開始する前に

• アカウントを構成してデータを収集するには、次の手順を実行します。
  • Azure サービスのサブスクリプション ID があることを確認します。
  • Azure コンソールを使用してアカウントにアクセスし、アカウントを確認します。
  • アカウントを VMware Aria Hub プロジェクトに関連付ける場合は、プロジェクトが作成済みであることを確認します。手順については、プロジェクトの追加を参照してください。
• イベント監視を設定するには、以下の手順を実行します。
  • Azure Cloud Shell があることを確認するか、Azure CLI をインストールします。Cloud Shell と Azure CLI については、Microsoft Azure に関するドキュメントの手順を参照してください。
  • Azure CLI からコマンドを実行するには、リソース グループを作成する権限があることを確認します。Microsoft Azure に関するドキュメントの手順を参照してください。
  • VMware Cloud Services トークンを作成します。
    1. 右上にあるユーザー名と組織名が表示された [ユーザー/組織設定] メニューを開き、[マイ アカウント] をクリックします。
    2. [API トークン] タブをクリックして、[新しい API トークンの生成] をクリックします。
    3. [名前] を入力します。例：VMware Aria Hub。
    4. [トークン TTL] を [無期限] に設定します。
    5. [範囲の定義] セクションで、次のロールを選択します。

       トークンを設定できるようにするには、まず組織内で以下のロールを自分に割り当てる必要があります。

       • [組織ロール] > [すべての組織ロール] の順に移動し、[組織の所有者] ロールを選択します。
       • VMware Aria Hub を検索し、[Aria Hub 管理者] ロールを選択します。
       • Secure State を検索し、[セキュア状態管理者] ロールを選択します。
    6. [生成] をクリックします。
    7. アカウントの構成に使用するトークンをコピーして保存します。

単一の Microsoft Azure アカウントの追加

このワークフローを使用して、単一のアカウントを追加します。VMware Aria Hub を初めて使用する場合は、VMware Aria Hub によるリソースの管理方法を理解するのに役立ちます。

複数のアカウントを追加する場合は、アカウントごとにこのプロセスを繰り返します。

1. VMware Aria Hub で、[構成] > [アカウント] の順に選択してから、[新しいアカウント] をクリックします。
2. [Microsoft Azure] をクリックし、[単一サブスクリプション] を選択した後、[続行] をクリックします。
   
   
3. [アカウント情報] セクションで、有用なアカウント情報を入力します。
   
   
   1. [アカウント情報] セクションで、使用できる [名前] と 36 桁の [Azure サブスクリプション ID] を正しい形式で入力します。
   2. [アカウント タイプ] で、Commercial を選択します。
   3. プロジェクトを操作する場合は、Azure アカウントに関連付ける VMware Aria プロジェクトを選択します。
   4. [環境] を使用して、VMware Aria Hub の一部の機能で使用されるサブスクリプションに説明的なメタデータを追加できます。

      たとえば、prod、dev、test などの環境を追加して選択した場合、特定の環境にガバナンス ポリシーを適用できます。その後、環境に基づいて検索し、本番環境のリソースにポリシーを適用することもできますが、開発時やテスト時には適用できません。

   5. 所有者名とメール アドレスを入力します。
   6. [次へ] をクリックします。
4. VMware Aria Hub を Azure ポータルのアプリケーションとして登録し、VMware Aria Hub で以下の [アプリケーションの作成] フォームに [アプリケーション ID] と [共有プライベート キー] を追加します。

   参考までに、ユーザー インターフェイスで提示される手順を以下の手順でも説明します。

   
   
   
   1. フォームで [Azure ポータルにログイン] をクリックします。

      新しいタブで Microsoft Azure ポータルが開きます。

   2. Microsoft Azure で、Azure Active Directoryを開きます。
   3. [アプリケーション登録] をクリックします。
   4. [新規登録] をクリックします。
   5. [アプリケーション登録] 画面で、[名前] に Aria と入力します。
   6. [リダイレクト URI] では、プラットフォーム タイプとして Web を選択し、VMware Aria Hub のリダイレクト URI の手順からコピーした URL を入力します。
   7. [登録] をクリックします。
   8. アプリケーション ID をコピーし、VMware Aria Hub 画面の [アプリケーション ID] テキスト ボックスに入力します。
      
      
   9. Azure で [証明書とシークレット] をクリックして、[新しいクライアント シークレット] をクリックし、名前を入力して、生成された値をコピーします。
      
      
   10. VMware Aria Hub の [共有プライベート キー] テキスト ボックスにシークレット値を入力します。
   11. [アカウントを保存して続行] をクリックします。
5. Azure Active Directory で、VMware Aria Hub で使用するリーダー ロールを設定し、テナント ID を入力します。

   参考までに、ユーザー インターフェイスで提示される手順を以下の手順でも説明します。

   
   
   
   1. Azure の [Aria アプリケーションの概要] 画面で、[ディレクトリ（テナント）ID] をコピーします。
      
      
   2. VMware Aria Hub で、[テナント ID] テキスト ボックスにコピーした値を入力します。
   3. Azure で、最上位画面に移動して [サブスクリプション] をクリックします。
   4. サブスクリプション名をクリックします。
   5. サブスクリプションの詳細画面で、[アクセス コントロール (IAM)] をクリックします。
   6. [追加] をクリックし、[ロールの割り当てを追加] タブをクリックします。
   7. [ロール] タブで、[リーダー] ロールを検索して選択します。
   8. [メンバー] タブをクリックし、[メンバーの選択] をクリックして、VMwareAriaHub ユーザーをメンバーとして追加します。
   9. [レビューと割り当て] をクリックします。
   10. VMware Aria Hub に戻り、[アカウントを保存して続行] をクリックします。
6. [アカウントのオンボーディング] セクションで、イベント監視コストの収集を有効にします。

   このクラウド アカウントのセキュリティ調査結果について最新情報を提供するイベント監視を設定するには、接続スクリプトを実行できるように Microsoft Azure を設定する必要があります。この手順の最初に記載されている前提条件を確認します。

   参考までに、ユーザー インターフェイスで提示される手順を以下の手順でも説明します。

   
   
   
   1. Azure Cloud Shell または Azure CLI のいずれかを使用して、イベント監視設定ユーザー インターフェイスの次の手順で提供されるスクリプトを実行します。

      この手順は、Azure Cloud Shell を使用することを前提としています。

   2. スクリプトをダウンロードするには、[イベント ストリームの接続] をクリックします。
   3. Cloud Shell で、export CSP_REFRESH_TOKEN={CSP token} を実行してトークン変数を設定します。

      {CSP token} は、この手順の前提条件の一部として作成した VMware Cloud Services トークンです。

   4. bash コマンドを VMware Aria Hub からコピーし、Cloud Shell に貼り付けて実行します。
7. コストの収集を許可するには、Azure コンソールにログインします。
   1. [コストの管理と請求] サービスを開きます。
   2. [課金スコープ] をクリックし、アカウントを選択します。
   3. [[設定]] セクションで [[ポリシー]] をクリックし、[[アカウント所有者は料金を表示できます]] ポリシーを有効にします。
8. VMware Aria Hub で、[完了] をクリックします。

複数の Microsoft Azure アカウントの追加

追加する Microsoft Azure アカウントが複数ある場合は、一度に 1 つずつ追加するのではなく、[複数サブスクリプション] オプションを使用して追加できます。

一度に 100 アカウントのグループにサブスクリプションをオンボーディングできます。

次の手順を使用する際には、単一サブスクリプションの手順にある画像と詳細情報を参照できます。

この手順では必ず、そのページのスクリプトを使用してください。これらはリソースをオンボーディングするたびにカスタマイズされます。以前のオンボーディング操作で使用したスクリプトを再利用しないでください。

1. VMware Aria Hub で、[構成] > [アカウント] の順に選択します。
2. [Microsoft Azure] をクリックし、[複数サブスクリプション] を選択して、[続行] をクリックします。
   
   
3. サブスクリプションを追加するには、[サブスクリプションの追加] の手順で [開始] をクリックします。
   1. [全般情報] ページで、[アカウント タイプ] を選択します。

      その他の値は必要に応じて設定します。[次へ] をクリックします。

   2. [アプリケーションの作成] ページで、VMware Aria Hub を Azure ポータルのアプリケーションとして登録し、VMware Aria Hub のこの [アプリケーションの作成] フォームにアプリケーション ID と共有シークレット キーを追加してから、[次へ] をクリックします。

      この手順の詳細については、単一アカウントの説明を参照してください。

   3. [ロールの割り当て] ページで、VMware Aria Hub で使用するリーダー ロールを構成してテナント ID を入力した後、[次へ] をクリックします。

      この手順の詳細については、単一アカウントに関するセクションを参照してください。

   4. [サブスクリプションの選択] ページで [サブスクリプションの追加] をクリックして、VMware Aria Hub に追加するサブスクリプションを選択します。

      オンボーディングできるサブスクリプションの数は、プロセスごとに 100 個までとなります。サブスクリプションを追加するには、このワークフローを繰り返します。

      サブスクリプションの選択が完了したら、[次へ] をクリックします。

   5. 必要に応じて、[プロパティの設定] ページでさまざまなサブスクリプションのプロパティを変更します。

      サブスクリプションは、[全般情報] ページに定義されている値を継承します。複数のサブスクリプションのプロパティを変更する場合は、そのプロパティを選択して [設定の編集] をクリックします。

      目的に応じた設定が終わったら、[次へ] をクリックします。

   6. [アカウントのオンボーディング] ページで、[アカウントのオンボーディング] をクリックします。

      サブスクリプションがオンボーディングされたら、[閉じる] をクリックします。

4. [イベント監視の構成] 手順で、イベント監視コスト収集を有効にします。
   1. [サブスクリプションの選択] ページで、オンボーディングするサブスクリプションを選択し、[続行] をクリックします。
   2. [イベント監視の構成] ページの画面の指示に従います。

      この手順の詳細については、単一アカウントに関するセクションを参照してください。

   3. [完了] をクリックします。
5. [閉じる] をクリックします。
6. [アカウント] ページで、追加したサブスクリプションが個別のエントリとしてテーブルに含まれていることを確認します。

次の手順

• 収集したデータが表示されるまでに、最長で 30 分かかる場合があります。プロセスを監視するには、[調査] > [インベントリ] の順に選択します。
• Azure アカウントに変更を加える必要がある場合は、[構成] > [アカウント] を選択し、ターゲット アカウントの詳細を展開して、個々のアカウントのプロパティを編集します。