添加 AWS 云帐户

将 AWS 帐户添加到趋势科技服务器深度安全防护系统,以便使用趋势科技服务器深度安全防护系统保护您的 AWS 资源。添加帐户后,与您的帐户关联的所有 AWS 实例都会出现在趋势科技服务器深度安全防护系统管理中心的“计算机”页面上,并按区域、VPC 和子网进行组织。在这里,您可以像管理任何其他计算机一样管理它们。

有几种方法可用于将 AWS 帐户连接到趋势科技服务器深度安全防护系统管理中心:

  • 如果正在使用适用于 AWS Marketplace 的趋势科技服务器深度安全防护系统 AMI,请参阅适用于 AWS Marketplace 的趋势科技服务器深度安全防护系统 AMI 入门
  • 如果正在使用趋势科技服务器深度安全防护系统即服务,您可以使用以下方法:
    • 使用快速设置选项添加 AWS 帐户。这是设置访问权限的最简单方法。此选项使用 CloudFormation 模板,该模板将引导您完成创建跨帐户角色的步骤,此角色可向趋势科技服务器深度安全防护系统管理中心提供 AWS 帐户的访问权限。
    • 使用跨帐户角色添加 AWS 帐户。使用此方法,您可以配置 IAM 策略,手动设置具有趋势科技服务器深度安全防护系统的相应权限的跨帐户角色,然后使用该角色将趋势科技服务器深度安全防护系统管理中心连接到 AWS 帐户。
    • 使用管理中心实例角色添加 AWS 帐户。使用此方法时,请创建一个 IAM 策略,将该策略附加到一个 IAM 角色,然后将您的 AWS 帐户添加到趋势科技服务器深度安全防护系统。
    • 使用 AWS 访问密钥添加 AWS 帐户。跨帐户角色是用于将 AWS 帐户连接到管理中心的首选方法,但是,如果无法使用该方法,您可以配置 IAM 策略,然后使用 AWS 访问密钥设置连接。
  • 如果正在使用本地安装的趋势科技服务器深度安全防护系统管理中心,您可以使用以下方法:
    • 使用跨帐户角色添加 AWS 帐户。使用此方法,您可以配置 IAM 策略,手动设置具有趋势科技服务器深度安全防护系统的相应权限的跨帐户角色,然后使用该角色将趋势科技服务器深度安全防护系统管理中心连接到 AWS 帐户。
    • 使用 AWS 访问密钥添加 AWS 帐户。跨帐户角色是用于将 AWS 帐户连接到管理中心的首选方法,但是,如果无法使用该方法,您可以配置 IAM 策略,然后使用 AWS 访问密钥设置连接。

如果之前添加了 Amazon 帐户中的个别 AWS 实例,则使用上述任一方法后,这些实例会在树结构中移动,出现在帐户下。

使用快速设置选项添加 AWS 帐户

仅适用于趋势科技服务器深度安全防护系统即服务

  1. 趋势科技服务器深度安全防护系统管理中心中,转至计算机页面,然后单击添加 > 添加 AWS 帐户,以打开“添加 AWS 云帐户”向导。
  2. 在“设置类型”页面上,选择快速
  3. 下一页介绍设置过程中将出现的情况并提供了一个 URL,如果不具有 AWS 的访问权限,您可以将该 URL 发送给 AWS 管理员。该 URL 的有效期为一小时。单击下一步
  4. 如果您还没有登录 AWS 帐户,您会收到登录提示。
  5. 单击选择模板页面的下一步以接受缺省。
  6. 如果您的组织使用标记,您可以将其添加到选项页面。
  7. 单击下一步
  8. 查看页面,选择我承认此模板可能会导致 AWS CloudFormation 创建 IAM 资源旁边的复选框。
  9. 单击创建

当 AWS 完成设置跨帐户角色后,趋势科技服务器深度安全防护系统管理中心向导将显示成功消息。您可以在显示成功消息之前关闭窗口。设置好跨帐户角色后,系统会立即添加帐户。有关如何完成此操作的更多信息,请参阅在添加 AWS 帐户时,云架构模板执行哪些操作?

如果您的帐户在 10 分钟内未显示在“计算机”页面上,或者如果您收到指明无法添加帐户的错误消息,请参阅将 AWS 帐户添加到趋势科技服务器深度安全防护系统时出现问题以获取故障排除提示。

配置 IAM 策略

除非使用快速设置选项,否则您需要为趋势科技服务器深度安全防护系统管理中心创建专用的 AWS 策略。

  1. 登录到 Amazon Web 服务控制台,然后转至身份和访问管理 (IAM)
  2. 在左侧导航窗格中,单击策略

    如果这是首次访问该页面,则您需要单击入门

  3. 单击创建策略
  4. 选择创建自己的策略
  5. 为该策略输入名称和说明,然后将以下 JSON 代码复制到策略文档区域:
    {
       "Version":"2012-10-17",
       "Statement":[  
          {  
             "Sid":"cloudconnector",	
             "Effect":"Allow",
             "Action":[ 
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeRegions",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeVpcs",
                "iam:ListAccountAliases",
                "sts:AssumeRole"
             ],
             "Resource":[  
                "*"
             ]
          } 
       ]
    }	

    仅当使用跨帐户角色访问权限时才需要 "sts:AssumeRole" 权限。

  6. 单击创建策略。该策略现已准备就绪并可供使用。

使用跨帐户角色添加 AWS 帐户

首先,配置 IAM 策略

接着,创建跨帐户角色:

  1. 登录 Amazon Web 服务控制台。
  2. 转至身份和访问管理 (IAM)
  3. 在左侧导航窗格中,单击角色
  4. 在右侧窗格中,单击创建新角色
  5. 输入角色名称,然后单击下一步
  6. 选择角色类型页面上,选择用于跨帐户访问的角色
  7. 单击允许来自第 3 方 AWS 帐户的 IAM 用户访问此帐户旁边的选中按钮。
  8. 在下一页中,输入以下信息,然后单击下一步
    • 帐户 ID:如果趋势科技服务器深度安全防护系统管理中心安装在 AWS 上,请输入管理中心所位于的帐户的 AWS 帐户 ID。对于趋势科技服务器深度安全防护系统即服务,帐户 ID 为 147995105371。如果趋势科技服务器深度安全防护系统管理中心未安装在 AWS 上,请使用趋势科技服务器深度安全防护系统管理中心用于访问 AWS 资源的帐户的 AWS 帐户 ID。
    • 外部 ID:输入较长的、随机生成的密钥字符串。将 AWS 帐户添加到趋势科技服务器深度安全防护系统管理中心时,需要外部 ID。
  9. 附加策略页面上,选择为该角色创建的策略,然后单击下一步
  10. 查看页面上,记下角色 ARN,因为在将 AWS 帐户添加到趋势科技服务器深度安全防护系统时需要此信息。

如果使用的是趋势科技服务器深度安全防护系统的本地安装,您可能需要配置管理中心身份,此身份指定了允许承担跨帐户角色权限的管理中心凭证。要配置管理中心身份,请转至管理 > 系统设置 > 高级,然后滚动到管理中心 AWS 身份部分。您可以在其中选择以下两项设置之一:

  • 使用管理中心实例角色:此选项是用于配置跨帐户访问的更安全选项。将具有 sts:AssumeRole 权限的策略附加到趋势科技服务器深度安全防护系统管理中心的实例角色,然后选择此选项。如果趋势科技服务器深度安全防护系统管理中心不具有实例角色,或者如果您使用的是趋势科技服务器深度安全防护系统管理中心的 Azure Marketplace 安装或本地安装,则不会显示此选项。
  • 使用 AWS 访问密钥:选择此选项之前,请创建密钥并附加具有 sts:AssumeRole 权限的策略,然后键入访问密钥密钥。如果您使用的是趋势科技服务器深度安全防护系统管理中心的 Azure Marketplace 安装或本地安装,则不会显示此选项。

然后,将 AWS 帐户添加到趋势科技服务器深度安全防护系统:

  1. 趋势科技服务器深度安全防护系统管理中心中,转至计算机页面,然后单击添加 > 添加 AWS 帐户,以打开“添加 AWS 云帐户”向导。
  2. 如果使用趋势科技服务器深度安全防护系统即服务,请选择高级,然后单击下一步
  3. 访问权限信息区域中,选择使用跨帐户角色。输入与前一过程中创建的帐户关联的跨帐户角色 ARN外部 ID,然后单击下一步
  4. 趋势科技服务器深度安全防护系统管理中心将验证与 AWS 帐户的连接,并显示成功消息。单击关闭

使用管理中心实例角色添加 AWS 帐户

运行趋势科技服务器深度安全防护系统管理中心的实例必须具有实例角色。有关实例角色的信息,请参阅 Amazon EC2 的 IAM 角色

您可以将 IAM 角色附加到已在运行的 AWS 实例

附加 IAM 角色的实例必须与正在运行趋势科技服务器深度安全防护系统管理中心的实例位于同一个帐户下。

接着,配置 IAM 策略并将已创建的策略附加到趋势科技服务器深度安全防护系统管理中心正在使用的角色。

最后,将 AWS 帐户添加到趋势科技服务器深度安全防护系统:

  1. 趋势科技服务器深度安全防护系统管理中心中,转至计算机页面,然后单击添加 > 添加 AWS 帐户,以打开“添加 AWS 云帐户”向导。
  2. 如果使用趋势科技服务器深度安全防护系统即服务,请选择高级,然后单击下一步
  3. 访问权限信息区域中,选择使用管理中心实例角色,然后单击下一步
  4. 趋势科技服务器深度安全防护系统管理中心将验证与 AWS 帐户的连接,并显示成功消息。单击关闭

使用 AWS 访问密钥添加 AWS 帐户

首先,配置 IAM 策略,然后创建专用的用户帐户以供管理中心用于访问云帐户:

  1. 登录到 Amazon Web 服务控制台
  2. 转至身份和访问管理 (IAM),然后单击用户
  3. 单击创建新用户以打开创建用户页面。
  4. 输入用户名并选择为每位用户生成一个访问密钥选项。
  5. 单击下载凭证以下载生成的用户安全凭证(访问密钥和机密密钥),然后关闭对话框。
  6. 返回到“用户”页面,单击“用户”以显示“用户属性”,然后滚动到页面的权限部分。
  7. 在展开的权限部分中,单击窗口底部的附加策略以显示附加策略页面。
  8. 选择已创建的 IAM 策略,然后单击附加策略以将该策略应用到新用户。

现在,Amazon Web 服务帐户即可由趋势科技服务器深度安全防护系统管理中心进行访问。

接着,转至管理 > 系统设置 > 高级,滚动到管理中心 AWS 身份部分,选择使用 AWS 访问密钥,并输入用于趋势科技服务器深度安全防护系统管理中心的 AWS 用户的访问密钥和密钥。

最后,将 AWS 帐户添加到趋势科技服务器深度安全防护系统:

  1. 趋势科技服务器深度安全防护系统管理中心中,转至计算机页面,然后单击添加 > 添加 AWS 帐户,以打开“添加 AWS 云帐户”向导。
  2. 如果使用趋势科技服务器深度安全防护系统即服务,请选择高级,然后单击下一步
  3. 访问权限信息区域中,选择使用 AWS 访问密钥:指定在前一过程中为趋势科技服务器深度安全防护系统创建 AWS 用户帐户时生成的访问密钥 ID访问密钥,然后单击下一步
  4. 趋势科技服务器深度安全防护系统管理中心将验证与 AWS 帐户的连接,并显示成功消息。单击关闭

从管理中心中移除云帐户

趋势科技服务器深度安全防护系统管理中心中移除云提供程序帐户会从趋势科技服务器深度安全防护系统数据库中永久移除该帐户。具有云提供程序的帐户不会受到影响,已安装的任何趋势科技服务器深度安全防护系统客户端仍会安装在实例上,并且仍会运行及提供防护(但这些客户端不再接收安全更新)。如果决定重新从云提供程序帐户导入计算机,趋势科技服务器深度安全防护系统客户端将在下次预设时下载最新安全更新。

  1. 转至计算机页面,在导航面板中右键单击云提供程序帐户,然后选择移除云帐户
  2. 确定要移除此帐户。
  3. 已从趋势科技服务器深度安全防护系统管理中心移除此帐户。