本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

AWSクラウドアカウントの追加

AWSアカウントをDeep Securityに追加すると、そのアカウントにおけるAmazon EC2とAmazon WorkSpaceのすべてのインスタンスがDeep Security Managerにインポートされ、次のいずれかの場所で確認できるようになります。

  • EC2インスタンスは、[コンピュータ]→[<ご使用のAWSアカウント>]→[<ご使用のリージョン>]→[<ご使用のVPC>]→[<ご使用のサブネット>] の左側に表示されます。
  • Amazon WorkSpacesは、[コンピュータ]→[<ご使用のAWSアカウント>]→[<ご使用のリージョン>]→[WorkSpaces] の左側に表示されます。

インポートの完了後は、他のコンピュータと同じようにEC2とWorkSpaceのインスタンスを管理できます。

Amazon EC2インスタンスまたはAmazon WorkSpacesが個別のコンピュータとして追加済みで、ご使用のAWSアカウントに含まれている場合は、アカウントのインポート後に、インスタンスは前述のツリー構造に移動します。

AWSアカウントをDeep Security Managerに追加するにはいくつかの方法があります。

  • 方法: クイックセットアップオプション。AWS CloudFormationテンプレートを使用してセットアップを自動化するため、これがアカウントを追加する最も簡単な方法です。クイックセットアップを複数回実行して、複数のAWSアカウントを追加できます。

    この方法は次の製品で使用できます。

    • Deep Security as a Service
  • 方法: ManagerインスタンスロールとクロスアカウントロールDeep Security Managerに属していない他のAWSアカウントを追加する場合は、この方法を使用します。

    この方法は次の製品で使用できます。

    • Deep Security as a Service
    • Deep Security AMI from AWS Marketplace
    • Deep Securityオンプレミス (AWS内のEC2インスタンス上に存在)
  • 方法: AWSアクセスキー。この方法は、すべてのインストールタイプで使用できますが、Deep Security ManagerがAWS外のサーバ上に存在し、かつ追加したいAWSアカウントが1つだけである場合、または別の方法を試したものの、うまくいかなかった場合にのみ推奨されます。

    上記に該当しない場合、他の方法のご使用をお勧めします。キーは定期的にアップデートする必要があり (セキュリティ上の理由のため)、管理オーバーヘッドが発生するため、Deep Security Managerでのアクセスキーの指定はお勧めしません。

    この方法は次の製品で使用できます。

    • Deep Security as a Service
    • Deep Security AMI from AWS Marketplace
    • Deep Securityオンプレミス
    • Deep Security Manager VM for Azure Marketplace

方法: クイックセットアップオプション

  1. Deep Security Managerで、[コンピュータ] に移動し、[追加]→[AWSアカウントの追加] の順にクリックします。
  2. [クイック] を選択します。
  3. [Next] をクリックします。URLの付いたセットアッププロセス時の処理内容を説明する画面が表示されます。URLの有効期限は1時間です。
  4. [Next] をクリックします。
  5. AWSアカウントにまだログオンしていない場合は、ログオンするように求められます。
  6. [Select Template] 画面で [Next] をクリックして初期設定を受け入れます。
  7. タグを使用する場合は、[Options] 画面でタグを追加します。
  8. [Next] をクリックします。
  9. [Review] ページで、[I acknowledge that this template might cause AWS CloudFormation to create IAM resources] の横にあるチェックボックスをオンにします。
  10. [Create] をクリックします。AWS CloudFormationでクロスアカウントロールの設定が終了すると、Deep Security Managerのウィザードに処理の成功を通知するメッセージが表示されます。完了のメッセージが表示される前に画面を閉じてもかまいません。アカウントはクロスアカウントロールの設定が完了した時点でDeep Securityに追加されます。この処理の詳細については、AWSアカウント追加時のCloudFormationテンプレートによる処理を参照してください。
  11. AWSアカウントにAmazon WorkSpacesが含まれ、Deep Securityで保護する場合は、Deep Security Managerに移動して、左側のAWSアカウントを右クリックし、[プロパティ] を選択します。[Amazon WorkSpacesを含める] を有効にして [保存] をクリックします。チェックボックスをオンにすると、Amazon WorkSpacesがDeep Security Managerのツリー構造内の適切な場所に表示され、適切なレートで課金されるようになります。

10分経っても左側の [コンピュータ] フォルダのサブフォルダにアカウントが表示されない場合や、アカウントを追加できなかったことを示すエラーメッセージが表示された場合は、AWSアカウントをDeep Securityに追加する際の問題のトラブルシューティングのヒントを参照してください。

方法: Managerインスタンスロールとクロスアカウントロール

以下の手順は、AWSアカウントが2つあり、その両方のアカウントに、保護する必要のあるAmazon EC2インスタンスとAmazon WorkSpacesが含まれていることを前提としています。この例で使用されているアカウントの名前は次のとおりです。

  • AWS DSMアカウント (Deep Security ManagerまたはDeep Security as a Serviceが存在する)
  • AWSアカウントA

手順の概要は次のとおりです。詳細については後で説明します。

  1. AWS DSMアカウントを設定する (Deep Security as a Serviceを使用する場合は省略): AWS DSMアカウントへのログイン、IAMポリシーの作成、IAMポリシーを参照するManagerインスタンスロールの作成とDeep Security Manager EC2インスタンスへの関連付けを行います。
  2. AWSアカウントAを設定する: AWSアカウントAへのログイン、IAMポリシーの設定、Managerインスタンスロールを参照するクロスアカウントロールの作成を行います。
  3. AWSアカウントをDeep Security Managerに追加する: Deep Security ManagerでManagerインスタンスロールを使用していることを示し、AWS DSMアカウントとAWSアカウントAを追加します。

これらの手順を完了すると、Deep Security ManagerではManagerインスタンスロールを使用して、AWS DSMアカウントにアクセスし、そのAmazon EC2インスタンスとAmazon WorkSpacesを表示できます。また、Managerインスタンスロールを参照するクロスアカウントロールを使用して、AWSアカウントAのリソースに (間接的に) アクセスできます。

AWS DSMアカウントを設定する

Deep Security as a Serviceを使用している場合は、このセクションを省略します。Deep Security as a Serviceにはすでに、IAMポリシーとManagerインスタンスロールがあります。

最初に、AWS DSMアカウント (Deep Security Managerが存在するアカウント) にログインし、IAMポリシーを設定します。

  1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  3. [Create policy] をクリックします。
  4. [JSON] タブを選択します。
  5. テキストボックスに次のJSONコードをコピーします。
    { "Version":"2012-10-17", "Statement":[ { "Sid":"cloudconnector", "Action":[ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "workspaces:DescribeWorkspaces", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeTags", "iam:ListAccountAliases", "iam:GetRole", "iam:GetRolePolicy", "sts:AssumeRole" ], "Effect":"Allow", "Resource":"*" } ] }

    "sts:AssumeRole"権限は、クロスアカウントロールを使用している場合にのみ必要です。

    "iam:GetRole"権限と"iam:GetRolePolicy"権限はオプションですが、これらの権限により、追加のAWS権限が必要なManagerの更新が発生したときに、正しいポリシーがあるかどうかをDeep Securityが判断できるため、推奨します。

  6. [Review policy] をクリックします。
  7. ポリシーの名前と説明を指定します。名前の例: Deep_Security_Policy。
  8. [Create policy] をクリックします。これでポリシーを使用する準備ができました。

次に、Deep Security Managerを実行しているEC2インスタンス用のEC2インスタンスロールを作成します。

  1. [IAM] サービスに移動します。
  2. [Roles] をクリックします。
  3. [Create role] をクリックします。
  4. [AWS service] ボックスが選択されていることを確認します。
  5. サービスリストで [EC2] をクリックします。オプションがさらに表示されます。
  6. [EC2 Allows EC2 instances to call AWS services on your behalf] をクリックします。[Next: Permissions] をクリックします。
  7. 作成したIAMポリシーの横にあるチェックボックスをオンにします。[Next: Review] をクリックします。
  8. [Role name][Role description] を入力します。
    ロール名の例: Deep_Security_Manager_Instance_Role
  9. [Create role] をクリックします。
  10. リスト内のロールを選択して、詳細を表示します。
  11. 画面の上部にある [Role ARN] フィールドを探します。フィールド値は以下のように表示されます。
    arn:aws:iam::1234567890:role/Deep_Security_Manager_Instance_Role
  12. ARNのロールアカウントIDをメモします。IDは数値 (1234567890) です。後で必要になります。

次の手順でManagerインスタンスロールをEC2インスタンスに関連付けます。

  1. [EC2] サービスに移動します。
  2. 左側にある [Instances] をクリックし、Deep Security ManagerがインストールされているEC2インスタンスの横にあるチェックボックスをオンにします。
  3. [Actions]→[Instance Settings]→[Attach/Replace IAM Role] の順にクリックします。
  4. [IAM role] ドロップダウンリストから、Managerインスタンスロール (Deep_Security_Manager_Instance_Role) を選択します。
  5. [Apply] をクリックします。

これで、正しいIAMポリシーでManagerインスタンスロールが作成され、Deep Security ManagerのEC2インスタンスに関連付けられました。

AWSアカウントAを設定する

最初にAWSからログアウトし、AWSアカウントAを使用して再度ログインします。これはAmazon EC2インスタンスおよびAmazon WorkSpacesの一部またはすべてが存在するアカウントです。

AWSアカウントAにログインしたら、AWSアカウントA用のIAMポリシーを設定します。このポリシーは、AWS DSMアカウントのものと同じですが、sts:AssumeRole権限は必要ありません。

  1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  3. [Create policy] をクリックします。
  4. [JSON] タブを選択します。
  5. テキストボックスに次のJSONコードをコピーします。
    { "Version":"17.10.12", "Statement":[ { "Sid":"cloudconnector", "Action":[ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "workspaces:DescribeWorkspaces", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeTags", "iam:ListAccountAliases", "iam:GetRole", "iam:GetRolePolicy" ], "Effect":"Allow", "Resource":"*" } ] }

    "iam:GetRole"権限と"iam:GetRolePolicy"権限はオプションですが、これらの権限により、追加のAWS権限が必要なManagerの更新が発生したときに、正しいポリシーがあるかどうかをDeep Securityが判断できるため、推奨します。

  6. [Review policy] をクリックします。
  7. ポリシーの名前と説明を指定します。名前の例: Deep_Security_Policy_2。
  8. [Create policy] をクリックします。これでポリシーを使用する準備ができました。

次に、Managerインスタンスロールを参照するクロスアカウントロールを作成します。

  1. [IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Roles] をクリックします。
  3. メイン画面で、[Create role] をクリックします。
  4. [Another AWS account] ボックスをクリックします。
  5. [Account ID] フィールドに、ManagerインスタンスロールのアカウントIDを入力します。
    Deep Security as a Serviceを使用している場合、ManagerインスタンスロールのアカウントIDは次の番号です。147995105371
    またはAWS内でDeep Security AMI from AWS Marketplace Managerのオンプレミスバージョンを使用している場合は、Deep Security Managerインスタンスロールの作成時にメモしたアカウントIDを使用します。この例では、次の番号です。1234567890
  6. [Options] の横にある [Require external ID] を有効にします。[External ID] フィールドに、長いランダムな秘密の文字列を入力します。
  7. 外部IDをメモします。この情報は、後で必要になります。
  8. [Next: Permissions] をクリックします。
  9. 先ほど作成したIAMポリシー (上記の例ではDeep_Security_Policy_2) を選択し、[Next: Review] をクリックします。
  10. [Review] ページで、役割名と説明を入力します。役割名の例:Deep_Security_Role_2。
  11. メインロール画面で、作成したロール (Deep_Security_Role_2) を検索します。
  12. 検索した役割をクリックします。
  13. 上部にある [Role ARN] フィールドを探して、値をメモします。後で必要になります。次のような値です:
    arn:aws:iam::1234567890:role/Deep_Security_Role

これで、正しいポリシーが設定された、Managerインスタンスロールを参照するクロスアカウントロールがAWSアカウントAに作成されました。

AWSアカウントをDeep Security Managerに追加する

最初に、Managerインスタンスロールを使用することを示します。

  1. Deep Security Managerで、上部の [管理] をクリックします。
  2. 左側にある [システム設定] をクリックします。
  3. メイン画面の [詳細] タブをクリックします。
  4. 下にスクロールして、[Manager AWS ID] セクションを探します。
  5. [Managerインスタンスロールを使用] が選択されていることを確認します。
  6. [Managerインスタンスロールを使用] が表示されない場合は、Deep Security ManagerがインストールされているEC2インスタンスにそのロールを関連付けたことを確認します。
  7. [保存] をクリックします。

次に、AWS DSMアカウントを追加します。

  1. Deep Security Managerで、上部の [コンピュータ] をクリックします。
  2. メイン画面で、[追加]→[AWSアカウントの追加] の順にクリックします。
  3. [詳細] を選択し、[次へ] をクリックします。
  4. [Managerインスタンスロールを使用] を選択します。
  5. AWS DSMアカウントにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。チェックボックスをオンにすると、Amazon WorkSpacesがDeep Security Managerのツリー構造内の適切な場所に表示され、適切なレートで課金されるようになります。
  6. [次へ] をクリックします。

Deep Security Managerでは、Amazon EC2インスタンスに割り当てられたManagerインスタンスロールを使用して、AWS DSMアカウントのEC2およびWorkSpaceインスタンスをDeep Security Managerに追加します。

最後に、クロスアカウントロールを使用してAWSアカウントAを追加します。

  1. 上部の [コンピュータ] をクリックします。
  2. [追加]→[AWSアカウントの追加] の順にクリックします。
  3. [詳細] を選択し、[次へ] をクリックします。
  4. [クロスアカウントロールを使用] を選択します。
  5. AWSアカウントAの [クロスアカウントロールのARN][外部ID] を入力します。クロスアカウントロール作成時にメモしたものを使用します。
  6. AWSアカウントAにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。チェックボックスをオンにすると、Amazon WorkSpacesがDeep Security Managerのツリー構造内の適切な場所に表示され、適切なレートで課金されるようになります。
  7. [次へ] をクリックします。
    AWSアカウントAのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。

これで、AWS DSMアカウントとAWSアカウントAがDeep Security Managerに追加されました。

方法: AWSアクセスキー

最初に、保護対象のAmazon EC2インスタンスとAmazon WorkSpacesが含まれているアカウントを使用して、AWSにログインします。

次に、IAMポリシーを設定します。

  1. AWSマネジメントコンソールにログインし、[IAM] サービスに移動します。
  2. 左側のナビゲーションペインで [Policies] をクリックします。

    この画面にはじめてアクセスした場合は、[Get Started] をクリックする必要があります。

  3. [Create policy] をクリックします。
  4. [JSON] タブを選択します。
  5. テキストボックスに次のJSONコードをコピーします。
    { "Version":"17.10.12", "Statement":[ { "Sid":"cloudconnector", "Action":[ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "workspaces:DescribeWorkspaces", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeTags", "iam:ListAccountAliases", "iam:GetRole", "iam:GetRolePolicy" ], "Effect":"Allow", "Resource":"*" } ] }

    "iam:GetRole"権限と"iam:GetRolePolicy"権限はオプションですが、これらの権限により、追加のAWS権限が必要なManagerの更新が発生したときに、正しいポリシーがあるかどうかをDeep Securityが判断できるため、推奨します。

  6. [Review policy] をクリックします。
  7. ポリシーの名前と説明を指定します。名前の例: Deep_Security_Policy_2。
  8. [Create policy] をクリックします。これでポリシーを使用する準備ができました。

次に、IAMユーザアカウントを作成します。

  1. [IAM] サービスに移動します。
  2. [Users] をクリックします。
  3. [Add user] をクリックします。
  4. ユーザ名を入力します。例: Deep_Security_IAM_User。
  5. [Access type] では [Programmatic access] を選択します。
  6. [Next: Permissions] をクリックします。
  7. [Attach existing policies directly] ボックスをクリックします。
  8. 作成したIAMポリシーを探し、その横にあるチェックボックスをオンにします。
  9. [Next: Review] をクリックします。
  10. [Create user] をクリックします。アクセスキーIDと秘密アクセスキーがテーブルに表示されます。
  11. アクセスキーIDと秘密アクセスキーを安全な場所にコピーします。後で必要になります。

最後に、AWSアカウントをDeep Securityに追加します。

  1. Deep Security Managerで、上部の [コンピュータ] をクリックします。
  2. メイン画面で、[追加]→[AWSアカウントの追加] の順にクリックします。
  3. [詳細] を選択し、[次へ] をクリックします。
  4. [AWSアクセスキーを使用] を選択します。
  5. IAMユーザ作成時に生成した [アクセスキーID][秘密アクセスキー] を指定します。
  6. AWSアカウントにAmazon WorkSpacesが含まれている場合は、[Amazon WorkSpacesを含める] を選択して、Amazon EC2インスタンスとAmazon WorkSpacesを追加します。チェックボックスをオンにすると、Amazon WorkSpacesがDeep Security Managerのツリー構造内の適切な場所に表示され、適切なレートで課金されるようになります。
  7. [次へ] をクリックします。

AWSアカウントのAmazon EC2インスタンスとAmazon WorkSpacesがロードされます。

クラウドアカウントを編集する

Deep Security Managerで、クラウドアカウントの設定を編集できます。AWSアカウントにAmazon WorkSpacesを含めるよう設定する必要がある場合などに、この編集が必要になることがあります。クラウドアカウントを編集するには、次の手順に従います。

  1. Deep Security Managerにログインします。
  2. 上部の [コンピュータ] をクリックします。
  3. 左側にあるクラウドアカウント名を右クリックし、[プロパティ] を選択します。
  4. 設定を編集して、[OK] をクリックします。

Managerからクラウドアカウントを削除する

クラウドアカウントをDeep Security Managerから削除すると、そのアカウントはDeep Securityのデータベースとそのベースとなるコンピュータから削除されます。クラウドプロバイダのアカウントに影響はありません。また、インスタンスにインストールされていたDeep Security Agentはアンインストールされず、実行と保護が継続します (ただしセキュリティアップデートは受信しなくなります)。クラウドアカウントからコンピュータを再インポートすると、Deep Security Agentによって、次回の予約時に最新のセキュリティアップデートがダウンロードされます。

  1. Deep Security Managerで、上部の [コンピュータ] をクリックします。
  2. ナビゲーションパネルでクラウドアカウントを右クリックし、[クラウドアカウントの削除...] を選択します。
  3. アカウントを削除することを確認します。
    アカウントがDeep Security Managerから削除されます。