クロスアカウントロールを使用したAWSアカウントの追加

次の手順に従って、クロスアカウントの役割を使用してAWSアカウントを追加します。複数のAWSアカウントを追加する場合は、クロスアカウントの役割を使用します。

次の手順では、AWSアカウントに次の名前を追加することを想定しています。

  • AWSプライマリアカウント
  • AWSアカウントA

また、Deep Security APIを介してクロスアカウントロールを追加することもできます。詳細については、 APIを使用してアカウントを追加する でアカウントを追加するを参照してください。

AWSプライマリアカウントをマネージャインスタンスアカウントロールを使用して追加した場合は、次の手順を実行します。

  1. AWS Primary Accountにログインしていることを確認してください。
  2. IAMサービスに移動します。
  3. [Roles] をクリックします。
  4. マネージャーのインスタンスの役割を使用したAWSアカウントの追加を使用してAWSアカウントを追加します。次に例を示します。Deep_Security_Manager_Instance_Role
  5. リスト内のロールを選択して、詳細を表示します。
  6. 画面の上部にある [Role ARN] フィールドを探します。その値は次のようになります。
    arn:aws:iam::1111111111:role/Deep_Security_Manager_Instance_Role
  7. ARNのロールアカウントIDをメモします。数字(1111111111 ).)です。後でクロスアカウントロールを作成する必要があります。

AWS プライマリアカウントをアクセスキーを使用して追加した場合は、次の手順を実行します。

  1. AWS Primary Accountにログインしていることを確認してください。
  2. AWSの右上で [Support]→[Support Center] の順にクリックします。
  3. 右上の 勘定番号1111111111、この例では).)を確認してください。後でクロスアカウントロールを作成する必要があります。
  1. Deep Security Managerにログインします。
  2. 上部の [コンピュータ] をクリックします。
  3. [ 追加]→[AWSアカウントの追加]をクリックします。ウィザードが表示されます。
  4. 隠された外部IDの横にある目のアイコンをクリックして表示します。このIDの詳細については、外部IDとは何ですか。を参照してください。
  5. 外部IDを安全な場所にコピーします。次の手順で、AWSアカウントAと追加するその他のAWSアカウントを設定する必要があります。
  6. (オプション)ウィザードとマネージャを閉じます。

このIAMポリシーは、AWSプライマリアカウントのポリシーと同じですが、 sts:AssumeRole 権限は必要ありません。

  1. AWSアカウントAにログインしていることを確認してください。
  2. Amazon Web Services Consoleで、 IAM サービスに移動します。
  3. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  4. [Create policy] をクリックします。
  5. [JSON] タブを選択します。
  6. テキストボックスに次のJSONコードをコピーします。 
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "cloudconnector",
            "Action": [
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeRegions",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeVpcs",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "workspaces:DescribeWorkspaces",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeTags",
                "iam:ListAccountAliases",
                "iam:GetRole",
                "iam:GetRolePolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

    "iam:GetRole" および "iam:GetRolePolicy" の権限はオプションですが、追加のAWS権限が必要なManagerへのアップデートが発生したときにDeep Securityが正しいポリシーを持っているかどうかを判断できるため、推奨されます。

  7. [Review policy] をクリックします。
  8. ポリシーの名前と説明を指定します。例の名前: Deep_Security_Policy_Cross
  9. [Create policy] をクリックします。これでポリシーを使用する準備ができました。
  1. AWSアカウントAにログインしていることを確認してください。
  2. [IAM] サービスに移動します。
  3. 左側のナビゲーションペインで [Roles] をクリックします。
  4. メイン画面で、[Create role] をクリックします。
  5. [Another AWS account] ボックスをクリックします。
  6. [ アカウントID]フィールドに次の情報を入力します。
    • AWS内でDeep Security Manager を使用している場合は、 と入力します。前の手順でメモしたAWS Primary AccountのアカウントIDを入力します。次に例を示します。1111111111
    • AWSの外部でDeep Security Manager を使用している場合は、 と入力します。次に例を示します。1111111111
  7. [Options] の横にある [Require external ID] を有効にします。 外部ID フィールドに、以前にマネージャから取得した外部IDを入力します。
  8. [Next: Permissions] をクリックします。
  9. 作成したIAMポリシー(例: Deep_Security_Policy_Cross)を選択し、をクリックします。[次へ]:を確認します。
  10. [Review] ページで、役割名と説明を入力します。ロール名の例: Deep_Security_Role_Cross
  11. メインの役割ページで、作成した役割を検索します(Deep_Security_Role_Cross ).
  12. 検索した役割をクリックします。
  13. [ の役割] [ARN ]の上部にあるフィールドを探します。それは次のようになります:
    arn:aws:iam::2222222222:role/Deep_Security_Role_Cross
  14. ロールのARN 値に注意してください。後で必要になります。

これで、AWS Account Aの下にクロスアカウントの役割が設定され、正しいポリシーが含まれ、AWS Primary Accountの アカウントIDまたはManagerのインスタンスの役割 が参照されます。

  1. Deep Security Managerにログインします。
  2. 上部の [コンピュータ] をクリックします。
  3. [追加]→[AWSアカウントの追加] の順にクリックします。
  4. [クロスアカウントロールを使用] を選択します。
  5. AWSアカウントAのアカウント間ロールARNを入力します。クロスアカウントロールを作成した時点でこれが以前の例です。この例では、次のとおりです。arn:aws:iam::2222222222:role/Deep_Security_Role_Cross
  6. AWSアカウントAにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。このチェックボックスをオンにすると、Amazon WorkSpacesがDeep Security Managerの ツリー構造 内の正しい場所に表示され、正しい料金が請求されます。
  7. [次へ] をクリックします。
    AWSアカウントAのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。

AWSアカウントAがマネージャに追加されました。

上記のタスクの完了後、Amazon EC2およびWorkSpaceインスタンスに エージェント をインストールしていない場合は、インストールしてください。

APIを使用してアカウントを追加する

  1. 外部IDをまだ取得していない場合は、Deep Security /api/awsconnectorsettings エンドポイントにコールして取得してください( ExternalId パラメータ).このIDの詳細については、 外部IDとは何ですか。
  2. AWSでは、クロスアカウントロールのIAM信頼ポリシーで外部IDを指定します。
  3. /api/awsconnectors API エンドポイントを使用して AWS アカウントを Deep Security に追加します。/rest/cloudaccounts/aws API は非推奨となっているため、使用しないでください。API /rest/cloudaccounts/aws でクロスアカウントロールを使用している場合の対応が必要の詳細については、/rest/cloudaccounts/aws API のサポートがどのくらい続くか、および新しいエンドポイントに移行するためのヒントをご覧ください。