Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。

本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

AWSクラウドアカウントの追加

AWSアカウントをDeep Securityに追加すると、そのアカウントにおけるAmazon EC2とAmazon WorkSpaceのすべてのインスタンスがDeep Security Managerにインポートされ、次のいずれかの場所で確認できるようになります。

  • EC2インスタンスは、[コンピュータ]→[<ご使用のAWSアカウント>]→[<ご使用のリージョン>]→[<ご使用のVPC>]→[<ご使用のサブネット>] の左側に表示されます。
  • Amazon WorkSpacesは、[コンピュータ]→[<ご使用のAWSアカウント>]→[<ご使用のリージョン>]→[WorkSpaces] の左側に表示されます。

インポートの完了後は、他のコンピュータと同じようにEC2とWorkSpaceのインスタンスを管理できます。これらのインスタンスはツリー構造であり、コンピュータグループとして扱われます。

Amazon EC2インスタンスまたはAmazon WorkSpacesが個別のコンピュータとして追加済みで、ご使用のAWSアカウントに含まれている場合は、アカウントのインポート後に、インスタンスは前述のツリー構造に移動します。

このセクションのトピック:

AWSアカウントを追加することのメリットは何ですか?

個別のEC2インスタンスとワークスペース(「Deep Security Manager」→「 コンピュータ」→「コンピュータの追加」 ), を使用)を追加するのではなく、AWSアカウント(Deep Security Manager→ コンピュータ→AWSアカウントの追加)の利点は次のとおりです。

  • EC2およびWorkspaceのインベントリの変更は、Deep Security Managerに自動的に反映されます。たとえば、AWSでいくつかのEC2またはWorkSpaceインスタンスを削除すると、これらのインスタンスは自動的にマネージャから非表示になります。一方、 の[コンピュータ]→[コンピュータの追加]を使用する場合、AWSから削除されたEC2およびWorkSpaceのインスタンスは、手動で削除されるまでマネージャに表示されたままです。
  • EC2およびWorkSpaceのインスタンスは、マネージャの[AWS region]→[VPC]のサブネットに編成されており、どのインスタンスが保護されているか、どのインスタンスが保護されていないかを簡単に確認できます。AWSアカウントがないと、すべてのEC2インスタンスとWorkSpaceインスタンスが同じルートレベルの Computersに表示されます。
  • イベントベースタスク(EBT) でAWSメタデータを使用してポリシーの割り当てを簡素化できます。 スマートフォルダ でメタデータを使用して、AWSインスタンスを編成することもできます。

サポートされるAWSリージョン

Deep Security Managerの[ コンピュータ]→[追加]→[AWSアカウントの追加] オプションは、 iam.amazonaws.comでグローバルAWS IDアクセス管理(IAM)サービスを使用するAWS領域のみをサポートします。お住まいの地域でグローバルサービスが使用されているかどうかを確認するには、 this tableを参照してください。

次の地域では、 ではではグローバルIAMサービス(iam.amazonaws.com ):)を使用していません。

  • 中国(北京)
  • 中国(寧夏回族自治区)
  • AWS GovCloud(米国 - 東)
  • AWS GovCloud (米国)

上記のリージョンおよびグローバルIAMサービスを使用しない可能性のあるリージョンについては、EC2およびWorkSpaceのインスタンスをManagerにDeep Security REST APIを使用してロードできます。 トレンドマイクロでは、サンプルスクリプトを提供しています。

AWSアカウントを追加する方法の概要

AWSアカウントをDeep Security Managerに追加するにはいくつかの方法があります。

  • 方法: IAMユーザとクロスアカウントロール。複数のAWSアカウントを追加する場合、および Deep Security ManagerがAWSの外部にある場合は、この方法を使用します。

    この方法は次の製品で使用できます。

    • Deep Security VM for Azure Marketplace
    • Deep Securityオンプレミス (AWS外のサーバ上に存在)
  • 方法: AWSアクセスキー。この方法は、 Deep Security ManagerがAWS外のサーバ上にあり、追加するAWSアカウントが1つしかない場合、または別の方法を試しても機能しない場合にのみお勧めします。

    上記に該当しない場合、他の方法のご使用をお勧めします。キーは定期的にアップデートする必要があり (セキュリティ上の理由のため)、管理オーバーヘッドが発生するため、Deep Security Managerでのアクセスキーの指定はお勧めしません。

    この方法は次の製品で使用できます。

    • Deep Security as a Service
    • Deep Security AMI from AWS Marketplace
    • Deep Securityオンプレミス
    • Deep Security Manager VM for Azure Marketplace

方法: IAMユーザとクロスアカウントロール

この方法の概要については、 AWSアカウントを追加する方法の概要を参照してください。

次の手順では、Deep Security ManagerがAWSの外部にあり、なおかつ、保護するAmazon EC2インスタンスとWorkSpaceインスタンスを含んだ2つの異なるAWSアカウントがあることを想定しています。この例で使用されているアカウントの名前は次のとおりです。この例で使用されているアカウントの名前は次のとおりです。

  • AWSアカウントX (プライマリ)
  • AWSアカウントY

手順の概要は次のとおりです。詳細については後で説明します。

  1. AWSアカウントXを設定する: AWSアカウントX (プライマリアカウント) へのログイン、IAMポリシーの設定、アクセスキーを使用したIAMユーザの作成を行います。
  2. AWSアカウントYを設定する: AWSアカウントYへのログイン、IAMポリシーの設定、AWSアカウントXを参照するクロスアカウントロールの作成を行います。
  3. Deep Security Managerにアクセスキーを追加する: Deep Security Managerで、AWSアカウントXのアクセスキーIDと秘密アクセスキーを追加します。
  4. AWSアカウントをDeep Security Managerに追加する: Deep Security Managerで、AWSアカウントXとAWSアカウントYを追加します。

これらの手順を完了すると、Deep Security ManagerではAWSアカウントXのアクセスキーIDと秘密アクセスキーを使用して、AWSアカウントXにログインし、Amazon EC2およびAmazon WorkSpaceインスタンスを表示できます。また、AWSアカウントXを参照するクロスアカウントロールを使用して、AWSアカウントYのリソースに (間接的に) アクセスできます。

AWSアカウントXを設定する

最初に、AWSアカウントXにログインし、IAMポリシーを設定します。

  1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  3. [Create policy] をクリックします。
  4. [JSON] タブを選択します。
  5. テキストボックスに次のJSONコードをコピーします。
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "cloudconnector",
                "Action": [
                    "ec2:DescribeImages",
                    "ec2:DescribeInstances",
                    "ec2:DescribeRegions",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeTags",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSecurityGroups",
                    "workspaces:DescribeWorkspaces",
                    "workspaces:DescribeWorkspaceDirectories",
                    "workspaces:DescribeWorkspaceBundles",
                    "workspaces:DescribeTags",
                    "iam:ListAccountAliases",
                    "iam:GetRole",
                    "iam:GetRolePolicy",
                    "sts:AssumeRole"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }
        ]
    }

    "sts:AssumeRole"権限は、クロスアカウントロールを使用している場合にのみ必要です。

    "iam:GetRole"権限と"iam:GetRolePolicy"権限はオプションですが、これらの権限により、追加のAWS権限が必要なManagerの更新が発生したときに、正しいポリシーがあるかどうかをDeep Securityが判断できるため、推奨します。

  6. [Review policy] をクリックします。
  7. ポリシーの名前と説明を指定します。名前の例: Deep_Security_Policy。
  8. [Create policy] をクリックします。これでポリシーを使用する準備ができました。

次に、アクセスキーIDと秘密アクセスキーを使用してIAMユーザを作成します。

  1. [IAM] サービスに移動します。
  2. [Users] をクリックします。
  3. [Add user] をクリックします。
  4. ユーザ名を入力します。例: Deep_Security_IAM_User。
  5. [Access type] では [Programmatic access] を選択します。
  6. [Next: Permissions] をクリックします。
  7. [Attach existing policies directly] ボックスをクリックします。
  8. 作成したIAMポリシーを探し、その横にあるチェックボックスをオンにします。
  9. [Next: Review] をクリックします。
  10. [Create user] をクリックします。アクセスキーIDと秘密アクセスキーがテーブルに表示されます。
  11. アクセスキーIDと秘密アクセスキーを安全な場所にコピーします。後で必要になります。

次に、AWSアカウントXのアカウントIDを確認します。

  1. AWSの右上で [Support]→[Support Center] の順にクリックします。
  2. 右上に表示される [Account Number] (この例では1234567890) をメモします。後でクロスアカウントロールの作成に必要になります。

AWSアカウントYを設定する

最初に、AWSアカウントYにログインし、IAMポリシーを設定します。このポリシーは、AWSアカウントXのものと同じですが、sts:AssumeRole権限は必要ありません。

  1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  3. [Create policy] をクリックします。
  4. [JSON] タブを選択します。
  5. テキストボックスに次のJSONコードをコピーします。
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "cloudconnector",
                "Action": [
                    "ec2:DescribeImages",
                    "ec2:DescribeInstances",
                    "ec2:DescribeRegions",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeTags",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSecurityGroups",
                    "workspaces:DescribeWorkspaces",
                    "workspaces:DescribeWorkspaceDirectories",
                    "workspaces:DescribeWorkspaceBundles",
                    "workspaces:DescribeTags",
                    "iam:ListAccountAliases",
                    "iam:GetRole",
                    "iam:GetRolePolicy"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }
        ]
    }

    "iam:GetRole"権限と"iam:GetRolePolicy"権限はオプションですが、これらの権限により、追加のAWS権限が必要なManagerの更新が発生したときに、正しいポリシーがあるかどうかをDeep Securityが判断できるため、推奨します。

  6. [Review policy] をクリックします。
  7. ポリシーの名前と説明を指定します。名前の例: Deep_Security_Policy_2。
  8. [Create policy] をクリックします。これでポリシーを使用する準備ができました。

次に、AWSアカウントXを参照するクロスアカウントロールを作成します。

  1. [IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Roles] をクリックします。
  3. メイン画面で、[Create role] をクリックします。
  4. [Another AWS account] ボックスをクリックします。
  5. [Account ID] フィールドに、AWSアカウントXのアカウントIDを入力します (この例では1234567890)。
  6. [Options] の横にある [Require external ID] を有効にします。[External ID] フィールドに、長いランダムな秘密の文字列を入力します。
  7. 外部IDをメモします。この情報は、後でDeep Security Managerにこのアカウントを追加するときに必要になります。
  8. [Next: Permissions] をクリックします。
  9. 以前に作成したIAMポリシーを選択し、[Next: Review] をクリックします。
  10. [Review] ページで、役割名と説明を入力します。役割名の例:Deep_Security_Role
  11. メインの役割ページで、作成した役割 (Deep_Security_Role) を検索します。
  12. 検索した役割をクリックします。
  13. 上部にある [Role ARN] フィールドを探して、値をメモします。この値は、後でDeep Security Managerにこのアカウントを追加するときに必要になります。次のような値です:
    arn:aws:iam::544739704774:role/Deep_Security_Role

Deep Security Managerにアクセスキーを追加する

  1. Deep Security Managerにログインします。
  2. 上部の [管理] をクリックします。
  3. 左側にある [システム設定] をクリックします。
  4. メイン画面の [詳細] タブをクリックします。
  5. 下にスクロールして、[Manager AWS ID] の見出しを探します。
  6. [アクセスキー - Managerの識別に使用されるAWSユーザのアクセスキー] の横に、作成済みのIAMユーザのアクセスキーを入力します。
  7. [秘密鍵 - Managerの識別に使用されるAWSユーザの秘密アクセスキー] の横に、作成済みのIAMユーザの秘密鍵を入力します。
  8. [保存] をクリックします。

AWSアカウントをDeep Security Managerに追加する

最初に、アクセスキーを使用してアカウントXを追加します。

  1. 上部の [コンピュータ] をクリックします。
  2. [追加]→[AWSアカウントの追加] の順にクリックします。
  3. [AWSアクセスキーを使用] を選択します。
  4. 作成済みのAWSアカウントXのIAMユーザの [アクセスキーID][秘密アクセスキー] を入力します。
  5. AWSアカウントにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。チェックボックスをオンにすると、Amazon WorkSpacesがDeep Security Managerのツリー構造内の適切な場所に表示され、適切なレートで課金されるようになります。
    AWSアカウントXのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。

次に、クロスアカウントロールを使用してAWSアカウントYを追加します。

  1. 上部の [コンピュータ] をクリックします。
  2. [追加]→[AWSアカウントの追加] の順にクリックします。
  3. [クロスアカウントロールを使用] を選択します。
  4. AWSアカウントYの [クロスアカウントロールのARN][外部ID] を入力します。
  5. AWSアカウントにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。チェックボックスをオンにすると、Amazon WorkSpacesがDeep Security Managerのツリー構造内の適切な場所に表示され、適切なレートで課金されるようになります。
  6. [次へ] をクリックします。
    AWSアカウントYのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。

これで、AWSアカウントXとAWSアカウントYがDeep Security Managerに追加されました。

方法: AWSアクセスキー

この方法の概要については、 AWSアカウントを追加する方法の概要を参照してください。

最初に、保護対象のAmazon EC2インスタンスとAmazon WorkSpacesが含まれているアカウントを使用して、AWSにログインします。

次に、IAMポリシーを設定します。

  1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  3. [Create policy] をクリックします。
  4. [JSON] タブを選択します。
  5. テキストボックスに次のJSONコードをコピーします。
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "cloudconnector",
                "Action": [
                    "ec2:DescribeImages",
                    "ec2:DescribeInstances",
                    "ec2:DescribeRegions",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeTags",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSecurityGroups",
                    "workspaces:DescribeWorkspaces",
                    "workspaces:DescribeWorkspaceDirectories",
                    "workspaces:DescribeWorkspaceBundles",
                    "workspaces:DescribeTags",
                    "iam:ListAccountAliases",
                    "iam:GetRole",
                    "iam:GetRolePolicy"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }
        ]
    }

    "iam:GetRole"権限と"iam:GetRolePolicy"権限はオプションですが、これらの権限により、追加のAWS権限が必要なManagerの更新が発生したときに、正しいポリシーがあるかどうかをDeep Securityが判断できるため、推奨します。

  6. [Review policy] をクリックします。
  7. ポリシーの名前と説明を指定します。名前の例: Deep_Security_Policy_2。
  8. [Create policy] をクリックします。これでポリシーを使用する準備ができました。

次に、IAMユーザアカウントを作成します。

  1. [IAM] サービスに移動します。
  2. [Users] をクリックします。
  3. [Add user] をクリックします。
  4. ユーザ名を入力します。例: Deep_Security_IAM_User。
  5. [Access type] では [Programmatic access] を選択します。
  6. [Next: Permissions] をクリックします。
  7. [Attach existing policies directly] ボックスをクリックします。
  8. 作成したIAMポリシーを探し、その横にあるチェックボックスをオンにします。
  9. [Next: Review] をクリックします。
  10. [Create user] をクリックします。アクセスキーIDと秘密アクセスキーがテーブルに表示されます。
  11. アクセスキーIDと秘密アクセスキーを安全な場所にコピーします。後で必要になります。

最後に、AWSアカウントをDeep Securityに追加します。

  1. Deep Security Managerで、上部の [コンピュータ] をクリックします。
  2. メイン画面で、[追加]→[AWSアカウントの追加] の順にクリックします。
  3. [AWSアクセスキーを使用] を選択します。
  4. IAMユーザ作成時に生成した [アクセスキーID][秘密アクセスキー] を指定します。
  5. AWSアカウントにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。チェックボックスをオンにすると、Amazon WorkSpacesがDeep Security Managerのツリー構造内の適切な場所に表示され、適切なレートで課金されるようになります。
  6. [次へ] をクリックします。

AWSアカウントのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。

クラウドアカウントを編集する

Deep Security Managerで、クラウドアカウントの設定を編集できます。AWSアカウントにAmazon WorkSpacesを含めるよう設定する必要がある場合などに、この編集が必要になることがあります。クラウドアカウントを編集するには、次の手順に従います。

  1. Deep Security Managerにログインします。
  2. 上部の [コンピュータ] をクリックします。
  3. 左側にあるクラウドアカウント名を右クリックし、[プロパティ] を選択します。
  4. 設定を編集して、[OK] をクリックします。

Managerからクラウドアカウントを削除する

クラウドアカウントをDeep Security Managerから削除すると、そのアカウントはDeep Securityのデータベースとそのベースとなるコンピュータから削除されます。クラウドプロバイダのアカウントに影響はありません。また、インスタンスにインストールされていたDeep Security Agentはアンインストールされず、実行と保護が継続します (ただしセキュリティアップデートは受信しなくなります)。クラウドアカウントからコンピュータを再インポートすると、Deep Security Agentによって、次回の予約時に最新のセキュリティアップデートがダウンロードされます。

  1. Deep Security Managerで、上部の [コンピュータ] をクリックします。
  2. ナビゲーションパネルでクラウドアカウントを右クリックし、[クラウドアカウントの削除...] を選択します。
  3. アカウントを削除することを確認します。
    アカウントがDeep Security Managerから削除されます。

AWSアカウントを同期する

AWSアカウントを同期(同期)すると、Deep Security ManagerはAWS APIに接続して、最新のAWS EC2インスタンスとWorkSpaceインスタンスを取得して表示します。

強制的に同期を強制するには

  1. Deep Security Managerで、[コンピュータ] をクリックします。
  2. 左側で、AWSアカウントを右クリックし、[ 同期する]を選択します。をクリックします。

10分ごとに発生するバックグラウンド同期もあり、この間隔は設定できません。同期を強制すると、バックグラウンドの同期は影響を受けず、元のスケジュールに従って引き続き実行されます。