コネクタの作成
コネクタは、クラウドサービスでのインターフェイスです。コネクタはクラウドサービスからネットワーク情報を取得するため、FMC のアクセス コントロール ポリシーでネットワーク情報を使用できます。
次がサポートされています。
CSDAC バージョン/プラットフォーム |
A.W.S. |
Git- Hub |
Google クラウド |
Azure |
Azure サービスタグ |
Microsoft Office 365 |
VMware vCenter |
---|---|---|---|---|---|---|---|
バージョン 1.1(オンプレミス) |
対応 |
非対応 |
非対応 |
対応 |
対応 |
対応 |
対応 |
バージョン 2.0(オンプレミス) |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
クラウド提供型(Cisco Defense Orchestrator) |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
非対応 |
詳細については、次の項を参照してください。
Amazon Web Services コネクタ:ユーザー権限とインポートされたデータについて
Cisco Secure Dynamic Attributes Connector は、アクセス コントロール ポリシーで使用するために AWS から FMC に動的属性をインポートします。
インポートされた動的属性
AWS から次の動的属性をインポートします。
-
タグ:AWS EC2 リソースを整理するために使用できるユーザー定義のキーと値のペア。
詳細については、AWS ドキュメントの「Amazon EC2 リソースのタグ付け」を参照してください。
-
AWS 内の仮想マシンの IP アドレス。
必要最小限の権限
Cisco Secure
Dynamic Attributes Connector には、少なくとも、ec2:DescribeTags
および ec2:DescribeInstances
に動的属性のインポートを許可するポリシーを持つユーザーが必要です。
Cisco Secure Dynamic Attributes Connector に対して最小限の権限を持つ AWS ユーザーを作成します。
このタスクでは、動的属性を FMC に送信するための最小限の権限を持つサービスアカウントを設定する方法について説明します。これらの属性のリストについては、Amazon Web Services コネクタ:ユーザー権限とインポートされたデータについてを参照してください。
始める前に
Amazon Web Services(AWS)アカウントがすでに設定されている必要があります。これを行う方法の詳細については、AWS ドキュメントのこの記事を参照してください。
手順
ステップ 1 |
管理者ロールを持つユーザーとして AWS コンソールにログインします。 |
||
ステップ 2 |
ダッシュボードから、 をクリックします。 |
||
ステップ 3 |
をクリックします。 |
||
ステップ 4 |
[ユーザの追加(Add Users)] をクリックします。 |
||
ステップ 5 |
[ユーザー名(User Name)] フィールドに、ユーザーを識別するための名前を入力します。 |
||
ステップ 6 |
[アクセスキー - プログラムによるアクセス(Access Key - Programmatic Access)] をクリックします。 |
||
ステップ 7 |
[権限の設定(Set permissions)] ページで、ユーザーに何もアクセスを許可せずに [次へ(Next)] をクリックします。これは後で行います。 |
||
ステップ 8 |
必要に応じて、ユーザーにタグを追加します。 |
||
ステップ 9 |
[Create User] をクリックします。 |
||
ステップ 10 |
[.csvをダウンロード(Download.csv)] をクリックして、ユーザーのキーをコンピューターにダウンロードします。
|
||
ステップ 11 |
[閉じる(Close)] をクリックします。 |
||
ステップ 12 |
左側の列の [アイデンティティとアクセス管理(IAM)(Identity and Access Management (IAM))] ページで、 をクリックします。 |
||
ステップ 13 |
[Create Policy] をクリックします。 |
||
ステップ 14 |
[ポリシーの作成(Create Policy)] ページで、[JSON] をクリックします。 |
||
ステップ 15 |
フィールドに次のポリシーを入力します。
|
||
ステップ 16 |
[次へ(Next)] をクリックします。 |
||
ステップ 17 |
[レビュー(Review)] をクリックします。 |
||
ステップ 18 |
[ポリシーの確認(Review Policy)] ページで、必要な情報を入力し、[ポリシーの作成(Create Policy)] をクリックします。 |
||
ステップ 19 |
[ポリシー(Policies)] ページで、検索フィールドにポリシー名のすべてまたは一部を入力し、Enter キーを押します。 |
||
ステップ 20 |
作成したポリシーをクリックします。 |
||
ステップ 21 |
をクリックします。 |
||
ステップ 22 |
必要に応じて、検索フィールドにユーザー名の全部または一部を入力し、Enter キーを押します。 |
||
ステップ 23 |
[ポリシーをアタッチ(Attach policy)] をクリックします。 |
次のタスク
AWS コネクタの作成
このタスクでは、アクセス コントロール ポリシーで使用するため、AWS から FMC にデータを送信するコネクタを設定する方法について説明します。
始める前に
手順
ステップ 1 |
動的属性コネクタにログインします。 |
||||||||||||||
ステップ 2 |
[コネクタ(Connectors)] をクリックします。 |
||||||||||||||
ステップ 3 |
次のいずれかを実行します。
|
||||||||||||||
ステップ 4 |
次の情報を入力します。
|
||||||||||||||
ステップ 5 |
コネクタを保存する前に、[テスト(Test)] をクリックして、テストが成功することを確認します。 |
||||||||||||||
ステップ 6 |
[保存(Save)] をクリックします。 |
||||||||||||||
ステップ 7 |
[ステータス(Status)] 列に [OK] が表示されていることを確認します。 |
次のタスク
Azure コネクタ:ユーザー権限とインポートされたデータについて
Cisco Secure Dynamic Attributes Connector は、アクセス コントロール ポリシーで使用するために、Azure から FMC へ動的属性をインポートします。
インポートされた動的属性
Azure から次の動的属性をインポートします。
-
タグ:リソース、リソースグループ、およびサブスクリプションに関連付けられたキーと値のペア。
詳細については、Microsoft ドキュメントのこのページを参照してください。
-
Azure 内の仮想マシンの IP アドレス。
必要な最小限の権限
Cisco Secure Dynamic Attributes Connector で、動的属性をインポートするには、少なくともリーダー権限を持つユーザーが必要です。
Cisco Secure Dynamic Attributes Connector に対する最小限の権限を持つ Azure ユーザーの作成
このタスクでは、動的属性を FMC に送信するための最小限の権限を持つサービスアカウントを設定する方法について説明します。これらの属性のリストについては、Azure コネクタ:ユーザー権限とインポートされたデータについてを参照してください。
始める前に
Microsoft Azure アカウントを既に持っている必要があります。設定するには、Azure ドキュメントサイトのこのページを参照してください。
手順
ステップ 1 |
サブスクリプションの所有者として Azure Portal にログインします。 |
ステップ 2 |
[Azure Active Directory] をクリックします。 |
ステップ 3 |
設定するアプリケーションの Azure Active Directory のインスタンスを見つけます。 |
ステップ 4 |
をクリックします。 |
ステップ 5 |
[名前(Name)] フィールドに、このアプリケーションを識別するための名前を入力します。 |
ステップ 6 |
組織の必要に応じて、このページにその他の情報を入力します。 |
ステップ 7 |
[登録(Register)] をクリックします。 |
ステップ 8 |
次のページで、クライアント ID (アプリケーション ID とも呼ばれる) とテナント ID (ディレクトリ ID とも呼ばれる) を書き留めます。 次に例を示します。 |
ステップ 9 |
[証明書またはシークレットを追加(Add a certificate or secret)] をクリックします。 |
ステップ 10 |
[新しいクライアントシークレット(New Client Secret)] をクリックします。 |
ステップ 11 |
要求された情報を入力し、[追加(Add)] をクリックします。 |
ステップ 12 |
Azure コネクタの設定に必要になるため、クライアント値をクリップボードにコピーします。 |
ステップ 13 |
Azure Portal のメインページに戻り、[サブスクリプション(Subscriptions)] をクリックします。 |
ステップ 14 |
クリップボードにサブスクリプション ID をコピーします。 |
ステップ 15 |
サブスクリプションページで、サブスクリプションの名前をクリックします。 |
ステップ 16 |
[アクセス制御(IAM)(Access Control (IAM))] をクリックします。 |
ステップ 17 |
をクリックします。 |
ステップ 18 |
[リーダー(Reader)] をクリックし、[次へ(Next)] をクリックします。 |
ステップ 19 |
[メンバーの選択(Select Members)]をクリックします。 |
ステップ 20 |
ページの右側で、登録したアプリケーションの名前をクリックし、[選択(Select)] をクリックします。 |
ステップ 21 |
[確認と割り当て(Review + Assign)] をクリックし、プロンプトに従って操作を完了します。 |
次のタスク
「Azure コネクタの作成」を参照してください。
Azure コネクタの作成
このタスクでは、アクセス コントロール ポリシーで使用するために Azure から FMC にデータを送信するコネクタを作成する方法について説明します。
始める前に
手順
ステップ 1 |
動的属性コネクタにログインします。 |
||||||||||||||||
ステップ 2 |
[コネクタ(Connectors)] をクリックします。 |
||||||||||||||||
ステップ 3 |
次のいずれかを実行します。
|
||||||||||||||||
ステップ 4 |
次の情報を入力します。
|
||||||||||||||||
ステップ 5 |
コネクタを保存する前に、[テスト(Test)] をクリックして、Test connection succeeded が表示されることを確認します。 |
||||||||||||||||
ステップ 6 |
[保存(Save)] をクリックします。 |
||||||||||||||||
ステップ 7 |
[ステータス(Status)] 列に [OK] が表示されていることを確認します。 |
次のタスク
Azure サービスタグコネクタの作成
このトピックでは、アクセス コントロール ポリシーで使用する FMC への Azure サービスタグのコネクタを作成する方法について説明します。これらのタグに関連付けられた IP アドレスは、Microsoft によって毎週更新されます。
詳細については、Microsoft TechNet の「仮想ネットワーク サービス タグ」を参照してください。
手順
ステップ 1 |
動的属性コネクタにログインします。 |
||||||||||||||||
ステップ 2 |
[コネクタ(Connectors)] をクリックします。 |
||||||||||||||||
ステップ 3 |
次のいずれかを実行します。
|
||||||||||||||||
ステップ 4 |
次の情報を入力します。
|
||||||||||||||||
ステップ 5 |
コネクタを保存する前に、[テスト(Test)] をクリックして、Test connection succeeded が表示されることを確認します。 |
||||||||||||||||
ステップ 6 |
[保存(Save)] をクリックします。 |
||||||||||||||||
ステップ 7 |
[ステータス(Status)] 列に [OK] が表示されていることを確認します。 |
次のタスク
Office 365 コネクタの作成
このタスクでは、アクセス コントロール ポリシーで使用するためのデータを FMC に送信する、Office 365 タグのコネクタを作成する方法について説明します。これらのタグに関連付けられた IP アドレスは、Microsoft によって毎週更新されます。データを使用するために動的属性フィルタを作成する必要はありません。
詳細については、docs.microsoft.com の「Office 365 URL および IP アドレス範囲」を参照してください。
手順
ステップ 1 |
動的属性コネクタにログインします。 |
||||||||||||||
ステップ 2 |
[コネクタ(Connectors)] をクリックします。 |
||||||||||||||
ステップ 3 |
次のいずれかを実行します。
|
||||||||||||||
ステップ 4 |
次の情報を入力します。
|
||||||||||||||
ステップ 5 |
[保存(Save)] をクリックします。 |
||||||||||||||
ステップ 6 |
[ステータス(Status)] 列に [OK] が表示されていることを確認します。 |
次のタスク
vCenter コネクタ:ユーザー権限とインポートされたデータについて
Cisco Secure Dynamic Attributes Connector は、アクセス コントロール ポリシーで使用するために、vCenter から FMC へ動的属性をインポートします。
インポートされた動的属性
vCenter から次の動的属性をインポートします。
-
オペレーティング システム
-
MAC アドレス
-
IP アドレス
-
NSX タグ
必要最小限の権限
Cisco Secure Dynamic Attributes Connector では、少なくとも、動的属性をインポートできる読み取り専用権限を持つユーザーが必要です。
vCenter コネクタの認証局 (CA) チェーンの取得
このトピックでは、コネクタまたはアダプタの認証局チェーンを自動的に取得する方法について説明します。認証局チェーンは、ルート証明書とすべての下位証明書です。 vCenter または に安全に接続する必要があります。FMC
動的属性コネクタ により、認証局チェーンを自動的に取得できますが、何らかの理由でこの手順が機能しない場合は、認証局 (CA) チェーンの手動での取得を参照してください。
手順
ステップ 1 |
動的属性コネクタにログインします。 |
ステップ 2 |
次のいずれかを実行します。
|
ステップ 3 |
[名前(Name)] フィールドに、コネクタまたはアダプタを識別するための名前を入力します。 |
ステップ 4 |
[ホスト(Host)] フィールドに、コネクタまたはアダプタのホスト名または IP アドレスをスキーム (https:// など)なしで入力します。 たとえば、myvcenter.example.com または 192.0.2.100:9090 入力するホスト名または IP は、安全に接続するために使用される CA 証明書の共通名と完全に一致している必要があります。 証明書 CA チェーンを取得するために、他の情報は必要ありません。 |
ステップ 5 |
[Fetch] をクリックします。 |
ステップ 6 |
(オプション)証明書 CA チェーンの証明書を展開して検証します。 |
例
ダイアログボックスの上部にある証明書 CA チェーンを展開すると、次のような証明書が表示されます。
vCenter コネクタの作成
このタスクでは、アクセス コントロール ポリシーで使用するためにデータを FMC に送信する VMware vCenter のコネクタを作成する方法について説明します。
始める前に
信頼されていない証明書を使用して vCenter と通信する場合は、認証局 (CA) チェーンの手動での取得を参照してください。
手順
ステップ 1 |
動的属性コネクタにログインします。 |
||||||||||||||||||||||||
ステップ 2 |
[コネクタ(Connectors)] をクリックします。 |
||||||||||||||||||||||||
ステップ 3 |
次のいずれかを実行します。
|
||||||||||||||||||||||||
ステップ 4 |
次の情報を入力します。
|
||||||||||||||||||||||||
ステップ 5 |
コネクタを保存する前に、[テスト(Test)] をクリックして、Test connection succeeded が表示されることを確認します。 |
||||||||||||||||||||||||
ステップ 6 |
[Save] をクリックします。 |