AWS アカウントを Microsoft Defender for Cloud に接続する

2025-06-20

ワークロードは多くの場合、複数のクラウドプラットフォームにまたがるため、クラウドセキュリティサービスでも同じ操作を行う必要があります。 Microsoft Defender for Cloud は Amazon Web Services (AWS) のワークロードを保護するのに役立ちますが、それらと Defender for Cloud の間の接続を設定する必要があります。

次のスクリーンショットは、Defender for Cloud の概要ダッシュボードに表示された AWS アカウントを示しています。

詳細については、「Defender for Cloud in the Field」ビデオシリーズの「Defender for Cloud の新しい AWS コネクタ」ビデオをご覧ください。

注記

Microsoft Sentinel に接続されている AWS アカウントがある場合は、Defender for Cloud に接続できません。コネクタが正しく動作することを確認するには、「 Sentinel に接続された AWS アカウントを Defender for Cloud に接続する」の手順に従います。

AWS 認証プロセス

Defender for Cloud と AWS はフェデレーション認証を使用します。認証に関連するすべてのリソースは、CloudFormation テンプレートのデプロイの一部として作成されます。これには次のものが含まれます。

ID プロバイダー (OpenID Connect)
(ID プロバイダーに接続された) フェデレーションプリンシパルを持つ ID およびアクセス管理 (IAM) ロール

クラウド間の認証プロセスのアーキテクチャには、次のものが含まれます。

クラウド全体の認証プロセスのアーキテクチャを示す図。

Defender for Cloud CSPM サービスは、RS256 アルゴリズムを使用して Entra ID によって署名された有効期間が 1 時間の Entra トークンを取得します。

Entra トークンは AWS の短期の資格情報と交換され、Defender for Cloud の CSPM サービスは CSPM IAM ロール (Web ID と想定) を引き受けます。

ロールのプリンシパルは信頼関係ポリシーで定義されたフェデレーション ID であるため、AWS ID プロバイダーは、次を含むプロセスを通じて Entra トークンを Entra ID に対して検証します。

対象ユーザーの検証
トークンのデジタル署名の検証
証明書のサムプリント

Defender for Cloud CSPM ロールは、信頼関係で定義された検証条件が満たされた後にのみ想定されます。ロールレベルに定義された条件は、AWS 内の検証に使われ、Microsoft Defender for Cloud CSPM アプリケーション (検証済みの対象ユーザー) 対してのみ、特定ロール (他の Microsoft トークンは含まれません) へのアクセスを許可します。

AWS ID プロバイダーによって Entra トークンが検証されると、AWS STS は、CSPM サービスが AWS アカウントをスキャンするために使用する AWS の短期資格情報とトークンを交換します。

前提条件

この記事の手順を完了するには、以下が必要です。

Microsoft Azure サブスクリプションが必要です。 Azure サブスクリプションをお持ちでない場合は、無料でのサインアップができます。
Azure サブスクリプションでの Microsoft Defender for Cloud のセットアップ。
AWS アカウントへのアクセス。
関連する Azure サブスクリプションの共同作成者レベルのアクセス許可。
CIEM が Defender for CSPM の一部として有効になっている場合、コネクタを有効にするユーザーには、お使いのテナントのセキュリティ管理者ロールと Application.ReadWrite.All アクセス許可も必要になります。

注記

AWS コネクタは、各国政府のクラウド (Azure Government、21Vianet が運営する Microsoft Azure) では使用できません。

ネイティブコネクタプランの要件

各プランには、ネイティブコネクタに対する独自の要件があります。

Microsoft Defender for Containers プランを選択した場合は、次のものが必要です。

EKS Kubernetes API サーバーにアクセスする権限を持つ、少なくとも 1 つの Amazon EKS クラスター。新しい EKS クラスターを作成する必要がある場合は、「Amazon EKS の開始方法– eksctl」の手順に従ってください。
新しい Amazon SQS キュー、Kinesis Data Firehose 配信ストリーム、Amazon S3 バケットをクラスターのリージョンに作成するためのリソース容量。

Microsoft Defender for Servers プランを選択した場合は、次のものが必要です。

サブスクリプションで有効になっている Microsoft Defender for Servers。プランを有効にする方法については、「セキュリティ強化機能の有効化」を参照してください。
EC2 インスタンスを含む、アクティブな AWS アカウント。
Azure Arc for servers が EC2 インスタンスにインストールされています。

自動プロビジョニングプロセスを使用して、既存および将来のすべての EC2 インスタンスに Azure Arc をインストールすることをお勧めします。 Azure Arc の自動プロビジョニングを有効にするには、関連する Azure サブスクリプションでの所有者アクセス許可が必要です。

AWS Systems Manager は、SSM エージェントを使用して自動的にプロビジョニングします。一部の Amazon Machine Image には既に SSM エージェントがプレインストールされています。 EC2 インスタンスに SSM エージェントがない場合は、Amazon が提供する以下のいずれかの手順でインストールします。

SSM エージェントに、AWS Systems Manager サービスのコア機能を有効にする管理ポリシー AmazonSSMManagedInstanceCore があることを確認します。

EC2 マシンで Arc エージェントを自動プロビジョニングするには、SSM エージェントが必要です。 SSM が存在しない場合や EC2 から削除されている場合は、Arc プロビジョニングは進行できません。

注記

オンボードプロセス中に実行される CloudFormation テンプレートの一部として、自動化プロセスは、クラウド形成の初期実行中に存在していたすべての EC2 に対して、30 日ごとに作成およびトリガーされます。このスケジュールされたスキャンの目的は、関連するすべての EC2 が、関連するセキュリティ機能 (Arc エージェントのプロビジョニングを含みます) の利用、管理、提供を可能にする必要な IAM ポリシーを持つ IAM プロファイルを備えていることの確認です。スキャンは、CloudFormation の実行後に作成された EC2 には適用されません。

既存および将来の EC2 インスタンスに Azure Arc を手動でインストールする場合は、EC2 インスタンスを Azure Arc に接続するレコメンデーションを使用して、Azure Arc がインストールされていないインスタンスを特定する必要があります。

Azure Arc に接続されたマシンで、次の拡張機能を有効にします。

Microsoft Defender for Endpoint（エンドポイント用マイクロソフトディフェンダー）
脆弱性評価ソリューション (TVM または Qualys)
Azure Arc に接続されたマシン上の Log Analytics エージェントまたは Azure Monitor エージェント

選択した Log Analytics ワークスペースにセキュリティソリューションがインストールされていることを確認してください。 Log Analytics エージェントと Azure Monitor エージェントは現在、サブスクリプション レベルで構成されます。同じサブスクリプション内のすべての AWS アカウントと GCP プロジェクトは、Log Analytics エージェントと Azure Monitor エージェントのサブスクリプション設定を継承します。

Defender for Cloud の監視コンポーネントに関する詳細をご覧ください。

注記

Log Analytics エージェント (MMA とも呼ばれます) は 2024 年 8 月に廃止されました。このページで説明されているものを含め、現在それに依存しているすべての Defender for Servers の機能とセキュリティ機能は、提供終了日より前に Microsoft Defender for Endpoint 統合またはエージェントレススキャンを通じて利用できるようになります。 Log Analytics エージェントに現在依存している各機能のロードマップの詳細については、この発表を参照してください。

Defender for Servers は、EC2 インスタンス上の Azure ARC リソースにタグを割り当てて、自動プロビジョニングプロセスを管理します。 Defender for Cloud がこれらのタグを管理できるように、リソースにこれらのタグ (AccountId、Cloud、InstanceId、MDFCSecurityConnector) を適切に割り当てる必要があります。

AWS アカウントを接続する

重要

AWS アカウントが既に Microsoft Sentinel に接続されている場合は、Defender for Cloud に接続できません。コネクタが正しく動作することを確認するには、「 Sentinel に接続された AWS アカウントを Defender for Cloud に接続する」の手順に従います。

ネイティブコネクタを使用して AWS を Defender for Cloud に接続するには、次のようにします。

Azure portal にサインインします。
[Defender for Cloud]>[環境設定] に移動します。
[環境の追加]>[アマゾンウェブサービス] を選択します。
コネクタのリソースを格納する場所を含め、AWS アカウントの詳細を入力します。

[AWS リージョン]ドロップダウンでは、Defender for Cloud が API 呼び出しを行うリージョンを選択できます。ドロップダウンから選択が解除されたすべてのリージョンでは、Defender for Cloud からそれらのリージョンに対して API 呼び出しが行われません。

AWS 環境をスキャンする間隔を、4 時間、6 時間、12 時間、または 24 時間から選択します。

一部のデータコレクターは固定スキャン間隔で実行され、カスタム間隔構成の影響を受けません。次の表は、除外された各データコレクターの固定スキャン間隔を示しています。

データコレクター名	スキャン間隔
EC2Instance ECRImage ECRRepository RDSDBInstance S3Bucket S3バケットタグ S3Region EKSCluster EKSクラスタ名 EKSNodegroup EKSNodegroupName AutoScalingAutoScalingGroup	1 時間
EcsClusterArn EcsService EcsServiceArn EcsTaskDefinition EcsTaskDefinitionArn Ecsタスク定義タグ (EcsTaskDefinitionTags) AwsPolicyVersion ローカルポリシーバージョン AwsEntitiesForPolicy LocalEntitiesForPolicy BucketEncryption バケットポリシー S3PublicAccessBlockConfiguration BucketVersioning S3LifecycleConfiguration BucketPolicyStatus S3ReplicationConfiguration S3アクセス制御リスト (S3AccessControlList) S3BucketLoggingConfig 公共アクセスブロック設定	12 時間

データコレクター名

スキャン間隔

EC2Instance
ECRImage
ECRRepository
RDSDBInstance
S3Bucket
S3バケットタグ
S3Region
EKSCluster
EKSクラスタ名
EKSNodegroup
EKSNodegroupName
AutoScalingAutoScalingGroup

1 時間

EcsClusterArn
EcsService
EcsServiceArn
EcsTaskDefinition
EcsTaskDefinitionArn
Ecsタスク定義タグ (EcsTaskDefinitionTags)
AwsPolicyVersion
ローカルポリシーバージョン
AwsEntitiesForPolicy
LocalEntitiesForPolicy
BucketEncryption
バケットポリシー
S3PublicAccessBlockConfiguration
BucketVersioning
S3LifecycleConfiguration
BucketPolicyStatus
S3ReplicationConfiguration
S3アクセス制御リスト (S3AccessControlList)
S3BucketLoggingConfig
公共アクセスブロック設定

12 時間

注記

(省略可能) [管理アカウント] を選択して、管理アカウントへのコネクタを作成します。その後、指定された管理アカウントで検出されたメンバーアカウントごとにコネクタが作成されます。自動プロビジョニングは、新しくオンボードされたすべてのアカウントでも有効になります。

(省略可能) [AWS リージョン] ドロップダウンメニューを使用して、スキャンする特定の AWS リージョンを選択します。既定では、すべてのリージョンが選択されています。

次に、この AWS アカウントで有効にする Defender for Cloud プランを確認して選択します。

Defender プランを選択する

ウィザードのこのセクションでは、有効にする Defender for Cloud プランを選択します。

[次へ: プランの選択] を選択します。

[プランの選択] タブで、この AWS アカウントに対して有効にする Defender for Cloud 機能を選択します。各プランには、アクセス許可に関する独自の要件があり、料金が発生する可能性があります。

重要

推奨事項の現在の状態を表示するために、Microsoft Defender Cloud Security Posture Management プランは AWS リソース API を 1 日に数回クエリします。これらの読み取り専用 API 呼び出しでは料金は発生しませんが、読み取りイベントの証跡を有効にすると CloudTrail に登録されます。

AWS のドキュメントでは、1 つの証跡を保持するための追加料金は発生しないという説明があります。 AWS からデータをエクスポートしている場合 (たとえば、外部 SIEM システムに)、このような呼び出しの量が増加すると、取り込みのコストも増加する可能性があります。このような場合は、Defender for Cloud ユーザーまたは ARN ロール (arn:aws:iam::[accountId]:role/CspmMonitorAws) からの読み取り専用呼び出しをフィルター処理することをお勧めします。 (これは既定のロール名です。アカウントに設定されているロール名を確認します。)
既定では、[サーバー] プランは [オン] に設定されています。この設定は、Defender for Servers の適用範囲を AWS EC2 に拡大するために必要です。 Azure Arc のためのネットワーク要件を満たしたことを確認します。

必要に応じて構成を編集するには、[構成] を選択します。

注記

存在しなくなった EC2 インスタンスまたは GCP 仮想マシン (および状態が [切断済み] または [期限切れ] の各 Azure Arc サーバー) のそれぞれの Azure Arc サーバーは、7 日後に削除されます。無関係な Azure Arc エンティティがこのプロセスで削除され、現存するインスタンスに関係する Azure Arc サーバーだけが表示されるようになります。
既定では、[コンテナー] プランは [オン] に設定されています。この設定は、Defender for Containers が AWS EKS クラスターを保護するために必要です。 Defender for Containers プランのためのネットワーク要件を満たしたことを確認します。

注記

Azure Arc 対応 Kubernetes、Defender センサー用 Azure Arc 拡張機能、Kubernetes 用 Azure Policy がインストールされている必要があります。「Amazon Elastic Kubernetes Service クラスターを保護する」の説明に従って、専用の Defender for Cloud の推奨事項を使用して拡張機能 (および必要に応じて Azure Arc) をデプロイします。

必要に応じて構成を編集するには、[構成] を選択します。この構成をオフにすることを選択した場合、脅威検出 (コントロールプレーン) 機能も無効になります。機能の可用性に関する情報を参照してください。
既定では、[データベース] プランは [オン] に設定されています。この設定は、Defender for SQL の対象範囲を AWS EC2 および RDS Custom for SQL Server と RDS 上のオープンソースリレーショナルデータベースに拡張するために必要です。

(省略可能) [構成] を選択し、必要に応じて構成を編集します。既定の構成に設定したままにすることをお勧めします。
[アクセスを構成する] を選択し、次を選択します。

ａ. デプロイの種類を選びます。
- 既定のアクセス: Defender for Cloud により、リソースをスキャンし、将来追加される機能を自動的に組み込むことができます。
- 最小特権アクセス : Defender for Cloud には、選んだプランに必要な現在のアクセス許可の利用だけが許可されます。最小特権のアクセス許可を選択すると、コネクタの正常性に関する完全な機能を取得するために必要な新しいロールとアクセス許可に関する通知を受け取ります。
b。デプロイ方法を AWS CloudFormation または Terraform から選びます。

注記

管理アカウントを選択して管理アカウントへのコネクタを作成した場合、Terraform でオンボードするタブは UI に表示されませんが、Terraform を使用してオンボードすることはできます。これは、Terraform を使用した Microsoft Defender for Cloud への AWS/GCP 環境のオンボードに関するページで説明されているのと同様です。
選んだデプロイ方法の画面指示に従い、AWS 上で必要な依存関係を満たします。管理アカウントをオンボードする場合は、Stack および StackSet として CloudFormation テンプレートを実行する必要があります。オンボード後 24 時間以内に、メンバーアカウントのコネクタが作成されます。
[次: 確認と生成] を選択します。
［作成］ を選択します

Defender for Cloud は、AWS リソースのスキャンを即時に開始します。セキュリティに関する推奨事項は数時間以内に表示されます。

CloudFormation テンプレートを AWS アカウントにデプロイする

AWS アカウントを Microsoft Defender for Cloud に接続する一環として、CloudFormation テンプレートを AWS アカウントにデプロイします。このテンプレートは、接続に必要なすべてのリソースを作成します。

Stack (管理アカウントがある場合は StackSet) を使用して、CloudFormation テンプレートをデプロイします。テンプレートをデプロイするときに、スタック作成ウィザードには次のオプションが提供されます。

Amazon S3 URL: ダウンロードした CloudFormation テンプレートを、自分のセキュリティ構成で自分の S3 バケットにアップロードします。 AWS デプロイウィザードで S3 バケットの URL を入力します。
テンプレートファイルをアップロードする: CloudFormation テンプレートが保存される S3 バケットは AWS によって自動的に作成されます。 S3 バケットの自動化には不適切なセキュリティ構成が含まれており、その結果、S3 buckets should require requests to use Secure Socket Layer の推奨事項が表示されます。この推奨事項は、次のポリシーを適用すること修復できます。
```
{ 
  "Id": "ExamplePolicy", 
  "Version": "2012-10-17", 
  "Statement": [ 
    { 
      "Sid": "AllowSSLRequestsOnly", 
      "Action": "s3:*", 
      "Effect": "Deny", 
      "Resource": [ 
        "<S3_Bucket ARN>", 
        "<S3_Bucket ARN>/*" 
      ], 
      "Condition": { 
        "Bool": { 
          "aws:SecureTransport": "false" 
        } 
      }, 
      "Principal": "*" 
    } 
  ] 
} 
```
注記

AWS 管理アカウントのオンボード時に CloudFormation StackSets を実行すると、次のエラーメッセージが表示されることがあります: You must enable organizations access to operate a service managed stack set

このエラーは、 AWS 組織の信頼されたアクセスを有効にしていないことを示します。

このエラーメッセージを修復するために、CloudFormation StackSets ページに、信頼できるアクセスを有効にするために選択できるボタンが表示されたプロンプトが表示されます。信頼されたアクセスが有効になった後、CloudFormation Stack をもう一度実行する必要があります。

AWS リソースを監視する

Defender for Cloud のセキュリティに関する推奨事項ページには、AWS リソースが表示されます。環境フィルターを使用すると、Defender for Cloud のマルチクラウド機能を活用できます。

リソースの種類別に、リソースのアクティブな推奨事項をすべて表示するには、Defender for Cloud の資産インベントリページを使用し、関心のある AWS リソースの種類にフィルターを適用します。

Microsoft Defender XDR との統合

Defender for Cloud を有効にすると、そのセキュリティアラートは Microsoft Defender ポータルに自動的に統合されます。

Microsoft Defender for Cloud と Microsoft Defender XDR の統合により、クラウド環境が Microsoft Defender XDR に組み込まれます。 Defender for Cloud のアラートとクラウドの関連付けは Microsoft Defender XDR に統合されたため、SOC チームは 1 つのインターフェイスからすべてのセキュリティ情報にアクセスできるようになりました。

詳細については、「Microsoft Defender XDR での Microsoft Defender for Cloud のアラート」を参照してください。

詳細情報

次のブログを参照してください。

リソースをクリーンアップする

この記事のリソースをクリーンアップする必要はありません。

次のステップ

AWS アカウントの接続は、Microsoft Defender for Cloud で利用できるマルチクラウドエクスペリエンスの一部です。

ワークロード所有者にアクセス権を割り当てます。
Defender for Cloud を使用してすべてのリソースを保護する
オンプレミスのマシン、GCP プロジェクトを設定します。
AWS アカウントのオンボーディングに関するよくある質問への回答をご覧ください。
マルチクラウドコネクタのトラブルシューティング