機械翻訳について

AWSの準備および登録

within-accountまたはcross-accountロギングを使用して、IAMユーザーまたはIAMロールを使用する認証用のAWSを構成します。 ユーザーがIDPを介してAWSにログインする場合、シングル・サインオン用のアイデンティティ・プロバイダ(IDP)を構成します。

AWSアカウントをOracle CASB Cloud Serviceに接続するステップは、AWSアーキテクチャのいくつかのパラメータによって異なります。

Oracle CASB Cloud Serviceにより監視されるようにAWSを設定できる様々な方法の概要を提供するビデオを視聴するには、AWSの構成および登録のビデオ・キーを参照してください。

  • 監視は次の2つの方法で構成できます。

    • IAMユーザーを専用のサービス・アカウントとして使用する。

    • IAMロールを専用のサービス・アカウントのかわりに使用する。

  • ロギングは次の2つの方法で構成できます。

    • アカウント内ロギング、各AWSアカウントは同じアカウント内にCloudTrailログを保持します。

    • アカウント間ロギング、一部またはすべてのAWSソース・アカウントはCloudTrailログを1つのターゲット・アカウントのS3バケットに送信します。

Oracle CASB Cloud Serviceにより監視されるAWSの設定手順

Oracle CASB Cloud ServiceがIAMユーザーを使用してAWSインスタンスを監視する方がよい場合:

AWSアーキテクチャでIAMロールを使用してAWSインスタンスを監視する場合:

IAMロールの使用: 専用サービス・ロールの作成

CloudTrailを有効にしてから、専用アカウントを作成して登録します。

IAMロールの使用: CloudTrailの有効化

CASB Cloud ServiceでAWSアカウントを監視するには、先にCloudTrailとS3サービスの両方を有効にする必要があります。

CloudTrailおよびS3を有効にすると、IAMアカウントでS3のAWSサービスおよびCloudTrailログを読み取ることができます。

このタスクのステップの概要を提供するビデオを視聴するには、CloudTrailおよびS3の有効化を参照してください。

  1. AWSコンソールにログインします。
  2. サービスを選択し、管理ツールCloudTrailをクリックします。
  3. CloudTrailが無効だと、AWS CloudTrail画面に青色の今すぐ開始ボタンが表示されます。

    青色の今すぐ開始ボタンが表示されない場合、CloudTrailは有効です。ステップ4に進んでください。

    青色の今すぐ開始ボタンが表示される場合、CloudTrailは有効ではありません。次のサブステップに進んでください。

    1. 青色の今すぐ開始ボタンをクリックして、CloudTrailを有効化するプロセスを開始します。
    2. CloudTrailをオンにするページで、証跡名を入力します。

      注意:

      ページの右上隅の領域に注目してください。

      この名前は、AWSアカウント内で一意であれば、何でもかまいません。

    3. 証跡をすべてのリージョンに適用「はい」に、読取り/書込みイベント「すべて」に、デフォルトの設定にしておきます。
    4. ページの下部のストレージの場所セクションまでスクロールします。
    5. 新しいバケットを作成するには (S3バケットは前述のステップ4bでリージョンに作成されることに注意してください):
      1. 証跡をすべてのリージョンに適用のデフォルトの設定を「はい」のままにし、S3バケット・フィールドにバケットの名前を入力して、「拡張」をクリックします。

      2. ログ・ファイルの接頭辞を使用してCloudTrailログのデフォルトの場所を変更する場合、ログ・ファイルの接頭辞フィールドに接頭辞を入力します。

        これによりS3バケットへのパスが接頭辞を含むように変更されます。

      3. CloudTrailを暗号化する場合、ログ・ファイルの暗号化「はい」に設定し、新しいKMSキーを作成する「はい」を選択するか、既存のキーを使用する場合には「いいえ」を選択します。

        注意:

        KMS (Key Management Service)はS3バケットと同じAWSリージョンにある必要があります(前述のステップ4bに記載)。ここには暗号化されたCloudTrailログが保存されます
      4. 「作成」をクリックします。

      5. 前述のステップ4.e.iiでCloudTrailを暗号化する選択をする場合、KMS設定を検証します。ポリシーには次の文が含まれている必要があります。 サービスIAM暗号化キーに移動し、S3バケットを作成した(前述のステップ4.b)場所へリージョンを変更して、「別名」列のキー名をクリックし、キー・ポリシーを確認することで、KMSポリシーを見つけられます。

        {
          "Version": "2012-10-17",
          "Id": "key-consolepolicy-3",
          "Statement": [
            {
              "Sid": "Enable IAM User Permissions",
              "Effect": "Allow",
              "Principal": {
                "AWS": "arn:aws:iam::<AWSaccountnumber>:root"
              },
              "Action": "kms:*",
              "Resource": "*"
            },
            {
              "Sid": "Allow access for Key Administrators",
              "Effect": "Allow",
              "Principal": {
                "AWS": "arn:aws:iam::<AWSaccountnumber>:user/testLocalUser"
              },
              "Action": [
                "kms:Create*",
                "kms:Describe*",
                "kms:Enable*",
                "kms:List*",
                "kms:Put*",
                "kms:Update*",
                "kms:Revoke*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Delete*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ScheduleKeyDeletion",
                "kms:CancelKeyDeletion"
              ],
              "Resource": "*"
            },
            {
              "Sid": "Allow use of the key",
              "Effect": "Allow",
              "Principal": {
                "AWS": "arn:aws:iam::965634374182:user/testLocalUser"
              },
              "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
              ],
              "Resource": "*"
            },
            {
              "Sid": "Enable CloudTrail Encrypt Permissions",
              "Effect": "Allow",
              "Principal": {
                "Service": "cloudtrail.amazonaws.com"
              },
              "Action": "kms:GenerateDataKey*",
              "Resource": "*",
              "Condition": {
                "StringLike": {
                  "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:<AWSaccountnumber>:trail/*"
                }
              }
            },
            {
              "Sid": "Allow attachment of persistent resources",
              "Effect": "Allow",
              "Principal": {
                "AWS": "arn:aws:iam::<AWSaccountnumber>:user/testLocalUser"
              },
              "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
              ],
              "Resource": "*",
              "Condition": {
                "Bool": {
                  "kms:GrantIsForAWSResource": "true"
                }
              }
            }
          ]
        }
      6. CloudTrailの設定を検証します。

        1. 証跡ページで、CloudTrail名をクリックします。

        2. 構成ページで、作成したCloudTrailの設定が前のステップで指定したとおりになっていることを確認します。

        3. CloudTrailが証跡の設定のすべてのリージョンで有効であり、管理イベントのすべてのイベントを取得していることを確認します。

      7. S3の設定を検証します。

        1. サービスを選択し、ストレージS3をクリックします。

        2. バケット名をクリックすると上部に4つのタブが表示されます。

        3. 「権限」タブをクリックしてから、バケット・ポリシー・ボタンをクリックします。

          バケット・ポリシー・エディタでは、S3バケット用に自動的に作成されたJSON形式のポリシーが表示されます。

          下記に太字で示すように、ポリシーにGetBucketAclおよびPutObjectが含まれていることを確認します。

          {
              "Version": "2012-10-17",
              "Statement": [
                  {
                      "Sid": "AWSCloudTrailAclCheck<AWSaccountnumber>",
                      "Effect": "Allow",
                      "Principal": {
                          "Service": "cloudtrail.amazonaws.com"
                      },
                      "Action": "s3:GetBucketAcl",
                      "Resource": "arn:aws:s3:::<bucket_name>"
                  },
                  {
                      "Sid": "AWSCloudTrailWrite<AWSaccountnumber>",
                      "Effect": "Allow",
                      "Principal": {
                          "Service": "cloudtrail.amazonaws.com"
                      },
                      "Action": "s3:PutObject",
                      "Resource": "arn:aws:s3:::<bucket_name>/LORIC/AWSLogs/<AWSaccountnumber>/*",
                      "Condition": {
                          "StringEquals": {
                              "s3:x-amz-acl": "bucket-owner-full-control"
                          }
                      }
                  }
              ]
          }
    6. 既存のバケットを使用するには:
      1. 新しいS3バケットを作成のデフォルトの設定を「いいえ」に変更し、S3バケット・フィールドにバケットの名前を入力して、「拡張」をクリックします。

      2. CloudTrailを暗号化する場合、ログ・ファイルの暗号化「はい」に設定します。

        1. 新しいKMSキーを作成する「はい」を選択するか、既存のキーを使用する場合には「いいえ」を選択します。

          注意:

          KMSキーはS3バケットと同じAWSリージョンにある必要があります。ここには暗号化されたCloudTrailログが保存されます
        2. サービスIAM暗号化キーに移動し、S3バケットを作成した(前述のステップ4.b)場所へリージョンを変更することで、KMSポリシーに次の文が含まれていることを確認します。

          {
            "Version": "2012-10-17",
            "Id": "key-consolepolicy-3",
            "Statement": [
              {
                "Sid": "Enable IAM User Permissions",
                "Effect": "Allow",
                "Principal": {
                  "AWS": "arn:aws:iam::<AWSaccountnumber>:root"
                },
                "Action": "kms:*",
                "Resource": "*"
              },
              {
                "Sid": "Allow access for Key Administrators",
                "Effect": "Allow",
                "Principal": {
                  "AWS": "arn:aws:iam::<AWSaccountnumber>:user/testLocalUser"
                },
                "Action": [
                  "kms:Create*",
                  "kms:Describe*",
                  "kms:Enable*",
                  "kms:List*",
                  "kms:Put*",
                  "kms:Update*",
                  "kms:Revoke*",
                  "kms:Disable*",
                  "kms:Get*",
                  "kms:Delete*",
                  "kms:TagResource",
                  "kms:UntagResource",
                  "kms:ScheduleKeyDeletion",
                  "kms:CancelKeyDeletion"
                ],
                "Resource": "*"
              },
              {
                "Sid": "Allow use of the key",
                "Effect": "Allow",
                "Principal": {
                  "AWS": "arn:aws:iam::965634374182:user/testLocalUser"
                },
                "Action": [
                  "kms:Encrypt",
                  "kms:Decrypt",
                  "kms:ReEncrypt*",
                  "kms:GenerateDataKey*",
                  "kms:DescribeKey"
                ],
                "Resource": "*"
              },
              {
                "Sid": "Enable CloudTrail Encrypt Permissions",
                "Effect": "Allow",
                "Principal": {
                  "Service": "cloudtrail.amazonaws.com"
                },
                "Action": "kms:GenerateDataKey*",
                "Resource": "*",
                "Condition": {
                  "StringLike": {
                    "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:<AWSaccountnumber>:trail/*"
                  }
                }
              },
              {
                "Sid": "Allow attachment of persistent resources",
                "Effect": "Allow",
                "Principal": {
                  "AWS": "arn:aws:iam::<AWSaccountnumber>:user/testLocalUser"
                },
                "Action": [
                  "kms:CreateGrant",
                  "kms:ListGrants",
                  "kms:RevokeGrant"
                ],
                "Resource": "*",
                "Condition": {
                  "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                  }
                }
              }
            ]
          }
      3. ログ・ファイルの接頭辞を使用してCloudTrailログのデフォルトの場所を変更する場合、ログ・ファイルの接頭辞フィールドに接頭辞を入力します。

        これによりS3バケットのパスが接頭辞を含むように変更されます。

      4. S3バケット・ポリシーを確認するには、サービスを選択し、ストレージS3をクリックします。

      5. バケット名をクリックしてから、「権限」タブをクリックし、バケット・ポリシー・ボタンをクリックします。

        下記に太字で示すように、ポリシーにGetBucketAclおよびPutObjectが含まれていることを確認します。

        {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "AWSCloudTrailAclCheck<AWSaccountnumber>",
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "cloudtrail.amazonaws.com"
                    },
                    "Action": "s3:GetBucketAcl",
                    "Resource": "arn:aws:s3:::<bucket_name>"
                },
                {
                    "Sid": "AWSCloudTrailWrite<AWSaccountnumber>",
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "cloudtrail.amazonaws.com"
                    },
                    "Action": "s3:PutObject",
                    "Resource": "arn:aws:s3:::<bucket_name>/LORIC/AWSLogs/<AWSaccountnumber>/*",
                    "Condition": {
                        "StringEquals": {
                            "s3:x-amz-acl": "bucket-owner-full-control"
                        }
                    }
                }
            ]
        }
  4. CloudTrailがすでに有効化されている場合は、次のサブステップに従います。

    すべてのリージョンに対してCloudTrailを有効化することをお薦めします。

    すべてのイベントが記録されていることを確認します。

    1. ダッシュボード・ページで、左側の証跡を選択します。
    2. 証跡ページで、「名前」列の、CloudTrailの名前をクリックします。
    3. 証跡をすべてのリージョンに適用「はい」に設定されていることを確認します。

      設定を変更するには、証跡の設定の右側にある「編集」アイコン 「編集」アイコンを示すイメージです。 をクリックします。

    4. イベントの読取り/書込み「すべて」に設定されていることを確認します。

      設定を変更するには、管理イベントの右側にある「編集」アイコン 「編集」アイコンを示すイメージです。 をクリックします。

    5. S3バケットの名前が使用するものであることを確認します。

      使用する新しいバケットを作成するには、ストレージの場所の右側にある「編集」アイコン 「編集」アイコンを示すイメージです。 をクリックします。

    6. CloudTrailを暗号化する場合、ストレージの場所の右側の「編集」アイコン 「編集」アイコンを示すイメージです。 をクリックし、ログ・ファイルの暗号化「はい」に設定してから、新しいKMSキーを作成するを次のように設定します。
      • 新しいキーを作成するには「はい」

      • KMSキーフィールドに指定した既存のキーを使用するには、「いいえ」

      注意:

      KMS (Key Management Service)キーはS3バケットと同じAWSリージョンにある必要があります(前述のステップ4bに記載)。ここには暗号化されたCloudTrailログが保存されます
  5. このページから離れる前に、変更を行った各セクションの下部で「保存」をクリックしたことを確認します。

IAMロールの使用: 専用サービス・ロールの作成および登録

専用のAWSアカウントを作成し、そのアカウントを追加または監視用にOracle CASB Cloud Serviceに登録します。

このタスクのステップの概要を提供するビデオを視聴するには、IAMロールを使用したターゲットAWSアカウントの作成および登録を参照してください。

前提条件:
  1. Oracle CASB Cloud Serviceに登録するAWSアカウントにログインします。
  2. AWSコンソールで、サービスを選択してから、セキュリティ、アイデンティティおよびコンプライアンスIAMを選択します。
  3. Identity and Access Managementへようこそページの、左側のナビゲーション・パネルで、「ロール」を選択します。

    ここで、スタンドアロン・アカウント用の監視ロールか、またはアカウント間ロギングのターゲット・アカウントを作成します。

  4. ロールのリストの上の「ロールの作成」ボタンをクリックします。
  5. 信頼できるエンティティのタイプを選択ページで、別のAWSアカウントを選択します。

    Oracle CASB Cloud ServiceではこのロールがAWSアカウントを監視すると想定できます。

    注意:

    ここに貼付けた外部IDおよび「アカウントID」を使用してOracle CASB Cloud Serviceから戻るまで、このAWSページを開いてアクティブなままにしておく必要があります。
  6. 新しいブラウザ・タブを開き、Oracle CASB Cloud Serviceテナントにログインします。
  7. 「ナビゲーション」メニューから「アプリケーション」を選択します。 ナビゲーション・メニューが表示されない場合は、ナビゲーション・メニュー・アイコンナビゲーション・メニュー・アイコンの図。をクリックして表示します。
  8. アプリの追加/変更をクリックします。
  9. アプリケーション・タイプの選択ページで、Amazon Web Servicesをクリックしてから「次」をクリックします。
  10. インスタンスの選択ページで、次の手順を実行します。
    1. このAWSインスタンスの名前を入力します。

      既存のインスタンスの名前が、入力した名前の下に表示されます。

    2. ユーザーがアイデンティティ・プロバイダを介してAWSにログインする場合、このアプリ・インスタンスのユーザーはアイデンティティ・プロバイダを介してシングル・サインオンを使用してログインしますを選択し、ドロップダウン・リストからアイデンティティ・プロバイダ・インスタンスを選択します。

      注意:

      アイデンティティ・プロバイダ・インスタンスは定義しておく必要があります。 アイデンティティ・プロバイダ・インスタンスの設定を参照してください。

  11. 監視タイプの選択ページで、次のものを選択します。
    • 監視のみ - Oracle CASB Cloud ServiceでAWSからデータを読み取るが、セキュリティ制御設定をAWSに書き戻すことはしない場合。 「モニターのみ」を選択するとOracle CASB Cloud Serviceにより自動的に適用されるセキュリティ制御設定の詳細は、『「AWSのセキュリティ制御値(監視のみ/読取り専用)」』を参照してください。

    • 制御をプッシュおよび監視 - Oracle CASB Cloud ServiceでAWSデータの読取りに加えて、セキュリティ制御設定をAWSに書戻す場合。 制御をプッシュおよび監視を選択する場合、次のステップでOracle CASB Cloud Serviceが実行するセキュリティ制御設定を指定します。

      注意:

      IAMロールの使用: CloudTrailの有効化ReadAccessOnlyポリシーのみを選択した場合、制御をプッシュおよび監視を選択しないでください。

    選択したら「次」をクリックします。

  12. 監視のみを選択した場合、このステップはスキップし、資格証明の入力ページに直接進んでください。

    セキュリティ制御の選択ページで選択します。

    1. 標準厳格または「カスタム」を選択します。

      これらのオプションはそれぞれ異なるセキュリティ設定のセットを提供します。 すべてのオプションの詳細は、「AWSのセキュリティ制御値(プッシュ・コントロール/読取り/書込み)」を参照してください。

    2. 「パスワード・ポリシー」「設定」およびアクセス制御の設定を確認し、必要な変更をこれらの設定に行います。
    3. 終了したら、「次」をクリックします。
  13. 資格証明の入力ページで、認証タイプIAMユーザー・ロールに設定します。

    注意:

    外部IDおよび「アカウントID」の読取り専用の値は、IAMユーザー・ロールを選択するときに、自動的に生成されます。

    注意:

    別の外部IDの値は、IAMユーザー・ロールを選択するたびに、自動的に生成されます。 戻って、ユーザー・ロールARNの値をユーザー・ロールARNフィールドに貼付けるまで、このOracle CASB Cloud Serviceページを開いてアクティブなままにしておく必要があります。
  14. 外部IDおよび「アカウントID」を、AWSコンソールにコピーおよび貼付けできる元の一時的な場所にコピーします。
  15. AWSアカウントでブラウザ・タブに戻ります。
  16. 「アカウントID」を一時的な場所からAWSの「アカウントID」フィールドに貼付けます。
  17. 外部IDが必要…を選択し、外部IDを一時的な場所からAWSの外部IDフィールドに貼付けて、「次: 権限」をクリックします。
  18. ポリシーのアタッチ・ページで、Oracle CASB Cloud Service登録プロセスで選択した監視タイプと一致するポリシーを選択します。
    • Oracle CASB Cloud Serviceで監視のみを選択した場合は、ReadOnlyAccessを選択します。 (リストの下までスクロールします。)

    • Oracle CASB Cloud Serviceで「プッシュ・コントロールとモニター」を選択した場合は、AdministratorAccesを選択する必要があります。

  19. 次: 確認」をクリックします。
  20. ロール名の設定および確認ページで、「ロール名」とオプションで「ロールの説明」を入力してから、「ロールの作成」をクリックします。
  21. 作成したロールの名前をクリックします。
  22. サマリー・ページで、ロールARNの値をコピーします。
  23. Oracle CASB Cloud Serviceタブに戻ります。
  24. AWSからの値をユーザー・ロールARNフィールドに貼付けます。
  25. Oracle CASB Cloud Serviceで外部アカウントからログを収集する場合、外部アカウントからログを収集スイッチを右にスライドしてから、アカウント間ロールの名前およびアカウント番号を入力します。
  26. 資格証明のテストをクリックします。
    すべての構成が正しければ、資格証明は有効ですというメッセージが表示されます。
  27. 「送信」をクリックします。

    Oracle CASB Cloud Serviceテナントで最初のデータ取込みが行われているという通知が表示されます。

  28. 「完了」をクリックします。
  29. 「ナビゲーション」メニューから「アプリケーション」を選択します。 ナビゲーション・メニューが表示されない場合は、ナビゲーション・メニュー・アイコンナビゲーション・メニュー・アイコンの図。をクリックして表示します。

    歯車アイコンを表示するAWSアプリケーションのタイルが表示されます。 これは、アプリケーションで最初のデータ取込みが行われていることを示します。

登録プロセスが完了すると、アプリケーション・インスタンスが「アプリケーション」ページに表示されます。 このインスタンスのデータは30分後に参照できるようになりますが、完全な同期にはさらに時間がかかります。

認証のためのIAMユーザー・ロールを使用して、AWSアカウントをOracle CASB Cloud Serviceに正常に登録しました。

次のステップ

IAMロールの使用: アカウント間ロギング用のソース専用サービス・ロールの追加

アカウント間ロギングでは、さらにAWSアカウントをソース・アカウントとして追加し、そのログをターゲット・アカウント用に作成されたS3バケットに向けます。

アカウント間ロギングのための最初のソース・アカウントを追加するステップは固有です。 アカウント間ロギングのための最初の任意の数のソース・アカウントを追加するステップはすべて同じです。

IAMロールの使用: 最初のソース専用サービス・ロールの設定

アカウント間ロギングのための最初のソース・アカウントを追加するステップは固有です。 これらのステップは一度だけ実行します。

このタスクのステップの概要を提供するビデオを視聴するには、IAMロールを使用したソースAWSアカウントの作成および登録を参照してください。

アカウント間ロギングはAmazon Web Services内の構成で、これによりユーザーはCloudTrailログ・データを1つのアカウントから別のアカウントのS3バケットへとパイプすることができます。

IAMロールの使用: 専用サービス・ロールの作成で設定したアカウントは、ターゲット・アカウントになり、ソース・アカウントからのすべてのログ、作成してOracle CASB Cloud Serviceに登録する追加のAWSアカウントはこのターゲット・アカウントのS3バケットにパイプされます。

前提条件: 処理の前に、次のことが必要です。
  • IAMロールの使用: 専用サービス・ロールの作成のすべてのタスクを完了する。

  • AWSにソース・アカウントを作成する。

  • ロギングがアカウント間ロギングを通じてハブ・アカウントのS3バケットに統合される、AWSソース・アカウント用のOracle CASB Cloud Serviceの「アカウントID」を取得する。

注意:

この手順を完了するには、2つの異なるブラウザでAWSコンソールを開く必要があります。 たとえば、ChromeとFirefoxです。 2つの異なるウィンドウまたはタブで同じブラウザを使用して、AWSアカウントで同時に、2つの異なるアカウントにアクセスできません。
  1. ブラウザ・ウィンドウを開き、ターゲットAWSアカウントにログインします。

    これは、他のすべてのAWSアカウントがロギングに使用するS3バケットを持つアカウントです。

    これをターゲット・アカウント・ブラウザと呼びます。

  2. 異なるブラウザにウィンドウを開き、ソースAWSアカウントにログインします。

    これは、ロギング用にターゲット・アカウントからのS3バケットを使用する、その他のAWSアカウントの1つです。

    これをソース・アカウント・ブラウザと呼びます。

    注意:

    これは単に同じブラウザ内の別々のウィンドウではなく、別のブラウザのウィンドウである必要があります。 たとえば、ターゲット・アカウントがChrome内にある場合、ソース・アカウントはFirefoxで開くことができます。
  3. ターゲット・アカウント・ブラウザに切り替えます。
  4. サービスを選択し、ストレージS3をクリックします。

    ターゲット・アカウントのポリシーは、ソース・アカウントが書き込みできるように変更される必要があります。 これが行われない場合、ソース・アカウントでのCloudTrailの作成プロセスは、ターゲット・アカウントのS3バケットが認識されないと失敗します。

  5. バケット名をクリックすると上部に4つのタブが表示されます。
  6. 「権限」タブをクリックしてから、バケット・ポリシー・ボタンをクリックします。

    バケット・ポリシー・エディタでは、このS3バケットが使用しているJSON形式のポリシーが表示されます。

  7. このポリシーを後で回復する必要がある場合に備えて、変更する前にコピーします。
  8. 一番下近くのResource文を注意して見てください。

    次に、ソース・アカウントが追加される前のResource文がどのようなものであるかを示します。

                ...
                "Action": "s3:PutObject",
                "Resource": "arn:aws:s3:::<target_bucket_name>/LORIC/AWSLogs/<target_account_number>/*",
                "Condition": {
                    ...
  9. Resource文で、コロンの後に開き角カッコ(「[」)を追加し、[Enter]を押して、何回か[Tab]を押します。
                ...
                "Action": "s3:PutObject",
                "Resource": [
                    "arn:aws:s3:::<target_bucket_name>
    /LORIC/AWSLogs/<target_account_number>/*",
                "Condition": {
                    ...
  10. arn文の最後で[Enter]を押してから、arn文全体をコピーして、元のすぐ下に貼り付けます。
                ...
                "Action": "s3:PutObject",
                "Resource": [
                    "arn:aws:s3:::<target_bucket_name>/LORIC/AWSLogs/<target_account_number>/*",
                    "arn:aws:s3:::<target_bucket_name>/LORIC/AWSLogs/<target_account_number>/*",
                "Condition": {
                    ...
  11. コピーされたarn文の最後のカンマを削除し、[Enter]を押してから、閉じ角カッコ(「]」)とカンマを入力します。
                ...
                "Action": "s3:PutObject",
                "Resource": [
                    "arn:aws:s3:::<target_bucket_name>/LORIC/AWSLogs/<target_account_number>/*",
                    "arn:aws:s3:::<target_bucket_name>/LORIC/AWSLogs/<target_account_number>/*"
                ],
                "Condition": {
                    ...
  12. コピーされたarn文で、<target_account_number>をAWSソース・アカウントの<source_account_number>で置き換えます。
                ...
                "Action": "s3:PutObject",
                "Resource": [
                    "arn:aws:s3:::<target_bucket_name>/LORIC/AWSLogs/<target_account_number>/*",
                    "arn:aws:s3:::<target_bucket_name>/LORIC/AWSLogs/<source_account_number>/*"
                    ],
                "Condition": {
                    ...
  13. 「保存」をクリックします。

    変更部分に構文エラーがある場合、ポリシーに無効なJSONが含まれているというメッセージが表示されます。

    これが発生した場合、エラーを探して修正するか、「取消」をクリックして、保存した元のポリシーを復元し、この手順をもう一度やり直してください。

  14. サービスを選択してから、セキュリティ、アイデンティティおよびコンプライアンスIAMを選択します。

    これで、S3バケットを読み取ることのできるIAMアカウント間ロールを担うソース・アカウントを所有することになったはずです。

  15. Identity and Access Managementへようこそページで、左側のリストから「ロール」を選択します。
  16. ロールのリストの上の「ロールの作成」ボタンをクリックします。
  17. 信頼できるエンティティのタイプを選択ページで、別のAWSアカウントを選択します。

    このオプションにより、所有するIAMユーザーまたはロールはこのアカウント間ロールを担うことができます。

  18. 「アカウントID」フィールドで、ソース・アカウント番号を入力し、「次: 権限」をクリックします。
  19. ポリシーのアタッチ・ページで、AmazonS3ReadOnlyポリシーを選択し、「次: 確認」をクリックします。
  20. ロール名の設定および確認ページで、「ロール名」フィールドにロールの名前とオプションで「ロールの説明」を入力してから、「ロールの作成」をクリックします。
  21. ロール名をクリックするとそのロールのサマリー・ページが表示されます。
  22. 信頼関係タブをクリックします。

    このタブには、ターゲット・アカウントとこのソース・アカウント間に確立した関係に関する情報が表示されます。

  23. 信頼関係の編集ボタンをクリックします。

    信頼関係の編集ページで、ターゲットとソース・アカウント間の信頼関係についてのポリシー・ドキュメントを表示します。

    {
    "Version": "2012-10-17",
    "Statement": [
            {
                "Sid": "",
                "Effect": "Allow",
                "Principal": {
                "AWS": "arn:aws:iam::<source_account>:root" 
                }
                "Action": "sts:AssumeRole"
            }
        ]
    }
  24. Principal文で、rootをターゲット・アカウントのIAMユーザーのAmazonリソース名(ARN)に変更します。これはOracle CASB Cloud ServiceでソースAWSアカウントを監視するのに使用されます。
                ...
                "Principal": {
                "AWS": "arn:aws:iam::<source_account>:role/<IAM_role>" 
                }
                "Action": "sts:AssumeRole"
                ...
  25. 「保存」をクリックします。

    変更部分に構文エラーがある場合、ポリシーに無効なJSONが含まれているというメッセージが表示されます。

    これが発生した場合、エラーを探して修正するか、「取消」をクリックして、保存した元のポリシーを復元し、この手順をもう一度やり直してください。

IAMロールの使用: 追加のソース専用サービス・ロールの設定

アカウント間ロギング用の最初のソース・アカウントを設定した後の、追加のソース・アカウントの設定ステップは同じです。 追加のソース・アカウントそれぞれに対してこのステップを繰り返します。

このタスクのステップの概要を提供するビデオを視聴するには、次を参照してください。

前提条件:

注意:

この手順を完了するには、2つの異なるブラウザでAWSコンソールを開く必要があります。 たとえば、ChromeとFirefoxです。 2つの異なるウィンドウまたはタブで同じブラウザを使用して、AWSアカウントで同時に、2つの異なるアカウントにアクセスできません。
  1. ブラウザ・ウィンドウを開き、ターゲットAWSアカウントにログインします。

    これは、他のすべてのAWSアカウントがロギングに使用するS3バケットを持つアカウントです。

    これをターゲット・アカウント・ブラウザと呼びます。

  2. 異なるブラウザにウィンドウを開き、ソースAWSアカウントにログインします。

    これは、ロギング用にターゲット・アカウントからのS3バケットを使用する、その他のAWSアカウントの1つです。

    これをソース・アカウント・ブラウザと呼びます。

    注意:

    これは単に同じブラウザ内の別々のウィンドウではなく、別のブラウザのウィンドウである必要があります。 たとえば、ターゲット・アカウントがChrome内にある場合、ソース・アカウントはFirefoxで開くことができます。
  3. ターゲット・アカウント・ブラウザに切り替えます。
  4. サービスを選択し、ストレージS3をクリックします。

    ターゲット・アカウントのポリシーは、ソース・アカウントが書き込みできるように変更される必要があります。 これが行われない場合、ソース・アカウントでのCloudTrailの作成プロセスは、ターゲット・アカウントのS3バケットが認識されないと失敗します。

  5. バケット名をクリックすると上部に4つのタブが表示されます。
  6. 「権限」タブをクリックしてから、バケット・ポリシー・ボタンをクリックします。

    バケット・ポリシー・エディタでは、このS3バケットが使用しているJSON形式のポリシーが表示されます。

  7. このポリシーを後で回復する必要がある場合に備えて、変更する前にコピーします。
  8. 一番下近くのResource文を注意して見てください。

    次に、1つのソース・アカウントが追加された場合のResource文がどのようなものであるかを示します。

                ...
                "Action": "s3:PutObject",
                "Resource":[
                     "arn:aws:s3:::<target_bucket_name>/LORIC/AWSLogs/<target_account_number>/*",
                     "arn:aws:s3:::<target_bucket_name>/LORIC/AWSLogs/<source1_account_number>/*"
                ],
    
                "Condition": {
                    ...

    追加された各ソース・アカウントに対し、“Resource”:文のリストに別のarn文が含まれています。

    簡単にするために、この例では2つのarn文を含むポリシーを示します。 このステップは、もっと多くの数のarn文の場合でもまったく同じです。

  9. 最初のarn文全体をコピーして、元のすぐ下に貼り付けます。
                ...
                "Action": "s3:PutObject",
                "Resource":[
                     "arn:aws:s3:::<target_bucket_name>/LORIC/AWSLogs/<target_account_number>/*",
                     "arn:aws:s3:::<target_bucket_name>/LORIC/AWSLogs/<target_account_number>/*",
                     "arn:aws:s3:::<target_bucket_name>/LORIC/AWSLogs/<source1_account_number>/*"
                ],
    
                "Condition": {
                    ...
  10. arn文のコピーの、<target_account_number>を追加している<source_account_number>で置き換えます(この例では<source_account2_number>)。
                ...
                "Action": "s3:PutObject",
                "Resource":[
                     "arn:aws:s3:::<target_bucket_name>/LORIC/AWSLogs/<target_account_number>/*",
                     "arn:aws:s3:::<target_bucket_name>/LORIC/AWSLogs/<source2_account_number>/*",
                     "arn:aws:s3:::<target_bucket_name>/LORIC/AWSLogs/<source1_account_number>/*"
                     ],
    
                "Condition": {
                    ...
  11. 「保存」をクリックします。

    変更部分に構文エラーがある場合、ポリシーに無効なJSONが含まれているというメッセージが表示されます。

    これが発生した場合、エラーを探して修正するか、「取消」をクリックして、保存した元のポリシーを復元し、この手順をもう一度やり直してください。

  12. サービスを選択してから、セキュリティ、アイデンティティおよびコンプライアンスIAMを選択します。

    これで、S3バケットを読み取ることのできるIAMアカウント間ロールを担うソース・アカウントを所有することになったはずです。

  13. Identity and Access Managementへようこそページで、左側のリストから「ロール」を選択します。
  14. ロールのリストの上の「ロールの作成」ボタンをクリックします。
  15. 信頼できるエンティティのタイプを選択ページで、別のAWSアカウントを選択します。

    このオプションにより、所有するIAMユーザーまたはロールはこのアカウント間ロールを担うことができます。

  16. 「アカウントID」フィールドで、ソース・アカウント番号を入力し、「次のステップ」をクリックします。
  17. ポリシーのアタッチ・ページで、AmazonS3ReadOnlyポリシーを選択し、「次のステップ」をクリックします。
  18. ロール名の設定および確認ページで、「ロール名」フィールドにロールの名前とオプションで「ロールの説明」を入力してから、「ロールの作成」をクリックします。
  19. ロール名をクリックするとそのロールのサマリー・ページが表示されます。
  20. 信頼関係タブをクリックします。

    このタブには、ターゲット・アカウントとこのソース・アカウント間に確立した関係に関する情報が表示されます。

  21. 信頼関係の編集ボタンをクリックします。

    信頼関係の編集ページで、ターゲットとソース・アカウント間の信頼関係についてのポリシー・ドキュメントを表示します。

  22. このポリシー・ドキュメントのPrincipal文のarn文を注意して見てください。
    {
    "Version": "2012-10-17",
    "Statement": [
            {
                "Sid": "",
                "Effect": "Allow",
                "Principal": {
                "AWS": "arn:aws:iam::<source1_account>:role/<IAM_role>" 
                }
                "Action": "sts:AssumeRole"
            }
        ]
    }
  23. Principal文に1つだけarn文が含まれている場合には、上記のようになります。
    1. "AWS":の後に、閉じ角カッコ(「]」)を入力し、[Enter]を押して、何回か[Tab]を押します。
      {
      "Version": "2012-10-17",
      "Statement": [
              {
                  "Sid": "",
                  "Effect": "Allow",
                  "Principal": {
                  "AWS": [
                      "arn:aws:iam::<source1_account>:role/<IAM_role>" 
                  }
                  "Action": "sts:AssumeRole"
              }
          ]
      }
    2. arn文の行の最後にカンマを入力し、[Enter]を押します。
      {
      "Version": "2012-10-17",
      "Statement": [
              {
                  "Sid": "",
                  "Effect": "Allow",
                  "Principal": {
                  "AWS": [
                      "arn:aws:iam::<source1_account>:role/<IAM_role>",
                       
                  }
                  "Action": "sts:AssumeRole"
              }
          ]
      }
    3. arn文全体をコピーして、元のすぐ下に貼り付けてから、元のarn文の最後にカンマを入力します。
      {
      "Version": "2012-10-17",
      "Statement": [
              {
                  "Sid": "",
                  "Effect": "Allow",
                  "Principal": {
                  "AWS": [
                      "arn:aws:iam::<source1_account>:role/<IAM_role>",
                      "arn:aws:iam::<source1_account>:role/<IAM_role>"
                  }
                  "Action": "sts:AssumeRole"
              }
          ]
      }
    4. コピーされたarn文で、元のソース・アカウント番号(<source1_account>)を追加している新しいソース・アカウント(<source2_account>)で置き換えます。
      {
      "Version": "2012-10-17",
      "Statement": [
              {
                  "Sid": "",
                  "Effect": "Allow",
                  "Principal": {
                  "AWS": [
                      "arn:aws:iam::<source1_account>:role/<IAM_role>",
                      "arn:aws:iam::<source2_account>:role/<IAM_role>"
                  }
                  "Action": "sts:AssumeRole"
              }
          ]
      }
    5. コピーされたarn文の最後で、[Enter]を押して、閉じ角カッコ(「]」)を入力します。
      {
      "Version": "2012-10-17",
      "Statement": [
              {
                  "Sid": "",
                  "Effect": "Allow",
                  "Principal": {
                  "AWS": [
                      "arn:aws:iam::<source1_account>:role/<IAM_role>",
                      "arn:aws:iam::<source2_account>:role/<IAM_role>"
                      ]
                  }
                  "Action": "sts:AssumeRole"
              }
          ]
      }
  24. Principal文に複数のarn文が含まれている場合には、次のようになります。
    1. 最初のarn文の最後で[Enter]を押してから、最初のarn文全体をそのすぐ下にコピーします。
      {
      "Version": "2012-10-17",
      "Statement": [
              {
                  "Sid": "",
                  "Effect": "Allow",
                  "Principal": {
                  "AWS": [
                      "arn:aws:iam::<source1_account>:role/<IAM_role>",
                      "arn:aws:iam::<source1_account>:role/<IAM_role>",
                      "arn:aws:iam::<source2_account>:role/<IAM_role>"
                      ]
                  }
                  "Action": "sts:AssumeRole"
              }
          ]
      }
    2. コピーされたarn文で、最初のソース・アカウント番号(<source1_account>)を追加している新しいアカウントのアカウント番号(<source_new_account>)で置き換えます。
      {
      "Version": "2012-10-17",
      "Statement": [
              {
                  "Sid": "",
                  "Effect": "Allow",
                  "Principal": {
                  "AWS": [
                      "arn:aws:iam::<source1_account>:role/<IAM_role>",
                      "arn:aws:iam::<source_new_account>:role/<IAM_role>",
                      "arn:aws:iam::<source2_account>:role/<IAM_role>"
                      ]
                  }
                  "Action": "sts:AssumeRole"
              }
          ]
      }
  25. 「保存」をクリックします。

    変更部分に構文エラーがある場合、ポリシーに無効なJSONが含まれているというメッセージが表示されます。

    これが発生した場合、エラーを探して修正するか、「取消」をクリックして、保存した元のポリシーを復元し、この手順をもう一度やり直してください。

IAMロールの使用: ソース専用サービス・ロールの作成および登録

AWSのソース・アカウントのロールを作成します。まず外部IDを取得するためにOracle CASB Cloud Serviceにアカウントを登録し、AWSに戻って、外部IDを入力し、必要な権限を設定してから、登録を完了します。

このタスクのステップの概要を提供するビデオを視聴するには、IAMロールを使用したソースAWSアカウントの作成および登録を参照してください。

  1. Oracle CASB Cloud Serviceに登録するAWSアカウントにログインします。
  2. AWSコンソールで、サービスを選択してから、セキュリティ・アイデンティティおよびコンプライアンスIAMを選択します。
  3. Identity and Access Managementへようこそページの、左側のナビゲーション・パネルで、「ロール」を選択します。

    ここで、このAWSソース・アカウント用の監視ロールを作成します。

  4. ロールのリストの上の「ロールの作成」ボタンをクリックします。
  5. 信頼できるエンティティのタイプを選択ページで、別のAWSアカウントを選択します。

    Oracle CASB Cloud ServiceではこのロールがAWSアカウントを監視すると想定できます。

    注意:

    ここに貼付けた外部IDおよび「アカウントID」を使用してOracle CASB Cloud Serviceから戻るまで、このAWSページを開いてアクティブなままにしておく必要があります。
  6. 新しいブラウザ・タブを開き、Oracle CASB Cloud Serviceテナントにログインします。
  7. 「ナビゲーション」メニューから「アプリケーション」を選択します。 ナビゲーション・メニューが表示されない場合は、ナビゲーション・メニュー・アイコンナビゲーション・メニュー・アイコンの図。をクリックして表示します。
  8. アプリケーションの追加をクリックします。
  9. アプリケーション・タイプの選択ページで、Amazon Web Servicesをクリックしてから「次」をクリックします。
  10. インスタンスの選択ページで、次の手順を実行します。
    1. このAWSインスタンスの名前を入力します。

      既存のインスタンスの名前が、入力した名前の下に表示されます。

    2. ユーザーがアイデンティティ・プロバイダを介してAWSにログインする場合、このアプリ・インスタンスのユーザーはアイデンティティ・プロバイダを介してシングル・サインオンを使用してログインしますを選択し、ドロップダウン・リストからアイデンティティ・プロバイダ・インスタンスを選択します。

      注意:

      アイデンティティ・プロバイダ・インスタンスは定義しておく必要があります。 アイデンティティ・プロバイダ・インスタンスの設定を参照してください。

  11. 監視タイプの選択ページで、次のものを選択します。
    • 監視のみ - Oracle CASB Cloud ServiceでAWSからデータを読み取るが、セキュリティ制御設定をAWSに書き戻すことはしない場合。 「モニターのみ」を選択するとOracle CASB Cloud Serviceにより自動的に適用されるセキュリティ制御設定の詳細は、『「AWSのセキュリティ制御値(監視のみ/読取り専用)」』を参照してください。

    • 制御をプッシュおよび監視 - Oracle CASB Cloud ServiceでAWSデータの読取りに加えて、セキュリティ制御設定をAWSに書戻す場合。 制御をプッシュおよび監視を選択する場合、次のステップでOracle CASB Cloud Serviceが実行するセキュリティ制御設定を指定します。

      注意:

      IAMロールの使用: CloudTrailの有効化ReadAccessOnlyポリシーのみを選択した場合、制御をプッシュおよび監視を選択しないでください。

    選択したら「次」をクリックします。

  12. 監視のみを選択した場合、このステップはスキップし、資格証明の入力ページに直接進んでください。

    セキュリティ制御の選択ページで選択します。

    1. 標準厳格または「カスタム」を選択します。

      これらのオプションはそれぞれ異なるセキュリティ設定のセットを提供します。 すべてのオプションの詳細は、「AWSのセキュリティ制御値(プッシュ・コントロール/読取り/書込み)」を参照してください。

    2. 「パスワード・ポリシー」「設定」およびアクセス制御の設定を確認し、必要な変更をこれらの設定に行います。
    3. 終了したら、「次」をクリックします。
  13. 資格証明の入力ページで、認証タイプIAMユーザー・ロールに設定します。

    注意:

    外部IDおよび「アカウントID」の読取り専用の値は、IAMユーザー・ロールを選択するときに、自動的に生成されます。

    注意:

    別の外部IDの値は、IAMユーザー・ロールを選択するたびに、自動的に生成されます。 戻って、ユーザー・ロールARNの値をユーザー・ロールARNフィールドに貼付けるまで、このOracle CASB Cloud Serviceページを開いてアクティブなままにしておく必要があります。
  14. 外部IDおよび「アカウントID」を、AWSコンソールにコピーおよび貼付けできる元の一時的な場所にコピーします。
  15. AWSアカウントでブラウザ・タブに戻ります。
  16. 「アカウントID」を一時的な場所からAWSの「アカウントID」フィールドに貼付けます。
  17. 外部IDが必要…を選択し、外部IDを一時的な場所からAWSの外部IDフィールドに貼付けて、「次: 権限」をクリックします。
  18. ポリシーのアタッチ・ページで、Oracle CASB Cloud Service登録プロセスで選択した監視タイプと一致するポリシーを選択します。
    • Oracle CASB Cloud Serviceで監視のみを選択した場合は、ReadOnlyAccessを選択します。 (リストの下までスクロールします。)

    • Oracle CASB Cloud Serviceで制御をプッシュおよび監視を選択した場合は、AdministratorAcessを選択する必要があります。

  19. 次: 確認」をクリックします。
  20. ロール名の設定および確認ページで、「ロール名」とオプションで「ロールの説明」を入力してから、「ロールの作成」をクリックします。
  21. 作成したロールの名前をクリックします。
  22. サマリー・ページで、ロールARNの値をコピーします。
  23. Oracle CASB Cloud Serviceタブに戻ります。
  24. AWSからの値をユーザー・ロールARNフィールドに貼付けます。
  25. 外部アカウントからのログの収集スイッチを右にスライドします。
  26. アカウント間ロールの名前フィールドに、アカウント間ロールの名前を入力します。
  27. アカウント番号フィールドにターゲット・アカウントのアカウント番号を入力します。

    これは、すべてのAWSアカウントによりロギングに使用されるS3バケットを含むAWSアカウントです。

  28. AWSブラウザ・タブに戻ります。

    AWSロールがターゲット・アカウントのアカウント間ロールを担うことができるようなインライン・ポリシーを作成する必要があります。

    注意:

    戻って、登録プロセスを完了できるまで、このOracle CASB Cloud Serviceページを開いてアクティブなままにしておく必要があります。
  29. AWSのサマリー・ページで、「権限」タブをクリックします。
  30. 「権限」タブで、インライン・ポリシーをクリックし、「ここをクリック」リンクをクリックしてインライン・ポリシーを作成します。
  31. 権限の設定タブで、「カスタム・ポリシー」を展開し、ポリシー・エディタを使用して権限の独自のセットをカスタマイズするの右側の「選択」ボタンをクリックします。
  32. ポリシーのレビュー・ページで、「ポリシー名」を入力してから、下のテキストをコピーしてポリシー・ドキュメント・ウィンドウに貼り付けます。
    {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "*"
          }
        ]
    }
  33. 下部にあるポリシーの検証ボタンをクリックします。
  34. ポリシーの適用をクリックします。
  35. このAWSインスタンスを登録しているOracle CASB Cloud Serviceタブに戻ります。
  36. 資格証明のテストをクリックします。
    すべての構成が正しければ、資格証明は有効ですというメッセージが表示されます。
  37. 「送信」をクリックします。

    Oracle CASB Cloud Serviceテナントで最初のデータ取込みが行われているという通知が表示されます。

  38. 「完了」をクリックします。
  39. 「ナビゲーション」メニューから「アプリケーション」を選択します。 ナビゲーション・メニューが表示されない場合は、ナビゲーション・メニュー・アイコンナビゲーション・メニュー・アイコンの図。をクリックして表示します。

    歯車アイコンを表示するAWSアプリケーションのタイルが表示されます。 これは、アプリケーションで最初のデータ取込みが行われていることを示します。

登録プロセスが完了すると、アプリケーション・インスタンスが「アプリケーション」ページに表示されます。 このインスタンスのデータは30分後に参照できるようになりますが、完全な同期にはさらに時間がかかります。

認証のためのIAMユーザー・ロールを使用して、AWSアカウントをOracle CASB Cloud Serviceに正常に登録しました。

次のステップ

IAMユーザーの使用: 専用サービス・ユーザーの作成および登録

このIAMユーザーはアカウント間ロギング用に構成する唯一のアカウントです。 アカウント間ロギングでは、このIAMユーザーが最初、またはターゲットの、構成するAWSアカウントです。

IAMユーザーの使用: CloudTrailの有効化

CASB Cloud ServiceでAWSアカウントを監視するには、先にCloudTrailを有効にする必要があります。

CloudTrailを有効にすると、IAMアカウントはS3に保存されたCloudTrailログからAWSサービスを監視できます。

このタスクのステップの概要を提供するビデオを視聴するには、CloudTrailおよびS3の有効化を参照してください。

  1. AWSコンソールにログインします。
  2. サービスを選択し、管理ツールCloudTrailをクリックします。
  3. CloudTrailが無効だと、AWS CloudTrail画面に青色の今すぐ開始ボタンが表示されます。

    青色の今すぐ開始ボタンが表示されない場合、CloudTrailは有効です。ステップ4に進んでください。

    青色の今すぐ開始ボタンが表示される場合、CloudTrailは有効ではありません。次のサブステップに進んでください。

    1. 青色の今すぐ開始ボタンをクリックして、CloudTrailを有効化するプロセスを開始します。
    2. CloudTrailをオンにするページで、証跡名を入力します。

      注意:

      ページの右上隅の領域に注目してください。

      この名前は、AWSアカウント内で一意であれば、何でもかまいません。

    3. 証跡をすべてのリージョンに適用「はい」に、読取り/書込みイベント「すべて」に、デフォルトの設定にしておきます。
    4. ページの下部のストレージの場所セクションまでスクロールします。
    5. 新しいバケットを作成するには (S3バケットは前述のステップ4bでリージョンに作成されることに注意してください):
      1. 証跡をすべてのリージョンに適用のデフォルトの設定を「はい」のままにし、S3バケット・フィールドにバケットの名前を入力して、「拡張」をクリックします。

      2. ログ・ファイルの接頭辞を使用してCloudTrailログのデフォルトの場所を変更する場合、ログ・ファイルの接頭辞フィールドに接頭辞を入力します。

        これによりS3バケットへのパスが接頭辞を含むように変更されます。

      3. CloudTrailを暗号化する場合、ログ・ファイルの暗号化「はい」に設定し、新しいKMSキーを作成する「はい」を選択するか、既存のキーを使用する場合には「いいえ」を選択します。

        注意:

        KMS (Key Management Service)キーはS3バケットと同じAWSリージョンにある必要があります(前述のステップ4bに記載)。ここには暗号化されたCloudTrailログが保存されます
      4. 「作成」をクリックします。

      5. 前述のステップ4.e.iiでCloudTrailを暗号化する選択をする場合、KMS設定を検証します。ポリシーには次の文が含まれている必要があります。 サービスIAM暗号化キーに移動し、S3バケットを作成した(前述のステップ4.b)場所へリージョンを変更して、「別名」列のキー名をクリックし、キー・ポリシーを確認することで、KMSポリシーを見つけられます。

        {
          "Version": "2012-10-17",
          "Id": "key-consolepolicy-3",
          "Statement": [
            {
              "Sid": "Enable IAM User Permissions",
              "Effect": "Allow",
              "Principal": {
                "AWS": "arn:aws:iam::<AWSaccountnumber>:root"
              },
              "Action": "kms:*",
              "Resource": "*"
            },
            {
              "Sid": "Allow access for Key Administrators",
              "Effect": "Allow",
              "Principal": {
                "AWS": "arn:aws:iam::<AWSaccountnumber>:user/testLocalUser"
              },
              "Action": [
                "kms:Create*",
                "kms:Describe*",
                "kms:Enable*",
                "kms:List*",
                "kms:Put*",
                "kms:Update*",
                "kms:Revoke*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Delete*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ScheduleKeyDeletion",
                "kms:CancelKeyDeletion"
              ],
              "Resource": "*"
            },
            {
              "Sid": "Allow use of the key",
              "Effect": "Allow",
              "Principal": {
                "AWS": "arn:aws:iam::965634374182:user/testLocalUser"
              },
              "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
              ],
              "Resource": "*"
            },
            {
              "Sid": "Enable CloudTrail Encrypt Permissions",
              "Effect": "Allow",
              "Principal": {
                "Service": "cloudtrail.amazonaws.com"
              },
              "Action": "kms:GenerateDataKey*",
              "Resource": "*",
              "Condition": {
                "StringLike": {
                  "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:<AWSaccountnumber>:trail/*"
                }
              }
            },
            {
              "Sid": "Allow attachment of persistent resources",
              "Effect": "Allow",
              "Principal": {
                "AWS": "arn:aws:iam::<AWSaccountnumber>:user/testLocalUser"
              },
              "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
              ],
              "Resource": "*",
              "Condition": {
                "Bool": {
                  "kms:GrantIsForAWSResource": "true"
                }
              }
            }
          ]
        }
      6. CloudTrailの設定を検証します。

        1. 証跡ページで、CloudTrail名をクリックします。

        2. 構成ページで、作成したCloudTrailの設定が前のステップで指定したとおりになっていることを確認します。

        3. CloudTrailが証跡の設定のすべてのリージョンで有効であり、管理イベントのすべてのイベントを取得していることを確認します。

      7. S3の設定を検証します。

        1. サービスを選択し、ストレージS3をクリックします。

        2. バケット名をクリックすると上部に4つのタブが表示されます。

        3. 「権限」タブをクリックしてから、バケット・ポリシー・ボタンをクリックします。

          バケット・ポリシー・エディタでは、S3バケット用に自動的に作成されたJSON形式のポリシーが表示されます。

          下記に太字で示すように、ポリシーにGetBucketAclおよびPutObjectが含まれていることを確認します。

          {
              "Version": "2012-10-17",
              "Statement": [
                  {
                      "Sid": "AWSCloudTrailAclCheck<AWSaccountnumber>",
                      "Effect": "Allow",
                      "Principal": {
                          "Service": "cloudtrail.amazonaws.com"
                      },
                      "Action": "s3:GetBucketAcl",
                      "Resource": "arn:aws:s3:::<bucket_name>"
                  },
                  {
                      "Sid": "AWSCloudTrailWrite<AWSaccountnumber>",
                      "Effect": "Allow",
                      "Principal": {
                          "Service": "cloudtrail.amazonaws.com"
                      },
                      "Action": "s3:PutObject",
                      "Resource": "arn:aws:s3:::<bucket_name>/LORIC/AWSLogs/<AWSaccountnumber>/*",
                      "Condition": {
                          "StringEquals": {
                              "s3:x-amz-acl": "bucket-owner-full-control"
                          }
                      }
                  }
              ]
          }
    6. 既存のバケットを使用するには:
      1. 新しいS3バケットを作成のデフォルトの設定を「いいえ」に変更し、S3バケット・フィールドにバケットの名前を入力して、「拡張」をクリックします。

      2. CloudTrailを暗号化する場合、ログ・ファイルの暗号化「はい」に設定します。

        1. 新しいKMSキーを作成する「はい」を選択するか、既存のキーを使用する場合には「いいえ」を選択します。

          注意:

          KMS (Key Management Service)キーはS3バケットと同じAWSリージョンにある必要があります。ここには暗号化されたCloudTrailログが保存されます
        2. サービスIAM暗号化キーに移動し、S3バケットを作成した(前述のステップ4.b)場所へリージョンを変更することで、KMSポリシーに次の文が含まれていることを確認します。

          {
            "Version": "2012-10-17",
            "Id": "key-consolepolicy-3",
            "Statement": [
              {
                "Sid": "Enable IAM User Permissions",
                "Effect": "Allow",
                "Principal": {
                  "AWS": "arn:aws:iam::<AWSaccountnumber>:root"
                },
                "Action": "kms:*",
                "Resource": "*"
              },
              {
                "Sid": "Allow access for Key Administrators",
                "Effect": "Allow",
                "Principal": {
                  "AWS": "arn:aws:iam::<AWSaccountnumber>:user/testLocalUser"
                },
                "Action": [
                  "kms:Create*",
                  "kms:Describe*",
                  "kms:Enable*",
                  "kms:List*",
                  "kms:Put*",
                  "kms:Update*",
                  "kms:Revoke*",
                  "kms:Disable*",
                  "kms:Get*",
                  "kms:Delete*",
                  "kms:TagResource",
                  "kms:UntagResource",
                  "kms:ScheduleKeyDeletion",
                  "kms:CancelKeyDeletion"
                ],
                "Resource": "*"
              },
              {
                "Sid": "Allow use of the key",
                "Effect": "Allow",
                "Principal": {
                  "AWS": "arn:aws:iam::965634374182:user/testLocalUser"
                },
                "Action": [
                  "kms:Encrypt",
                  "kms:Decrypt",
                  "kms:ReEncrypt*",
                  "kms:GenerateDataKey*",
                  "kms:DescribeKey"
                ],
                "Resource": "*"
              },
              {
                "Sid": "Enable CloudTrail Encrypt Permissions",
                "Effect": "Allow",
                "Principal": {
                  "Service": "cloudtrail.amazonaws.com"
                },
                "Action": "kms:GenerateDataKey*",
                "Resource": "*",
                "Condition": {
                  "StringLike": {
                    "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:<AWSaccountnumber>:trail/*"
                  }
                }
              },
              {
                "Sid": "Allow attachment of persistent resources",
                "Effect": "Allow",
                "Principal": {
                  "AWS": "arn:aws:iam::<AWSaccountnumber>:user/testLocalUser"
                },
                "Action": [
                  "kms:CreateGrant",
                  "kms:ListGrants",
                  "kms:RevokeGrant"
                ],
                "Resource": "*",
                "Condition": {
                  "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                  }
                }
              }
            ]
          }
      3. ログ・ファイルの接頭辞を使用してCloudTrailログのデフォルトの場所を変更する場合、ログ・ファイルの接頭辞フィールドに接頭辞を入力します。

        これによりS3バケットのパスが接頭辞を含むように変更されます。

      4. S3バケット・ポリシーを確認するには、サービスを選択し、ストレージS3をクリックします。

      5. バケット名をクリックしてから、「権限」タブをクリックし、バケット・ポリシー・ボタンをクリックします。

        下記に太字で示すように、ポリシーにGetBucketAclおよびPutObjectが含まれていることを確認します。

        {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "AWSCloudTrailAclCheck<AWSaccountnumber>",
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "cloudtrail.amazonaws.com"
                    },
                    "Action": "s3:GetBucketAcl",
                    "Resource": "arn:aws:s3:::<bucket_name>"
                },
                {
                    "Sid": "AWSCloudTrailWrite<AWSaccountnumber>",
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "cloudtrail.amazonaws.com"
                    },
                    "Action": "s3:PutObject",
                    "Resource": "arn:aws:s3:::<bucket_name>/LORIC/AWSLogs/<AWSaccountnumber>/*",
                    "Condition": {
                        "StringEquals": {
                            "s3:x-amz-acl": "bucket-owner-full-control"
                        }
                    }
                }
            ]
        }
  4. CloudTrailがすでに有効化されている場合は、次のサブステップに従います。

    すべてのリージョンに対してCloudTrailを有効化することをお薦めします。

    すべてのイベントが記録されていることを確認します。

    1. APIアクティビティ履歴ページで、左側の証跡を選択します。
    2. 証跡ページで、「名前」列の、CloudTrailの名前をクリックします。
    3. 証跡をすべてのリージョンに適用「はい」に設定されていることを確認します。

      設定を変更するには、証跡の設定の右側にある「編集」アイコン 「編集」アイコンを示すイメージです。 をクリックします。

    4. イベントの読取り/書込み「すべて」に設定されていることを確認します。

      設定を変更するには、管理イベントの右側にある「編集」アイコン 「編集」アイコンを示すイメージです。 をクリックします。

    5. S3バケット名が使用するものであることを確認します。

      使用する新しいバケットを作成するには、ストレージの場所の右側にある「編集」アイコン 「編集」アイコンを示すイメージです。 をクリックします。

    6. CloudTrailを暗号化する場合、ログ・ファイルの暗号化「はい」に設定し、新しいKMSキーを作成する「はい」を選択するか、既存のキーを使用する場合には「いいえ」を選択します。

      注意:

      KMS (Key Management Service)キーはS3バケットと同じAWSリージョンにある必要があります(前述のステップ4bに記載)。ここには暗号化されたCloudTrailログが保存されます
  5. ページの下部にある「保存」をクリックします。

IAMユーザーの使用: 専用サービス・ユーザーの作成

Oracle CASB Cloud ServiceのIAMユーザーを作成して、スタンドアロンまたはターゲットAWSアカウントを監視します。

このタスクのステップの概要を提供するビデオを視聴するには、AWSを監視するための専用サービス・アカウントの作成(ターゲット)を参照してください。

作成するIAMユーザー・アカウントは専用サービス・アカウントと呼ばれます。Oracle CASB Cloud Serviceが専用に使用するために予約される必要があるからです。 人またはその他の自動化プロセスはこのアカウントにログインできません。

前提条件:
  1. Oracle CASB Cloud Serviceに登録するAWSアカウントにログインします。
  2. AWSコンソールで、サービスを選択してから、セキュリティ・アイデンティティおよびコンプライアンスIAMを選択します。
  3. 「ナビゲーション」メニューから「ユーザー」を選択します。 ナビゲーション・メニューが表示されない場合は、ナビゲーション・メニュー・アイコンナビゲーション・メニュー・アイコンの図。をクリックして表示します。
  4. 上部にある「ユーザーの追加」ボタンをクリックします。
  5. ユーザーの追加ページの「ユーザー名」フィールドに、ユーザーの名前を入力します。
  6. アクセス・タイプで、プログラムによるアクセスを選択してから「次」をクリックします。
  7. 権限の設定…ページで、既存のポリシーを直接アタッチをクリックします。
  8. このAWSアカウントのOracle CASB Cloud Serviceへの登録の計画方法に基づいてポリシーを選択します。
    • 監視のみ(読取り専用): ReadOnlyAccessポリシーを選択します。 (リストの下までスクロールします。)

    • 制御のプッシュおよび監視 (読取り/書込み): AdministratorAccessポリシーを選択します。

  9. 「次へ」をクリックします。
  10. 確認ページで、次を確認します。
    • IAMユーザーのユーザー名

    • AWSアクセス・タイプアクセス・キーを使用するプログラムによるアクセスに設定します

    • 権限のサマリーで、「名前」列に、選択した正しいポリシーが表示されます(ReadOnlyAccessまたはAdministratorAccess)。

  11. 「ユーザーの作成」をクリックします。
  12. 成功ページで、.csvのダウンロード・ボタンをクリックします。

    これを実行できるのはこのときだけです。 ベスト・プラクティスは、Oracle CASB Cloud Serviceで、これらのキーを再作成することで90日ごとにローテーションして、キーを更新することです。 これらのキーが失われると、Oracle CASB Cloud ServiceがこのAWSアカウントの監視を継続するためには、これを行わなければならなくなります。

  13. キーがダウンロードされたら、「閉じる」をクリックします。

    作成したユーザーがユーザーのAWSリストに表示されます。

IAMユーザーの使用: 専用サービス・ユーザーの登録

Oracle CASB Cloud Servicで作成した、専用サービス・ユーザー用のAWSアカウントを登録します。

このタスクのステップの概要を提供するビデオを視聴するには、専用サービス・アカウントを使用したAWSアカウントの登録(ターゲット)を参照してください。

前提条件:

IAMユーザーの使用: 専用サービス・ユーザーの作成のステップが正常に完了している。

  1. 新しいブラウザ・タブを開き、Oracle CASB Cloud Serviceにログインします。
  2. 「ナビゲーション」メニューから「アプリケーション」を選択します。 ナビゲーション・メニューが表示されない場合は、ナビゲーション・メニュー・アイコンナビゲーション・メニュー・アイコンの図。をクリックして表示します。
  3. アプリケーションの追加/変更をクリックするとアプリケーション管理ページが表示されます。

    注意:

    これが登録する最初のアプリケーションの場合、アプリケーション管理ページは自動的に表示されます。
  4. アプリケーション・タイプの選択ページで、Amazon Web Servicesをクリックしてから「次」をクリックします。
  5. インスタンスの選択ページで、次の手順を実行します。
    1. このAWSインスタンスの名前を入力します。

      既存のインスタンスの名前が、入力した名前の下に表示されます。

    2. ユーザーがアイデンティティ・プロバイダを介してAWSにログインする場合、このアプリ・インスタンスのユーザーはアイデンティティ・プロバイダを介してシングル・サインオンを使用してログインしますを選択し、ドロップダウン・リストからアイデンティティ・プロバイダ・インスタンスを選択します。

      注意:

      アイデンティティ・プロバイダ・インスタンスは定義しておく必要があります。 アイデンティティ・プロバイダ・インスタンスの設定を参照してください。

    3. 「次へ」をクリックします。
  6. 監視タイプの選択ページで、次のものを選択します。
    • 監視のみ(読取り専用) - Oracle CASB Cloud ServiceでAWSからデータを読み取るが、セキュリティ制御設定をAWSに書き戻すことはしない場合。 「モニターのみ」を選択するとOracle CASB Cloud Serviceにより自動的に適用されるセキュリティ制御設定の詳細は、『「AWSのセキュリティ制御値(監視のみ/読取り専用)」』を参照してください。

    • 制御をプッシュおよび監視(読取り/書込み) - Oracle CASB Cloud ServiceでAWSデータの読取りに加えて、セキュリティ制御設定をAWSに書き戻す場合。 制御をプッシュおよび監視を選択する場合、次のステップでOracle CASB Cloud Serviceが実行するセキュリティ制御設定を指定します。

      注意:

      IAMロールの使用: CloudTrailの有効化ReadAccessOnlyポリシーのみを選択した場合、制御をプッシュおよび監視を選択しないでください。

    選択したら「次」をクリックします。

  7. 監視のみを選択した場合、このステップはスキップし、資格証明の入力ページに直接進んでください。

    セキュリティ制御の選択ページで選択します。

    1. 標準厳格または「カスタム」を選択します。

      これらのオプションはそれぞれ異なるセキュリティ設定のセットを提供します。 すべてのオプションの詳細は、「AWSのセキュリティ制御値(プッシュ・コントロール/読取り/書込み)」を参照してください。

    2. 「パスワード・ポリシー」「設定」およびアクセス制御の設定を確認し、必要な変更をこれらの設定に行います。
    3. 終了したら、「次」をクリックします。
  8. 資格証明の入力ページのアクセス・キー・フィールドと秘密キーフィールドに、登録するAWSアカウント内のOracle CASB Cloud Serviceユーザーのアクセス・キーと秘密キーを入力します。

    これらのキーはIAMユーザーを作成したときにダウンロードしたCSVファイルから取得できます。

  9. Oracle CASB Cloud Serviceで外部アカウントからログを収集する場合、外部アカウントからログを収集スイッチを右にスライドします。 次に、アカウント間ロールの名前およびアカウント番号を入力します。
  10. 資格証明のテストをクリックします。
    すべての構成が正しければ、資格証明は有効ですというメッセージが表示されます。
  11. 「送信」をクリックします。

    Oracle CASB Cloud Serviceテナントで最初のデータ取込みが行われているという通知が表示されます。

  12. 「完了」をクリックします。
  13. 「ナビゲーション」メニューから「アプリケーション」を選択します。 ナビゲーション・メニューが表示されない場合は、ナビゲーション・メニュー・アイコンナビゲーション・メニュー・アイコンの図。をクリックして表示します。

    歯車アイコンを表示するAWSアプリケーションのタイルが表示されます。 これは、アプリケーションで最初のデータ取込みが行われていることを示します。

登録プロセスが完了すると、アプリケーション・インスタンスが「アプリケーション」ページに表示されます。 このインスタンスのデータは30分後に参照できるようになりますが、完全な同期にはさらに時間がかかります。

認証のためのIAMユーザー・ロールを使用して、AWSアカウントをOracle CASB Cloud Serviceに正常に登録しました。

次のステップ

IAMユーザーの使用: アカウント間ロギング用のソース専用サービス・ユーザーの追加

アカウント間ロギングでは、さらにAWSアカウントをソース・アカウントとして追加し、そのログをターゲット・アカウント用に作成されたS3バケットに向けます。

IAMユーザーの使用: 最初のソース専用サービス・ユーザーの設定

Oracle CASB Cloud ServiceがソースAWSアカウントを監視するためのIAMユーザーを作成します。

作成するアカウントは専用サービス・アカウントと呼ばれます。Oracle CASB Cloud Serviceが専用に使用するために予約される必要があるからです。 人またはその他の自動化プロセスはこのアカウントにログインできません。

アカウント間ロギングのための最初のソース・アカウントを追加するステップは固有です。 これらのステップは一度だけ実行します。

アカウント間ロギングはAWS内の構成で、これによりユーザーはCloudTrailデータを1つのAWSアカウントから別のAWSアカウントのS3バケットへと記録することができます。

IAMユーザーの使用: 専用サービス・ユーザーの作成で設定したアカウントは、ターゲット・アカウントになります。ソース・アカウントからのすべてのログ、作成してOracle CASB Cloud Serviceに登録した追加のAWSアカウントは、このターゲット・アカウントのS3バケットに送信されます。

前提条件:

注意:

この手順を完了するには、2つの異なるブラウザでAWSコンソールを開く必要がある場合があります。 たとえば、ChromeとFirefoxです。 同じブラウザを使用しするAWSアカウントで、同時に2つの異なるAWSアカウントにアクセスできません。
IAMユーザーの使用: アカウント間ロギングの設定

アカウント間ロギングを設定します。これはしばしばx-acctロギングと呼ばれます。

このタスクのステップの概要を示すビデオを見るには、「DSA: AWSでクロス・アカウント・ログを有効にする」を参照してください。

  1. ブラウザ・ウィンドウを開き、ターゲットAWSアカウントにログインします。

    これは、他のすべてのAWSアカウントがロギングに使用するS3バケットを持つアカウントです。

    このブラウザ・ウィンドウを「ターゲット・アカウント・ブラウザ」と呼びます。

  2. 異なるブラウザにウィンドウを開き、ソースAWSアカウントにログインします。

    これは、ロギング用にターゲット・アカウントからのS3バケットを使用するAWSアカウントです。

    このブラウザ・ウィンドウを「ソース・アカウント・ブラウザ」と呼びます。

    注意:

    これは単に同じブラウザ内の別々のウィンドウではなく、別のブラウザのウィンドウである必要があります。 たとえば、ターゲット・アカウントをChromeで開く場合、ソース・アカウントはFirefoxで開くことができます。
  3. ターゲット・アカウント・ブラウザに切り替えます。
  4. サービスを選択し、ストレージS3をクリックします。

    ターゲット・アカウントのポリシーは、ソース・アカウントが書き込みできるように変更される必要があります。 これが行われない場合、ソース・アカウントでのCloudTrailの作成プロセスは、ターゲット・アカウントのS3バケットが認識されないと失敗します。

  5. バケット名をクリックすると上部に4つのタブが表示されます。
  6. 「権限」タブをクリックしてから、バケット・ポリシー・ボタンをクリックします。

    バケット・ポリシー・エディタでは、このS3バケットが使用しているJSON形式のポリシーが表示されます。

  7. このポリシーを後で回復する必要がある場合に備えて、変更する前にコピーします。
  8. 一番下近くのResource文を注意して見てください。

    次に、ソース・アカウントが追加される前のResource文がどのようなものであるかを示します。

                ...
                "Action": "s3:PutObject",
                "Resource": "arn:aws:s3:::<target_bucket_name>/[<optional_prefix>/]AWSLogs/<target_account_number>/*",
                "Condition": {
                    ...
  9. Resource文で、コロンの後に開き角カッコ([)を追加し、[Enter]を押して、何回か[Tab]を押します。
                ...
                "Action": "s3:PutObject",
                "Resource": [
                    "arn:aws:s3:::<target_bucket_name>/[<optional_prefix>/]AWSLogs/<target_account_number>/*",
                "Condition": {
                    ...
  10. arn文の最後で[Enter]を押してから、arn文全体をコピーして、元のすぐ下に貼り付けます。
                ...
                "Action": "s3:PutObject",
                "Resource": [
                    "arn:aws:s3:::<target_bucket_name>/[<optional_prefix>/]AWSLogs/<target_account_number>/*",
                    "arn:aws:s3:::<target_bucket_name>/[<optional_prefix>/]AWSLogs/<target_account_number>/*",
                "Condition": {
                    ...
  11. コピーされたarn文の最後のカンマを削除し、[Enter]を押してから、閉じ角カッコ(])とカンマを入力します。
                ...
                "Action": "s3:PutObject",
                "Resource": [
                    "arn:aws:s3:::<target_bucket_name>/[<optional_prefix>/]AWSLogs/<target_account_number>/*",
                    "arn:aws:s3:::<target_bucket_name>/[<optional_prefix>/]AWSLogs/<target_account_number>/*",
                ],
                "Condition": {
                    ...
  12. コピーされたarn文で、<target_account_number>をAWSソース・アカウントの<source_account_number>で置き換えます。
                ...
                "Action": "s3:PutObject",
                "Resource": [
                    "arn:aws:s3:::<target_bucket_name>/[<optional_prefix>/]AWSLogs/<target_account_number>/*",
                    "arn:aws:s3:::<target_bucket_name>/[<optional_prefix>/]AWSLogs/<source_account_number>/*",
                ],
                "Condition": {
                    ...
  13. 「保存」をクリックします。

    変更部分に構文エラーがある場合、ポリシーに無効なJSONが含まれているというメッセージが表示されます。

    これが発生した場合、エラーを探して修正するか、「取消」をクリックして、保存した元のポリシーを復元し、この手順をもう一度やり直してください。

IAMユーザーの使用: 最初のソース専用サービス・ユーザーの作成

アカウント間ロギング用のIAMユーザー専用サービス・アカウントを設定します。これはしばしばx-acctロギングと呼ばれます。

このタスクのステップの概要を提供するビデオを視聴するには、専用サービス・アカウントを使用したAWSアカウントの登録(ソース)を参照してください。

  1. サービスを選択してから、セキュリティ、アイデンティティおよびコンプライアンスIAMを選択します。

    これで、S3バケットを読み取ることのできるIAMアカウント間ロールを担うソース・アカウントを所有することになったはずです。

  2. Identity and Access Managementへようこそページで、左側のリストから「ロール」を選択します。
  3. 左上にある「新規ロールの作成」ボタンをクリックします。
  4. ロール・タイプの選択ページで、アカウント間アクセス用のロールをドロップダウンし、保有するAWSアカウント間のアクセスを提供「選択」ボタンをクリックします。

    このオプションにより、所有するIAMユーザーまたはロールはこのアカウント間ロールを担うことができます。

  5. 「アカウントID」フィールドで、ソース・アカウント番号を入力し、「次のステップ」をクリックします。
  6. ポリシーのアタッチ・ページで、AmazonS3ReadOnlyポリシーを選択し、「次のステップ」をクリックします。
  7. ロール名の設定および確認ページで、「ロール名」フィールドにロールの名前とオプションで「ロールの説明」を入力してから、「ロールの作成」をクリックします。
  8. ロール名をクリックするとそのロールのサマリー・ページが表示されます。
  9. 信頼関係タブをクリックします。

    このタブには、ターゲット・アカウントとこのソース・アカウント間に確立した関係に関する情報が表示されます。

  10. 信頼関係の編集ボタンをクリックします。
  11. 信頼関係の編集ページで、ターゲットとソース・アカウント間の信頼関係についてのポリシー・ドキュメントを表示します。
    {
    "Version": "2012-10-17",
    "Statement": [
            {
                "Sid": "",
                "Effect": "Allow",
                "Principal": {
                "AWS": "arn:aws:iam::<source_account>:root"
                }
                "Action": "sts:AssumeRole"
            }
        ]
    }
  12. Principal文で、rootをターゲット・アカウントのIAMユーザーのAmazonリソース名(ARN)に変更します。これはOracle CASB Cloud ServiceでソースAWSアカウントを監視するのに使用されます。
                ...
                "Principal": {
                "AWS": "arn:aws:iam::<source_account>:<IAM_role_ARN>"
                }
                "Action": "sts:AssumeRole"
                ...
    
  13. 「保存」をクリックします。

    変更部分に構文エラーがある場合、ポリシーに無効なJSONが含まれているというメッセージが表示されます。

    これが発生した場合、エラーを探して修正するか、「取消」をクリックして、保存した元のポリシーを復元し、この手順をもう一度やり直してください。

IAMユーザーの使用: 追加のソース専用サービス・ユーザーの設定

アカウント間ロギングで使用する別のソース・アカウントを設定します。

作成するアカウントは専用サービス・アカウントと呼ばれます。Oracle CASB Cloud Serviceが専用に使用するために予約される必要があるからです。 人またはその他の自動化プロセスはこのアカウントにログインできません。

このタスクのステップの概要を提供するビデオを視聴するには、専用サービス・アカウントを使用したAWSアカウントの登録(ソース)を参照してください。

前提条件: 次のステップを完了することで、最初のソース・アカウントを作成および登録します。

  1. IAMユーザーの使用: 最初のソース専用サービス・ユーザーの設定

  2. IAMユーザーの使用: 追加のソース専用サービス・ユーザーの登録

追加のソース専用サービス・ユーザーの設定

  1. ソースAWSアカウントにログインします。
  2. サービスを選択してから、セキュリティ、アイデンティティおよびコンプライアンスIAMを選択します。
  3. Identity and Access Managementへようこそページで、左側の「ユーザー」を選択し、上部の「ユーザーの追加」ボタンをクリックします。
  4. ユーザーの追加ページで、「ユーザー名」を入力します。
  5. アクセス・タイプで、プログラムによるアクセスを選択して、「次」をクリックします。
  6. 権限の設定…ページで、既存のポリシーを直接アタッチをクリックします。
  7. このAWSアカウントのOracle CASB Cloud Serviceへの登録の計画方法に基づいてポリシーを選択します。
    • 監視のみ(読取り専用) - ReadOnlyAccessポリシーを選択します。 (リストの下までスクロールします。)

    • 制御のプッシュおよび監視 (読取り/書込み) - AdministratorAccessポリシーを選択します。

  8. 「次へ」をクリックします。
  9. 確認ページで、次を確認します。
    • IAMユーザーのユーザー名

    • AWSアクセス・タイプアクセス・キーを使用するプログラムによるアクセスに設定します

    • 権限のサマリーで、「名前」列に、選択した正しいポリシーが表示されます(ReadOnlyAccessまたはAdministratorAccess)。

  10. 「ユーザーの作成」をクリックします。
  11. 成功ページで、.csvのダウンロード・ボタンをクリックします。

    これを実行できるのはこのときだけです。 ベスト・プラクティスは、Oracle CASB Cloud Serviceで、これらのキーを再作成することで90日ごとにローテーションして、キーを更新することです。 これらのキーが失われると、Oracle CASB Cloud ServiceがこのAWSアカウントの監視を継続するためには、これを行わなければならなくなります。

  12. キーがダウンロードされたら、「閉じる」をクリックします。

    作成したユーザーがユーザーのAWSリストに表示されます。

  13. 前述のステップ7ReadOnlyAccessポリシーを選択した場合:
    1. 「ユーザー名」列で、作成したユーザーをクリックします。
    2. サマリー・ページの「権限」タブで、右下隅のインライン・ポリシーの追加リンクをクリックします。
    3. 権限の設定タブで、「カスタム・ポリシー」を展開し、ポリシー・エディタを使用して権限の独自のセットをカスタマイズするの右側の「選択」をクリックします。
    4. ポリシーのレビュー・ページで、「ポリシー名」を入力してから、下のテキストをコピーしてポリシー・ドキュメント・ウィンドウに貼り付けます。
      {
         "Version": "2012-10-17",
         "Statement": [
           {
              "Effect": "Allow",
              "Action": [
                "sts:AssumeRole"
              ],
              "Resource": "*"
            }
         ]
      }
    5. 下部にあるポリシーの検証ボタンをクリックします。
    6. ポリシーの適用をクリックします。

      サマリー・ページの「権限」タブの、直接アタッチされたポリシーのリストに、ポリシーが表示されるようになりました。

IAMユーザーの使用: 追加のソース専用サービス・ユーザーの登録

Oracle CASB Cloud Servicによる監視用の、作成したソース・アカウントを登録します。

このタスクのステップの概要を提供するビデオを視聴するには、専用サービス・アカウントを使用したAWSアカウントの登録(ソース)を参照してください。

  1. 新しいブラウザ・タブを開き、Oracle CASB Cloud Serviceテナントにログインします。
  2. 「ナビゲーション」メニューから「アプリケーション」を選択します。 ナビゲーション・メニューが表示されない場合は、ナビゲーション・メニュー・アイコンナビゲーション・メニュー・アイコンの図。をクリックして表示します。
  3. アプリケーションの追加/変更をクリックするとアプリケーション管理ページが表示されます。

    注意:

    これが登録する最初のアプリケーションの場合、アプリケーション管理ページは自動的に表示されます。
  4. アプリケーション・タイプの選択ページで、Amazon Web Servicesをクリックしてから「次」をクリックします。
  5. インスタンスの選択ページで、次の手順を実行します。
    1. このAWSインスタンスの名前を入力します。

      既存のインスタンスの名前が、入力した名前の下に表示されます。

    2. ユーザーがアイデンティティ・プロバイダを介してAWSにログインする場合、このアプリ・インスタンスのユーザーはアイデンティティ・プロバイダを介してシングル・サインオンを使用してログインしますを選択し、ドロップダウン・リストからアイデンティティ・プロバイダ・インスタンスを選択します。

      注意:

      アイデンティティ・プロバイダ・インスタンスは定義しておく必要があります。 アイデンティティ・プロバイダ・インスタンスの設定を参照してください。

    3. 「次へ」をクリックします。
  6. 監視タイプの選択ページで、次のものを選択します。
    • 監視のみ(読取り専用) - Oracle CASB Cloud ServiceでAWSからデータを読み取るが、セキュリティ制御設定をAWSに書き戻すことはしない場合。 「モニターのみ」を選択するとOracle CASB Cloud Serviceにより自動的に適用されるセキュリティ制御設定の詳細は、『「AWSのセキュリティ制御値(監視のみ/読取り専用)」』を参照してください。

    • 制御をプッシュおよび監視(読取り/書込み) - Oracle CASB Cloud ServiceでAWSデータの読取りに加えて、セキュリティ制御設定をAWSに書き戻す場合。 制御をプッシュおよび監視を選択する場合、次のステップでOracle CASB Cloud Serviceが実行するセキュリティ制御設定を指定します。

    注意:

    IAMユーザーの使用: CloudTrailの有効化ReadAccessOnlyポリシーのみを選択した場合、制御をプッシュおよび監視を選択しないでください。

    選択したら「次」をクリックします。

  7. 監視のみを選択した場合、このステップはスキップし、資格証明の入力ページに直接進んでください。

    セキュリティ制御の選択ページで選択します。

    1. 標準厳格または「カスタム」を選択します。

      これらのオプションはそれぞれ異なるセキュリティ設定のセットを提供します。 すべてのオプションの詳細は、「AWSのセキュリティ制御値(プッシュ・コントロール/読取り/書込み)」を参照してください。

    2. 「パスワード・ポリシー」「設定」およびアクセス制御の設定を確認し、必要な変更をこれらの設定に行います。
    3. 終了したら、「次」をクリックします。
  8. 資格証明の入力ページのアクセス・キー・フィールドと秘密キーフィールドに、登録するAWSアカウント内のOracle CASB Cloud Serviceユーザーのアクセス・キーと秘密キーを入力します。

    これらのキーはIAMユーザーを作成したときにダウンロードしたCSVファイルから取得できます。

  9. 外部アカウントからのログの収集セレクタを右にスライドします。
  10. アカウント間ロールの名前フィールドに、ターゲット・アカウントで作成したアカウント間ロールの名前を入力します。
  11. アカウント番号フィールドにターゲット・アカウントのアカウント番号を入力します。
  12. 資格証明のテストをクリックします。

    すべての構成が正しければ、資格証明は有効ですというメッセージが表示されます。

  13. 「送信」をクリックします。

    Oracle CASB Cloud ServiceテナントでAWSインスタンスが最初のデータ取込みを行っているという通知が表示されます。

  14. 「完了」をクリックします。
  15. 「ナビゲーション」メニューから「アプリケーション」を選択します。 ナビゲーション・メニューが表示されない場合は、ナビゲーション・メニュー・アイコンナビゲーション・メニュー・アイコンの図。をクリックして表示します。

    歯車アイコンを表示する新しいAWSアプリケーションのタイルが表示されます。 これは、アプリケーションで最初のデータ取込みが行われていることを示します。

登録プロセスが完了すると、アプリケーション・インスタンスが「アプリケーション」ページに表示されます。 このインスタンスのデータは30分後に参照できるようになりますが、完全な同期にはさらに時間がかかります。

認証のためのIAMユーザー・ロールを使用して、AWSアカウントをOracle CASB Cloud Serviceに正常に登録しました。

次のステップ

AWSのセキュリティ制御値(監視のみ/読取り専用)

Oracle CASB Cloud Serviceが監視のみモードで監視するAWSセキュリティ制御を、それらの厳しい設定の値とともに確認します。

監視のみモードでAWSインスタンスを登録した後、AWSのセキュリティ制御の値がOracle CASB Cloud Serviceのこれらの制御のベースライン値から逸脱している場合は、Oracle CASB Cloud Serviceによってセキュリティ制御アラートが表示されます。

これらの設定は、AWSの次の場所に表示されます。

  • パスワード・ポリシー: AWS管理コンソールのIAM「アカウント設定」セクション。

  • SSHキーおよびユーザー・キー: Oracle CASB Cloud Serviceでは、すべてのユーザー・キーおよびEC2 SSHキーの経過期間をチェックします。

  • 多要素認証: AWS管理コンソールのIAM「ユーザー」セクション。

  • 暗号化およびセキュア・ポート: Oracle CASB Cloud Serviceでは、アカウント内のすべてのEC2インスタンスについて、ネットワーク・アクセス制御リスト(ACL)の暗号化およびポート設定をチェックします。

次に、Oracle CASB Cloud Serviceのデフォルト設定について説明します。 一般的に、これらの設定はAWS内のデフォルト設定よりも厳しくなります。

セキュリティ制御のタイプ セキュリティ制御の名前 厳格度の設定: この値が変更された場合にアラートを生成 説明

Password policy

Minimum password length

10 characters

パスワードは長いほど、クラックされにくくなります。

Password policy

Require at least one uppercase letter

オン

パスワードは複雑であるほど、クラックされにくくなります。

Password policy

Require at least one lowercase letter

オン

パスワードは複雑であるほど、クラックされにくくなります。

Password policy

少なくとも1つの文字が必要

オン

パスワードは複雑であるほど、クラックされにくくなります。

Password policy

Require at least one non-alphanumeric character

オン

パスワードは複雑であるほど、クラックされにくくなります。

Password policy

Allow users to change their own password

オン

このアクティビティがユーザーの制御下にある場合、ユーザーがパスワードを更新する可能性が高くなります。

Password policy

Password expiration period (in days)

30

パスワードは更新頻度が高いほど、クラックされにくくなります。

Password policy

Number of passwords to remember

10

パスワードを再使用すると、攻撃者に古いパスワードを利用する隙を与えることになります。

Password policy

Password expiration requires administrator reset

オン

パスワードが期限切れになると、これは使用されないアカウントであることを示します。 アカウントをアイドル状態で維持しないことがベスト・プラクティスです。

Setting

Number of days for an SSH key to be considered old

30

SSHキーは、AWS EC2インスタンスを認証します。 これらのキーは更新頻度が高いほど、クラックされにくくなります。

Setting

Number of days for an IAM key to be considered old

90

IAMキーは、AWS管理ユーザーを認証します。 これらのキーは更新頻度が高いほど、クラックされにくくなります。

Access controls

Require the root user to use multi-factor authentication

オン

多要素認証では、ユーザーがログイン時に複数の資格証明を入力する(たとえば、パスワードと1回かぎりのコード)必要があります。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

Access controls

Require the admin users to use multi-factor authentication

Off

上記の設定はルート・ユーザーにのみ適用されます。 この設定は他のすべての管理ユーザーに適用されます。

Access controls

Make sure that all S3 server buckets are encrypted

オン

データは暗号化された形式で保存することがベスト・プラクティスです。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

Access controls

Check public access acl enabled s3 buckets

オン

この設定により、ACLにより有効化されたパブリック・アクセスを使用してS3バケットを監視できます。

Access controls

Check cloud trails those stores logs less than two weeks

オン

この設定では、少なくとも2週間のデータをCloudTrailログに保持しておくことが必要です。 データを保持するには2つの方法があります。CloudTrailbの構成済のS3バケットと、CloudTrailの構成済のCloudWatchログを使用する方法です。

Access controls

Require multi-factor authentication when deleting an S3 bucket

オン

S3バケットを削除することは、データ・ストアを削除することを意味します。 これは注意を要する操作であるため、多要素認証によって提供される追加のセキュリティを必須にすることをお薦めします。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

Access controls

VPCs whose flow logs are not stored as per standard

オン

この設定によりOracle CASB Cloud Serviceは標準のガイドラインにより保管されないフロー・ログのあるVPCにフラグを立てます。

Access controls

Check ec2 instances termination protection

オン

この設定によりEC2インスタンスの終了保護を監視できます。

Access controls

Require security group checking for unsecured ports

Off

AWSは、クリティカルな組織インフラストラクチャを管理します。 セキュリティ・グループ・チェックは、ポートがインターネットに公開されたままになっている場合に追加のセキュリティ層を提供します。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

Access controls

Require network ACLs to use secure open ports

Off

AWSサービスは、ポート上でトラフィックをリスニングします。 これらのポートでは、機密情報が暗号化されていない状態で送信されることがないように、セキュアな(暗号化された)通信を必須にする必要があります。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

この設定を有効化できるのは、アプリケーション・インスタンスのセキュリティ制御ベースラインを「カスタム」に設定した場合のみです。

Access controls

Do not let network ACLs have Allow All set as the default

オン

「Allow All」は、アクセス制御リスト(ACL)がインターネット上のすべての人へのアクセスを提供するという意味です。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

Access controls

Check use of Route 53 hosted zones

オン

AmazonのRoute 53サービスは、ドメイン・ネーム・システム(DNS)問合せを数値IPアドレスにマップします。 ドメイン名(例: www.example.com)を、コンピュータ間の接続に使用する数値IPアドレス(例: 192.0.2.1)に変換することにより、エンド・ユーザーをインターネット・アプリケーションにルーティングします。 Route 53では、外部ドメイン名を使用できます。 また、Amazon仮想プライベート・クラウド(VPC)も使用できます。この場合、内部AWSリソースにカスタム・ドメイン名を使用でき、それらをパブリック・インターネットに公開する必要はありません。 DNSルーティング(VPCに拡張も可能)に対するコスト効率の高いソリューションとして、Route 53サービスを使用することを検討してください。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

Access controls

Check use of Route 53 health checks

オン

Amazon Route 53は、ドメイン・ネーム・システム(DNS)問合せを数値IPアドレスにマップします。 Route 53のヘルス・チェックでは、トラフィックをこれらのIPアドレスに転送する前に、これらのIPアドレスに存在するWebリソースが機能していることをチェックします。

Oracle CASB Cloud Serviceでは、ホストされたプライベート・ゾーン内のRoute 53ヘルス・チェックを監視しません。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

Access controls

Check EBS volume encryption status

オン

Amazon Elastic Block Store (EBS)ボリュームは、Amazon Elastic Compute Cloud (EC2)インスタンスの増分バックアップを提供します。 これらのボリュームを暗号化することにより、そのボリューム上のデータへの不正アクセスを回避します。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

Access controls

Check RDS encryption status

オン

Amazon Relational Database Service (RDS)はクラウドでのリレーショナル・データベースです。 データベースに格納された情報への不正アクセスを回避するために、RDS暗号化が有効化されていることを確認してください。 Amazon RDSでは、認証アクセスを処理し、パフォーマンスへの影響を最小化しながらデータの復号化を透過的に処理します。 また、Amazon RDSの暗号化は、保存データ暗号化のコンプライアンス要件を満たすために役立ちます。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

AWSのセキュリティ制御値(プッシュ・コントロール/読取り/書込み)

Oracle CASB Cloud Serviceが制御のプッシュ・モードに対して監視するAWSセキュリティ制御を、厳格な設定に対する値とともに、確認します。

制御のプッシュ・モードでAWSインスタンスを登録した後、Oracle CASB Cloud Serviceによって、選択したセキュリティ制御の値が関連するAWSアカウントにプッシュされます。 後で、これらの値が変更された場合、セキュリティ制御アラートが表示されます。

これらの設定は、AWSの次の場所に表示されます。

  • パスワード・ポリシー: AWS管理コンソールのIAM「アカウント設定」セクション。

  • SSHキーおよびユーザー・キー: Oracle CASB Cloud Serviceでは、すべてのユーザー・キーおよびEC2 SSHキーの経過期間をチェックします。

  • 多要素認証: AWS管理コンソールのIAM「ユーザー」セクション。

  • 暗号化およびセキュア・ポート: Oracle CASB Cloud Serviceでは、アカウント内のすべてのEC2インスタンスについて、ネットワーク・アクセス制御リスト(ACL)の暗号化およびポート設定をチェックします。

登録後、誰かがアプリケーションでこれらの値の厳格度を低めると、Oracle CASB Cloud Serviceによってリスク・イベント内にリスク・イベントが生成され、コンソールのインシデント・セクション内にチケットが生成されます。

次に、Oracle CASB Cloud Serviceのデフォルト設定について説明します。 一般的に、これらはAWS内のデフォルト設定よりも厳しくなります。 また、これらの制御に対してカスタム設定を定義することもできます。

セキュリティ制御のタイプ セキュリティ制御の名前 厳格度の設定: この値が変更された場合にアラートを生成 説明

Password policy

Minimum password length

10 characters

パスワードは長いほど、クラックされにくくなります。

Password policy

Require at least one uppercase letter

オン

パスワードは複雑であるほど、クラックされにくくなります。

Password policy

Require at least one lowercase letter

オン

パスワードは複雑であるほど、クラックされにくくなります。

Password policy

少なくとも1つの文字が必要

オン

パスワードは複雑であるほど、クラックされにくくなります。

Password policy

Require at least one non-alphanumeric character

オン

パスワードは複雑であるほど、クラックされにくくなります。

Password policy

Allow users to change their own password

オン

このアクティビティがユーザーの制御下にある場合、ユーザーがパスワードを更新する可能性が高くなります。

Password policy

Password expiration period (in days)

30

パスワードは更新頻度が高いほど、クラックされにくくなります。

Password policy

Number of passwords to remember

10

パスワードを再使用すると、攻撃者に古いパスワードを利用する隙を与えることになります。

Password policy

Password expiration requires administrator reset

オン

パスワードが期限切れになると、これは使用されないアカウントであることを示します。 アカウントをアイドル状態で維持しないことがベスト・プラクティスです。

Setting

Number of days for an SSH key to be considered old

30

SSHキーは、AWS EC2インスタンスを認証します。 これらのキーは更新頻度が高いほど、クラックされにくくなります。

Setting

Number of days for an IAM key to be considered old

90

IAMキーは、AWS管理ユーザーを認証します。 これらのキーは更新頻度が高いほど、クラックされにくくなります。

Access controls

Require the root user to use multi-factor authentication

オン

多要素認証では、ユーザーのログイン時に複数の資格証明(たとえば、パスワードと1回かぎりのコード)が必要です。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

Access controls

Require the admin users to use multi-factor authentication

Off

上記の設定はルート・ユーザーにのみ適用されます。 この設定は他のすべての管理ユーザーに適用されます。

アプリケーション・インスタンスのセキュリティ制御ベースラインを「カスタム」に設定した場合、この設定を適用するIAMグループを指定できます。 許可されたIAMグループ名を展開し、考慮が必要なIAM管理グループ・フィールドに1つ以上の管理グループ名を入力します。

Access controls

Make sure all S3 server buckets are encrypted

オン

データは暗号化された形式で保存することがベスト・プラクティスです。

Access controls

Check public access acl enabled s3 buckets

オン

この設定により、ACLにより有効化されたパブリック・アクセスを使用してS3バケットを監視できます。

Access controls

Check cloud trails those stores logs less than two weeks

オン

この設定では、少なくとも2週間のデータをCloudTrailログに保持しておくことが必要です。 データを保持するには2つの方法があります。CloudTrailbの構成済のS3バケットと、CloudTrailの構成済のCloudWatchログを使用する方法です。

Access controls

Require multi-factor authentication when deleting an S3 bucket

オン

S3バケットを削除することは、データ・ストアを削除することを意味します。 これは注意を要する操作であるため、多要素認証によって提供される追加のセキュリティを必須にすることをお薦めします。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

Access controls

VPCs whose flow logs are not stored as per standard

オン

この設定によりOracle CASB Cloud Serviceは標準のガイドラインにより保管されないフロー・ログのあるVPCにフラグを立てます。

Access controls

Check EC2 instance termination protection

オン

この設定によりEC2インスタンスの終了保護を監視できます。

Access controls

Require security group checking for unsecured ports

オン

AWSは、クリティカルな組織インフラストラクチャを管理します。 セキュリティ・グループ・チェックは、ポートがインターネットに公開されたままになっている場合に追加のセキュリティ層を提供します。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

Access controls

Require network ACLs to use secure open ports

オン

AWSサービスは、ポート上でトラフィックをリスニングします。 これらのポートでは、機密情報が暗号化されていない状態で送信されることがないように、セキュアな(暗号化された)通信を必須にする必要があります。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

この設定を有効化できるのは、アプリケーション・インスタンスのセキュリティ制御ベースラインを「カスタム」に設定した場合のみです。

Access controls

Do not let network ACLs have Allow All set as the default

オン

「Allow All」は、アクセス制御リスト(ACL)がインターネット上のすべての人へのアクセスを提供するという意味です。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

Access controls

Check use of Route 53 hosted zones

オン

AmazonのRoute 53サービスは、ドメイン・ネーム・システム(DNS)問合せを数値IPアドレスにマップします。 ドメイン名(例: www.example.com)を、コンピュータ間の接続に使用する数値IPアドレス(例: 192.0.2.1)に変換することにより、エンド・ユーザーをインターネット・アプリケーションにルーティングします。 Route 53では、外部ドメイン名を使用できます。 また、Amazon仮想プライベート・クラウド(VPC)も使用できます。この場合、内部AWSリソースにカスタム・ドメイン名を使用でき、それらをパブリック・インターネットに公開する必要はありません。 DNSルーティング(VPCに拡張も可能)に対するコスト効率の高いソリューションとして、Route 53サービスを使用することを検討してください。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

Access controls

Check use of Route 53 health checks

オン

Amazon Route 53は、ドメイン・ネーム・システム(DNS)問合せを数値IPアドレスにマップします。 Route 53のヘルス・チェックでは、トラフィックをこれらのIPアドレスに転送する前に、これらのIPアドレスに存在するWebリソースが機能していることをチェックします。

Oracle CASB Cloud Serviceでは、ホストされたプライベート・ゾーン内のRoute 53ヘルス・チェックを監視しません。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

Access controls

Check EBS volume encryption status

オン

Elastic Block Store (EBS)が暗号化されていない場合のアラート。

インスタンスの例外: AWSインスタンスのボリュームIDを入力します。 複数のボリュームIdはカンマで区切ります。

タグの例外 : <tag-key-name>:[<value>]と入力します。 複数の値はカンマで区切ります。 複数のタグ・キー名と値のリストはカンマで区切ります : <tag-key-name1>:[<key1-value1>, <key1-value2>, ...], <tag-key-name1>:[<key1-value1>, <key1-value2>, ...]

バックグラウンド情報: Amazon Elastic Block Store (EBS)ボリュームでは、Amazon Elastic Compute Cloud (EC2)インスタンスの増分バックアップが提供されます。 これらのボリュームを暗号化することにより、そのボリューム上のデータへの不正アクセスを回避します。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

Access controls

Check RDS encryption status

オン

リレーショナル・データベース・サービス(RDS)が暗号化されていない場合にアラート。

インスタンスの例外: AWSインスタンスのボリュームIDを入力します。 複数のボリュームIdはカンマで区切ります。

タグの例外 : <tag-key-name>:[<value>]と入力します。 複数の値はカンマで区切ります。 複数のタグ・キー名と値のリストはカンマで区切ります : <tag-key-name1>:[<key1-value1>, <key1-value2>, ...], <tag-key-name1>:[<key1-value1>, <key1-value2>, ...]

バックグラウンド情報: Amazonリレーショナル・データベース・サービス(RDS)は、クラウドのリレーショナル・データベースです。 データベースに格納された情報への不正アクセスを回避するために、RDS暗号化が有効化されていることを確認してください。 Amazon RDSでは、認証アクセスを処理し、パフォーマンスへの影響を最小化しながらデータの復号化を透過的に処理します。 また、Amazon RDSの暗号化は、保存データ暗号化のコンプライアンス要件を満たすために役立ちます。

AWS管理コンソールでは、このページのこの設定および他のアクセス制御はセキュリティ設定として使用できません。 ただし、有効化されている場合、Oracle CASB Cloud Serviceによってこのリソースが監視され、この機能が有効化されていない場合にはアラートが生成されます。

AWS登録エラー

AWSインスタンスの追加または登録時に受信する可能性のあるエラーのトラブルシューティングの方法について学習します。

検証失敗: 資格証明または権限の問題

無効なキー、不十分な権限、またはアカウント間ロギングの問題に関するエラーをトラブルシューティングします。

メッセージ・テキスト: 次のいずれかの理由で検証が失敗しました。

  • アクセス・キーまたは秘密キーが無効です。

  • このユーザーには、AWSログにアクセスするための追加権限が必要です。

  • アカウント間ロギングを設定した場合、このユーザーがターゲット・アカウント内にアカウント間ロールを持っていることを確認してください。

説明: このアプリケーション・インスタンスを正常に登録するには、次のことがすべて完了している必要があります。

検証失敗: 権限の問題

ユーザーに追加のAWS権限が必要なことに関するエラーをトラブルシューティングします。

メッセージ・テキスト: このユーザーには、AWSログにアクセスするための追加権限が必要です。

説明: このユーザーが自分のロールに応じた適切な権限を持っていることを確認してください。 Oracle CASB Cloud ServiceがAWSインスタンスを監視する方法、および登録しようとしているアカウントに応じた内容(スタンドアロンまたは最初のアカウント間インスタンスか、追加のアカウント間インスタンスか)について、次に示すトピックを参照してください。

検証失敗: ロギング構成の問題

CloudTrailまたはS3バケットに関するエラーをトラブルシューティングします。

メッセージ・テキスト: 次のいずれかの理由で検証が失敗しました。

  • CloudTrailがオフになっている。

  • アカウント間ロギングを設定したが、一部のリージョンがそのログを同じターゲットS3バケットに送信していない

説明: CloudTrailがオンになっていることを確認してください。 IAMユーザーを使用してAWSインスタンスを監視する場合は「IAMユーザーの使用: CloudTrailの有効化」、IAMロールを使用している場合は「IAMロールの使用: CloudTrailの有効化」を参照してください。 アカウント間ロギングを行う場合、すべてのリージョンのログが同じバケットに送信されるようにしてください。

検証失敗: その他の問題

AWSドキュメントの参照に関するエラーをトラブルシューティングします。

これはより詳細な診断ができない場合に表示されるエラーです。 問題のトラブルシューティングにはおそらく手助けが必要です。

メッセージ・テキスト: AWSエラー{0}。 AWSのドキュメントで詳細を参照するか、Oracle CASB Cloud Serviceサポートに問い合せてください。

説明: いくつかの登録エラーがAWSから直接生成されました。 この場合、AWSのドキュメントを参照してエラーを診断するか、Oracle CASB Cloud Serviceサポートに問い合せてサポート担当者に問題の調査の支援を依頼します。

警告: CloudTrailの有効化

登録は正常に完了しましたが、CloudTrailはすべてのS3バケットに対して有効になっていません。

メッセージ・テキスト: 警告: 資格証明はこのユーザーに対して有効なため、アプリの登録を完了できます。 ただし、このアカウントの1つ以上のS3バケットについてCloudTrailを有効化する必要があります。

説明: Oracle CASB Cloud ServiceはAWS CloudTrailのログ・データを取り込み、ログ内の情報を使用して様々なタイプのリスクを分析します。 このデータをOracle CASB Cloud Serviceに提供するには、監視対象のAWSアカウントの各S3バケットについて、必ずCloudTrailを有効化する必要があります。

Oracle CASB Cloud ServiceがIAMユーザーを使用してAWSインスタンスを監視する場合は「IAMユーザーの使用: CloudTrailの有効化」、IAMロールを使用する場合は「IAMロールの使用: CloudTrailの有効化」を参照してください。