yamory の使い方

yamory へようこそ! yamory の基礎知識と使い方をご紹介します。

AWS アカウントを追加する

yamory の クラウドで AWS アカウントをスキャンするために、AWS アカウントを yamory に登録する方法を説明します。

前提条件

必要な権限を以下のページにまとめております。

AWSのポリシーについて

AWS アカウントの追加手順

以下の手順で、AWS アカウントを追加できます。

  1. アカウント追加ウィザードの開始
  2. IAM Role の登録
  3. IAM Role ARN の登録

アカウント追加ウィザードの開始

「クラウド」カテゴリの「アカウント」画面から「新しいアカウントを追加」ボタンをクリックします。

<クラウドスキャン用アカウント画面>

「アカウント毎に手動で連携」を選択します。

連携方法選択手動画面

IAM Role の発行と登録

IAM Role の作成画面が表示されます。ここで、クラウドでのスキャンに必要な IAM Role の信頼ポリシーが表示されるので、右上の「コピー」ボタンをクリックして、全体をコピーしておきます。
「外部ID再生成」ボタンで、アカウント毎に外部IDを再生成できます。

外部IDとは、権限を与える際に一意の識別子を提供し、混乱する代理問題 を回避するために役立てることができます。

AWS IAM Role 表示画面

次に、クラウドでスキャンしたい AWS アカウントにログインし、IAM の管理コンソールを開きます。管理コンソールの左側のメニューから「ロール」をクリックして IAM Role 一覧画面を開き、IAM Role の一覧が表示されている状態で、右上の「ロールを作成」ボタンをクリックします。

<AWS IAM Role 一覧メニュー>

IAM Role 作成画面に遷移したら、「カスタム信頼ポリシー」を選択して、先ほどコピーした IAM Role を編集画面に貼り付け、次へ進みます。

<AWS IAM Role の貼り付け画面>

続いて、IAM Role に紐づけるポリシーを選択します。yamory の クラウドでは ReadOnlyAccessSecurityAudit のポリシーが必要となるので、この 2 つを検索してアタッチしてください。

ポリシー検索欄は部分一致検索を行う仕様のため、デフォルトのソート順では ReadOnlyAccess が1ページ目に表示されないことがあります。この場合は、ポリシー名をアルファベット逆順でソートすることにより見つけやすくなります。

<ReadOnlyAccess ポリシーのアタッチ>

<SecurityAudit ポリシーのアタッチ>

最後に、作成した IAM Role に名前をつけます。ここでは説明のため yamory-cspm-role-for-document としていますが、任意の名前をつけることができます。

<IAM Role の命名>

ReadOnlyAccessSecurityAudit のポリシーがアタッチされていることを確認して、「ロールを作成」ボタンをクリックします。

<IAM Role 作成の確認画面>

IAM Role ARN の登録

IAM Role を作成したら、yamory 側への登録作業を行います。IAM Role の一覧画面から、作成した Role を選択し、ARN をコピーします。

<IAM Role ARN のコピー>

yamory 側の画面へ戻り、コピーした ARN を貼り付けてから「アカウントを追加」ボタンをクリックします。

<IAM Role ARN のコピー>

以上でアカウントの追加は完了です。

連携内容を表示する

登録された連携内容は「その他」ボタンメニューの「連携内容を表示」で表示できます。

その他ボタンメニュー画面

「連携内容を表示」機能では外部IDの再生成が可能です。

連携内容の表示画面