クラウド アカウント管理者は、最初に Carbon Black Cloud のクラウド アカウントとユーザーの AWS アカウントの間に信頼関係を確立する必要があります。したがって、必要に応じてユーザーのアカウントと通信できます。

IAM ロールを持つ AWS アカウント間でクロストラストを作成する方法に関する AWS チュートリアルがありますが、この手順には、Carbon Black Cloud にオンボーディングする AWS アカウントの AWS 管理コンソールでの追加の設定が含まれています。AWS チュートリアルについては、IAM チュートリアル:IAM ロールを使用した AWS アカウント間のアクセスのデリゲートを参照してください。

AWS アカウントからリソースのインベントリを取得するなど、Carbon Black Cloud がユーザーの AWS アカウントにリソースにアクセスできるようにするには、その AWS アカウントの IAM Amazon リソース名 (ARN) ロールを作成する必要があります。IAM ARN の詳細については、IAM 識別子を参照してください。

ARN ロールを作成するプロセスで、SecurityAudit ポリシーの権限を割り当てます。次に、アカウントの外部 ID と、AWS アカウントと通信する Carbon Black Public Cloud サービス(pc-aws-collector サービス)の ARN を定義します。外部 ID の使用方法の詳細については、AWS リソースへのアクセスをサードパーティに付与するときに外部 ID を使用する方法を参照してください。

このロールは、AWS アカウントをオンボーディングする前に作成します。

手順

  1. AWS 管理コンソールにログインして、IAM ダッシュボードに移動します。
  2. 左側のナビゲーション ペインで、[ロール] > [ロールの作成] の順に選択します。
  3. [ロールの作成] ページで、信頼できるエンティティのタイプとして [別の AWS アカウント] ボックスを選択します。
    1. このロールを使用できる Carbon Black Cloud AWS アカウントの アカウント ID を入力します。
      例: 605728677638
    2. [オプション] で、[必要な外部 ID] を選択し、Carbon Black Cloud コンソールで自動的に生成される外部 ID を指定します。
      例: 8ddd09d7-719f-50ca-1982-8f4025568265.
      外部 ID を取得するには、 Carbon Black Cloud コンソールにログインし、 [設定] > [AWS アカウント] の順に移動し、 [アカウントの追加] オプションを選択します。

      Carbon Black Cloud は、環境内のすべての組織の外部 ID を生成します。同じ組織に属するすべてのアカウントに同じ外部 ID を使用します。

  4. [次へ:権限] をクリックし、SecurityAudit ポリシーを選択します。
    SecurityAudit ポリシーでは、AWS リソースに対する読み取り専用権限が付与されます。
  5. [次へ:タグ] をクリックし、必要に応じてタグを追加します。
  6. [次へ:レビュー] をクリックし、わかりやすいロール名を入力して、[ロールの作成] を選択します。
    新しいロールが [ロール名] 列に表示されます。
  7. 新しく作成したロールを選択し、[信頼関係] > [信頼関係の編集] の順にクリックします。
    JSON ポリシー ドキュメントが開きます。
  8. [プリンシパル] > [AWS] フィールドを見つけて、Carbon Black Cloud ポイントオブプレゼンスに応じて、次のいずれかの AWS コレクタ サービスの ARN ロールを入力します。
    リージョン Carbon Black Cloudログイン URL ARN ロール
    US arn:aws:iam::132308400445:role/mcs-psc-prod-cwp-pc-aws-collector-us-east-1-pod
    ヨーロッパ https://defense-eu.conferdeploy.net arn:aws:iam::132308400445:role/mcs-psc-prod-cwp-pc-aws-collector-eu-central-1-pod
    東京 https://defense-prodnrt.conferdeploy.net/ arn:aws:iam::132308400445:role/mcs-psc-prod-cwp-pc-aws-collector-ap-northeast-1-pod
    シドニー https://defense-prodsyd.conferdeploy.net/ arn:aws:iam::132308400445:role/mcs-psc-prod-cwp-pc-aws-collector-ap-southeast-2-pod
  9. [信頼ポリシーの更新] を選択します。

次のタスク

Carbon Black Cloud コンソールに AWS アカウントを追加して、EC2 インスタンスおよびこれらの EC2 インスタンスに関連付けられているすべてのメタデータに関連するインベントリ情報を表示します。