yamory の使い方

yamory へようこそ! yamory の基礎知識と使い方をご紹介します。

AWS アカウントを追加する(アカウント毎に手動で連携)

yamory のクラウドで AWS アカウントをスキャンするために、AWS アカウントを yamory に追加する方法を説明します。

はじめに

yamory と AWS アカウントを追加するためには、AWS の IAM Role ベースの連携を行います。
yamory と連携するための IAM Role を作成し、Role に対して必要な権限を付与します。
この IAM Role の ARN を yamory に登録していただくことでスキャンが行えるようになります。

その他、必要な権限を以下のページにまとめております。

AWS のポリシーについて

AWS アカウントの連携手順

以下の手順で、AWS アカウントを追加できます。

  1. アカウント追加ウィザードの開始
  2. IAM Role の登録
  3. IAM Role ARN の登録

1. アカウント追加ウィザードの開始

「クラウド」カテゴリの「アカウント」画面から「新しいアカウントを追加」ボタンをクリックします。

<クラウドスキャン用アカウント画面>

「アカウント毎に手動で連携」を選択します。

連携方法選択手動画面

2. IAM Role の登録

IAM Role の作成画面が表示されます。
ここで、クラウドでのスキャンに必要な IAM Role の信頼ポリシーが表示されるので、右上の「コピー」ボタンをクリックして、全体をコピーしておきます。

また、「外部 ID 再生成」ボタンで、アカウント毎に外部 ID を再生成できます。

外部 ID とは、権限を与える際に一意の識別子を提供し、混乱する代理問題 を回避するために役立てることができます。

AWS IAM Role 表示画面

次に、クラウドでスキャンしたい AWS アカウントにログインし、IAM の管理コンソールを開きます。管理コンソールの左側のメニューから「ロール」をクリックして IAM Role 一覧画面を開き、IAM Role の一覧が表示されている状態で、右上の「ロールを作成」ボタンをクリックします。

<AWS IAM Role 一覧メニュー>

IAM Role 作成画面に遷移したら、「カスタム信頼ポリシー」を選択して、先ほどコピーした IAM Role を編集画面に貼り付け、次へ進みます。

<AWS IAM Role の貼り付け画面>

続いて、IAM Role に紐づけるポリシーを選択します。
yamory のクラウドでは以下の 2 つのポリシーが必要になります。

  • ReadOnlyAccess
  • SecurityAudit

この 2 つを検索してアタッチしてください。

ポリシー検索欄は部分一致検索を行う仕様のため、デフォルトのソート順では ReadOnlyAccess が1ページ目に表示されないことがあります。この場合は、ポリシー名をアルファベット逆順でソートすることにより見つけやすくなります。

<ReadOnlyAccess ポリシーのアタッチ>
<SecurityAudit ポリシーのアタッチ>

最後に、作成した IAM Role に名前をつけます。ここでは説明のため yamory-cspm-role-for-document としていますが、任意の名前をつけることができます。

<IAM Role の命名>

ReadOnlyAccessSecurityAudit のポリシーがアタッチされていることを確認して、「ロールを作成」ボタンをクリックします。

<IAM Role 作成の確認画面>

3. IAM Role ARN の登録

IAM Role を作成したら、yamory 側への登録作業を行います。IAM Role の一覧画面から、作成した Role を選択し、ARN をコピーします。

<IAM Role ARN のコピー>

yamory 側の画面へ戻り、コピーした ARN を貼り付けてから「アカウントを追加」ボタンをクリックします。

<IAM Role ARN のコピー>

以上で AWS アカウントの追加作業は完了になります。

クラウドアセットスキャン機能を有効化する

yamory のクラウドアセットスキャン機能を On にすると、クラウドのスキャンと同時に連携されたクラウドに登録されているアセット(アプリライブラリ、ホスト、コンテナ)に対するスキャンを行うことができます。

2. IAM Role の登録で IAM ポリシーを作成する際に「クラウドアセットスキャン」を On にします。
クラウドアセットスキャンに必要なポリシーを IAM Role に追加してください。
その後は同様に AWS アカウントの連携を行ってください。

IAM ポリシー作成画面

連携内容を表示する

登録された連携内容は「その他」ボタンメニューの「連携内容を表示」で表示できます。

その他ボタンメニュー画面

「連携内容を表示」機能では外部 ID の再生成が可能です。

連携内容の表示画面