本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
AWSアカウントの外部IDを管理する
AWSアカウントの外部IDは、 がクロスアカウントロールを使用してAWSアカウントを追加した場合にのみ使用されます。
トピック:
外部IDとは何ですか。
クロスアカウントロールのARNに加えて、外部IDは1つのAWSロールから別のAWSロールへのアクセスを許可するために使用されます。外部IDは、アカウントの役割を引き受けたいサードパーティのサービスによって提供されます。そのサービスが自分の代わりに機能することを信頼する場合は、その外部IDをクロスアカウントの役割に追加します。この場合、Deep Securityは、AWSアカウントに代わって外部IDを提供するサードパーティのサービスです。Deep Securityは、このアクセスを使用してAWSアカウントの情報を同期し、リソースの最新レコードを維持します。詳細については、次のAWSドキュメントを参照してください。AWSリソースへのアクセスを許可する際に外部IDを使用する方法
備考:
- 外部IDは、クロスアカウントロールを使用してAWSアカウントを追加する場合にのみ使用されます。
- 同じ外部IDが、クロスアカウントの役割を使用して追加されたすべてのAWSアカウントに使用されます。
外部IDを設定する
外部IDを設定することは、クロージャアカウントの役割を追加するプロセスの一歩です。詳細については、 クロスアカウントロールを使用したAWSアカウントの追加 を使用したAWSアカウントの追加を参照してください。
外部IDを更新する
以前にクロスアカウントの役割を使用してAWSアカウントを追加した場合、ユーザ定義の外部IDが指定されている可能性があります。AWSのベストプラクティスとより整合性をとるために、管理者定義の外部IDに切り替えることをお勧めします。
以前にユーザ定義の外部IDで追加されたAWSアカウントは引き続き通常どおりに機能します。
ユーザまたは管理者定義の外部IDを使用しているかどうかを判断する
現在、ユーザ定義のIDか管理者定義の外部IDのどちらを使用しているかわからない場合は、次の手順に従って確認してください。
- Deep Security Managerにログインします。
- Computersをクリックします。
- クロスアカウントロールを使用して追加されたAWSアカウントを右クリックし、[ プロパティ] []を選択します。
- 外部IDの横にアップデートリンクが表示されている場合は、ユーザ定義の外部IDが現在使用中であるため、アップデートする必要があります。アップデートリンクが表示されない場合は、マネージャ定義の外部IDが現在使用されているため、処理は必要ありません。
- クロスアカウントロールを使用して、マネージャに追加されたアカウントごとにこの手順を繰り返します。
外部IDをマネージャからアップデートする
- まだDeep Security Managerにログオンしていない場合は、アップデートするAWSアカウントを右クリックして、[ プロパティ] []の順に選択します。
- 外部IDの横に表示される Updateリンクをクリックします。 Updateリンクが表示されなくなります。
- 外部IDをメモします。次の手順でクロスアカウントの役割を設定する必要があります。
- 外部IDが更新されたAWSアカウントにログインします。クロスアカウントロールのIAMポリシーを更新するには、古い外部IDを新しいアカウントIDに置き換えます。
- プロパティ画面に戻り、適用をクリックして変更を適用します。
アカウントのユーザ定義の外部IDがマネージャ定義の外部IDに更新されました。
- クロスアカウントロールを使用して、マネージャに追加されたアカウントごとにこの手順を繰り返します。
Deep Security APIを使用して外部IDをアップデートする
- 新しいマネージャ定義の外部IDがまだない場合は、 /api/awsconnectorsettings エンドポイントを呼び出して取得します( ExternalId パラメータ).
- クロスアカウントロールが設定されているAWSアカウントにログインします。クロスアカウントロールのIAMポリシーを更新するには、古い外部IDを新しいアカウントIDに置き換えます。クロスアカウントロールを使用してマネージャに追加されたアカウントごとに、この手順を繰り返します。
- /api/awsconnectors エンドポイントを使用して、更新中のアカウントに対して Update 処理を実行します。その CrossAccountRoleARN パラメータは、現在のARNと同じ役割に設定されます。要求オブジェクトに外部IDを指定しないでください。
アカウントのユーザ定義の外部IDが、マネージャ定義の外部IDに更新されました。
外部IDを取得する
クロスアカウントで使用する外部IDを取得するには、いくつかの方法があります。
[アカウントの追加]ウィザードを介して
- クロスアカウントロールを使用したAWSアカウントの追加 を使用したAWSアカウントの追加を参照してください。ここでは、ウィザードを使用して外部IDを取得する方法について説明します。
Deep Security APIを介して
- /api/awsconnectorsettings エンドポイントを呼び出して取得します( ExternalId パラメータ).
外部IDの取得を無効にする
外部IDへの不正アクセスを防ぐために、マネージャーで外部IDを表示および取得する機能を無効にしたい場合があります。IDを一度取得して、秘密管理者などの安全な場所に保存してから、他のすべてのユーザの検索を無効にすることができます。
いつでも検索を有効にすることができます。
検索を無効にするには
- Deep Security Managerにログインします。
- 上部の [管理] をクリックします。
- メイン画面で、[ Security]タブをクリックします。
- [AWS外部IDの取得と表示を有効にする]の選択を解除します。
- [Save] をクリックします。
役割を使用して外部IDへのアクセスを禁止することもできます。詳細については、 ユーザロールの定義を参照してください。