[Deep Security] AWSアカウント連携をIAM Roleで設定する

こんにちは、菊池です。めずらしく、Deep Securityについてのエントリです。

Deep Securityでは、AWSアカウントと連携することで管理対象のリソースを自動で検出することが可能です。サードパーティの製品がAWSアカウントと連携する際には、IAMロールまたはIAMユーザを利用してAWSのAPIへの認証が必要です。IAMユーザのみの対応となる製品が多いですが、Deep SecurityではIAMロールに対応しているため、アクセスキー/シークレットキーを使わずに安全な認証が可能です。

やってみた

Deep Security as a Service(DSaaS)の環境で実際に設定してみました。公式ドキュメントにある手順にしたがって実施します。

DSaaSの場合、上記リンクの"クロスアカウントロールを使用してAWSアカウントを追加する"のケースになります。大きくは以下の2つのステップで設定します。

  1. IAMロールの作成
  2. Deep Security ManagerにIAMロールを指定

1. IAMロールの作成

まずは連携に利用するIAMロールを作成します。マネジメントコンソールから、[新しいロールの作成]を選択します。

ds-iam-001

ロールのタイプは、[クロスアカウントアクセスのロール]を指定します。

ds-iam-002

[アカウントID]には公式ドキュメントに記載のIDを入力します。[外部ID]は任意の文字列を設定できますが、十分に長いランダムな文字列にしましょう。

ds-iam-003

次にポリシーの選択です。AmazonEC2ReadOnlyAccessを選択します。

ds-iam-004

任意のロール名を入力し、作成完了です。

ds-iam-005

Deep Security Managerの設定

作成したIAMロールをDSaaSのDeep Security Managerに設定します。

コンピュータの管理画面で、左のメニューから、[AWSアカウントの追加]を選択します。

ds-iam-006

セットアップタイプは[詳細]を選択。

ds-iam-007

[クロスアカウントロールを使用]を選択し、1.で作成したIAMロールのARNと外部IDを入力します。

ds-iam-008

設定が完了するのを待ちます。

ds-iam-009

問題なければ、AWSアカウント上のインスタンスが検出されます。すでにDeep Security Agentを設定してあるインスタンスがあれば、それも認識されます。

ds-iam-010

最後に

以上です。

Deep Security as a Serviceでは、アクセスキー/シークレットキーが必要なIAMユーザではなく、IAMロールを使った安全な認証が可能です。サードパーティにもIAMロールを使った連携が広がっていくのは嬉しいですね。