外部連携 AWS 認証設定

AWSとの連携方法

AWSの認証情報を登録することで、より便利にFutureVulsを利用することが可能となっています。

現在FutureVulsが連携しているAWSサービスは以下の通りです。

  • SSM連携パッケージアップデート
    • FutureVulsの画面上からパッケージのアップデートを行うことができます。
  • SSM連携スキャン実行
    • FutureVulsの画面上からサーバのスキャンを実行します。

FutureVulsに登録できるAWS認証情報は1グループに1つのみとなっています。
FutureVulsのAWS連携は全てこの1つの認証キーで行います。
複数のAWS環境を使用している場合は、環境ごとにグループを分けて登録してください。

連携手順

AWSの認証情報設定には2種類の認証設定方法があります。

この二つのうちのどちらかの方法を選んで設定を行ってください。
IAMロールを使った認証方法がAWSで推奨されており、かつ設定も容易です。

IAMロールを使った認証方法

IAMロールを使って連携する場合は以下の手順で設定を行います。

  • FutureVulsの外部設定を開き、AWSのカードの中にある追加をクリックする image

  • IAMロールでの認証を選択し、 AWSアカウントIDリージョン を入力し、次へ進む image

  • Cloudformation設定するリンクをクリックし、Cloudformationを実行する image

  • 実行が完了したら、再度FutureVulsの設定画面に戻り、次へ進む

  • この時、認証情報が有効かどうかを自動で判別し、有効であれば設定が保存される image

  • 以下のように認証情報が表示されるようになれば、認証設定は完了 image

AccessKey, SecretKeyを使った認証方法

AccessKey, SecretKeyを使って連携する場合は以下の手順で設定を行います。

  • FutureVulsの外部設定を開き、AWSのカードの中にある追加をクリックする image

  • APIキーでの認証を選択し、 Cloudformationを実行し、作成されたIAMでAPIキーを発行し、 アクセスキー シークレットキー リージョン を入力し、次へ進む

  • この時、認証情報が有効かどうかを自動で判別し、有効であれば設定が保存される image

  • 以下のように認証情報が表示されるようになれば、認証設定は完了 image

設定削除

  • 認証情報のところにある、ゴミ箱ボタンをクリック image

  • 認証設定時に実行したCloudformationを削除することでAWSの環境からもFutureVulsの設定は削除されます。

FutureVulsで利用するポリシー

  • FutureVuls AWS連携で利用するAWSポリシーは以下の通りです。
  • 今後、連携強化のために変更する可能性があります。
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeTags",
                "ssm:DescribeInstance",
                "ssm:DescribeInstanceInformation",
                "ssm:ListDocuments",
                "ssm:ListCommandInvocations"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ssm:DescribeDocument",
                "ssm:SendCommand"
            ],
            "Resource": "arn:aws:ssm:*:*:document/FutureVuls*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Effect": "Allow"
        }
    ]
}