
  3. 使用 /api/awsconnectors 端點,對您正在更新的帳戶執行 Update action,並將其 CrossAccountRoleARN 參數設置為當前的角色 ARN。在請求對象中不要提供外部 ID。您帳戶的使用者定義外部 ID 現已更新為 Server & Workload Security保護 定義的外部 ID。

接下來需執行的動作

檢索外部 ID 上層主題

有幾種方法可以檢索用於跨帳戶的外部 ID。

通過Server & Workload Security保護 API 上層主題

  • 請呼叫 /api/awsconnectorsettings 端點來檢索它(ExternalId 參數)。

關閉擷取外部 ID 上層主題

您可能想要關閉在Server & Workload Security保護控制台中查看和檢索外部ID的功能,以防止未經授權的訪問。您可以檢索一次ID,將其存儲在像您的秘密管理器這樣的安全地方,然後關閉其他人的檢索功能。
注意
注意
檢索可以隨時再次已啟動。
要關閉檢索:

步驟

  1. 登入Server & Workload Security保護
  2. 點選頂部的Administration
  3. 在主窗格中,點選安全標籤。
  4. 取消選取Enable retrieval and viewing of AWS external ID
  5. 點選 儲存

接下來需執行的動作

秘訣
秘訣
您也可以使用角色來防止訪問外部 ID。詳情請參閱使用者角色(Foundation Services 版本)