キーレス認証用の AWS の設定 (検出のみ)
Tenable FedRAMP Moderate 環境では、以下はサポートされません。詳細については、Tenable FedRAMP Moderate 製品を参照してください。
必要なユーザーロール: 管理者
キーレス認証を使用して検出専用コネクタを作成する前に、まず AWS を設定する必要があります。AWS アカウントのリンクと信頼関係の構築に関する詳細については、「キーレス認証を使用した AWS コネクタ (検出のみ)」を参照してください。
始める前に
- AWS アカウントで、CloudTrail を有効にします。
- CloudTrail がまだない場合は、証跡を作成します。
-
証跡で、[すべて] または [書き込みのみ] の管理イベントとログをオンにします。
注意: 資産のインポートに AWS コネクタを使用する場合、Tenable はそのコネクタに関してすべての CloudTrails を照会し、CloudTrails がイベントを受け取るすべてのリージョンを確認します。確認された一連のリージョンは、EC2 および CloudTrail API のコールの際に使用されます。
キーレス認証を使用して検出専用コネクタ用に AWS を手動で設定する方法
- ライセンス情報の説明に従って、Tenable Vulnerability Management コンテナ ID を取得します。
-
AWS アカウントでは、tenableio-connectorというロールを作成して、IAM ユーザーにアクセス許可を委任します。
ヒント: 詳細については、Amazon AWS ドキュメントを参照してください。
- AWS コンソールのナビゲーションペインで、[ロール] > [ロールの作成] の順にクリックします。
- ロールの種類については、[別の AWS アカウント] をクリックします。
- [アカウント ID] には ID 012615275169 を入力します。
注意: 012615275169 は、AWS ロール委任をサポートするために信頼関係を構築する Tenable AWS アカウントのアカウント ID です。
- [外部 ID の要求] チェックボックスを選択して、ステップ 1 で取得した Tenable Vulnerability Management コンテナ ID を入力します。
- [次へ: アクセス許可の追加] をクリックします。
- 次のアクセス許可を持つポリシーを作成または再使用します。
AWS サービス アクセス許可 Amazon EC2 DescribeInstances
AWS CloudTrail
- DescribeTrails
- GetEventSelectors
- GetTrailStatus
- ListTags
- LookupEvents
AWS Organizations - ListAccounts
注意: Tenable Vulnerability Management が AWS アカウントを自動検出するには、ListAccounts のアクセス許可が必要です。自動アカウント検出を使用しない場合、このアクセス許可は不要です。注意: Tenable では、各 AWS サービスの Amazon リソースネーム を * (すべてのリソース) に設定することをお勧めします。
- [次へ: タグ] をクリックします。
- (オプション) 必要なタグを追加します。
- ポリシーを作成します。
- [次へ: レビュー] をクリックします。
-
[ロール名] ボックスに tenableio-connector と入力します。
警告: ロールには、コネクタが動作するよう tenableio-connector と名前を付ける必要があります。
- ロール名が tenableio-connector であることを確認し、[ロールの作成] をクリックします。
- 新しい tenableio-connector ロールを表示して、[信頼関係] タブをクリックします。
-
[信頼関係の編集] をクリックします。
ポリシードキュメントがテキストボックスに表示されます。
- テキストボックスの AWS 行で、arn:aws:iam::012615275169:root を arn:aws:iam::012615275169:role/keyless_connector_role に置き換えます。
- [信頼ポリシーの更新] をクリックします。
次の手順