AWS リージョンの制限によるデバイス検出範囲の設定

AWS では、データ・センターと仮想インスタンスがリージョンによって整理されています。クラウド・インスタンスのこのプロパティーは、Amazon Web Services Resources の分析によってAWS リージョンで報告されます。

AWS リージョン

AWS リージョンとは、ある地域に存在する AWS リソースの集合です。1 つのリージョンで作成したリソースは、AWS サービスが提供する複製機能を使用しない限り、他のリージョンには存在しません。リージョンを有効化すると、AWS はそのリージョンでアカウントを準備するためのアクションを実行します。詳しくは、https://docs.aws.amazon.com/general/latest/gr/rande-manage.html で AWS 公式資料を参照してください。

スキャンするリージョンの制限

検出を高速化するには、スキャン範囲を使用する AWS リージョンのみに制限することを推奨します。これを指定しない場合、各種リージョンに対してプラグインによって追加で定義された資格情報の権限にかかわらず、クラウド環境にログインした後、ログイン・フェーズで取得されたすべての AWS 管理対象リージョンに対して検出が実行されます。

例えば、プラグインのインストール時に指定された IAM ユーザー資格情報に us-west1 リージョンへのアクセス権限のみが付与されている場合、プラグインのログイン時にすべての AWS アカウント管理リージョンの取得が試行され、検出が開始されます。この時点で、AWS プラグインは IAM ユーザー資格情報を使用してすべての AWS 管理リージョンにログインしようとします。このログインは、この資格情報に us-west1 以外のリージョンにアクセスする権限が与えられていないため失敗します。

BigFix プラットフォーム 10.0.5 では、Allowed regions のパラメーターを使用して検出対象とするリージョンを制限できるようになりました。これを指定すると検出範囲が制限され、ネットワーク・トラフィックの最適化によりエラーが最小限に抑えられます。

AWS 設定を変更するか、新しい AWS の資格情報を追加することにより、許可するリージョンの設定をカスタマイズできます。

以下の表は、パラメーターの使用方法と、指定しない場合の動作を示しています。
適用度 パラメーター名 用途 使用しない場合
プラグイン

AWS デフォルト・リージョン*

ログイン (API を使用してセッションを開く)

インストール時に必須

許可リージョン (1)

プラグイン検出の有効範囲の設定

ユーザーが使用できる全リージョンのうち検出対象とするリージョンを列挙する

すべての管理リージョンが検出の対象となる

アカウント・ラベル

AWS ユーザー・リージョン

(アカウント・ラベルのリージョン)

ログインの後に指定された AWS デフォルト・リージョンを上書き

AWSDefaultregion が使用される

許可リージョン

(アカウント・ラベル用)

プラグインの許可リージョン (1) を上書き (存在する場合)

ユーザーが使用できる全リージョンのうち検出対象とするリージョンをリストアップしてアカウント検出範囲を絞り込む

プラグインの許可リージョン (1) が使用される

リージョン

(役割リージョン)

ログインに使用され、カスケードでAWS ユーザー・リージョンAWS デフォルト・リージョンを上書きする

AWS ユーザー・リージョンまたはカスケードで AWS のデフォルト・リージョンが使用される

プラグイン・レベルでの AWS リージョンの制限

AWS リージョンをプラグイン・レベルで設定するには、以下のステップを実行します。
  1. 「AWS」タブをクリックします。
  2. 「プラグインの管理」 ページで、プラグインの 「一般設定」を編集します。
    • 1 つ以上のリージョンを追加して、検出を制限します。追加されたリージョンは、丸のマーク付きでリストに表示されます。
      重要: BigFix ではリージョン名が正確に入力されたかどうかを検証する機能がないため、リージョン名は正しいスペルで入力してください。『name and code of AWS Regions』を参照してください。
    • リージョンは簡単に削除できます。
    必要なリージョンをすべて追加した後、「保存」をクリックします。これで Fixlet がデプロイされ、構成の変更が適用されます。

資格情報レベルでの AWS リージョンの制限

AWS リージョンを資格情報レベルで制限するには、以下の手順を実行します。
  1. 認証テーブルで、対象の資格情報の 「資格証明の編集」 をクリックします。
  2. 「Edit AWS credentials」ページで AWS リージョンを入力し、チェック・マークをクリックして追加します。必要なリージョンを追加します。
    • 重要: リージョン名が正確に入力されたかどうかは検証されないため、リージョン名は正しいスペルで入力してください。
    • 「x」マークをクリックすると、リージョンを削除することもできます。
  3. 必要なリージョンをすべて追加したら、「送信」をクリックします。これで Fixlet がデプロイされ、構成の変更が適用されます。

変更が適用されると、AWS プラグイン・タブの関連セクション (「認証テーブル」列の「許可リージョン」または「一般設定」セクション) に表示されます。