概要
当エントリーでは、Trend Micro Cloud One Conformity(以後C1C)に関し対象AWSアカウントの追加手順について紹介します。
GUIの製品画面は、執筆時点(2021/10)の内容となっており最新のものと一部異なる可能性があります。
先にネタばらしをしてしまいますが、AWS環境の場合は導入手順がとっても簡単で数分で完了します。
- 概要
- 手順
- 1.C1C管理コンソールにログイン
- 2.Add new Account 画面にAWS Accountを選択
- 3.Account details
- 4.Choose the authentication type
- 5. To configure your account using CloudFormation automation
- 6.対象アカウントのAWSマネジメントコンソールへサインイン
- 7.AWS CloudFormation template をダウンロードして確認(レビュー)する
- 8. スタックの実行
- 9.作成したIAMロールのARN取得
- 10. ARNの指定
- 11.登録と初回チェックの実行
- 12.AWSアカウント登録完了
- まとめ
手順
1.C1C管理コンソールにログイン
Accountsタブの左ペイン下にある [Add an account] を押下します
(参考) 別経路から登録
Administration -> Subscription 画面からも同様にアクセス可能です
2.Add new Account 画面にAWS Accountを選択
今回はAWSアカウントの追加手順なので AWS Account を選択し、[Next]を押下します
3.Account details
以下2項目を設定し、[Next]を押下します。
| 項目 | 詳細 |
|---|---|
| Account name | C1C上でのAWSアカウント名の表示名を指定項目 |
| Environment | AWSアカウント用途の表示項目 (Dev,Stg,Prod等) |
両項目とも一般的に管理組織として対象アカウントの通称名だったり人間が判りやすく管理出来る名称であればなんでも構いません。
Environmentには例として書いてある通り、用途を規則性正しく付与すると検索フィルタでも利用ができる為、管理がしやすくなります。
どちらも後に気軽に変更可能な項目となります。
(参考) 上の画面の指定通り、作成を進めると最終的に以下の様な見た目となります。
(参考) 以下YouTubeで動画の手順が埋め込まれており、説明書を読むのが苦手なタイプの方にも配慮がされています。今どきって感じですね。
4.Choose the authentication type
Automated setup のラジオボタンを選択されている状態(デフォルト)で [Next]を押下します。
(参考) Manual setupは、Trend Micro社の用意したAWS CloudFormationテンプレートではなく手動で IAMロールやIAMポリシーを作成していくという手順になります。
何らかの理由でAWS CloudFormationを利用できないケース以外はただの手間で作業品質も下がる為、思いつく限り内部設定の学習用途以外でメリットはありません。
5. To configure your account using CloudFormation automation
CloudFormationの実行およびARN取得の手順が示されるので読んで内容を把握していきます。
※ 赤い枠は私が描画した訳ではなく、元からこういう画面ですのでご注意ください
書いてあるとおりですが、以下内容を確認できます。
- 1.ブラウザの別タプでターゲットのAWSアカウントへサインインする
- 2.CloudFormatioテンプレートをダウンロードし中身をレビューする
- 3.[Launch Stack]をクリックする事でスタック作成画面に遷移可能
- 4.スタック作成画面で
AWS CloudFormationによって IAMリソースがカスタム名で作成される場合があることを承諾しますにチェックを入れて実行する - 5.スタック作成が完了したら、出力タブから CloudConformityRoleArnをコピーして下のARNの枠に貼り付ける
続けて順に実施していきます。
6.対象アカウントのAWSマネジメントコンソールへサインイン
同ブラウザの別タブ で導入対象アカウントのAWSマネジメントコンソールにサインインします。
認証が通過してさえいれば良いので、このようなトップ画面となっていればその状態で構いません。
このタイミングで、AWSアカウントIDが対象のもので正しい事を指差し確認 する事をオススメします。
7.AWS CloudFormation template をダウンロードして確認(レビュー)する
C1C管理コンソールの画面(同ブラウザの別タブ)に戻り、CloudFormation template のリンクを押下します。
CloudConformity.template というファイル名でローカルにダウンロードされるので内容に問題がない事を確認します。
(参考) CloudConformity.template の内容
中身を確認すると、CloudConformityRole という IAMロールに CloudConformityCustomPolicyPart1 と Part2という IAMポリシーが関連付けられているリソースが作成される事がわかります。
8. スタックの実行
C1C管理コンソール画面の Click [Launch Stack] を押下します。
別タブで、ログイン済みのAWSアカウント環境で AWS CloudFormation のスタック作成画面に遷移します。 リージョンはus-east-1(バージニア北部)で実行する挙動がデフォルトです。
ここでも念の為、対象AWSアカウントIDが正しい事を指差し確認 してください。
続けて、画面下の以下ラジオボタンにチェックを入れ、[スタックの作成] を押下します。
- [ ] AWS CloudFormationによって IAMリソースがカスタム名で作成される場合があることを承諾します
9.作成したIAMロールのARN取得
スタックが正常に作成された(左ペインが CREATE_COMPLETE となったら) 出力タブを表示し、
CloudConforomityRoleArn の値にある以下 ARN を全選択してコピーしておきます。
arn:aws:iam::XXXXXXXXXXX:role/CloudConformity
10. ARNの指定
C1C管理コンソール画面(同ブラウザの別タブ)に戻り、上の手順でコピーした内容をARNの枠に貼り付けて [Next]を押下します。
11.登録と初回チェックの実行
ARNで指定したIAMロール経由でアクセスかが内部でチェックされ問題無ければ以下メッセージが表示されるので [Next]を押下します。
「We have successfully set up your account!」
すると、AWSアカウント登録時の初回チェックが開始されるのでしばし待ちます。
601ルール項目のチェックがされましたが、2-3min程度で完了しました。
※ちなみに当環境は必要最小限の初期設定を行ったほぼ初期状態の環境(リソース250以下)となりますので、リソースの多い本番環境ではそれなりに時間を要す事が想定されます。
12.AWSアカウント登録完了
スキャンが完了すると新たなアカウントにタブが選択され、以下のような画面が描画されます。
これにてC1CへAWSアカウントの新規登録作業は完了です。
早速画面で表示が確認できますが、Very Highリスクが2件検知されているのでまずは確認と対応を進めたり、上にメッセージが出ている通りリアルタイムスキャンを有効化をしたり、C1Cの機能を活用してセキュアなAWS環境を維持管理していきましょう。
まとめ
C1CにAWSアカウントを追加する手順について紹介しました。 AWSアカウントの追加については非常に簡単であるイメージが伝われば幸いです。
