AWSクラウドアカウントの追加

Deep SecurityにAWSアカウントを追加できます。これにより、すべてのAmazon EC2インスタンスをDeep Security Managerにインポートできます。EC2インスタンスは、[コンピュータ]→[<ご使用のAWSアカウント>]→[<ご使用のリージョン>]→[<ご使用のVPC>]→[<ご使用のサブネット>] の左側に表示されます。

ここで、その他のコンピュータと同様に管理できます。

Amazon EC2インスタンスが個別のコンピュータとして追加済みで、ご使用のAWSアカウントに含まれている場合は、アカウントのインポート後に、インスタンスは前述のツリー構造に移動します。

AWSアカウントをDeep Security Managerに追加するにはいくつかの方法があります。

Deep Security as a Serviceを使用している場合は、このトピックのDeep Security as a Service向けのバージョンを参照してください。

  • 方法: ManagerインスタンスロールとクロスアカウントロールDeep Security ManagerをホストしていないAWSアカウントを1つ以上追加する場合は、この方法を使用します。この方法では、Deep Security ManagerをホストするEC2インスタンスにManagerインスタンスロールを割り当てます。このロールはその他のAWSアカウントのクロスアカウントロールで参照されるため、すべてのAWSアカウントにアクセスできます。
    この方法は次の導入方法で使用できます。
    • Deep Security AMI from AWS Marketplace
    • Deep Security オンプレミス (AWS内でホスティング)
  • 方法: IAMユーザとクロスアカウントロール。複数のAWSアカウントを追加する必要があり、Deep Security ManagerがAWSの外部でホストされている場合に、この方法を使用します。この方法では、AWSアカウントのいずれかを「プライマリ」アカウントに指定し、このアカウントにその他のAWSアカウントに対するクロスアカウントロールを持つように設定したIAMユーザを作成します。
    この方法は次の導入方法で使用します。
    • Deep Security VM for Azure Marketplace
    • Deep Security オンプレミス (AWS以外でホスティング)
  • 方法: Managerインスタンスロール (1つのAWSアカウント)Deep Security ManagerがホストされているAWSアカウントを追加する場合は、この方法を使用します。この方法では、Deep Security ManagerをホストするEC2インスタンスにManagerインスタンスロールを割り当てます。Deep Security Managerはこのロールを使用して、AWSアカウントにアクセスします。
    この方法は次の導入方法で使用できます。
    • Deep Security AMI from AWS Marketplace
    • Deep Security オンプレミス (AWS内でホスティング)
  • 方法: AWSアクセスキー。この方法は、すべての導入タイプで使用できますが、次の状況でのみ推奨されます。
    • Deep Security ManagerがAWSの外部でホストされていて、追加するAWSアカウントが1つのみの場合
      または
    • 他の方法を試したが、うまくいかない場合

    上記に該当しない場合、他の方法のご使用をお勧めします。キーは定期的にアップデートする必要があり (セキュリティ上の理由のため)、管理オーバーヘッドが発生するため、Deep Security Managerでのアクセスキーの指定はお勧めしません。
    この方法では、Amazon EC2インスタンスがあるAWSアカウントにログインして、IAMユーザとアクセスキーを作成します。Deep Security Managerでこのアクセスキーを指定します。アクセスキーはIAMユーザと関連するAWSアカウントへのアクセスに使用されます。追加するAWSアカウントそれぞれについてこの手順を繰り返します。



    この方法はすべての導入方法で使用できますが、次の導入方法に特に適しています。

    • Deep Security AMI from AWS Marketplace
    • Deep Security オンプレミス
    • Deep Security Manager VM for Azure Marketplace

方法: Managerインスタンスロールとクロスアカウントロール

次の手順では、2つの異なるAWSアカウントを使用していることを想定しています。

  • AWS DSMアカウント (Deep Security Managerが存在する)
  • AWSアカウントA

Deep Securityを使用して、両方のアカウントでAmazon EC2インスタンスを保護します。

手順の概要は次のとおりです。詳細については後で説明します。

  • 手順1: AWS DSMアカウントへのログイン、IAMポリシーの作成、IAMポリシーを参照するManagerインスタンスロールの作成とDeep Security Manager EC2インスタンスへの関連付け。
  • 手順2: AWSアカウントAへのログイン、IAMポリシーの設定、Managerインスタンスロールを参照するクロスアカウントロールの作成。
  • 手順3: Deep Security ManagerでManagerインスタンスロールを使用していることを示し、AWS DSMアカウントとAWSアカウントAを追加

これらの手順を完了すると、Deep Security ManagerではManagerインスタンスロールを使用して、AWS DSMアカウントにアクセスし、そのAmazon EC2インスタンスを表示できます。また、Deep Security Managerインスタンスロールを参照するクロスアカウントロールを使用して、AWSアカウントAのリソースに (間接的に) アクセスできます。

手順1: AWS DSMアカウントにログインして、次のタスクを実行する

最初に、AWS DSMアカウント (Deep Security Managerが存在するアカウント) にログインし、IAMポリシーを設定します。

  1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  3. [Create Policy] をクリックします。
  4. [Create Your Own Policy] を選択します。
  5. ポリシーの名前と説明を入力し、次のJSONコードを [Policy Document] エリアにコピーします。
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "cloudconnector",
                "Action": [
                    "ec2:DescribeImages",
                    "ec2:DescribeInstances",
                    "ec2:DescribeRegions",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeTags",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSecurityGroups",
                    "iam:ListAccountAliases",
    		 "sts:AssumeRole"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }
        ]
    }
  6. [Review Policy] をクリックします。
  7. ポリシーの名前と説明を指定します。例: Deep_Security_Policy。
  8. [Create Policy] をクリックします。これでポリシーを使用する準備ができました。

次に、Deep Security Managerを実行しているEC2インスタンス用のEC2インスタンスロールを作成します。

  1. [IAM] サービスに移動します。
  2. [Roles] をクリックします。
  3. [Create role] をクリックします。
  4. [AWS service] ボックスが選択されていることを確認します。
  5. サービスリストで [EC2] をクリックします。オプションがさらに表示されます。
  6. [EC2 Allows EC2 instances to call AWS services on your behalf] をクリックします。[Next: Permissions] をクリックします。
  7. 作成したIAMポリシーの横にあるチェックボックスをオンにします。[Next: Review] をクリックします。
  8. [Role name][Role description] を入力します。
    ロール名の例: Deep_Security_Manager_Instance_Role
  9. [Create role] をクリックします。
  10. リスト内のロールを選択して、詳細を表示します。
  11. 画面の上部にある [Role ARN] フィールドを探します。フィールド値は以下のように表示されます。
    arn:aws:iam::1234567890:role/Deep_Security_Manager_Instance_Role
  12. ARNのロールアカウントIDをメモします。IDは数値 (1234567890) です。後で必要になります。

次の手順でManagerインスタンスロールをEC2インスタンスに関連付けます。

  1. [EC2] サービスに移動します。
  2. 左側にある [Instances] をクリックし、Deep Security ManagerをホストするEC2インスタンスの横にあるチェックボックスをオンにします。
  3. [Actions]→[Instance Settings]→[Attach/Replace IAM Role] の順にクリックします。
  4. [IAM role] ドロップダウンリストから、Managerインスタンスロール (Deep_Security_Manager_Instance_Role) を選択します。
  5. [Apply] をクリックします。

これで、正しいIAMポリシーでManagerインスタンスロールが作成され、Deep Security ManagerのEC2インスタンスに関連付けられました。

手順2: AWSアカウントAにログインして、次のタスクを実行する

最初にAWSからログアウトし、AWSアカウントAを使用して再度ログインします。これはAmazon EC2インスタンスの一部またはすべてが存在するアカウントです。

AWSアカウントAにログインしたら、AWSアカウントA用のIAMポリシーを設定します。このポリシーは、AWS DSMアカウントのものと同じですが、sts:AssumeRole権限は必要ありません。

  1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  3. [Create policy] をクリックします。
  4. [JSON] タブを選択します。
  5. テキストボックスに次のJSONコードをコピーします。
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "cloudconnector",
                "Action": [
                    "ec2:DescribeImages",
                    "ec2:DescribeInstances",
                    "ec2:DescribeRegions",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeTags",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSecurityGroups",
                    "iam:ListAccountAliases"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }
        ]
    }
  6. [Review policy] をクリックします。
  7. ポリシーの名前と説明を指定します。名前の例: Deep_Security_Policy_2。
  8. [Create policy] をクリックします。これでポリシーを使用する準備ができました。

次に、Managerインスタンスロールを参照するクロスアカウントロールを作成します。

  1. [IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Roles] をクリックします。
  3. メイン画面で、[Create role] をクリックします。
  4. [Another AWS account] ボックスをクリックします。
  5. [Account ID] フィールドに、ManagerインスタンスロールのアカウントIDを入力します。
    Deep Security AMI from AWS Marketplace、またはAWS内でDeep Security AMI from AWS Marketplace Managerのオンプレミスバージョンを使用している場合は、Managerインスタンスロールの作成時にメモしたアカウントIDを使用します。この例では、次の番号です。1234567890
  6. [Options] の横にある [Require external ID] を有効にします。[External ID] フィールドに、長いランダムな秘密の文字列を入力します。
  7. 外部IDをメモします。この情報は、後で必要になります。
  8. [Next: Permissions] をクリックします。
  9. 先ほど作成したIAMポリシー (上記の例ではDeep_Security_Policy_2) を選択し、[Next: Review] をクリックします。
  10. [Review] ページで、役割名と説明を入力します。役割名の例:Deep_Security_Role_2。
  11. メインロール画面で、作成したロール (Deep_Security_Role_2) を検索します。
  12. 検索した役割をクリックします。
  13. 上部にある [Role ARN] フィールドを探して、値をメモします。後で必要になります。次のような値です:
    arn:aws:iam::1234567890:role/Deep_Security_Role_2

これで、正しいポリシーが設定された、Managerインスタンスロールを参照するクロスアカウントロールがAWSアカウントAに作成されました。

手順3: Deep Securityにログインして、次のタスクを実行する

最初に、Managerインスタンスロールを使用することを示します。

  1. Deep Security Managerで、上部の [管理] をクリックします。
  2. 左側にある [システム設定] をクリックします。
  3. メイン画面の [詳細] タブをクリックします。
  4. 下にスクロールして、[Manager AWS ID] セクションを探します。
  5. [Managerインスタンスロールを使用] が選択されていることを確認します。
  6. Managerインスタンスロールを使用 が表示されない場合は、役割がEC2インスタンスに接続されていることを確認してください。Deep SecurityManagerがインストールされ、次にDeep Security Managerの再起動.再起動時に、Deep SecurityマネージャのEC2インスタンスの役割が検出され、 Managerインスタンスロールを使用 オプションが表示されます。
  7. [保存] をクリックします。

次に、AWS DSMアカウントを追加します。

  1. Deep Security Managerで、上部の [コンピュータ] をクリックします。
  2. メイン画面で、[追加]→[AWSアカウントの追加] の順にクリックします。
  3. [詳細] を選択し、[次へ] をクリックします。
  4. [Managerインスタンスロールを使用] を選択します。
  5. [次へ] をクリックします。

Deep Security Managerでは、Amazon EC2インスタンスに割り当てられたManagerインスタンスロールを使用して、AWS DSMアカウントのEC2をDeep Security Managerに追加します。

最後に、クロスアカウントロールを使用してAWSアカウントAを追加します。

  1. 上部の [コンピュータ] をクリックします。
  2. [追加]→[AWSアカウントの追加] の順にクリックします。
  3. [詳細] を選択し、[次へ] をクリックします。
  4. [クロスアカウントロールを使用] を選択します。
  5. AWSアカウントAの [クロスアカウントロールのARN][外部ID] を入力します。クロスアカウントロール作成時にメモしたものを使用します。
  6. [次へ] をクリックします。
    AWSアカウントAのAmazon EC2インスタンスがロードされます。

これで、AWS DSMアカウントとAWSアカウントAがDeep Security Managerに追加されました。

方法: IAMユーザとクロスアカウントロール

次の手順では、Deep Security ManagerがAWSの外部にあり、2つの異なるAWSアカウントを使用していることを想定しています。

  • AWSアカウントX (プライマリ)
  • AWSアカウントY

Deep Securityを使用して、この2つのアカウントのAmazon EC2インスタンスを保護します。

手順の概要は次のとおりです。詳細については後で説明します。

  • 手順1: AWSアカウントX (プライマリアカウント) へのログイン、IAMポリシーの設定、アクセスキーを使用したIAMユーザの作成。
  • 手順2: AWSアカウントYへのログイン、IAMポリシーの設定、AWSアカウントXを参照するクロスアカウントロールの作成。
  • 手順3: Deep Security Managerで、AWSアカウントXのアクセスキーIDと秘密アクセスキーを追加。
  • 手順4: Deep Security Managerで、AWSアカウントXとAWSアカウントYを追加。

これらの手順を完了すると、Deep Security ManagerではAWSアカウントXのアクセスキーIDと秘密アクセスキーを使用して、AWSアカウントXにログインし、Amazon EC2インスタンスを表示できます。また、AWSアカウントXを参照するクロスアカウントロールを使用して、AWSアカウントYのリソースに (間接的に) アクセスできます。

手順1: AWSアカウントXにログインして、次のタスクを実行する

最初に、AWSアカウントXにログインし、IAMポリシーを設定します。

  1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  3. [Create Policy] をクリックします。
  4. [Create Your Own Policy] を選択します。
  5. ポリシーの名前と説明を入力し、次のJSONコードを [Policy Document] エリアにコピーします。
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "cloudconnector",
                "Action": [
                    "ec2:DescribeImages",
                    "ec2:DescribeInstances",
                    "ec2:DescribeRegions",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeTags",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSecurityGroups",
                    "iam:ListAccountAliases",
    		 "sts:AssumeRole"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }
        ]
    }
  6. [Review Policy] をクリックします。
  7. ポリシーの名前と説明を指定します。例: Deep_Security_Policy。
  8. [Create Policy] をクリックします。これでポリシーを使用する準備ができました。

次に、アクセスキーIDと秘密アクセスキーを使用してIAMユーザを作成します。

  1. [IAM] サービスに移動します。
  2. [Users] をクリックします。
  3. [Add user] をクリックします。
  4. ユーザ名を入力します。例: Deep_Security_IAM_User。
  5. [Access type] では [Programmatic access] を選択します。
  6. [Next: Permissions] をクリックします。
  7. [Attach existing policies directly] ボックスをクリックします。
  8. 作成したIAMポリシーを探し、その横にあるチェックボックスをオンにします。
  9. [Next: Review] をクリックします。
  10. [Create user] をクリックします。アクセスキーIDと秘密アクセスキーがテーブルに表示されます。
  11. アクセスキーIDと秘密アクセスキーを安全な場所にコピーします。後で必要になります。

次に、AWSアカウントXのアカウントIDを確認します。

  1. AWSの右上で [Support]→[Support Center] の順にクリックします。
  2. 右上に表示される [Account Number] (この例では1234567890) をメモします。後でクロスアカウントロールの作成に必要になります。

手順2: AWSアカウントYにログインして、次のタスクを実行する

最初に、AWSアカウントYにログインし、IAMポリシーを設定します。このポリシーは、AWSアカウントXのものと同じですが、sts:AssumeRole権限は必要ありません。

  1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  3. [Create policy] をクリックします。
  4. [JSON] タブを選択します。
  5. テキストボックスに次のJSONコードをコピーします。
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "cloudconnector",
                "Action": [
                    "ec2:DescribeImages",
                    "ec2:DescribeInstances",
                    "ec2:DescribeRegions",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeTags",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSecurityGroups",
                    "iam:ListAccountAliases"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }
        ]
    }
  6. [Review policy] をクリックします。
  7. ポリシーの名前と説明を指定します。名前の例: Deep_Security_Policy_2。
  8. [Create policy] をクリックします。これでポリシーを使用する準備ができました。

次に、AWSアカウントXを参照するクロスアカウントロールを作成します。

  1. [IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Roles] をクリックします。
  3. メイン画面で、[Create role] をクリックします。
  4. [Another AWS account] ボックスをクリックします。
  5. [Account ID] フィールドに、AWSアカウントXのアカウントIDを入力します (この例では1234567890)。
  6. [Options] の横にある [Require external ID] を有効にします。[External ID] フィールドに、長いランダムな秘密の文字列を入力します。
  7. 外部IDをメモします。この情報は、後でDeep Security Managerにこのアカウントを追加するときに必要になります。
  8. [Next: Permissions] をクリックします。
  9. 作成済みのIAMポリシーを選択し、[Next: Review] をクリックします。
  10. [Review] ページで、役割名と説明を入力します。役割名の例: Deep_Security_Role
  11. メインの役割ページで、作成した役割 (Deep_Security_Role) を検索します。
  12. 検索した役割をクリックします。
  13. 上部にある [Role ARN] フィールドを探して、値をメモします。この値は、後でDeep Security Managerにこのアカウントを追加するときに必要になります。次のような値です:

    arn:aws:iam::544739704774:role/Deep_Security_Role

手順3: Deep Security Managerにログインして、アクセスキーを追加する

  1. 上部の [管理] をクリックします。
  2. 左側にある [システム設定] をクリックします。
  3. メイン画面の [詳細] タブをクリックします。
  4. 下にスクロールして、[Manager AWS ID] の見出しを探します。
  5. [アクセスキー - Managerの識別に使用されるAWSユーザのアクセスキー] の横に、作成済みのIAMユーザのアクセスキーを入力します。
  6. [秘密鍵 - Managerの識別に使用されるAWSユーザの秘密アクセスキー] の横に、作成済みのIAMユーザの秘密鍵を入力します。
  7. [保存] をクリックします。

手順4: Deep Security Managerで、AWSアカウントXとAWSアカウントYを追加する

最初に、アクセスキーを使用してアカウントXを追加します。

  1. 上部の [コンピュータ] をクリックします。
  2. [追加]→[AWSアカウントの追加] の順にクリックします。
  3. [AWSアクセスキーを使用] を選択します。
  4. 作成済みのAWSアカウントXのIAMユーザの [アクセスキーID][秘密アクセスキー] を入力します。
    AWSアカウントXのAmazon EC2インスタンスがロードされます。

次に、クロスアカウントロールを使用してAWSアカウントYを追加します。

  1. 上部の [コンピュータ] をクリックします。
  2. [追加]→[AWSアカウントの追加] の順にクリックします。
  3. [クロスアカウントロールを使用] を選択します。
  4. AWSアカウントYの [クロスアカウントロールのARN][外部ID] を入力します。
  5. [次へ] をクリックします。
    AWSアカウントYのAmazon EC2インスタンスがロードされます。

これで、AWSアカウントXとAWSアカウントYがDeep Security Managerに追加されました。

方法: Managerインスタンスロール (1つのAWSアカウント)

最初に、Deep Security Managerが含まれているアカウントを使用してAWSにログインし、IAMポリシーを設定します。

  1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  3. [Create policy] をクリックします。
  4. [JSON] タブを選択します。
  5. テキストボックスに次のJSONコードをコピーします。
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "cloudconnector",
                "Action": [
                    "ec2:DescribeImages",
                    "ec2:DescribeInstances",
                    "ec2:DescribeRegions",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeTags",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSecurityGroups",
                    "iam:ListAccountAliases"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }
        ]
    }
  6. [Review policy] をクリックします。
  7. ポリシーの名前と説明を指定します。名前の例: Deep_Security_Policy_2。
  8. [Create policy] をクリックします。これでポリシーを使用する準備ができました。

次に、IAMポリシーを含むIAMロールを作成します。これは「Managerインスタンスロール」と呼ばれます。

次に、Managerインスタンスロールを、Deep Security ManagerがホストされているEC2インスタンスに関連付けます。

  1. Deep Security Managerが含まれているアカウントを使用して、AWSにログインします。
  2. [EC2] サービスに移動します。
  3. 左側にある [Instances] をクリックし、Deep Security ManagerをホストするEC2インスタンスの横にあるチェックボックスをオンにします。
  4. [Actions]→[Instance Settings]→[Attach/Replace IAM Role] の順にクリックします。
  5. [IAM role] ドロップダウンリストから、Managerインスタンスロールを選択します。
  6. [Apply] をクリックします。

最後に、AWSアカウントをDeep Security Managerに追加します。

  1. Deep Security Managerで、上部の [コンピュータ] をクリックします。
  2. [追加]→[AWSアカウントの追加] の順にクリックします。
  3. [Managerインスタンスロールを使用] を選択します。
  4. Managerインスタンスロールを使用 が表示されない場合は、マネージャインスタンスの役割がEC2インスタンスに関連付けられていることを確認してください。Deep SecurityManagerがインストールされ、次にDeep Security Managerの再起動.再起動時に、Deep SecurityマネージャのEC2インスタンスの役割が検出され、 Managerインスタンスロールを使用 オプションが表示されます。
  5. [次へ] をクリックします。

AWSアカウントのAmazon EC2インスタンスがロードされます。

方法: AWSアクセスキー

最初に、保護対象のAmazon EC2インスタンスが含まれているアカウントを使用して、AWSにログインします。

次に、IAMポリシーを設定します。

  1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  3. [Create policy] をクリックします。
  4. [JSON] タブを選択します。
  5. テキストボックスに次のJSONコードをコピーします。
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "cloudconnector",
                "Action": [
                    "ec2:DescribeImages",
                    "ec2:DescribeInstances",
                    "ec2:DescribeRegions",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeTags",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSecurityGroups",
                    "iam:ListAccountAliases"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }
        ]
    }
  6. [Review policy] をクリックします。
  7. ポリシーの名前と説明を指定します。名前の例: Deep_Security_Policy_2。
  8. [Create policy] をクリックします。これでポリシーを使用する準備ができました。

次に、IAMユーザアカウントを作成します。

  1. [IAM] サービスに移動します。
  2. [Users] をクリックします。
  3. [Add user] をクリックします。
  4. ユーザ名を入力します。例: Deep_Security_IAM_User。
  5. [Access type] では [Programmatic access] を選択します。
  6. [Next: Permissions] をクリックします。
  7. [Attach existing policies directly] ボックスをクリックします。
  8. 作成したIAMポリシーを探し、その横にあるチェックボックスをオンにします。
  9. [Next: Review] をクリックします。
  10. [Create user] をクリックします。アクセスキーIDと秘密アクセスキーがテーブルに表示されます。
  11. アクセスキーIDと秘密アクセスキーを安全な場所にコピーします。後で必要になります。

最後に、AWSアカウントをDeep Securityに追加します。

  1. Deep Security Managerで、上部の [コンピュータ] をクリックします。
  2. メイン画面で、[追加]→[AWSアカウントの追加] の順にクリックします。
  3. [詳細] を選択し、[次へ] をクリックします。
  4. [AWSアクセスキーを使用] を選択します。
  5. IAMユーザ作成時に生成した [アクセスキーID][秘密アクセスキー] を指定します。
  6. [次へ] をクリックします。

AWSアカウントのAmazon EC2インスタンスがロードされます。

クラウドアカウントを編集する

Deep Security Managerで、クラウドアカウントの設定を編集できます。

  1. Deep Security Managerにログインします。
  2. 上部の [コンピュータ] をクリックします。
  3. 左側にあるクラウドアカウント名を右クリックし、[プロパティ] を選択します。
  4. 設定を編集して、[OK] をクリックします。

Managerからクラウドアカウントを削除する

クラウドアカウントをDeep Security Managerから削除すると、そのアカウントはDeep Securityのデータベースとそのベースとなるコンピュータから削除されます。クラウドプロバイダのアカウントに影響はありません。また、インスタンスにインストールされていたDeep Security Agentはアンインストールされず、実行と保護が継続します (ただしセキュリティアップデートは受信しなくなります)。クラウドアカウントからコンピュータを再インポートすると、Deep Security Agentによって、次回の予約時に最新のセキュリティアップデートがダウンロードされます。

  1. Deep Security Managerで、上部の [コンピュータ] をクリックします。
  2. ナビゲーションパネルでクラウドアカウントを右クリックし、[クラウドアカウントの削除...] を選択します。
  3. アカウントを削除することを確認します。
    アカウントがDeep Security Managerから削除されます。

AWSアカウントを同期する

AWSアカウントを同期(同期)すると、Deep Security ManagerはAWS APIに接続して、最新のAWS EC2インスタンスとWorkSpaceインスタンスを取得して表示します。

強制的に同期を強制するには

  1. Deep Security Managerで、[コンピュータ] をクリックします。
  2. 左側で、AWSアカウントを右クリックし、[ 同期する]を選択します。[]をクリックします。

10分ごとに発生するバックグラウンド同期もあり、この間隔は設定できません。同期を強制すると、バックグラウンドの同期は影響を受けず、元のスケジュールに従って引き続き実行されます。