外部連携 AWS 認証設定

AWS連携

AWSの認証設定をすることで、FutureVulsに以下の機能を追加できます。

  • コンテナイメージの脆弱性スキャン
    AWS ECR上のイメージの脆弱性をFutureVulsに取り込んで管理できます。 リンク

  • EC2のパッケージをアップデート
    FutureVuls上でタスクを選択し、実際にEC2上のパッケージをアップデートできます。リンク

  • オンデマンド・スキャン実行
    FutureVuls上でサーバを選択しオンデマンドでスキャンします。リンク

  • EC2タグ連携
    EC2のタグをFutureVulsのサーバタグに自動連携できます。リンク

上記機能を利用するためには、本ページで説明する認証設定が必要です。

連携手順

AWSの認証情報設定には2種類の方法がありますが、よりセキュアで設定が簡単なIAMロールを使う方法を推奨します。

IAMロールを使った認証方法

IAMロール連携は以下の手順で設定します。

FutureVulsの外部設定を開き、AWSの中にある追加をクリックする image

IAMロールでの認証を選択し、 AWSアカウントIDリージョン を入力し、次へ進む image

Cloudformation設定するリンクをクリックし、Cloudformationを実行する image

実行が完了したら、再度FutureVulsの設定画面に戻り、次へ進む。

この時、認証情報が有効かどうかを自動で判別し、有効であれば設定が保存される。

image

以下のように認証情報が表示されるようになれば、認証設定は完了 image

APIキーを使った認証方法

この方法よりもIAMロールを使った認証方法を推奨します。本設定方法はIAMロールの認証方法が利用できない環境でのみ選択してください。

以下にAccessKey, SecretKeyで連携する方法を説明します。

FutureVulsの外部設定を開き、AWSのカードの中にある追加をクリックする。

image

APIキーでの認証を選択し、 Cloudformationを実行する。 作成されたIAMでAPIキーを発行し、 アクセスキー シークレットキー リージョン を入力して次へ進む。 この時、認証情報が有効かを自動判別し、有効であれば保存される。

image

以下のように認証情報が表示されれば完了です。

image

設定削除

認証情報のところにある、ゴミ箱ボタンをクリックしてください。

image

AWS環境からFutureVuls AWSに関連する認証情報を削除したい場合は、認証設定時に実行したCloudformationを削除してください。

FutureVulsで利用するポリシー

FutureVuls AWS連携で利用するAWSポリシーは以下の通りです。 今後、連携強化のために変更する可能性があります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeTags",
                "ssm:DescribeInstance",
                "ssm:DescribeInstanceInformation",
                "ssm:ListDocuments",
                "ssm:ListCommandInvocations",
                "ecr:GetDownloadUrlForLayer",
                "ecr:DescribeImageScanFindings",
                "ecr:BatchGetImage",
                "ecr:DescribeImages",
                "ecr:GetAuthorizationToken",
                "ecr:GetRepositoryPolicy",
                "ecr:GetLifecyclePolicy"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ssm:DescribeDocument",
                "ssm:SendCommand"
            ],
            "Resource": "arn:aws:ssm:*:*:document/FutureVuls*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Effect": "Allow"
        }
    ]
}