Amazon Web Services(AWS)の統合

ここでは、Identity Security Posture Management(ISPM)をAmazon Web Services(AWS)組織に統合する手順について説明します。

この手順では、管理アカウント用のCloud Formation Stackを使用して読み取り専用ロールを作成する必要があります。また、メンバーアカウント用にCloud Formation StackSetを使用して読み取り専用ロールを作成する必要もあります。AWSとISPMを統合する際には、スタックとスタックセットの[External ID(外部ID)]を含めることが重要です。作成したロールでは、ISPMが以下にアクセスできるようになります。

  • 構成およびリソースメタデータ

  • AWS IAM Identity CenterとDirectory Serviceの設定

  • CloudTrailログ

開始する前に

  1. AWS管理アカウントにアクセスできる必要があります。管理アカウントにサインインしていることを確認するには、以下の手順を実行します。

    1. AWSコアカウントにサインインします。

    2. アカウント名をクリックします。

    3. [Organization]を選択します。

    管理アカウントにログインしている場合は、組織の階層を表示できます。

  2. Identity Security Posture Managementコンソールで[Settings(設定)][Sources gallery(ソースギャラリー)]に移動します。

    1. [Amazon Web Services]を選択します。

    2. ISPMから提供された外部IDをコピーして安全な場所に保管します。

管理アカウントにIAMロールを作成する

  1. 管理アカウントのAWSコンソールに進み、CloudFormationを検索します。

  2. [Stacks(スタック)]を選択します。

  3. [Create stack(スタックを作成)]をクリックし、ドロップダウンメニューから[With new resources (standard)(新しいリソース(標準))]を選択します。

  4. [Prerequisite - Prepare template(前提条件―テンプレートの準備)]セクションで、[Template is ready(テンプレート準備完了)]を選択します。

  5. [Specify template(テンプレートの指定)]セクションで、テンプレートのソースに[Amazon S3 URL]を選択します。

  6. 次のURLを入力します:https://spera-prod-public.s3.us-west-1.amazonaws.com/integrations/aws/spera-prod-cloud-formation-0429d3.json

  7. [Next(次へ)]をクリックします。

  8. [Specify stack details(スタック詳細の指定)]ページで、スタック名(例:OktaISPMstack)と先ほどISPMコンソールからコピーした外部IDを入力します。

  9. [Next(次へ)]をクリックします。

  10. [Configure stack options(スタックオプションの構成)]ページの一番下までスクロールし、[Next(次へ)]をクリックします。

  11. ページの詳細を確認します。

  12. ページの一番下までスクロールし、[I acknowledge that AWS CloudFormation might create IAM resources with custom names(AWS CloudFormationがカスタム名でIAMリソースを作成する可能性があることを了承する)]チェックボックスを選択します。

  13. [Submit(送信)]をクリックします。

  14. [CloudFormation] [Stacks(スタック)]に戻ります。

  15. スタックのステータスを確認します。AWSがスタックを実行するまで待機しなければならないことがあります。実行が成功した場合、ステータスはCREATE_COMPLETEと表示されます。

すべてのメンバーアカウントにIAMロールを作成する

  1. AWSコンソールに進み、CloudFormationを検索します。

  2. StackSetsを選択します。

  3. 任意。信頼済みアクセスを有効にするための通知が表示されたら、[Enable trusted access(信頼済みアクセスを有効にする)]をクリックします。

  4. [Create StackSet(StackSetを作成)]をクリックします。

  5. [Permissions(権限)]セクションで、[Service-managed permissions(サービス管理対象権限)]を選択します。

  6. [Specify template(テンプレートの指定)]セクションで、テンプレートのソースに[Amazon S3 URL]を選択します。

  7. 次のURLを入力します:https://spera-prod-public.s3.us-west-1.amazonaws.com/integrations/aws/spera-prod-cloud-formation-0429d3.json

  8. [Next(次へ)]をクリックします。

  9. 次の情報を入力します。

    • 管理アカウントにIAMロールを作成する際に作成したスタックの名前。たとえば、OktaISPMstackです。

    • 先ほどISPMコンソールからコピーした外部ID。

  10. [Next(次へ)]をクリックします。

  11. [Execution configuration(構成の実行)]セクションで、[Inactive(非アクティブ)]を選択し、[Next(次へ)]をクリックします。

  12. [Deployment targets(導入先)]セクションで、[Deploy to organization(組織に導入)]を選択します。

  13. [Auto-deployments(自動導入)] [Automatic deployment(自動導入)]に進み、[Enabled(有効)]を選択します。

  14. [Specify regions(リージョンを指定)]セクションで、[US East (N. Virginia)(米国東部(ヴァージニア州北部))] を選択します。

  15. [Next(次へ)]をクリックします。

  16. ページの詳細を確認します。

  17. ページの一番下までスクロールし、[I acknowledge that AWS CloudFormation might create IAM resources with custom names(AWS CloudFormationがカスタム名でIAMリソースを作成する場合があることを了承します)]チェックボックスを選択します。

  18. [Submit(送信)]をクリックします。実行が成功すると、ステータスはSUCCEEDEDと表示されます。

これらの手順を終えても、スタックとStackSetを削除しないでください。統合のために生成されたリソースが必要です。

ISPMとパラメーターを共有する

  1. 管理アカウントにサインインしていることを確認します。
  2. 組織名をクリックすると、アカウントIDが表示されます。

  3. Identity Security Posture Managementコンソールで[Settings(設定)][Sources gallery(ソースギャラリー)]に移動します。

  4. [Amazon Web Services]を選択します。
  5. アカウントIDを入力します。
  6. [Submit(送信)]をクリックします。
  7. ISPMが監視するアカウント(テナント)を選択します。

  8. [Continue(続行)]をクリックします。