クロスアカウントロールを使用したAWSアカウントの追加

• AWS外の にマネージャーがいる場合は、 のすべてのタスクを アクセスキーを使用してAWSアカウントを追加する を使用してAWSアカウントを追加してください。

1. AWS Primary Accountにログインしていることを確認してください。
2. AWSの右上で [Support]→[Support Center] の順にクリックします。
3. 右上の 勘定番号 （1111111111、この例では).）を確認してください。後でクロスアカウントロールを作成する必要があります。

1. Deep Security Managerにログインします。
2. 上部の [コンピュータ] をクリックします。
3. [ 追加]→[AWSアカウントの追加]をクリックします。ウィザードが表示されます。
4. 隠された外部IDの横にある目のアイコンをクリックして表示します。このIDの詳細については、外部IDとは何ですか。を参照してください。
5. 外部IDを安全な場所にコピーします。次の手順で、AWSアカウントAと追加するその他のAWSアカウントを設定する必要があります。
6. (オプション)ウィザードとマネージャを閉じます。

このIAMポリシーは、AWSプライマリアカウントのポリシーと同じですが、 sts：AssumeRole 権限は必要ありません。

1. AWSアカウントAにログインしていることを確認してください。
2. Amazon Web Services Consoleで、 IAM サービスに移動します。
3. 左側のナビゲーションペインで [Policies] をクリックします。

   この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

4. [Create policy] をクリックします。
5. [JSON] タブを選択します。
6. テキストボックスに次のJSONコードをコピーします。

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "cloudconnector",
               "Action": [
                   "ec2:DescribeImages",
                   "ec2:DescribeInstances",
                   "ec2:DescribeRegions",
                   "ec2:DescribeSubnets",
                   "ec2:DescribeTags",
                   "ec2:DescribeVpcs",
                   "ec2:DescribeAvailabilityZones",
                   "ec2:DescribeSecurityGroups",
                   "workspaces:DescribeWorkspaces",
                   "workspaces:DescribeWorkspaceDirectories",
                   "workspaces:DescribeWorkspaceBundles",
                   "workspaces:DescribeTags",
                   "iam:ListAccountAliases",
                   "iam:GetRole",
                   "iam:GetRolePolicy"
               ],
               "Effect": "Allow",
               "Resource": "*"
           }
       ]
   }

   "iam:GetRole" および "iam:GetRolePolicy" の権限はオプションですが、追加のAWS権限が必要なManagerへのアップデートが発生したときにDeep Securityが正しいポリシーを持っているかどうかを判断できるため、推奨されます。

7. [Review policy] をクリックします。
8. ポリシーの名前と説明を指定します。例の名前： Deep_Security_Policy_Cross。
9. [Create policy] をクリックします。これでポリシーを使用する準備ができました。

1. AWSアカウントAにログインしていることを確認してください。
2. [IAM] サービスに移動します。
3. 左側のナビゲーションペインで [Roles] をクリックします。
4. メイン画面で、[Create role] をクリックします。
5. [Another AWS account] ボックスをクリックします。
6. [ アカウントID]フィールドに次の情報を入力します。
   • の外部でDeep Security Manager を使用している場合は、と入力します。前の手順でメモしたAWS Primary AccountのアカウントIDを と入力します。次に例を示します。1111111111
     
7. [Options] の横にある [Require external ID] を有効にします。 外部ID フィールドに、以前にマネージャから取得した外部IDを入力します。
8. [Next: Permissions] をクリックします。
9. 作成したIAMポリシー（例： Deep_Security_Policy_Cross）を選択し、をクリックします。[次へ]：を確認します。
10. [Review] ページで、役割名と説明を入力します。ロール名の例： Deep_Security_Role_Cross。
11. メインの役割ページで、作成した役割を検索します（Deep_Security_Role_Cross ).
12. 検索した役割をクリックします。
13. [ の役割] [ARN ]の上部にあるフィールドを探します。それは次のようになります：
    arn:aws:iam::2222222222:role/Deep_Security_Role_Cross
14. ロールのARN 値に注意してください。後で必要になります。

これで、AWS Account Aの下にクロスアカウントの役割が設定され、正しいポリシーが含まれ、AWS Primary Accountの アカウントID が参照されます。

1. Deep Security Managerにログインします。
2. 上部の [コンピュータ] をクリックします。
3. [追加]→[AWSアカウントの追加] の順にクリックします。
4. [クロスアカウントロールを使用] を選択します。
5. AWSアカウントAのアカウント間ロールARNを入力します。クロスアカウントロールを作成した時点でこれが以前の例です。この例では、次のとおりです。arn:aws:iam::2222222222:role/Deep_Security_Role_Cross
6. AWSアカウントAにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。このチェックボックスをオンにすると、Amazon WorkSpacesがDeep Security Managerの ツリー構造 内の正しい場所に表示され、正しい料金が請求されます。
7. [次へ] をクリックします。
   AWSアカウントAのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。
   

AWSアカウントAがマネージャに追加されました。