本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
AWS Control Towerとの統合
Deep SecurityとAWS Control Towerを統合して、Control Towerアカウントファクトリを介して追加されたすべてのアカウントがDeep Securityで自動的にプロビジョニングされるようにします。各アカウントに配置されたEC2インスタンスのセキュリティ状況を一元的に把握できます。ポリシーと課金の自動化の基盤となります。
概要
Lifecycle HookソリューションではCloudFormationテンプレートが提供され、Control Tower Master Accountで起動するとAWSインフラストラクチャが配置され、Deep Securityが各Account Factory AWSアカウントを自動的に監視できるようになります。このソリューションは、2つのラムダ関数で構成されます。 1つはMcAfeeの役割を管理し、Deep Securityにはアクセスし、もう1つはLambdaのライフサイクルを管理するためのものです。AWS Secrets ManagerはDeep SecurityのAPIキーをMasterアカウントに格納するために利用され、CloudWatch Eventsルールは、Control Towerアカウントが正常に配信されたときにカスタマイズLambdaを実行するように設定されています。
Deep SecurityがAWS Control Towerと統合されると、Deep Securityは次の方法で実装されます。
- スタックの起動時に、Control Tower Master、Audit、およびLogアカウントを含む既存のControl TowerアカウントごとにライフサイクルLambdaが実行されます。
- 起動後、CloudWatchイベントルールによって、成功したControl Towerの[CreateManagedAccount]イベントごとにライフサイクルラムダがトリガされます。
- ライフサイクルラムダ関数は、AWS Secrets ManagerからDeep Security APIキーを取得し、組織の外部IDをDeep Security APIから取得します。
- ラムダ関数は、対象の管理下のアカウントでControlTowerExecutionの役割を引き継ぎ、必要なクロスアカウントの役割と関連するポリシーを作成します。
- Deep Security APIが呼び出され、この管理対象アカウントがテナントに追加されます。
AWS Control Towerとの統合
- Deep Security ManagerをAWS Control Towerの共有セキュリティアカウントに配置します。 Deep Securityクイックスタート をControl Towerのセキュリティアカウントに配信し、クイックスタートの配信で一般公開されているELBを利用して、ワークロード管理下のアカウントとDeep Security Manager間の接続を作成することをお勧めします。
- CloudFormationスタックが正常に起動したら、最上位CloudFormationテンプレートのDeepSecurityConsole値を記録します。このURLは、コンソールにサインインしてマルチアカウントの統合を設定するために必要になります。
- Deep Security Managerで、管理>ユーザ管理>APIキーにアクセスし、新規をクリックします。キーの名前とフルアクセスの役割を選択します。キーは後で検索できないので、必ず保存してください。このキーは、AWS Control Tower MasterからコンソールAPIへの自動化の認証に使用されます。詳細については、ユーザ向けのAPIキーの作成を参照してください。
- AWS Control Towerのマスターアカウントにログインします。CloudFormation Serviceに移動し、AWS Control Towerが配信された地域を選択してライフサイクルテンプレートを起動します。
- ライフサイクルテンプレートで、手順3で生成したAPIキーを入力します。次に、コンソールのFQDNを入力します( https://) が指定されていない場合は、手順2で記録されたDeepSecurityConsole値として表示されます)。
- AWS CloudFormationでIAMリソースを作成する可能性があることを示すボックスを選択します。スタックの作成を選択すると、AWSアカウントがDeep Securityに追加されます。
- すべてのアカウントをインポートしたら、エージェントをインストールするして保護を有効にしてください。
AWS Control Towerの統合をアップグレードする
新しい機能がDeep Securityに追加されると、アプリケーションのクロスアカウントロールの権限をアップデートする必要が生じることがあります。ライフサイクルフックによって配信された役割をアップデートするには、Deep Securityスタックを元のURLで最新のテンプレートにアップデートします。パラメータ値は、トレンドマイクロのサポート担当者が指示しない限り、元の値から変更しないでください。CloudFormationスタックをアップデートすると、既存のすべてのアカウントで使用される役割と、今後の登録で作成される役割が更新されます。
AWS Control Tower統合の削除
ライフサイクルフックを削除するには、CloudFormationスタックを特定して削除します。既に追加されている管理下のアカウントの保護はそのまま維持されます。Deep SecurityからAWSアカウントを削除する方法の詳細については、AWSアカウントを削除するするを参照してください。