檢視次數:
Trend Vision One 中的 AWS 帳戶現在由雲端帳戶應用程式管理。要新增 AWS 帳戶,請參閱 使用 CloudFormation 新增 AWS 帳戶
您仍然可以使用 API 將新帳戶添加到 伺服器與工作負載保護。但是,趨勢科技 建議使用雲端帳戶應用程式,該應用程式提供更先進的雲端安全性和 XDR 功能。以下主題僅供參考。
此頁面說明如何啟動內建代理的 Amazon EC2 實例和 Amazon WorkSpaces。
如需了解如何使用伺服器與工作負載保護保護現有的 Amazon EC2 實例和 Amazon WorkSpaces,請參閱在 Amazon EC2 和 WorkSpace 實例上安裝代理
如需在已保護您的 Amazon EC2 執行個體後,了解如何保護 Amazon WorkSpaces,請參閱如果您已新增 AWS 帳戶,保護 Amazon WorkSpaces
將代理程式嵌入是指根據公共 AMI 啟動 EC2 實例,在其上安裝代理程式,然後將此自訂 EC2 映像保存為 AMI。此 AMI(已嵌入代理程式)可以在啟動新的 Amazon EC2 實例時選擇。
同樣地,如果您想在多個 Amazon WorkSpaces 上部署代理,您可以創建一個包含代理的自訂 WorkSpace 套件。然後在啟動新的 Amazon WorkSpaces 時可以選擇此自訂套件。
要烘焙 AMI 並創建具有預安裝和預啟動代理的自訂 WorkSpace 套件,請按照以下步驟操作:

步驟

  1. 將您的 AWS 帳戶新增至 伺服器與工作負載保護
  2. 配置啟用類型
  3. 啟動主Amazon EC2 實例或 Amazon WorkSpace
  4. 在主機上部署代理程式
  5. 驗證代理程式是否已正確安裝和啟用
  6. 設定政策自動分配
  7. 根據母版建立 AMI 或自訂 WorkSpace 套件
  8. 使用 AMI

將您的 AWS 帳戶新增到 伺服器與工作負載保護 上層主題

配置啟用類型 上層主題

您需要指示是否允許代理啟動的啟用。欲了解指示,請參閱在 Amazon EC2 和 WorkSpaces 上安裝代理 > 配置啟用類型

啟動主 Amazon EC2 實例或 Amazon WorkSpace 上層主題

您需要啟動一個主 Amazon EC2 實例或 Amazon WorkSpace。主實例是您稍後將創建的 EC2 AMI 或 WorkSpace 套件的基礎。

步驟

  1. 在 AWS 中,啟動 Amazon EC2 實例或 Amazon WorkSpace。詳情請參閱 Amazon EC2 文件Amazon WorkSpaces 文件
  2. 呼叫實例主機。

在主機上部署代理 上層主題

您需要在主機上安裝並啟動代理。在此過程中,您可以選擇性地安裝策略。欲了解指示,請參閱在 Amazon EC2 和 WorkSpaces 上安裝代理 > 將代理部署到您的 Amazon EC2 實例和 WorkSpaces以獲取指示。
理想情況下,如果您將代理嵌入到您的 AMI 或工作區捆綁包中,然後想要稍後使用較新的代理,您應該更新捆綁包以包含新代理。不過,如果這不可能,您可以使用啟動時自動升級代理設置,這樣當 AMI 或捆綁包中的代理啟動時,伺服器與工作負載保護 可以自動將代理升級到最新版本。詳情請參閱 啟動時自動升級代理

驗證代理程式是否已正確安裝和啟用 上層主題

在繼續之前,您應該確認代理已在主機上正確安裝和啟用。欲了解指示,請參閱在 Amazon EC2 和 WorkSpaces 上安裝代理 > 確認代理已正確安裝和啟用

設定政策自動分配 上層主題

根據您在主機上部署代理的方式,您可能需要選擇性地設置策略自動分配:
  • 如果您使用了部署程式檔,那麼已經分配了政策,無需進一步操作。
  • 如果您手動安裝並啟用了代理,則未分配任何策略給代理,現在應該分配一個策略以保護主機。基於主機啟動的 Amazon EC2 實例和 Amazon WorkSpaces 也將受到保護。
如果您想將政策指派給主機,並自動將政策指派給使用主機啟動的未來 EC2 實例和 WorkSpaces,請按照以下說明操作:

步驟

  1. 伺服器與工作負載保護 主控台中,使用以下參數建立一個基於事件的任務:
    • 「事件」設為「Agent-Initiated Activation」
    • 「Assign Policy」設置為您想要指派的政策。
    • 選擇性地設定條件至「Cloud Instance Metadata」,使用以下任一
      • 「EC2」「tagKey」「True」「tagValue.」(適用於 EC2 實例)
      • 「WorkSpaces」「tagKey」「True」「tagValue.」(適用於 WorkSpaces)
    前述事件驅動的任務顯示:
    當代理程式啟動時,指派指定的政策,條件是 Amazon EC2 實例或 WorkSpace 中存在 EC2=trueWorkSpaces=true
    如果該鍵/值對不存在於 EC2 實例或 WorkSpace 中,則不會分配策略(但代理仍然會被激活)。如果您未指定條件,則在激活時無條件分配策略。
    如需有關建立事件型任務的詳細資訊,請參閱 根據 AWS EC2 實例標籤自動指派政策
  2. 如果您在上一步中在伺服器與工作負載保護控制台中添加了一個鍵/值對,請執行以下操作:
    1. 前往 AWS。
    2. 尋找您的主 EC2 實例或 WorkSpace。
    3. 使用「機碼」「EC2」「WorkSpaces」以及「Value」「True」向主機添加標籤。詳細資訊請參閱此Amazon EC2 標籤文檔和此Amazon WorkSpace 標籤文檔。您現在已設置策略自動指派。使用主機啟動的新 Amazon EC2 實例和 Amazon WorkSpaces 會自動激活(因為代理已在主機上預先激活),然後通過基於事件的任務自動指派策略。
  3. 在主 EC2 實例或 WorkSpace 上,透過重新執行代理的啟動命令或點擊 「Reactivate」 按鈕來重新啟動代理,位於 伺服器與工作負載保護 控制台中。詳情請參閱 啟動代理。 重新啟動會使基於事件的任務指派策略給主機。主機現在已受到保護。

接下來需執行的動作

您現在已準備好製作您的 AMI 或建立自訂的 WorkSpace 套件。

根據主機建立 AMI 或自訂 WorkSpace 套件 上層主題

從 AWS 建立 AMI 時,請記得在建立之前「stop」實例,並且不要選擇 AWS 選項「No reboot」。使用「No reboot」選項建立的映像將不受代理保護。
您現在擁有一個包含預安裝和預啟動代理的 AMI 或 WorkSpace 套件。

使用 AMI 上層主題

現在您有了自訂的 AMI 或 WorkSpace 套件,您可以將其用作未來 Amazon EC2 執行個體和 Amazon WorkSpaces 的基礎。使用自訂的 AMI 或套件,代理程式會自動啟動、自行啟用並套用分配給它的保護政策。它會在 伺服器與工作負載保護 主控台中顯示,狀態為已管理,旁邊有一個綠點。