In qualità di proprietario o amministratore dell'organizzazione VMware Aria Hub, è possibile utilizzare il flusso di lavoro dell'account AWS per creare un ruolo di sola lettura IAM da utilizzare per questo account.

Prerequisiti

  • Verificare di disporre dell'ID per tutti gli account di Amazon Web Services che si intende configurare. L'account deve disporre di autorizzazioni sufficienti per creare un ruolo IAM .
  • Verificare l'account effettuando l'accesso ad esso utilizzando la console di AWS.
  • Per configurare il monitoraggio dell'evento:
    • Abilitare AWS CloudTrial.
    • Installare CLI AWS. Vedere le istruzioni nella documentazione CLI AWS.
    • Esportare la chiave di accesso AWS e la chiave di accesso segreta AWS. Vedere le istruzioni nella documentazione delle variabili di ambiente AWS. Per esportare le chiavi, l'utente deve poter accedere ad AWS CloudFormation, alla regola eventi AWS, all'argomento AWS SNS e al criterio dell'argomento AWS SNS.

Procedura

  1. In VMware Aria Hub selezionare Configura > Account.
  2. Fare clic su Nuovo account e fare clic su Amazon Web Services.
  3. Nella sezione Informazioni sull'account, immettere un nome account utile e l'ID dell'account AWS a 12 cifre, quindi fare clic su Avanti.
    Nella pagina Informazioni account è possibile specificare un nome e l'ID dell'account AWS.
  4. Nella sezione Connetti account seguire i passaggi visualizzati sullo schermo per configurare l'account con privilegi minimi nell'istanza AWS e aggiornare questa pagina con l'ARN del ruolo IAM e l'ID esterno.
    I passaggi forniti nell'interfaccia utente vengono ripetuti in questa procedura per praticità.
    La sezione dell'account di AWS Connect in Aria Hub con la casella di testo ARN ruolo IAM compilata con il valore da AWS.
    1. Aprire una scheda del browser e accedere con l'account per cui si sta creando il ruolo di sola lettura.
    2. Nel passaggio 1, fare clic su Crea ruolo IAM AWS per Aria.
      Il flusso di lavoro Altro account AWS inizia in AWS.
      Nella maggior parte dei casi non è necessario modificare i valori nella pagina Specifica account che possono utilizzare questo ruolo.
      La pagina Specifica account che possono utilizzare questo ruolo in AWS con il numero di account, la casella di controllo Richiedi ID esterno selezionata e l'ID esterno precompilato con VMWare-Aria.

      Fare clic su Avanti: autorizzazioni

    3. Individuare e selezionare il ruolo SecurityAudit.

      La pagina Collega criteri di autorizzazione in AWS con l'elenco filtrato in ReadOnlyAccess e il criterio ReadOnlyAccess selezionato nell'elenco.
      Fare clic su Avanti: tag.
    4. I tag sono facoltativi. Fare clic su Avanti: revisione.
    5. Rivedere il nome del Ruolo e verificare l'univocità.

      La pagina Revisione in AWS con VMwareAriaHub come nome del ruolo.
    6. Fare clic su Crea ruolo.
    7. Nell'elenco Ruoli IAM fare clic sul nome del ruolo. Ad esempio, VMwareAriaHub.
    8. Nella pagina di riepilogo del ruolo, copiare l'ARN in modo da poterlo incollare in ARN ruolo IAM nel modulo Connetti account in VMware Aria Hub.

      La pagina AriaReadOnlyRole in AWS con la sezione ARN evidenziata.
    9. Nella sezione Connetti account, incollare l'ARN nella casella di testo ARN ruolo IAM.
    10. Fare clic su Salva account e continua.
  5. Nella sezione Onboard account abilitare il monitoraggio degli eventi.
    Per configurare il flusso di eventi, che fornisce aggiornamenti sui risultati di sicurezza per questo account cloud, è necessario configurare AWS in modo da poter eseguire uno script di connessione. Vedere i prerequisiti all'inizio di questa procedura.

    Lo script di connessione aggiunge un criterio con le seguenti autorizzazioni e assegna il criterio al ruolo creato nella sezione precedente.

    • cloudwatch:GetMetricData e cloudwatch:ListMetrics. Queste autorizzazioni sono necessarie per raccogliere le metriche.
    • ce:GetCostAndUsage e ce:GetCostForecast. Queste autorizzazioni sono necessarie per raccogliere informazioni sui costi.

    Oltre alle autorizzazioni di raccolta, il ruolo basato sui criteri SecurityAudit consente a AWS CloudTrail di inviare aggiornamenti in tempo reale a VMware Aria Hub.

    I passaggi forniti nell'interfaccia utente vengono ripetuti in questa procedura per praticità.


    La pagina Onboard account fornisce le configurazioni di AWS in modo che sia possibile eseguire lo script Connetti flusso eventi al passaggio 4.
    1. In AWS, abilitare AWS CloudTrail.
    2. Installare CLI AWS.
      Le istruzioni sono accessibili tramite il link nella pagina o questo collegamento alla documentazione di AWS.
    3. Esportare la chiave di accesso e la chiave di accesso segreta.
      Le istruzioni sono accessibili tramite il link nella pagina o questo collegamento alla documentazione di AWS.
    4. Al passaggio 4 nella pagina VMware Aria Hub, fare clic sul link Connetti flusso eventi per scaricare lo script.
    5. Copiare il comando bash cloud_account_onboarding.sh 163091938620,<Aria role name>.
    6. Avviare AWS Cloudshell e caricare lo script.
    7. Incollare il comando bash e immettere il ruolo IAM creato.
      Ad esempio, VMwareAriaHub.
    8. Eseguire lo script.
    9. Dopo la corretta esecuzione dello script, tornare a VMware Aria Hub e fare clic su Fine.
  6. Nella pagina Account verificare che l'origine dati sia stata aggiunta, che lo stato sia OK e che lo stato di monitoraggio degli eventi sia Connesso.

Operazioni successive

La visualizzazione dei dati nella raccolta potrebbe richiedere fino a trenta minuti. Per monitorare il processo, selezionare Esplora > Inventario.