Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。

本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

AWSクラウドアカウントの追加

AWSアカウントをDeep Securityに追加すると、そのアカウントにおけるAmazon EC2とAmazon WorkSpaceのすべてのインスタンスがDeep Security Managerにインポートされ、次のいずれかの場所で確認できるようになります。

  • EC2インスタンスは、[コンピュータ]→[<ご使用のAWSアカウント>]→[<ご使用のリージョン>]→[<ご使用のVPC>]→[<ご使用のサブネット>] の左側に表示されます。
  • Amazon WorkSpacesは、[コンピュータ]→[<ご使用のAWSアカウント>]→[<ご使用のリージョン>]→[WorkSpaces] の左側に表示されます。

インポートの完了後は、他のコンピュータと同じようにEC2とWorkSpaceのインスタンスを管理できます。これらのインスタンスはツリー構造であり、コンピュータグループとして扱われます。

Amazon EC2インスタンスまたはAmazon WorkSpacesが個別のコンピュータとして追加済みで、ご使用のAWSアカウントに含まれている場合は、アカウントのインポート後に、インスタンスは前述のツリー構造に移動します。

このセクションのトピック:

AWSアカウントを追加することのメリットは何ですか?

個別のEC2インスタンスとワークスペース(「Deep Security Manager」→「 コンピュータ」→「コンピュータの追加」 ), を使用)を追加するのではなく、AWSアカウント(Deep Security Manager→ コンピュータ→AWSアカウントの追加)の利点は次のとおりです。

  • EC2およびWorkspaceのインベントリの変更は、Deep Security Managerに自動的に反映されます。たとえば、AWSでいくつかのEC2またはWorkSpaceインスタンスを削除すると、これらのインスタンスは自動的にマネージャから非表示になります。一方、 の[コンピュータ]→[コンピュータの追加]を使用する場合、AWSから削除されたEC2およびWorkSpaceのインスタンスは、手動で削除されるまでマネージャに表示されたままです。
  • EC2およびWorkSpaceのインスタンスは、マネージャの[AWS region]→[VPC]のサブネットに編成されており、どのインスタンスが保護されているか、どのインスタンスが保護されていないかを簡単に確認できます。AWSアカウントがないと、すべてのEC2インスタンスとWorkSpaceインスタンスが同じルートレベルの Computersに表示されます。
  • イベントベースタスク(EBT) でAWSメタデータを使用してポリシーの割り当てを簡素化できます。 スマートフォルダ でメタデータを使用して、AWSインスタンスを編成することもできます。

サポートされるAWSリージョン

Deep Security Managerの[ コンピュータ]→[追加]→[AWSアカウントの追加] オプションは、 iam.amazonaws.comでグローバルAWS IDアクセス管理(IAM)サービスを使用するAWS領域のみをサポートします。お住まいの地域でグローバルサービスが使用されているかどうかを確認するには、 this tableを参照してください。

次の地域では、 ではではグローバルIAMサービス(iam.amazonaws.com ):)を使用していません。

  • 中国(北京)
  • 中国(寧夏回族自治区)
  • AWS GovCloud(米国 - 東)
  • AWS GovCloud (米国)

上記のリージョンおよびグローバルIAMサービスを使用しない可能性のあるリージョンについては、EC2およびWorkSpaceのインスタンスをManagerにDeep Security REST APIを使用してロードできます。 トレンドマイクロでは、サンプルスクリプトを提供しています。

AWSアカウントを追加する方法の概要

AWSアカウントをDeep Security Managerに追加するにはいくつかの方法があります。

  • 方法: Managerインスタンスロールとクロスアカウントロール。複数のAWSアカウントを追加する場合や、Deep Security ManagerがAWSの内部にある場合は、この方法を使用します。

    この方法は次の製品で使用できます。

    • Deep Security as a Service
    • Deep Security AMI from AWS Marketplace
    • Deep Securityオンプレミス (AWS内のEC2インスタンス上に存在)
  • 方法: IAMユーザとクロスアカウントロール。複数のAWSアカウントを追加する場合、および Deep Security ManagerがAWSの外部にある場合は、この方法を使用します。

    この方法は次の製品で使用できます。

    • Deep Security VM for Azure Marketplace
    • Deep Securityオンプレミス (AWS外のサーバ上に存在)
  • 方法: Managerインスタンスロール (1つのAWSアカウント)Deep Security Managerが属しているAWSアカウントに追加する場合は、この方法を使用します。

    この方法は次の製品で使用できます。

    • Deep Security AMI from AWS Marketplace
    • Deep Securityオンプレミス (AWS内のEC2インスタンス上に存在)
  • 方法: AWSアクセスキー。この方法は、 Deep Security ManagerがAWS外のサーバ上にあり、追加するAWSアカウントが1つしかない場合、または別の方法を試しても機能しない場合にのみお勧めします。

    上記に該当しない場合、他の方法のご使用をお勧めします。キーは定期的にアップデートする必要があり (セキュリティ上の理由のため)、管理オーバーヘッドが発生するため、Deep Security Managerでのアクセスキーの指定はお勧めしません。

    この方法は次の製品で使用できます。

    • Deep Security as a Service
    • Deep Security AMI from AWS Marketplace
    • Deep Securityオンプレミス
    • Deep Security Manager VM for Azure Marketplace

方法: Managerインスタンスロールとクロスアカウントロール

この方法の概要については、 AWSアカウントを追加する方法の概要を参照してください。

以下の手順は、AWSアカウントが2つあり、その両方のアカウントに、保護する必要のあるAmazon EC2インスタンスとAmazon WorkSpacesが含まれていることを前提としています。この例で使用されているアカウントの名前は次のとおりです。

  • AWS DSMアカウント (Deep Security ManagerまたはDeep Security as a Serviceが存在する)
  • AWSアカウントA

手順の概要は次のとおりです。詳細については後で説明します。

  1. AWS DSMアカウントを設定する (Deep Security as a Serviceを使用する場合は省略): AWS DSMアカウントへのログイン、IAMポリシーの作成、IAMポリシーを参照するManagerインスタンスロールの作成とDeep Security Manager EC2インスタンスへの関連付けを行います。
  2. AWSアカウントAを設定する: AWSアカウントAへのログイン、IAMポリシーの設定、Managerインスタンスロールを参照するクロスアカウントロールの作成を行います。
  3. AWSアカウントをDeep Security Managerに追加する: Deep Security ManagerでManagerインスタンスロールを使用していることを示し、AWS DSMアカウントとAWSアカウントAを追加します。

これらの手順を完了すると、Deep Security ManagerではManagerインスタンスロールを使用して、AWS DSMアカウントにアクセスし、そのAmazon EC2インスタンスとAmazon WorkSpacesを表示できます。また、Managerインスタンスロールを参照するクロスアカウントロールを使用して、AWSアカウントAのリソースに (間接的に) アクセスできます。

AWS DSMアカウントを設定する

Deep Security as a Serviceを使用している場合は、このセクションを省略します。Deep Security as a Serviceにはすでに、IAMポリシーとManagerインスタンスロールがあります。

最初に、AWS DSMアカウント (Deep Security Managerが存在するアカウント) にログインし、IAMポリシーを設定します。

  1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  3. [Create policy] をクリックします。
  4. [JSON] タブを選択します。
  5. テキストボックスに次のJSONコードをコピーします。
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "cloudconnector",
                "Action": [
                    "ec2:DescribeImages",
                    "ec2:DescribeInstances",
                    "ec2:DescribeRegions",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeTags",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSecurityGroups",
                    "workspaces:DescribeWorkspaces",
                    "workspaces:DescribeWorkspaceDirectories",
                    "workspaces:DescribeWorkspaceBundles",
                    "workspaces:DescribeTags",
                    "iam:ListAccountAliases",
                    "iam:GetRole",
                    "iam:GetRolePolicy",
                    "sts:AssumeRole"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }
        ]
    }

    "sts:AssumeRole"権限は、クロスアカウントロールを使用している場合にのみ必要です。

    "iam:GetRole"権限と"iam:GetRolePolicy"権限はオプションですが、これらの権限により、追加のAWS権限が必要なManagerの更新が発生したときに、正しいポリシーがあるかどうかをDeep Securityが判断できるため、推奨します。

  6. [Review policy] をクリックします。
  7. ポリシーの名前と説明を指定します。名前の例: Deep_Security_Policy。
  8. [Create policy] をクリックします。これでポリシーを使用する準備ができました。

次に、Deep Security Managerを実行しているEC2インスタンス用のEC2インスタンスロールを作成します。

  1. [IAM] サービスに移動します。
  2. [Roles] をクリックします。
  3. [Create role] をクリックします。
  4. [AWS service] ボックスが選択されていることを確認します。
  5. サービスリストで [EC2] をクリックします。オプションがさらに表示されます。
  6. [EC2 Allows EC2 instances to call AWS services on your behalf] をクリックします。[Next: Permissions] をクリックします。
  7. 作成したIAMポリシーの横にあるチェックボックスをオンにします。[Next: Review] をクリックします。
  8. [Role name][Role description] を入力します。
    ロール名の例: Deep_Security_Manager_Instance_Role
  9. [Create role] をクリックします。
  10. リスト内のロールを選択して、詳細を表示します。
  11. 画面の上部にある [Role ARN] フィールドを探します。フィールド値は以下のように表示されます。
    arn:aws:iam::1234567890:role/Deep_Security_Manager_Instance_Role
  12. ARNのロールアカウントIDをメモします。IDは数値 (1234567890) です。後で必要になります。

次の手順でManagerインスタンスロールをEC2インスタンスに関連付けます。

  1. [EC2] サービスに移動します。
  2. 左側にある [Instances] をクリックし、Deep Security ManagerがインストールされているEC2インスタンスの横にあるチェックボックスをオンにします。
  3. [Actions]→[Instance Settings]→[Attach/Replace IAM Role] の順にクリックします。
  4. [IAM role] ドロップダウンリストから、Managerインスタンスロール (Deep_Security_Manager_Instance_Role) を選択します。
  5. [Apply] をクリックします。

これで、正しいIAMポリシーでManagerインスタンスロールが作成され、Deep Security ManagerのEC2インスタンスに関連付けられました。

AWSアカウントAを設定する

最初にAWSからログアウトし、AWSアカウントAを使用して再度ログインします。これはAmazon EC2インスタンスおよびAmazon WorkSpacesの一部またはすべてが存在するアカウントです。

AWSアカウントAにログインしたら、AWSアカウントA用のIAMポリシーを設定します。このポリシーは、AWS DSMアカウントのものと同じですが、sts:AssumeRole権限は必要ありません。

  1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  3. [Create policy] をクリックします。
  4. [JSON] タブを選択します。
  5. テキストボックスに次のJSONコードをコピーします。
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "cloudconnector",
                "Action": [
                    "ec2:DescribeImages",
                    "ec2:DescribeInstances",
                    "ec2:DescribeRegions",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeTags",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSecurityGroups",
                    "workspaces:DescribeWorkspaces",
                    "workspaces:DescribeWorkspaceDirectories",
                    "workspaces:DescribeWorkspaceBundles",
                    "workspaces:DescribeTags",
                    "iam:ListAccountAliases",
                    "iam:GetRole",
                    "iam:GetRolePolicy"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }
        ]
    }

    "iam:GetRole"権限と"iam:GetRolePolicy"権限はオプションですが、これらの権限により、追加のAWS権限が必要なManagerの更新が発生したときに、正しいポリシーがあるかどうかをDeep Securityが判断できるため、推奨します。

  6. [Review policy] をクリックします。
  7. ポリシーの名前と説明を指定します。名前の例: Deep_Security_Policy_2。
  8. [Create policy] をクリックします。これでポリシーを使用する準備ができました。

次に、Managerインスタンスロールを参照するクロスアカウントロールを作成します。

  1. [IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Roles] をクリックします。
  3. メイン画面で、[Create role] をクリックします。
  4. [Another AWS account] ボックスをクリックします。
  5. [Account ID] フィールドに、ManagerインスタンスロールのアカウントIDを入力します。
    Deep Security as a Serviceを使用している場合、ManagerインスタンスロールのアカウントIDは次の番号です。147995105371
    またはAWS内でDeep Security AMI from AWS Marketplace Managerのオンプレミスバージョンを使用している場合は、Deep Security Managerインスタンスロールの作成時にメモしたアカウントIDを使用します。この例では、次の番号です。1234567890
  6. [Options] の横にある [Require external ID] を有効にします。[External ID] フィールドに、長いランダムな秘密の文字列を入力します。
  7. 外部IDをメモします。この情報は、後で必要になります。
  8. [Next: Permissions] をクリックします。
  9. 先ほど作成したIAMポリシー (上記の例ではDeep_Security_Policy_2) を選択し、[Next: Review] をクリックします。
  10. [Review] ページで、役割名と説明を入力します。役割名の例: Deep_Security_Role_2。
  11. メインロール画面で、作成したロール (Deep_Security_Role_2) を検索します。
  12. 検索した役割をクリックします。
  13. 上部にある [Role ARN] フィールドを探して、値をメモします。後で必要になります。次のような値です:
    arn:aws:iam::1234567890:role/Deep_Security_Role

これで、正しいポリシーが設定された、Managerインスタンスロールを参照するクロスアカウントロールがAWSアカウントAに作成されました。

AWSアカウントをDeep Security Managerに追加する

最初に、Managerインスタンスロールを使用することを示します。

  1. Deep Security Managerで、上部の [管理] をクリックします。
  2. 左側にある [システム設定] をクリックします。
  3. メイン画面の [詳細] タブをクリックします。
  4. 下にスクロールして、[Manager AWS ID] セクションを探します。
  5. [Managerインスタンスロールを使用] が選択されていることを確認します。
  6. [Managerインスタンスロールを使用] が表示されない場合は、Deep Security ManagerがインストールされているEC2インスタンスにそのロールを関連付けたことを確認し、Deep Security Managerの再起動します。再起動時に、Deep SecurityでManagerのEC2インスタンスのロールが検出され、[Managerインスタンスロールを使用] オプションが表示されます。
  7. [保存] をクリックします。

次に、AWS DSMアカウントを追加します。

  1. Deep Security Managerで、上部の [コンピュータ] をクリックします。
  2. メイン画面で、[追加]→[AWSアカウントの追加] の順にクリックします。
  3. [Managerインスタンスロールを使用] を選択します。
  4. AWS DSMアカウントにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。チェックボックスをオンにすると、Amazon WorkSpacesがDeep Security Managerのツリー構造内の適切な場所に表示され、適切なレートで課金されるようになります。
  5. [次へ] をクリックします。

Deep Security Managerでは、Amazon EC2インスタンスに割り当てられたManagerインスタンスロールを使用して、AWS DSMアカウントのEC2およびWorkSpaceインスタンスをDeep Security Managerに追加します。

最後に、クロスアカウントロールを使用してAWSアカウントAを追加します。

  1. 上部の [コンピュータ] をクリックします。
  2. [追加]→[AWSアカウントの追加] の順にクリックします。
  3. [クロスアカウントロールを使用] を選択します。
  4. AWSアカウントAの [クロスアカウントロールのARN][外部ID] を入力します。クロスアカウントロール作成時にメモしたものを使用します。
  5. AWSアカウントAにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。チェックボックスをオンにすると、Amazon WorkSpacesがDeep Security Managerのツリー構造内の適切な場所に表示され、適切なレートで課金されるようになります。
  6. [次へ] をクリックします。
    AWSアカウントAのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。

これで、AWS DSMアカウントとAWSアカウントAがDeep Security Managerに追加されました。

方法: IAMユーザとクロスアカウントロール

この方法の概要については、 AWSアカウントを追加する方法の概要を参照してください。

次の手順では、Deep Security ManagerがAWSの外部にあり、なおかつ、保護するAmazon EC2インスタンスとWorkSpaceインスタンスを含んだ2つの異なるAWSアカウントがあることを想定しています。この例で使用されているアカウントの名前は次のとおりです。この例で使用されているアカウントの名前は次のとおりです。

  • AWSアカウントX (プライマリ)
  • AWSアカウントY

手順の概要は次のとおりです。詳細については後で説明します。

  1. AWSアカウントXを設定する: AWSアカウントX (プライマリアカウント) へのログイン、IAMポリシーの設定、アクセスキーを使用したIAMユーザの作成を行います。
  2. AWSアカウントYを設定する: AWSアカウントYへのログイン、IAMポリシーの設定、AWSアカウントXを参照するクロスアカウントロールの作成を行います。
  3. Deep Security Managerにアクセスキーを追加する: Deep Security Managerで、AWSアカウントXのアクセスキーIDと秘密アクセスキーを追加します。
  4. AWSアカウントをDeep Security Managerに追加する: Deep Security Managerで、AWSアカウントXとAWSアカウントYを追加します。

これらの手順を完了すると、Deep Security ManagerではAWSアカウントXのアクセスキーIDと秘密アクセスキーを使用して、AWSアカウントXにログインし、Amazon EC2およびAmazon WorkSpaceインスタンスを表示できます。また、AWSアカウントXを参照するクロスアカウントロールを使用して、AWSアカウントYのリソースに (間接的に) アクセスできます。

AWSアカウントXを設定する

最初に、AWSアカウントXにログインし、IAMポリシーを設定します。

  1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  3. [Create policy] をクリックします。
  4. [JSON] タブを選択します。
  5. テキストボックスに次のJSONコードをコピーします。
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "cloudconnector",
                "Action": [
                    "ec2:DescribeImages",
                    "ec2:DescribeInstances",
                    "ec2:DescribeRegions",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeTags",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSecurityGroups",
                    "workspaces:DescribeWorkspaces",
                    "workspaces:DescribeWorkspaceDirectories",
                    "workspaces:DescribeWorkspaceBundles",
                    "workspaces:DescribeTags",
                    "iam:ListAccountAliases",
                    "iam:GetRole",
                    "iam:GetRolePolicy",
                    "sts:AssumeRole"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }
        ]
    }

    "sts:AssumeRole"権限は、クロスアカウントロールを使用している場合にのみ必要です。

    "iam:GetRole"権限と"iam:GetRolePolicy"権限はオプションですが、これらの権限により、追加のAWS権限が必要なManagerの更新が発生したときに、正しいポリシーがあるかどうかをDeep Securityが判断できるため、推奨します。

  6. [Review policy] をクリックします。
  7. ポリシーの名前と説明を指定します。名前の例: Deep_Security_Policy。
  8. [Create policy] をクリックします。これでポリシーを使用する準備ができました。

次に、アクセスキーIDと秘密アクセスキーを使用してIAMユーザを作成します。

  1. [IAM] サービスに移動します。
  2. [Users] をクリックします。
  3. [Add user] をクリックします。
  4. ユーザ名を入力します。例: Deep_Security_IAM_User。
  5. [Access type] では [Programmatic access] を選択します。
  6. [Next: Permissions] をクリックします。
  7. [Attach existing policies directly] ボックスをクリックします。
  8. 作成したIAMポリシーを探し、その横にあるチェックボックスをオンにします。
  9. [Next: Review] をクリックします。
  10. [Create user] をクリックします。アクセスキーIDと秘密アクセスキーがテーブルに表示されます。
  11. アクセスキーIDと秘密アクセスキーを安全な場所にコピーします。後で必要になります。

次に、AWSアカウントXのアカウントIDを確認します。

  1. AWSの右上で [Support]→[Support Center] の順にクリックします。
  2. 右上に表示される [Account Number] (この例では1234567890) をメモします。後でクロスアカウントロールの作成に必要になります。

AWSアカウントYを設定する

最初に、AWSアカウントYにログインし、IAMポリシーを設定します。このポリシーは、AWSアカウントXのものと同じですが、sts:AssumeRole権限は必要ありません。

  1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  3. [Create policy] をクリックします。
  4. [JSON] タブを選択します。
  5. テキストボックスに次のJSONコードをコピーします。
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "cloudconnector",
                "Action": [
                    "ec2:DescribeImages",
                    "ec2:DescribeInstances",
                    "ec2:DescribeRegions",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeTags",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSecurityGroups",
                    "workspaces:DescribeWorkspaces",
                    "workspaces:DescribeWorkspaceDirectories",
                    "workspaces:DescribeWorkspaceBundles",
                    "workspaces:DescribeTags",
                    "iam:ListAccountAliases",
                    "iam:GetRole",
                    "iam:GetRolePolicy"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }
        ]
    }

    "iam:GetRole"権限と"iam:GetRolePolicy"権限はオプションですが、これらの権限により、追加のAWS権限が必要なManagerの更新が発生したときに、正しいポリシーがあるかどうかをDeep Securityが判断できるため、推奨します。

  6. [Review policy] をクリックします。
  7. ポリシーの名前と説明を指定します。名前の例: Deep_Security_Policy_2。
  8. [Create policy] をクリックします。これでポリシーを使用する準備ができました。

次に、AWSアカウントXを参照するクロスアカウントロールを作成します。

  1. [IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Roles] をクリックします。
  3. メイン画面で、[Create role] をクリックします。
  4. [Another AWS account] ボックスをクリックします。
  5. [Account ID] フィールドに、AWSアカウントXのアカウントIDを入力します (この例では1234567890)。
  6. [Options] の横にある [Require external ID] を有効にします。[External ID] フィールドに、長いランダムな秘密の文字列を入力します。
  7. 外部IDをメモします。この情報は、後でDeep Security Managerにこのアカウントを追加するときに必要になります。
  8. [Next: Permissions] をクリックします。
  9. 以前に作成したIAMポリシーを選択し、[Next: Review] をクリックします。
  10. [Review] ページで、役割名と説明を入力します。役割名の例:Deep_Security_Role
  11. メインの役割ページで、作成した役割 (Deep_Security_Role) を検索します。
  12. 検索した役割をクリックします。
  13. 上部にある [Role ARN] フィールドを探して、値をメモします。この値は、後でDeep Security Managerにこのアカウントを追加するときに必要になります。次のような値です:
    arn:aws:iam::544739704774:role/Deep_Security_Role

Deep Security Managerにアクセスキーを追加する

  1. Deep Security Managerにログインします。
  2. 上部の [管理] をクリックします。
  3. 左側にある [システム設定] をクリックします。
  4. メイン画面の [詳細] タブをクリックします。
  5. 下にスクロールして、[Manager AWS ID] の見出しを探します。
  6. [アクセスキー - Managerの識別に使用されるAWSユーザのアクセスキー] の横に、作成済みのIAMユーザのアクセスキーを入力します。
  7. [秘密鍵 - Managerの識別に使用されるAWSユーザの秘密アクセスキー] の横に、作成済みのIAMユーザの秘密鍵を入力します。
  8. [保存] をクリックします。

AWSアカウントをDeep Security Managerに追加する

最初に、アクセスキーを使用してアカウントXを追加します。

  1. 上部の [コンピュータ] をクリックします。
  2. [追加]→[AWSアカウントの追加] の順にクリックします。
  3. [AWSアクセスキーを使用] を選択します。
  4. 作成済みのAWSアカウントXのIAMユーザの [アクセスキーID][秘密アクセスキー] を入力します。
  5. AWSアカウントにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。チェックボックスをオンにすると、Amazon WorkSpacesがDeep Security Managerのツリー構造内の適切な場所に表示され、適切なレートで課金されるようになります。
    AWSアカウントXのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。

次に、クロスアカウントロールを使用してAWSアカウントYを追加します。

  1. 上部の [コンピュータ] をクリックします。
  2. [追加]→[AWSアカウントの追加] の順にクリックします。
  3. [クロスアカウントロールを使用] を選択します。
  4. AWSアカウントYの [クロスアカウントロールのARN][外部ID] を入力します。
  5. AWSアカウントにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。チェックボックスをオンにすると、Amazon WorkSpacesがDeep Security Managerのツリー構造内の適切な場所に表示され、適切なレートで課金されるようになります。
  6. [次へ] をクリックします。
    AWSアカウントYのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。

これで、AWSアカウントXとAWSアカウントYがDeep Security Managerに追加されました。

方法: Managerインスタンスロール (1つのAWSアカウント)

この方法の概要については、 AWSアカウントを追加する方法の概要を参照してください。

最初に、Deep Security Managerが含まれているアカウントを使用してAWSにログインし、IAMポリシーを設定します。

  1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  3. [Create policy] をクリックします。
  4. [JSON] タブを選択します。
  5. テキストボックスに次のJSONコードをコピーします。
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "cloudconnector",
                "Action": [
                    "ec2:DescribeImages",
                    "ec2:DescribeInstances",
                    "ec2:DescribeRegions",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeTags",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSecurityGroups",
                    "workspaces:DescribeWorkspaces",
                    "workspaces:DescribeWorkspaceDirectories",
                    "workspaces:DescribeWorkspaceBundles",
                    "workspaces:DescribeTags",
                    "iam:ListAccountAliases",
                    "iam:GetRole",
                    "iam:GetRolePolicy"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }
        ]
    }

    "iam:GetRole"権限と"iam:GetRolePolicy"権限はオプションですが、これらの権限により、追加のAWS権限が必要なManagerの更新が発生したときに、正しいポリシーがあるかどうかをDeep Securityが判断できるため、推奨します。

  6. [Review policy] をクリックします。
  7. ポリシーの名前と説明を指定します。名前の例: Deep_Security_Policy_2。
  8. [Create policy] をクリックします。これでポリシーを使用する準備ができました。

次に、IAMポリシーを含むIAMロールを作成します。これは「Managerインスタンスロール」と呼ばれます。

次に、Managerインスタンスロールを、Deep Security ManagerがインストールされているEC2インスタンスに関連付けます。

  1. Deep Security Managerが含まれているアカウントを使用して、AWSにログインします。
  2. [EC2] サービスに移動します。
  3. 左側にある [Instances] をクリックし、Deep Security ManagerがインストールされているEC2インスタンスの横にあるチェックボックスをオンにします。
  4. [Actions]→[Instance Settings]→[Attach/Replace IAM Role] の順にクリックします。
  5. [IAM role] ドロップダウンリストから、Managerインスタンスロールを選択します。
  6. [Apply] をクリックします。

最後に、AWSアカウントをDeep Security Managerに追加します。

  1. Deep Security Managerで、上部の [コンピュータ] をクリックします。
  2. [追加]→[AWSアカウントの追加] の順にクリックします。
  3. [Managerインスタンスロールを使用] を選択します。
  4. [Managerインスタンスロールを使用] が表示されない場合は、Deep Security ManagerがインストールされているEC2インスタンスにManagerインスタンスロールを関連付けたことを確認し、Deep Security Managerの再起動をします。再起動時に、Deep SecurityでManagerのEC2インスタンスのロールが検出され、[Managerインスタンスロールを使用] オプションが表示されます。
  5. AWSアカウントにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。チェックボックスをオンにすると、Amazon WorkSpacesがDeep Security Managerのツリー構造内の適切な場所に表示され、適切なレートで課金されるようになります。
  6. [次へ] をクリックします。

AWSアカウントのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。

方法: AWSアクセスキー

この方法の概要については、 AWSアカウントを追加する方法の概要を参照してください。

最初に、保護対象のAmazon EC2インスタンスとAmazon WorkSpacesが含まれているアカウントを使用して、AWSにログインします。

次に、IAMポリシーを設定します。

  1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  3. [Create policy] をクリックします。
  4. [JSON] タブを選択します。
  5. テキストボックスに次のJSONコードをコピーします。
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "cloudconnector",
                "Action": [
                    "ec2:DescribeImages",
                    "ec2:DescribeInstances",
                    "ec2:DescribeRegions",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeTags",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSecurityGroups",
                    "workspaces:DescribeWorkspaces",
                    "workspaces:DescribeWorkspaceDirectories",
                    "workspaces:DescribeWorkspaceBundles",
                    "workspaces:DescribeTags",
                    "iam:ListAccountAliases",
                    "iam:GetRole",
                    "iam:GetRolePolicy"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }
        ]
    }

    "iam:GetRole"権限と"iam:GetRolePolicy"権限はオプションですが、これらの権限により、追加のAWS権限が必要なManagerの更新が発生したときに、正しいポリシーがあるかどうかをDeep Securityが判断できるため、推奨します。

  6. [Review policy] をクリックします。
  7. ポリシーの名前と説明を指定します。名前の例: Deep_Security_Policy_2。
  8. [Create policy] をクリックします。これでポリシーを使用する準備ができました。

次に、IAMユーザアカウントを作成します。

  1. [IAM] サービスに移動します。
  2. [Users] をクリックします。
  3. [Add user] をクリックします。
  4. ユーザ名を入力します。例: Deep_Security_IAM_User。
  5. [Access type] では [Programmatic access] を選択します。
  6. [Next: Permissions] をクリックします。
  7. [Attach existing policies directly] ボックスをクリックします。
  8. 作成したIAMポリシーを探し、その横にあるチェックボックスをオンにします。
  9. [Next: Review] をクリックします。
  10. [Create user] をクリックします。アクセスキーIDと秘密アクセスキーがテーブルに表示されます。
  11. アクセスキーIDと秘密アクセスキーを安全な場所にコピーします。後で必要になります。

最後に、AWSアカウントをDeep Securityに追加します。

  1. Deep Security Managerで、上部の [コンピュータ] をクリックします。
  2. メイン画面で、[追加]→[AWSアカウントの追加] の順にクリックします。
  3. [AWSアクセスキーを使用] を選択します。
  4. IAMユーザ作成時に生成した [アクセスキーID][秘密アクセスキー] を指定します。
  5. AWSアカウントにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。チェックボックスをオンにすると、Amazon WorkSpacesがDeep Security Managerのツリー構造内の適切な場所に表示され、適切なレートで課金されるようになります。
  6. [次へ] をクリックします。

AWSアカウントのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。

クラウドアカウントを編集する

Deep Security Managerで、クラウドアカウントの設定を編集できます。AWSアカウントにAmazon WorkSpacesを含めるよう設定する必要がある場合などに、この編集が必要になることがあります。クラウドアカウントを編集するには、次の手順に従います。

  1. Deep Security Managerにログインします。
  2. 上部の [コンピュータ] をクリックします。
  3. 左側にあるクラウドアカウント名を右クリックし、[プロパティ] を選択します。
  4. 設定を編集して、[OK] をクリックします。

Managerからクラウドアカウントを削除する

クラウドアカウントをDeep Security Managerから削除すると、そのアカウントはDeep Securityのデータベースとそのベースとなるコンピュータから削除されます。クラウドプロバイダのアカウントに影響はありません。また、インスタンスにインストールされていたDeep Security Agentはアンインストールされず、実行と保護が継続します (ただしセキュリティアップデートは受信しなくなります)。クラウドアカウントからコンピュータを再インポートすると、Deep Security Agentによって、次回の予約時に最新のセキュリティアップデートがダウンロードされます。

  1. Deep Security Managerで、上部の [コンピュータ] をクリックします。
  2. ナビゲーションパネルでクラウドアカウントを右クリックし、[クラウドアカウントの削除...] を選択します。
  3. アカウントを削除することを確認します。
    アカウントがDeep Security Managerから削除されます。

AWSアカウントを同期する

AWSアカウントを同期(同期)すると、Deep Security ManagerはAWS APIに接続して、最新のAWS EC2インスタンスとWorkSpaceインスタンスを取得して表示します。

強制的に同期を強制するには

  1. Deep Security Managerで、[コンピュータ] をクリックします。
  2. 左側で、AWSアカウントを右クリックし、[ 同期する]を選択します。をクリックします。

10分ごとに発生するバックグラウンド同期もあり、この間隔は設定できません。同期を強制すると、バックグラウンドの同期は影響を受けず、元のスケジュールに従って引き続き実行されます。