AWS リージョンの制限によるデバイス検出範囲の設定
AWS では、データ・センターと仮想インスタンスがリージョンによって整理されています。クラウド・インスタンスのこのプロパティーは、Amazon Web Services Resources
の分析によってAWS リージョンで報告されます。
AWS リージョン
AWS リージョンとは、ある地域に存在する AWS リソースの集合です。1 つのリージョンで作成したリソースは、AWS サービスが提供する複製機能を使用しない限り、他のリージョンには存在しません。リージョンを有効化すると、AWS はそのリージョンでアカウントを準備するためのアクションを実行します。詳しくは、https://docs.aws.amazon.com/general/latest/gr/rande-manage.html で AWS 公式資料を参照してください。
スキャンするリージョンの制限
検出を高速化するには、スキャン範囲を使用する AWS リージョンのみに制限することを推奨します。これを指定しない場合、各種リージョンに対してプラグインによって追加で定義された資格情報の権限にかかわらず、クラウド環境にログインした後、ログイン・フェーズで取得されたすべての AWS 管理対象リージョンに対して検出が実行されます。
例えば、プラグインのインストール時に指定された IAM ユーザー資格情報に us-west1
リージョンへのアクセス権限のみが付与されている場合、プラグインのログイン時にすべての AWS アカウント管理リージョンの取得が試行され、検出が開始されます。この時点で、AWS プラグインは IAM ユーザー資格情報を使用してすべての AWS 管理リージョンにログインしようとします。このログインは、この資格情報に us-west1
以外のリージョンにアクセスする権限が与えられていないため失敗します。
BigFix プラットフォーム 10.0.5 では、Allowed regions のパラメーターを使用して検出対象とするリージョンを制限できるようになりました。これを指定すると検出範囲が制限され、ネットワーク・トラフィックの最適化によりエラーが最小限に抑えられます。
AWS 設定を変更するか、新しい AWS の資格情報を追加することにより、許可するリージョンの設定をカスタマイズできます。
適用度 | パラメーター名 | 用途 | 使用しない場合 |
プラグイン |
AWS デフォルト・リージョン* |
ログイン (API を使用してセッションを開く) |
インストール時に必須 |
許可リージョン (1) |
プラグイン検出の有効範囲の設定 ユーザーが使用できる全リージョンのうち検出対象とするリージョンを列挙する |
すべての管理リージョンが検出の対象となる |
|
アカウント・ラベル |
AWS ユーザー・リージョン (アカウント・ラベルのリージョン) |
ログインの後に指定された AWS デフォルト・リージョンを上書き |
AWSDefaultregion が使用される |
許可リージョン (アカウント・ラベル用) |
プラグインの許可リージョン (1) を上書き (存在する場合) ユーザーが使用できる全リージョンのうち検出対象とするリージョンをリストアップしてアカウント検出範囲を絞り込む |
プラグインの許可リージョン (1) が使用される |
|
リージョン (役割リージョン) |
ログインに使用され、カスケードでAWS ユーザー・リージョンと AWS デフォルト・リージョンを上書きする |
AWS ユーザー・リージョンまたはカスケードで AWS のデフォルト・リージョンが使用される |
プラグイン・レベルでの AWS リージョンの制限
- 「AWS」タブをクリックします。
- 「プラグインの管理」 ページで、プラグインの 「一般設定」
を編集します。
- 1 つ以上のリージョンを追加して、検出を制限します。追加されたリージョンは、丸のマーク付きでリストに表示されます。重要: BigFix ではリージョン名が正確に入力されたかどうかを検証する機能がないため、リージョン名は正しいスペルで入力してください。『name and code of AWS Regions』を参照してください。
- リージョンは簡単に削除できます。
- 1 つ以上のリージョンを追加して、検出を制限します。追加されたリージョンは、丸のマーク付きでリストに表示されます。
資格情報レベルでの AWS リージョンの制限
- 認証テーブルで、対象の資格情報の 「資格証明の編集」 をクリックします。
-
「Edit AWS credentials」ページで AWS リージョンを入力し、チェック・マークをクリックして追加します。必要なリージョンを追加します。
-
重要: リージョン名が正確に入力されたかどうかは検証されないため、リージョン名は正しいスペルで入力してください。
- 「x」マークをクリックすると、リージョンを削除することもできます。
-
- 必要なリージョンをすべて追加したら、「送信」をクリックします。これで Fixlet がデプロイされ、構成の変更が適用されます。
変更が適用されると、AWS プラグイン・タブの関連セクション (「認証テーブル」列の「許可リージョン」または「一般設定」セクション) に表示されます。
![](Images/awssettings.png)