この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、菊池です。めずらしく、Deep Securityについてのエントリです。
Deep Securityでは、AWSアカウントと連携することで管理対象のリソースを自動で検出することが可能です。サードパーティの製品がAWSアカウントと連携する際には、IAMロールまたはIAMユーザを利用してAWSのAPIへの認証が必要です。IAMユーザのみの対応となる製品が多いですが、Deep SecurityではIAMロールに対応しているため、アクセスキー/シークレットキーを使わずに安全な認証が可能です。
やってみた
Deep Security as a Service(DSaaS)の環境で実際に設定してみました。公式ドキュメントにある手順にしたがって実施します。
DSaaSの場合、上記リンクの"クロスアカウントロールを使用してAWSアカウントを追加する"のケースになります。大きくは以下の2つのステップで設定します。
- IAMロールの作成
- Deep Security ManagerにIAMロールを指定
1. IAMロールの作成
まずは連携に利用するIAMロールを作成します。マネジメントコンソールから、[新しいロールの作成]を選択します。
ロールのタイプは、[クロスアカウントアクセスのロール]を指定します。
[アカウントID]には公式ドキュメントに記載のIDを入力します。[外部ID]は任意の文字列を設定できますが、十分に長いランダムな文字列にしましょう。
次にポリシーの選択です。AmazonEC2ReadOnlyAccessを選択します。
任意のロール名を入力し、作成完了です。
Deep Security Managerの設定
作成したIAMロールをDSaaSのDeep Security Managerに設定します。
コンピュータの管理画面で、左のメニューから、[AWSアカウントの追加]を選択します。
セットアップタイプは[詳細]を選択。
[クロスアカウントロールを使用]を選択し、1.で作成したIAMロールのARNと外部IDを入力します。
設定が完了するのを待ちます。
問題なければ、AWSアカウント上のインスタンスが検出されます。すでにDeep Security Agentを設定してあるインスタンスがあれば、それも認識されます。
最後に
以上です。
Deep Security as a Serviceでは、アクセスキー/シークレットキーが必要なIAMユーザではなく、IAMロールを使った安全な認証が可能です。サードパーティにもIAMロールを使った連携が広がっていくのは嬉しいですね。