クラウド・プラグインのインストール

各クラウド・プラグインには、BES サポートに関する特定のインストール・タスクがあり、プラグイン・ポータルがインストールされているコンピューターに関連します。

注: クラウド・プラグインの最終公開バージョンでは、最新バージョンのプラグイン・ポータルが必要な場合があります。古いプラグインは、新しいプラグイン・ポータルで引き続き正しく機能します。

タスクは、「説明」タブのすべての必須フィールドに入力した後でのみ実行できます。

クラウド・プラグインをインストールできるのは、マスター・オペレーター (MO) のみです。

すべてのクラウド・プラグインの拡張構成は、WebUI を使用して実行できます。

Amazon Web Services プラグイン

アカウント・ラベル
指定された Access Key ID / Secret Access Key ペアのわかりやすい名前。英数字のみを含める必要があります。
デフォルト・リージョン名

これは、プラグインが検出を実行するときに最初に接続する必要がある AWS リージョンの名前です。例えば、プラグインにヨーロッパ (フランクフルト) リージョンへの接続の検出を開始させる場合、指定する値は eu-central-1 です。プラグインは、指定した Access Key ID/Secret Access Key ペアがアクセスできる他のすべてのリージョンに接続することで、その検出を自動的に完了します。

:
  • フィールドでは大文字と小文字が区別されます。AWS で文書化されているように、大文字と小文字を正しく入力してください。
  • 新しい Access Key ID / Secret Access Key ペアを追加する場合、BigFix WebUI では、オプションでユーザー・リージョンの値を指定できます。指定されたキー・ペアのこの値がデフォルト・リージョンで優先されます。

使用可能なリージョンの詳細については、AWS の資料を参照してください。

AWS プラグインのインストール時に、許可されるリージョンを指定できます。AWS リージョンを制限する方法の詳細については、『Limit AWS Regions to restrict the scope of device discovery』を参照してください。

アクセス・キー ID とシークレット・アクセス・キー

IAM ユーザーに関連付けられた Access Key ID / Secret Access Key ペア。

IAM ユーザーの要件は次のとおりです。

  • MFA を有効にしてはなりません
  • プログラムによるアクセス・タイプが必要です
  • 少なくとも次の権限が必要です。リソース "*" に対するアクション "ec2:Describe*" が許可されている
    • 事前定義された適切な AWS ポリシーは AmazonEC2ReadOnlyAccess です

AWS アクセス・キーの詳細については、AWS の資料を参照してください。

IAM ロール

IAM ロールに関連付けられた ARN/リージョン/外部 ID。

BigFix v10.0 パッチ 4 と同時にリリースされたクラウド・プラグイン・バージョン 1.4 以降では、IAM ロールがサポートされています。IAM ロールは一連の割り当て権限を持つ識別情報です。ビジネス・ニーズに応じて、管理ユーザーを含む任意の信頼できるユーザーが、一時的に引き受けることができます。ロールには資格情報がないため、パスワードの有効期限の対象ではありません。役割を引き受ける場合、ログイン中のユーザーは一時的な資格情報を要求します。期間は、管理ユーザーが割り当てた最大時間を超えることはできません。

: IAM ロールを使用する場合は、ロールを引き受けるユーザーがロールに対して sts:AssumeRole を実行する権限を持っていることを確認してください。

: 役割は、引き受けるユーザーを完全に置き換えます。つまり、ユーザーが管理する各操作は役割によって実行され、役割はクラウド・プラグインを管理するユーザーに必要な同じ権限を持っている必要があります。

注: AWS ロールが挿入されると、AWS プラグインは、取得元の資格情報ではなく、検出時に AWS ロールを使用します。クラウド環境で検出するすべての AWS デバイスがこれらの役割に含まれるようにする必要があります。そうしない場合、一部のマシンが検出されない可能性があります。

次の情報を指定する必要があります。

IAM ロールに関連付けられた ARN / Region / External ID

各表記の意味は次のとおりです。
ARN
ロールの Amazon リソース名。AWS 上のリソースの固有 ID です。

AWN について詳しくは、AWS の資料を参照してください。

領域
(オプション): IAM ロールのデフォルト AWS リージョンです。詳しくは、『デフォルトのリージョン名』セクションを参照してください。新しい IAM ロールを追加する場合、BigFix ではオプションでロール・リージョンの値を指定できます。デフォルト・リージョンとユーザー・リージョンの両方で、指定されたロールが有効になります。
外部 ID
(オプション): AWS リソースへのアクセスをサード・パーティーに委任する必要がある場合は、IAM ロールを外部 ID と併用できます。これは、サード・パーティーがクラウド環境のリソースおよびサービスにアクセスして使用することを想定した設定です。外部IDは、環境を所有する組織によってサード・パーティーに提供される必要があります。また、GUID である必要があります。

外部 ID について詳しくは、AWS の資料を参照してください。

HTTP プロキシー
AWS プラグインがインストールされるシステムがインターネットに直接接続されていない場合は、オプションで HTTP プロキシーを指定できます。サポートされているプロキシーの認証方法については、AWS の資料を参照してください。

Microsoft Azure プラグイン

アカウント・ラベル
指定されたサービス・プリンシパル・カルテットのわかりやすい名前。英数字のみを含める必要があります。
クライアント ID、パスワード、サブスクリプション ID、テナント ID
サービス・プリンシパル・カルテット。サービス・プリンシパルの要件:
  • 組み込みの リーダー の役割が割り当てられている必要があります。
  • MFA を有効にしてはなりません。

Microsoft Azure サービス・プリンシパルの詳細については、Microsoft Azure の資料を参照してください。

VMware プラグイン

アカウント・ラベル
指定されたユーザー名/パスワード・ペアのわかりやすい名前。英数字のみを含める必要があります。
vCenter サーバー
vCenter サーバーの IP アドレスのホスト名。
ユーザー名とパスワード
vCenter サーバーにアクセスするための資格情報。
注: VMware プラグインは govmomi ライブラリーを使用し、その互換性が、プラグインが準拠する vCenter のバージョンを定義します。詳しくは、govmomi の資料を参照してください。

Google Cloud Platform プラグイン

アカウント・ラベル
指定したサービス・アカウント資格情報のわかりやすい名前。英数字のみを含める必要があります。
サービス・アカウント資格情報
サービス・アカウントの鍵を含む、Google が提供する .json ファイルの内容をコピーして貼り付けます。必要な IAM 権限は次のとおりです。
  • compute.zones.list
  • compute.regions.list
  • compute.instances.list
  • compute.images.list
  • compute.disks.list
  • compute.machineTypes.list
  • compute.subnetworks.list
これらの権限はすべて必須です。

Google Cloud Platform サービス・アカウントについて詳しくは、Google の文書を参照してください。

注: Google Cloud Platform プラグインは、プラグインが構成された .json ファイルで指定されているプロジェクトに属する VM インスタンスを検出します。Google Cloud Platform プラグインのバージョン 1.4 以降では、サービス・アカウントがリスト可能かつ権限をを有するすべての追加プロジェクトを管理できます。プロジェクトをリストできるようにするには、リソース・マネージャー API を有効にして、サービス・アカウントがリソース・マネージャーに対する要求を発行できるようにする必要があります。つまり、resourcemanager.projects.get 権限を持つようにします。プロジェクトのリスティングに関して詳しくは、Google の資料を参照してください。