• この製品Q&Aは、C1WSにてDSAのインストール／有効化／ポリシーの設定・割り当てなどの基本操作を行った経験のある方を対象としています。C1WSをはじめてご利用の方は、Cloud One - Workload Security Welcomeページをご活用ください。

• 通信要件が設定済であることを確認します。

• DSAからのリモート有効化を許可します（参考手順）。

• AWSアカウントを Cloud One - Workload Securityと連携します（参考手順）。

• DSAをインストールしたAMIを使用する場合（方法2と3が該当）は、AMIを適宜更新してDSAを最新化しておくことを推奨します。 「 Agentを有効化するときに自動的にアップグレードする」の利用により、Auto Scalingで作成されたインスタンス内のDSAが有効化された際に、DSAを自動的に指定のバージョンにアップグレードすることも可能です。

実施手順

1. DSAがインストールされていないAMIを作成します。AMIは停止したコンピュータから作成する必要があります。

2. 以下の手順を参照し、インストールスクリプトを作成します。

   1. C1WSコンソール右上の[サポート情報]→[インストールスクリプト]を開きます。

   2. [インストール後にAgentを自動的に有効化]にチェックを入れます。

   3. プラットフォームやセキュリティポリシーの選択など、表示された項目に従って設定を行います。

   4. [クリップボードにコピー]を選択します。(ファイルとして保存することも可能です。)

   5. コピーしたインストールスクリプトをAWS側で起動設定のユーザデータに設定するなどして、起動後のインスタンス上で管理者権限で実行します。

3. Auto Scalingでインスタンスが作成・起動されると、インストールスクリプトによりDSAインストール、有効化コマンドの実施、ポリシーの割り当てが行われ、インスタンスの保護が開始されます。

実施手順

1. AMIのマスターとなるインスタンスにDSAをインストールします（参考手順）。

   既に有効化済みのDSAを使用する場合は無効化を実施します(参考手順) 。

2. Auto Scaling用のAMIを作成します。

3. 「インストールスクリプト内のコマンド」か「イベントベースタスク「コンピュータの作成 (システムによる)」」いずれかの方法で、インスタンス上のDSAの有効化とポリシーの割り当てを行うための設定を行います。

   • インストールスクリプト内のコマンドを使用する方法

     1. C1WSコンソール右上の[サポート情報]→[インストールスクリプト]を開きます。

     2. プラットフォームやセキュリティポリシーの選択など、表示された項目に従って設定を行います。

     3. 画面をスクロールし、インストールスクリプトの最後に表示された「dsa_control -a」で始まるコマンドをコピーします。

        コマンド:

        dsa_control -a dsm://{ManagerのURL}:443/ "tenantID:XXX" "token:XXX" "policyid:X"

        DSAの起動後にユーザデータなどに設定された dsa_control -a コマンドが実行され、有効化が行われます。コマンドのコピー後は実際のDSAインストール環境に合わせてコマンドを整形ください。 また、整形をいただく際は余分なコーテーション(")などが含まれていないかご確認ください。 以下は初期設定のインストールパスを指定した dsa_control -a の実行例です。

        Linux環境の場合：

        /opt/ds_agent/dsa_control -a dsm://{ManagerのURL}:443/ "tenantID:XXX" "token:XXX" "policyid:X"

        Windows環境の場合：

        C:\Program Files\Trend Micro\Deep Security Agent\dsa_control -a dsm://{ManagerのURL}:443/ "tenantID:XXX" "token:XXX" "policyid:X"

     4. コマンドをAWS側で起動設定のユーザデータに設定するなどして、起動後のインスタンス上で管理者権限で実行します。

   • イベントベースタスク「コンピュータの作成 (システムによる)」を使用する方法

     1. C1WSコンソールで[管理]→[イベントベースタスク]を開きます。

     2. [新規]をクリックします。

     3. タスク実行の契機となるイベントで[コンピュータの作成 (システムによる)]を選択します。

     4. [コンピュータの有効化]にチェックを入れます。
        [有効化の遅延]の値は環境によりチューニングが必要です。詳しくは「イベントベースタスクで有効化に失敗する場合のトラブルシューティング」をご参照ください。

     5. [ポリシーの割り当て]にチェックを入れ、割り当てたいポリシーを選択します。

     6. 必要に応じてコンピュータグループなど他の項目も設定し、次へ進みます。

     7. 一致条件を設定し、タスクの作成を完了します。

     8. これにより、条件に合致する新しいインスタンスが作成されたことをトリガとしてイベントベースタスクが実行され、DSAの有効化とポリシーの割り当てを行うことができます。
        イベントベースタスクについて詳しく知りたい場合は「コンピュータの追加または変更時にタスクを自動的に実行する（イベントベースのタスク）」をご参照ください。

4. AMIからAuto Scalingでインスタンスが作成・起動されると、コマンドまたはイベントベースタスクによって有効化とポリシーの割り当てが行われ、インスタンスの保護が開始されます。

実施手順

1. AMIのマスターとなるインスタンスにDSAをインストールし、有効化します。

2. (任意) マスターインスタンスのDSAにポリシーを割り当てます。

3. Auto Scalingで作成されたインスタンスにポリシーを自動で割り当てるためのイベントベースタスクを作成します。

   1. C1WSコンソールで[管理]→[イベントベースタスク]を開きます。

   2. [新規]をクリックします。

   3. タスク実行の契機となるイベントで[Agentからのリモート有効化]を選択します。 インスタンスの新規作成を検知する場合はコンピュータの作成（システムによる）を選択します。

   4. [ポリシーの割り当て]にチェックを入れ、割り当てたいポリシーを選択します。

   5. 必要に応じてコンピュータグループなど他の項目も設定し、次へ進みます。

   6. 一致条件を設定し、タスクの作成を完了します。

   7. これにより、条件に合致する新しいインスタンスが作成されたことをトリガとしてイベントベースタスクが実行され、ポリシーの割り当てを行うことができます。
      イベントベースタスクについて詳しく知りたい場合は「コンピュータの追加または変更時にタスクを自動的に実行する（イベントベースのタスク）」をご参照ください。

      ヒント：

      マスターインスタンスにタグを追加し、そのタグの値を元にイベントベースタスクの一致条件を設定することで、Auto Scalingで同じマスターから作成されたコンピュータに対して簡単に同じポリシーを設定できます。

      例えば、マスターインスタンスにTagKey:EC2, TagValue:Trueを設定した上で、イベントベースタスクの一致条件を以下のように設定できます。
      [クラウドインスタンスのメタデータ] = EC2 : True

4. AWSのドキュメントを参照し、Baked AMIまたはまたはカスタムWorkSpaceバンドルを作成します。
   「 エージェントをAMIまたはWorkSpaceバンドルにインストールする｜マスターに基づいて AMI またはカスタム WorkSpace バンドルを作成する」に記載のリンク先を参照してください。

5. AMIからAuto Scalingでインスタンスを作成・起動します。
   インスタンスが起動すると、DSAも自動的に起動し、C1WSに接続して自身を有効化します。