クラウド・プラグインのインストール
各クラウド・プラグインには、BES サポートに関する特定のインストール・タスクがあり、プラグイン・ポータルがインストールされているコンピューターに関連します。
タスクは、「説明」タブのすべての必須フィールドに入力した後でのみ実行できます。
クラウド・プラグインをインストールできるのは、マスター・オペレーター (MO) のみです。
すべてのクラウド・プラグインの拡張構成は、WebUI を使用して実行できます。
Amazon Web Services プラグイン
- アカウント・ラベル
- 指定された
Access Key ID
/Secret Access Key
ペアのわかりやすい名前。英数字のみを含める必要があります。 - デフォルト・リージョン名
-
これは、プラグインが検出を実行するときに最初に接続する必要がある AWS リージョンの名前です。例えば、プラグインにヨーロッパ (フランクフルト) リージョンへの接続の検出を開始させる場合、指定する値は
eu-central-1
です。プラグインは、指定したAccess Key ID
/Secret Access Key
ペアがアクセスできる他のすべてのリージョンに接続することで、その検出を自動的に完了します。注:- フィールドでは大文字と小文字が区別されます。AWS で文書化されているように、大文字と小文字を正しく入力してください。
- 新しい
Access Key ID
/Secret Access Key
ペアを追加する場合、BigFix WebUI では、オプションでユーザー・リージョンの値を指定できます。指定されたキー・ペアのこの値がデフォルト・リージョンで優先されます。
使用可能なリージョンの詳細については、AWS の資料を参照してください。
AWS プラグインのインストール時に、許可されるリージョンを指定できます。AWS リージョンを制限する方法の詳細については、『Limit AWS Regions to restrict the scope of device discovery』を参照してください。
- アクセス・キー ID とシークレット・アクセス・キー
-
IAM ユーザーに関連付けられた
Access Key ID
/Secret Access Key
ペア。IAM ユーザーの要件は次のとおりです。
- MFA を有効にしてはなりません
- プログラムによるアクセス・タイプが必要です
- 少なくとも次の権限が必要です。リソース "*" に対するアクション "ec2:Describe*" が許可されている
- 事前定義された適切な AWS ポリシーは AmazonEC2ReadOnlyAccess です
AWS アクセス・キーの詳細については、AWS の資料を参照してください。
- IAM ロール
-
IAM ロールに関連付けられた ARN/リージョン/外部 ID。
BigFix v10.0 パッチ 4 と同時にリリースされたクラウド・プラグイン・バージョン 1.4 以降では、IAM ロールがサポートされています。IAM ロールは一連の割り当て権限を持つ識別情報です。ビジネス・ニーズに応じて、管理ユーザーを含む任意の信頼できるユーザーが、一時的に引き受けることができます。ロールには資格情報がないため、パスワードの有効期限の対象ではありません。役割を引き受ける場合、ログイン中のユーザーは一時的な資格情報を要求します。期間は、管理ユーザーが割り当てた最大時間を超えることはできません。
注: IAM ロールを使用する場合は、ロールを引き受けるユーザーがロールに対して
sts:AssumeRole
を実行する権限を持っていることを確認してください。注: 役割は、引き受けるユーザーを完全に置き換えます。つまり、ユーザーが管理する各操作は役割によって実行され、役割はクラウド・プラグインを管理するユーザーに必要な同じ権限を持っている必要があります。
注: AWS ロールが挿入されると、AWS プラグインは、取得元の資格情報ではなく、検出時に AWS ロールを使用します。クラウド環境で検出するすべての AWS デバイスがこれらの役割に含まれるようにする必要があります。そうしない場合、一部のマシンが検出されない可能性があります。次の情報を指定する必要があります。
IAM ロールに関連付けられた
ARN
/Region
/External ID
。各表記の意味は次のとおりです。- ARN
- ロールの Amazon リソース名。AWS 上のリソースの固有 ID です。
AWN について詳しくは、AWS の資料を参照してください。
- 領域
- (オプション): IAM ロールのデフォルト AWS リージョンです。詳しくは、『デフォルトのリージョン名』セクションを参照してください。新しい IAM ロールを追加する場合、BigFix ではオプションでロール・リージョンの値を指定できます。デフォルト・リージョンとユーザー・リージョンの両方で、指定されたロールが有効になります。
- 外部 ID
- (オプション): AWS リソースへのアクセスをサード・パーティーに委任する必要がある場合は、IAM ロールを外部 ID と併用できます。これは、サード・パーティーがクラウド環境のリソースおよびサービスにアクセスして使用することを想定した設定です。外部IDは、環境を所有する組織によってサード・パーティーに提供される必要があります。また、GUID である必要があります。
外部 ID について詳しくは、AWS の資料を参照してください。
- HTTP プロキシー
- AWS プラグインがインストールされるシステムがインターネットに直接接続されていない場合は、オプションで HTTP プロキシーを指定できます。サポートされているプロキシーの認証方法については、AWS の資料を参照してください。
Microsoft Azure プラグイン
- アカウント・ラベル
- 指定されたサービス・プリンシパル・カルテットのわかりやすい名前。英数字のみを含める必要があります。
- クライアント ID、パスワード、サブスクリプション ID、テナント ID
- サービス・プリンシパル・カルテット。サービス・プリンシパルの要件:
- 組み込みの リーダー の役割が割り当てられている必要があります。
- MFA を有効にしてはなりません。
Microsoft Azure サービス・プリンシパルの詳細については、Microsoft Azure の資料を参照してください。
VMware プラグイン
- アカウント・ラベル
- 指定されたユーザー名/パスワード・ペアのわかりやすい名前。英数字のみを含める必要があります。
- vCenter サーバー
- vCenter サーバーの IP アドレスのホスト名。
- ユーザー名とパスワード
- vCenter サーバーにアクセスするための資格情報。
Google Cloud Platform プラグイン
- アカウント・ラベル
- 指定したサービス・アカウント資格情報のわかりやすい名前。英数字のみを含める必要があります。
- サービス・アカウント資格情報
- サービス・アカウントの鍵を含む、Google が提供する .json ファイルの内容をコピーして貼り付けます。必要な IAM 権限は次のとおりです。
- compute.zones.list
- compute.regions.list
- compute.instances.list
- compute.images.list
- compute.disks.list
- compute.machineTypes.list
- compute.subnetworks.list
Google Cloud Platform サービス・アカウントについて詳しくは、Google の文書を参照してください。