Microsoft Defender for Cloud では、Amazon Web Services (AWS) アカウントを Defender for Cloud にオンボードするために必要なすべてのリソースを含む CloudFormation テンプレートが生成されます。 ただし、Defender for Cloud と Microsoft Sentinel は、AWS アカウントに接続するために同じ認証メカニズムを使用します。 AWS アカウントが最初に Microsoft Sentinel に接続されている場合、Defender for Cloud もそれに接続できません。
この記事では、AWS アカウントを Defender for Cloud に接続し、正しく動作することを確認する手順について説明します。
[前提条件]
この記事の手順を完了するには、次のものが必要です。
Microsoft Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、無料でのサインアップができます。
Azure サブスクリプションでの Microsoft Defender for Cloud のセットアップ。
AWS アカウントへのアクセス。
関連する Azure サブスクリプションの共同作成者レベルのアクセス許可。
AWS アカウントを Defender for Cloud に接続する
Defender for Cloud によって提供される CloudFormation テンプレートは、Defender for Cloud にアクセスするためのアクセス許可を Defender for Cloud に付与し、Defender for Cloud と Microsoft Sentinel の間の競合を解決するために必要です。
「Connect Defender Plans」セクションの手順 5b まで、AWS アカウントを Microsoft Defender for Cloud に接続する手順に従います。
コピーを選択します。
テンプレートをローカル テキスト編集ツールに貼り付けます。
ASCDefendersOIDCIdentityProvider": テンプレートの { セクションを検索し、ClientIdList 全体の個別のコピーを作成します。
テンプレートで ASCDefendersOIDCIdentityProvider セクションを検索し、削除します。
ファイルをローカル環境に保存します。
別のブラウザー ウィンドウで、AWS アカウントにサインインします。
ID およびアクセス管理 (IAM)>Identity プロバイダーに移動します。
33e01921-4d64-4f8c-a055-5bdaffd5e33d を検索して選択します。
[ アクション]>[対象ユーザーの追加]を選択します。
手順 3 でコピーした ClientIdList セクションを貼り付けます。
Defender for Cloud の [アクセスの構成] ページに移動します。
AWS でスタックを作成する手順に従い、ローカルに保存したテンプレートを使用します。
[次へ] を選択します。
を選択してを作成します。
次のステップ
- ワークロード所有者にアクセス権を割り当てます。
- Defender for Cloud を使用してすべてのリソースを保護する
- オンプレミスのマシンと Google Cloud Platforms (GCP) を設定します。
- AWS アカウントのオンボーディングに関するよくある質問への回答をご覧ください。
- マルチクラウド コネクタのトラブルシューティング