3. AWSアカウントの追加

この章では、Dome9で評価するリソースの作成とAWSアカウントをDome9に登録する手順を説明します。

3.1. 評価対象のリソースを作成

Dome9で評価するリソースを作成します。 (最初に作成するのは、Dome9ではリソースを作成してから評価できるようになるまでに時間がかかるためです)

リソースの作成はCloudFormationを利用して行います。

作成される環境は以下のとおりです。

../_images/env_diag.png

  1. 【AWS】AWS コンソールにログインします。ログイン後、リージョンとして 東京リージョン が選択されていることを確認します。

../_images/dome9_1_006.png
../_images/dome9_2_001.png

  1. 【AWS】CloudFormationでリソースを作成します。[サービスを検索する]のテキストボックスに[CloudFormation]と入力します。

../_images/dome9_2_002.png

  1. 【AWS】[スタックの作成] - [新しいリソースを使用(標準)]をクリックします。

../_images/dome9_2_003.png

  1. 【AWS】[前提条件]として[テンプレートの準備完了]を選択します。 併せて、[テンプレートの指定]として[テンプレートファイルのアップロード]を選択します。以下のリンクからダウンロードしたCloudFormationテンプレートをアップロードし、[次へ]をクリックします。

https://dome9-handson-cfn-template-2020-02.s3-ap-northeast-1.amazonaws.com/handson.yml

../_images/dome9_2_004.png

  1. 【AWS】スタック名を入力し、[次へ]をクリックします。

../_images/dome9_2_005.png

  1. 【AWS】[次へ]をクリックします。

  2. 【AWS】[スタックの作成]をクリックします。

  3. 【AWS】スタックの作成が成功したことを確認します。

../_images/dome9_2_008.png

  1. 【AWS】[リソース]のタブを選択し、作成されたVPCのIDをメモします。(評価を実行する際に利用します)

../_images/dome9_2_009.png

AWSリソースの作成は以上です。 ただし、AWSのマネージメントコンソールを閉じないでください。 Dome9の設定を行うために引き続きAWSのマネージメントコンソールを操作します。

3.2. AWSアカウントの追加

Dome9にAWSアカウントを登録します。

Dome9のアカウントを作成していない場合には、サインアップを行ってください。 なお、サインアップを行う際のメールアドレスは業務で利用しているものを利用してください。 "@gmail.com"などのメールアドレスではサインアップできません。

https://secure.dome9.com/v2/register/invite

  1. 【Dome9】Dome9のアカウントにログインします。

https://secure.dome9.com/v2/login

../_images/dome9_1_001_1.png
../_images/dome9_1_001_2.png

  1. 【Dome9】表示言語を変更します。[(ログインユーザー名)] - [Language] - [日本語]をクリックします。これ以降、日本語表示になっていることを前提に説明します。

../_images/dome9_1_002.png

  1. 【Dome9】AWSアカウントの追加を開始します。[ASSET MANAGEMENT] - [On-Boarding] - [Get started with AWS]を選択します。

../_images/dome9_1_003.png

  1. 【Dome9】オペレーションモードを選択します。Dome9には2つのモードが存在します。AWSアカウントの設定を読み取って評価する[モニターモード]と、不適切な設定を自動で修正可能な[完全保護モード]です。 このハンズオンでは[完全保護モード]を選択してください。

../_images/dome9_1_004.png

  1. 【Dome9】Dome9用のポリシーの作成を開始します。以降、ブラウザに表示されている手順に従って作業を進めます。

../_images/dome9_1_005.png

  1. 【AWS】AWS コンソールにログインします。

../_images/dome9_1_006.png

  1. 【AWS】[サービス]をクリックし、[IAM]を選択します。

../_images/dome9_1_007.png

  1. 【AWS】[ポリシー]を選択し、[ポリシーを作成]ボタンをクリックします。

../_images/dome9_1_008.png

  1. 【AWS】[JSON]タブを選択します。

../_images/dome9_1_009.png

  1. 【Dome9】ポリシーをコピーし、ペーストします。

../_images/dome9_1_010_1.png
../_images/dome9_1_010_2.png

  1. 【AWS】[ポリシーの確認]をクリックします。

../_images/dome9_1_011.png

  1. 【AWS】ポリシーに[CloudGuard-readonly-policy]という名前をつけ、[ポリシーの作成]をクリックします。

../_images/dome9_1_012.png

  1. 【AWS】[ポリシーを作成]ボタンをもう一度クリックします。

../_images/dome9_1_008.png

  1. 【AWS】[JSON]タブを選択します。

../_images/dome9_1_009.png

  1. 【Dome9】ポリシーをコピーし、ペーストします。

../_images/dome9_1_015_1.png
../_images/dome9_1_015_2.png
../_images/dome9_1_015_3.png

  1. 【AWS】ポリシーに[CloudGuard-write-policy]という名前をつけ、[ポリシーの作成]をクリックします。

../_images/dome9_1_016.png

  1. 【Dome9】[次へ]をクリックします。

  2. 【AWS】[ロール] - [ロールの作成]をクリックします。

../_images/dome9_1_018.png

  1. 【AWS/Dome9】ロールタイプを選択し、[別のAWS アカウント]をクリックます。併せて、[外部IDが必要]のチェックボックスにチェックします。以下の値を入力します。[次のステップ:アクセス権限]をクリックします。

  • アカウントID : (Dome9のコンソールに表示されている12桁の数字)

  • 外部ID : (Dome9のコンソールに表示されている文字列)

  • MFAが必要 : チェックしない

../_images/dome9_1_019_1.png
../_images/dome9_1_019_2.png

  1. 【AWS】以下のポリシーを選択し、[次のステップ:タグ]をクリックします。

  • [SecurityAudit] (AWS管理ポリシー)

  • [AmazonInspectorReadOnlyAccess] (AWS管理ポリシー)

  • [CloudGuard-readonly-policy] (フィルタで「cloudguard」と検索します。)

  • [CloudGuard-write-policy]

../_images/dome9_1_020.png

  1. 【AWS】[次のステップ:確認]をクリックします。

  2. 【AWS】ロール名に[CloudGuard-Connect]という名前を付け、[ロールの作成]をクリックします。

../_images/dome9_1_022.png

  1. 【AWS】検索ボックスを使用して、前のステップで作成したロール名を探しクリックします。

../_images/dome9_1_023.png

  1. 【AWS/Dome9】ロールARNをコピーし、右の[ロールARN]フィールドにペーストします。

../_images/dome9_1_024_1.png
../_images/dome9_1_024_2.png

  1. 【Dome9】[NEXT]をクリックします。

  2. 【Dome9】[終了]をクリックします。(Organizational Unitに関する設定は行いません。)

  3. 【Dome9】AWSアカウントがDome9に接続できたことを確認します。

../_images/dome9_1_027.png

AWSアカウントの追加は以上です。