開始する前に

• アカウントを構成してデータを収集するには、次の手順を実行します。
  • 設定する Amazon Web Services アカウントの ID があることを確認します。アカウントには、IAM ロールの作成、接続スクリプトの実行、アクセス キーのエクスポートを実行するのに十分な権限が必要です。
  • AWS コンソールを使用してアカウントにアクセスし、アカウントを確認します。
  • AWS CLI をインストールするか、AWS CloudShell を使用します。AWS CLI のドキュメントまたはAWS CloudShell のドキュメントの手順を参照してください。
  • アカウントを VMware Aria Hub プロジェクトに関連付ける場合は、プロジェクトが作成済みであることを確認します。手順については、プロジェクトの追加を参照してください。
• アカウントのイベント監視を構成して、次のスキャンを待機せずに、構成の誤りや脆弱性に関するリアルタイムの調査結果情報を受信できるようにするには、次の手順を実行します。
  1. 次の IAM ポリシーを設定して、AWS アクセス キーと AWS シークレット アクセス キーをエクスポートできるようにします。

     {
         "Version": "2012-10-17",
         "Statement": [
             {
                 "Effect": "Allow",
                 "Action": [
                     "sns:*",
                     "cloudtrail:*",
                     "cloudformation:*",
                     "events:*",
                     "iam:*",
                     "ec2:DescribeRegions"
                 ],
                 "Resource": "*"
             }
         ]
     {

  2. AWS CloudTrail を有効にします。
  3. AWS CLI をインストールします。AWS CLI に関するドキュメントの手順を参照してください。
  4. AWS アクセス キーと AWS シークレット アクセス キーをエクスポートします。AWS 環境変数に関するドキュメントの手順を参照してください。キーをエクスポートするには、ユーザーが AWS CloudFormation、AWS Events Rule、AWS SNS Topic、AWS SNS Topic Policy にアクセスできる必要があります。
• 昇格した認証情報を構成するには、次の手順を実行します。
  • AWS CLI をインストールします。AWS CLI に関するドキュメントの手順を参照してください。
  • VMware Cloud Services トークンを作成します。
    1. 右上にあるユーザー名と組織名が表示された [ユーザー/組織設定] メニューを開き、[マイ アカウント] をクリックします。
    2. [API トークン] タブをクリックして、[新しい API トークンの生成] をクリックします。
    3. [名前] を入力します。例：VMware Aria Hub。
    4. [トークン TTL] を [無期限] に設定します。
    5. [範囲の定義] セクションで、次のロールを選択します。

       トークンを設定できるようにするには、まず組織内で以下のロールを自分に割り当てる必要があります。

       • [組織ロール] > [すべての組織ロール] の順に移動し、[組織の所有者] ロールを選択します。
       • VMware Aria Hub を検索し、[Aria Hub 管理者] ロールを選択します。
       • Secure State を検索し、[セキュア状態管理者] ロールを選択します。
    6. [生成] をクリックします。
    7. アカウントの構成に使用するトークンをコピーして保存します。

単一の AWS アカウントの追加

このワークフローを使用して、単一のアカウントを追加します。このプロセスは、管理対象の AWS アカウントが多くない場合に便利です。VMware Aria Hub を初めて使用する場合は、VMware Aria Hub によるリソースの管理方法を理解するのに役立ちます。

1. VMware Aria Hub で、[構成] > [アカウント] の順に選択してから、[新しいアカウント] をクリックします。
2. [Amazon Web Services] をクリックし、[単一アカウント] を選択して [構成] をクリックします。
   
   
3. [アカウント情報] セクションで、有用なアカウント情報を入力します。
   
   
   1. 名前とアカウント ID を入力します。
   2. プロジェクトを操作する場合は、AWS アカウントに関連付ける VMware Aria プロジェクトを選択します。
   3. [環境] を使用して、VMware Aria Hub の一部の機能で使用されるアカウントに説明的なメタデータを追加できます。

      たとえば、prod、dev、test などの環境を追加して選択した場合、特定の環境にガバナンス ポリシーを適用できます。その後、環境に基づいて検索し、本番環境のリソースにポリシーを適用することもできますが、開発時やテスト時には適用できません。

   4. 所有者名とメール アドレスを入力します。
   5. [次へ] をクリックします。
4. [アカウントを接続] セクションで、画面の手順に沿って AWS インスタンスで最小限の権限を持つアカウントを設定し、この画面の IAM ロール ARN と外部 ID を更新します。

   参考までに、ユーザー インターフェイスで提示される手順を以下の手順でも説明します。

   
   
   
   1. ブラウザ タブを開き、読み取り専用ロールを作成するアカウントでログインします。
   2. 手順 1 で、[Aria 用の AWS IAM ロールの作成] をクリックします。

      別の AWS アカウント ワークフローが AWS で開始されます。

      ほとんどの場合、 [このロールを使用できるアカウントを指定] 画面の値を変更する必要はありません。
      
      

      [次へ：権限] をクリックします。

   3. [SecurityAudit] ロールを見つけて選択します。
      
      

      [次へ：タグ] をクリックします。

   4. タグはオプションです。[次へ：確認] をクリックします。
   5. ロール名が一意であることを確認します。
      
      
   6. [ロールの作成] をクリックします。
   7. IAM ロールのリストで、ロール名をクリックします。例：VMwareAriaHub。
   8. VMware Aria Hub の [アカウントを接続] フォームの [IAM ロール ARN] に貼り付けられるように、ロールのサマリ画面で ARN をコピーします。
      
      
   9. [アカウントを接続] セクションで、[IAM ロール ARN] テキスト ボックスに ARN を貼り付けます。
   10. [アカウントを保存して続行] をクリックします。
5. [アカウントのオンボーディング] セクションで、イベント監視を有効にします。

   このクラウド アカウントのセキュリティ調査結果について最新情報を提供するイベント ストリームを設定するには、接続スクリプトを実行できるように AWS を設定する必要があります。この手順の最初に記載されている前提条件を確認します。

   接続スクリプトによって以下の権限を含むポリシーが追加され、そのポリシーが前のセクションで作成したロールに割り当てられます。

   • cloudwatch:GetMetricData と cloudwatch:ListMetrics。これらの権限は、メトリックを収集するために必要です。
   • ce:GetCostAndUsage と ce:GetCostForecast。これらの権限は、コスト情報を収集するために必要です。

   これらの収集権限に加え、ポリシーベースのロール SecurityAudit では、AWS CloudTrail からリアルタイムの最新情報を VMware Aria Hub に送信できます。

   参考までに、ユーザー インターフェイスで提示される手順を以下の手順でも説明します。

   
   
   
   1. AWS で、AWS CloudTrail を有効にします。
   2. AWS CLI をインストールします。

      この画面のリンクかこの AWS ドキュメントへのリンクから手順にアクセスできます。

   3. アクセス キーとシークレット アクセス キーをエクスポートします。

      この画面のリンクかこの AWS ドキュメントへのリンクから手順にアクセスできます。

   4. VMware Aria Hub 画面の手順 4 で、[イベント ストリームの接続] リンクをクリックしてスクリプトをダウンロードします。
   5. bash cloud_account_onboarding.sh 163091938620,<Aria role name> コマンドをコピーします。
   6. AWS CloudShell を起動し、スクリプトをアップロードします。
   7. bash コマンドを貼り付け、作成した IAM ロールを入力します。

      例：VMwareAriaHub。

   8. スクリプトを実行します。
   9. スクリプトが正常に実行されたら、VMware Aria Hub に戻ります。無償ティアを使用している場合は [完了] を、有償ユーザーの場合は [次へ] をクリックします。

      無償ティア ユーザーは、2 つのアカウントからデータを収集できます。有償ユーザーは、AWS アカウントのすべての管理機能を構成できます。

6. [昇格したアクセスの構成] セクションで、画面の指示に従って昇格したアクセス権ロールと、権限を定義する 2 つのポリシーを構成します。参考までに、ユーザー インターフェイスで提示される手順を以下の手順でも説明します。

   コマンドを実行すると、ロール VMwareAriaHubElevatedAccess が作成され、VMware Aria Hub から AWS アカウント リソースに変更を加えるのに必要最小限の IAM 権限を含む 2 つのポリシーが追加されます。たとえば、ガバナンスの調査結果に対応して、リソースをポリシーに対する準拠状態に戻す場合などです。

   
   
   
   1. AWS CLI をインストールしていることを確認します。
   2. AWS CLI を使用して、export CSP_REFRESH_TOKEN={CSP token} を実行してトークン変数を設定します。

      {CSP token} は、この手順の前提条件の一部として作成した VMware Cloud Services トークンです。

   3. AWS CLI を使用して、指定された curl コマンドを実行します。
   4. コマンドを実行したら、AWS で VMwareAriaHubElevatedAccess ロールがアカウントに存在することを確認し、確認のチェック ボックスを選択します。
   5. [保存と終了] をクリックします。
7. [アカウント] 画面で、データ ソースが追加されていること、[ステータス] が [OK] であること、[イベント監視] 状態が [接続済み] であることを確認します。

収集したデータが表示されるまでに、最長で 30 分かかる場合があります。プロセスを監視するには、[調査] > [インベントリ] の順に選択します。

複数の AWS アカウントを追加

単一アカウント方式でクラウド アカウントを 1 つずつ追加し続けることはできますが、エンタープライズ環境では手間がかかります。

組織方式を使用してアカウントをオンボーディングすると、任意の管理レベルで複数のアカウントを追加できるようになります。ただし、次の 100 アカウントに対して組織のオンボーディングを実行するまで、一度にオンボーディングできるアカウントは 100 個のみです。

この手順を使用する場合は、単一アカウント セクションでイメージと詳細情報を参照できます。順序は若干異なりますが、プロセスは同じです。

この手順では、このページのスクリプトを使用してください。これらはリソースをオンボーディングするたびにカスタマイズされます。前に使用したオンボーディング アクションのスクリプトは再利用しないでください。

1. VMware Aria Hub で、[構成] > [アカウント] の順に選択してから、[新しいアカウント] をクリックします。
2. [Amazon Web Services] をクリックし、[組織（メンバー アカウント）] を選択して、[続行] をクリックします。
   
   
3. 組織の root アカウントを追加するには、[組織の追加] ステップで [開始] をクリックします。
   1. [アカウントの追加] 画面で、追加するメンバー アカウントの root アカウント ID を入力します。

      VMware Aria Hub が管理対象のメンバー アカウントを収集できるようにするには、ここで root アカウントが必須になります。

   2. フォームに入力し、[次へ] をクリックします。

      以前にアカウントを追加したことがない場合は、このステップの前の単一アカウント セクションのステップと、その後に続くその他の詳細を参照してください。

   3. [アカウントを接続] 画面で、画面の指示に従って root アカウントの読み取り専用収集 IAM ロールを追加し、[アカウントを保存して続行] をクリックします。

      [保存] をクリックすると、VMware Aria Hub が収集ロールを使用してメンバー アカウントを検出し、管理対象のアカウントを選択できるようになります。

   4. [イベント監視の構成] 画面で、root アカウントに関して VMware Aria Hub でリアルタイム イベント レポートを取得する場合は、画面の指示に従ってイベント監視を有効にします。
   5. [昇格したアクセス権の構成] 画面で、VMware Aria Hub ユーザーとワークフローに root アカウントに対する変更を許可する場合は、画面の指示に従ってロールと 2 つの IAM 権限ポリシーを追加します。
   6. [保存と終了] をクリックします。
4. root アカウントに関連付けられている複数のメンバー アカウントを追加するには、次のステップの以下の各セクションでアカウントを選択する必要があります。

   オンボーディング ステップごとにメンバー アカウントを個別に選択できることで、VMware Aria Hub を使用したさまざまなメンバー アカウントの管理方法が選択的になります。

   表 1. 追加のウィザード ステップ

   手順	手順
   メンバー アカウントの追加	データの収集先のアカウントを選択し、各アカウントについて IAM 読み取り専用ロールを一括アクションとして構成します。 メンバー アカウントを追加します。 IAM 読み取り専用収集ロールを構成します。 プロジェクトへのアカウントの割り当てを含む、アカウントのプロパティを編集します。 プロジェクトは、アクセスを管理するためにガバナンスによって使用されます。 アカウントをオンボーディングします。
   イベント監視の構成	リアルタイムのイベント データを収集するアカウントを選択し、イベント 監視を構成します。 メンバー アカウントを追加します。 イベント監視を構成します。
   昇格されたアクセス権の構成	昇格した認証情報を管理および構成するアカウントを選択します。 メンバー アカウントを追加します。 AWS CLI をインストールします。 CLI を使用して、export CSP_REFRESH_TOKEN={CSP token} を実行してトークン変数を設定します。 {CSP token} は、この手順の前提条件の一部として作成した VMware Cloud Services トークンです。 指定された curl コマンドを実行します。 AWS で、各アカウントに VMwareAriaHubElevatedAccess ロールが存在することを確認します。

5. [保存と終了] をクリックします。
6. [アカウント] ページで、追加したアカウントが個別のエントリとしてテーブルに含まれていることを確認します。

次の手順

• 収集したデータが表示されるまでに、最長で 30 分かかる場合があります。プロセスを監視するには、[調査] > [インベントリ] の順に選択します。
• AWS アカウントに変更を加える必要がある場合は、[構成] > [アカウント] を選択し、ターゲット アカウントの詳細を展開して、[アカウントの編集] をクリックするか個々のアカウントのプロパティを編集します。