AWSの認証設定をすることで、FutureVulsに以下の機能を追加できます。
FutureVulsに登録できるAWS認証情報は 1グループに1つのみ
です。
AWS環境が複数ある場合は、別グループに分けて登録してください。
2021-4-8リリースにて、1つのAWSアカウントを複数のグループに対して設定可能になりました。
AWSの認証情報設定には2種類の方法がありますが、よりセキュアで設定が簡単なIAMロールを使う方法を推奨します。
IAMロール連携は以下の手順で設定します。
FutureVulsの外部設定を開き、AWSの中にある追加をクリックする
IAMロールでの認証を選択し、 AWSアカウントID
と リージョン
を入力し、次へ進む
Cloudformation設定するリンクをクリックし、Cloudformationを実行する
CloudFormation
> スタック
から FutureVulsAssumeRole
を選択し、FutureVulsExternalID
の値を取得してください。実行が完了したら、再度FutureVulsの設定画面に戻り、次へ進む。
この時、認証情報が有効かどうかを自動で判別し、有効であれば設定が保存される。
以下のように認証情報が表示されるようになれば、認証設定は完了
この方法よりもIAMロールを使った認証方法を推奨します。本設定方法はIAMロールの認証方法が利用できない環境でのみ選択してください。
以下にAccessKey, SecretKeyで連携する方法を説明します。
FutureVulsの外部設定を開き、AWSのカードの中にある追加をクリックする。
APIキーでの認証を選択し、 Cloudformationを実行する。
作成されたIAMでAPIキーを発行し、 アクセスキー
シークレットキー
リージョン
を入力して次へ進む。
この時、認証情報が有効かを自動判別し、有効であれば保存される。
以下のように認証情報が表示されれば完了です。
認証情報のところにある、ゴミ箱ボタンをクリックしてください。
AWS環境からFutureVuls AWSに関連する認証情報を削除したい場合は、認証設定時に実行したCloudformationを削除してください。
FutureVuls AWS連携で利用するAWSポリシーは以下の通りです。 今後、連携強化のために変更する可能性があります。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeTags",
"ssm:DescribeInstanceInformation",
"ssm:ListDocuments",
"ssm:ListCommandInvocations",
"ecr:GetAuthorizationToken",
"ecr:DescribeImages",
"ecr:BatchGetImage",
"ecr:DescribeImageScanFindings",
"ecr:GetRepositoryPolicy"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ssm:DescribeDocument",
"ssm:SendCommand"
],
"Resource": "arn:aws:ssm:*:*:document/FutureVuls*",
"Effect": "Allow"
},
{
"Action": [
"ssm:SendCommand"
],
"Resource": "arn:aws:ec2:*:*:instance/*",
"Effect": "Allow"
}
]
}