Trend Vision One のAWSアカウントは、Cloud Accountsアプリで管理されるようになりました。新しいAWSアカウントを追加するには、CloudFormation を使用して AWS アカウントを追加 を参照してください。
API を使用して、新しいアカウントを Server & Workload Protectionに追加することもできます。ただし、 トレンドマイクロ では、より高度なクラウド セキュリティと XDR 機能へのアクセスを提供するクラウド アカウント アプリを使用することをお勧めします。次のトピックは参照のみを目的としています。
このページでは、エージェントが組み込まれた状態で新しいAmazon EC2インスタンスとAmazon WorkSpacesを起動する方法について説明します。
既存のAmazon EC2インスタンスおよびAmazon WorkSpacesをServer & Workload Protectionで保護する方法については、Amazon EC2およびWorkSpaceインスタンスにエージェントをインストールするを参照してください。
Amazon EC2インスタンスを保護した後にAmazon WorkSpacesを保護する方法については、AWSアカウントを既に追加した場合のAmazon WorkSpacesの保護を参照してください。
エージェントのベーキングは、パブリックAMIに基づいてEC2インスタンスを起動し、その上にエージェントをインストールしてから、このカスタムEC2イメージをAMIとして保存するプロセスです。このエージェントがベイクされたAMIは、新しいAmazon
EC2インスタンスを起動する際に選択できます。
同様に、複数のAmazon WorkSpacesにエージェントを展開したい場合は、エージェントを含むカスタムWorkSpaceバンドルを作成できます。新しいAmazon
WorkSpacesを起動する際に、そのカスタムバンドルを選択できます。
AMIを統合し、事前にインストールされ、有効化されたAgentを使用してカスタムWorkSpaceバンドルを作成するには、次の手順に従います。
手順
AWSアカウントを Server & Workload Protectionに追加する
有効化の種類を設定する
エージェントによるアクティベーションを許可するかどうかを指定する必要があります。手順については、Amazon EC2およびWorkSpacesにエージェントをインストールする > アクティベーションタイプを構成するを参照してください。
マスターAmazon EC2インスタンスまたはAmazon WorkSpaceを起動します
マスターAmazon EC2インスタンスまたはAmazon WorkSpaceを起動する必要があります。マスターインスタンスは、後で作成するEC2 AMIまたはWorkSpaceバンドルの基礎となります。
手順
- AWSで、Amazon EC2インスタンスまたはAmazon WorkSpaceを起動します。詳細については、Amazon EC2ドキュメントおよびAmazon WorkSpacesドキュメントを参照してください。
- インスタンスマスターを呼び出します。
Agentをマスターにインストールする
マスターにエージェントをインストールしてアクティベートする必要があります。このプロセス中に、オプションでポリシーをインストールすることができます。手順については、Amazon EC2およびWorkSpacesにエージェントをインストールする > Amazon EC2インスタンスおよびWorkSpacesにエージェントをデプロイするを参照してください。
理想的には、 エージェントをAMIまたはワークスペースバンドルに組み込み、後で新しいエージェントを使用する場合は、バンドルをアップデートして新しいエージェントを含める必要があります。ただし、それが不可能な場合は、[アクティベーション時にエージェントが自動的にアクティベートされたときに、
Server & Workload Protection がエージェントを最新バージョンに自動的にアップグレードできます。詳細については、有効化時にAgentを自動的にアップグレードする。
Agentが適切にインストールされ有効化されたことを確認する
続行する前に、エージェントがマスターに正しくインストールされ、アクティブ化されていることを確認してください。手順については、Amazon EC2およびWorkSpacesにエージェントをインストールする > エージェントが正しくインストールされ、アクティブ化されていることを確認するを参照してください
ポリシーの自動割り当ての設定
場合によっては、マスター上でエージェントを展開した方法に応じて、ポリシーの自動割り当てを設定する必要があるかもしれません。
- インストールスクリプトを使用した場合、ポリシーはすでに割り当てられており、追加の処理は必要ありません。
- エージェントを手動でインストールして有効化した場合は、 エージェントにポリシーが割り当てられていません。この時点でポリシーを割り当てて、マスターを保護する必要があります。マスターに基づいて起動されたAmazon EC2インスタンスとAmazon WorkSpacesも保護されます。
マスターにポリシーを割り当て、マスターを使用して今後EC2インスタンスまたはWorkSpaceにポリシーを自動割り当てする場合は、次の手順に従います。
手順
- Server & Workload Protection コンソールで、次のパラメータを使用してイベントベースのタスクを作成します。
- [イベント]を[Agent-Initiated Activation]に設定します。
- [Assign Policy]を割り当てたいポリシーに設定します。
- オプションで、[Cloud Instance Metadata]に条件を設定し、次のいずれかを選択します
- [EC2]の[tagKey]と[True]の[tagValue.](EC2インスタンス用)
- [WorkSpaces]の[tagKey]と[True]の[tagValue.](WorkSpaces用)
前述のイベントベースのタスクでは、次のように記述されています。エージェントの有効化時に、指定されたポリシーを割り当てます。EC2=true
またはWorkSpaces=true
がAmazon EC2インスタンスまたはWorkSpaceに存在すること。そのキー/値ペアがEC2インスタンスまたはWorkSpaceに存在しない場合、ポリシーは割り当てられません (ただし、エージェントは有効化されたままです)。条件を指定しない場合、ポリシーはアクティベーション時に無条件で割り当てられます。イベントベースのタスクの作成に関する詳細は、AWS EC2インスタンスタグに基づいてポリシーを自動的に割り当てるを参照してください。 - 前の手順で Server & Workload Protection コンソールにキー/値のペアを追加した場合は、次の手順を実行します。
- AWSにログインします。
- マスターEC2インスタンスまたはWorkSpaceを特定します。
- [キー]が[EC2]または[WorkSpaces]であり、[値]が[True]であるマスターにタグを追加します。詳細については、このAmazon EC2 のタグ付けに関するドキュメントおよびこのAmazon WorkSpace のタグ付けに関するドキュメントを参照してください。これでポリシーの自動割り当てが設定されました。マスターを使用して起動された新しい Amazon EC2 インスタンスと Amazon WorkSpaces は自動的にアクティブ化され (マスター上でエージェントが事前にアクティブ化されているため)、その後イベントベースのタスクを通じてポリシーが自動的に割り当てられます。
- マスターEC2インスタンスまたはWorkSpaceで、エージェントのアクティベーションコマンドを再実行するか、Server & Workload Protectionコンソールの[Reactivate]ボタンをクリックしてエージェントを再アクティベートします。詳細はエージェントのアクティベートを参照してください。再アクティベーションにより、イベントベースのタスクがポリシーをマスターに割り当てます。マスターはこれで保護されます。
次に進む前に
AMIまたはカスタムWorkSpaceバンドルを作成する準備ができました。
マスターに基づいてAMIまたはカスタムWorkSpaceバンドルを作成する
AWSからAMIを作成する際は、作成前にインスタンスを[stop]し、AWSオプション[No reboot]を選択しないでください。[No reboot]オプションで作成されたイメージはエージェントによって保護されません。
- LinuxまたはWindowsでAMIを作成するには、Amazon EBSバックアップAMIの作成を参照してください。
- カスタムWorkSpaceバンドルを作成するには、WorkSpaces Personal用のカスタムWorkSpacesイメージとバンドルを作成するを参照してください。
現在、事前にインストールおよびアクティベートされたエージェントを含むAMIまたはWorkSpaceバンドルがあります。
AMIを使用する
カスタムAMIまたはWorkSpaceバンドルを入手したので、今後のAmazon EC2インスタンスおよびAmazon WorkSpacesのベースとして使用できます。カスタムAMIまたはバンドルを使用すると、
エージェントが自動的に起動してアクティベートされ、割り当てられた保護ポリシーが適用されます。 Server & Workload Protection コンソールでは、ステータスが [管理対象] で、横に緑色の点が表示されます。