コネクタの作成
コネクタは、クラウドサービスでのインターフェイスです。コネクタはクラウドサービスからネットワーク情報を取得するため、management center のアクセス コントロール ポリシーでネットワーク情報を使用できます。
次がサポートされています。
CSDAC バージョン/プラットフォーム |
AWS |
GitHub |
Google クラウド |
Azure |
Azure サービスタグ |
Microsoft Office 365 |
vCenter |
---|---|---|---|---|---|---|---|
バージョン 1.1(オンプレミス) |
対応 |
× |
× |
対応 |
対応 |
対応 |
対応 |
バージョン 2.0(オンプレミス) |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
バージョン 2.2(オンプレミス) |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
詳細については、次の項を参照してください。
Amazon Web Services コネクタ:ユーザー権限とインポートされたデータについて
Cisco Secure 動的属性コネクタ は、アクセス コントロール ポリシーで使用するために AWS から management center に動的属性をインポートします。
インポートされた動的属性
AWS から次の動的属性をインポートします。
-
タグ:AWS EC2 リソースを整理するために使用できるユーザー定義のキーと値のペア。
詳細については、AWS ドキュメントの「Amazon EC2 リソースのタグ付け」を参照してください。
-
AWS 内の仮想マシンの IP アドレス。
必要最小限の権限
Cisco Secure 動的属性コネクタ には、少なくとも、ec2:DescribeTags
および ec2:DescribeInstances
に動的属性のインポートを許可するポリシーを持つユーザーが必要です。
Cisco Secure 動的属性コネクタ に対して最小限の権限を持つ AWS ユーザーを作成します。
このタスクでは、動的属性を management center に送信するための最小限の権限を持つサービスアカウントを設定する方法について説明します。これらの属性のリストについては、Amazon Web Services コネクタ:ユーザー権限とインポートされたデータについてを参照してください。
始める前に
Amazon Web Services(AWS)アカウントがすでに設定されている必要があります。これを行う方法の詳細については、AWS ドキュメントのこの記事を参照してください。
手順
ステップ 1 |
管理者ロールを持つユーザーとして AWS コンソールにログインします。 |
||
ステップ 2 |
ダッシュボードから、 をクリックします。 |
||
ステップ 3 |
をクリックします。 |
||
ステップ 4 |
[ユーザの追加(Add Users)] をクリックします。 |
||
ステップ 5 |
[ユーザー名(User Name)] フィールドに、ユーザーを識別するための名前を入力します。 |
||
ステップ 6 |
[アクセスキー - プログラムによるアクセス(Access Key - Programmatic Access)] をクリックします。 |
||
ステップ 7 |
[権限の設定(Set permissions)] ページで、ユーザーに何もアクセスを許可せずに [次へ(Next)] をクリックします。これは後で行います。 |
||
ステップ 8 |
必要に応じて、ユーザーにタグを追加します。 |
||
ステップ 9 |
[Create User] をクリックします。 |
||
ステップ 10 |
[.csvをダウンロード(Download.csv)] をクリックして、ユーザーのキーをコンピューターにダウンロードします。
|
||
ステップ 11 |
[閉じる(Close)] をクリックします。 |
||
ステップ 12 |
左側の列の [アイデンティティとアクセス管理(IAM)(Identity and Access Management (IAM))] ページで、 をクリックします。 |
||
ステップ 13 |
[Create Policy] をクリックします。 |
||
ステップ 14 |
[ポリシーの作成(Create Policy)] ページで、[JSON] をクリックします。 |
||
ステップ 15 |
フィールドに次のポリシーを入力します。
|
||
ステップ 16 |
[次へ(Next)] をクリックします。 |
||
ステップ 17 |
[レビュー(Review)] をクリックします。 |
||
ステップ 18 |
[ポリシーの確認(Review Policy)] ページで、必要な情報を入力し、[ポリシーの作成(Create Policy)] をクリックします。 |
||
ステップ 19 |
[ポリシー(Policies)] ページで、検索フィールドにポリシー名のすべてまたは一部を入力し、Enter キーを押します。 |
||
ステップ 20 |
作成したポリシーをクリックします。 |
||
ステップ 21 |
をクリックします。 |
||
ステップ 22 |
必要に応じて、検索フィールドにユーザー名の全部または一部を入力し、Enter キーを押します。 |
||
ステップ 23 |
[ポリシーをアタッチ(Attach policy)] をクリックします。 |
次のタスク
AWS コネクタの作成
このタスクでは、アクセス コントロール ポリシーで使用するため、AWS から management center にデータを送信するコネクタを設定する方法について説明します。
始める前に
手順
ステップ 1 |
動的属性コネクタにログインします。 |
||||||||||||||
ステップ 2 |
[コネクタ(Connectors)] をクリックします。 |
||||||||||||||
ステップ 3 |
次のいずれかを実行します。
|
||||||||||||||
ステップ 4 |
次の情報を入力します。
|
||||||||||||||
ステップ 5 |
コネクタを保存する前に、[テスト(Test)] をクリックして、テストが成功することを確認します。 |
||||||||||||||
ステップ 6 |
[保存(Save)] をクリックします。 |
||||||||||||||
ステップ 7 |
[ステータス(Status)] 列に [OK] が表示されていることを確認します。 |
Azure コネクタ:ユーザー権限とインポートされたデータについて
Cisco Secure 動的属性コネクタ は、アクセス コントロール ポリシーで使用するために、Azure から management center へ動的属性をインポートします。
インポートされた動的属性
Azure から次の動的属性をインポートします。
-
タグ:リソース、リソースグループ、およびサブスクリプションに関連付けられたキーと値のペア。
詳細については、Microsoft ドキュメントのこのページを参照してください。
-
Azure 内の仮想マシンの IP アドレス。
必要な最小限の権限
Cisco Secure 動的属性コネクタ で、動的属性をインポートするには、少なくともリーダー権限を持つユーザーが必要です。
Cisco Secure 動的属性コネクタ に対する最小限の権限を持つ Azure ユーザーの作成
このタスクでは、動的属性を management center に送信するための最小限の権限を持つサービスアカウントを設定する方法について説明します。これらの属性のリストについては、Azure コネクタ:ユーザー権限とインポートされたデータについてを参照してください。
始める前に
Microsoft Azure アカウントを既に持っている必要があります。設定するには、Azure ドキュメントサイトのこのページを参照してください。
手順
ステップ 1 |
サブスクリプションの所有者として Azure Portal にログインします。 |
ステップ 2 |
[Azure Active Directory] をクリックします。 |
ステップ 3 |
設定するアプリケーションの Azure Active Directory のインスタンスを見つけます。 |
ステップ 4 |
をクリックします。 |
ステップ 5 |
[名前(Name)] フィールドに、このアプリケーションを識別するための名前を入力します。 |
ステップ 6 |
組織の必要に応じて、このページにその他の情報を入力します。 |
ステップ 7 |
[登録(Register)] をクリックします。 |
ステップ 8 |
次のページで、クライアント ID (アプリケーション ID とも呼ばれる) とテナント ID (ディレクトリ ID とも呼ばれる) を書き留めます。 次に例を示します。 |
ステップ 9 |
[クライアントクレデンシャル(Client Credentials)] の横にある [証明書またはシークレットの追加(Add a certificate or secret)] をクリックします。 |
ステップ 10 |
[新しいクライアントシークレット(New Client Secret)] をクリックします。 |
ステップ 11 |
要求された情報を入力し、[追加(Add)] をクリックします。 |
ステップ 12 |
[値(Value)] フィールドの値をクリップボードにコピーします。[シークレットID(Secret ID)] ではなく、この値がクライアントシークレットです。 |
ステップ 13 |
Azure Portal のメインページに戻り、[サブスクリプション(Subscriptions)] をクリックします。 |
ステップ 14 |
サブスクリプションの名前をクリックします。 |
ステップ 15 |
クリップボードにサブスクリプション ID をコピーします。 |
ステップ 16 |
[アクセス制御(IAM)(Access Control (IAM))] をクリックします。 |
ステップ 17 |
をクリックします。 |
ステップ 18 |
[リーダー(Reader)] をクリックし、[次へ(Next)] をクリックします。 |
ステップ 19 |
[メンバーの選択(Select Members)]をクリックします。 |
ステップ 20 |
ページの右側で、登録したアプリケーションの名前をクリックし、[選択(Select)] をクリックします。 |
ステップ 21 |
[確認と割り当て(Review + Assign)] をクリックし、プロンプトに従って操作を完了します。 |
次のタスク
Azure コネクタの作成 を参照してください。
Azure コネクタの作成
このタスクでは、アクセス コントロール ポリシーで使用するために Azure から management center にデータを送信するコネクタを作成する方法について説明します。
始める前に
手順
ステップ 1 |
動的属性コネクタにログインします。 |
||||||||||||||||
ステップ 2 |
[コネクタ(Connectors)] をクリックします。 |
||||||||||||||||
ステップ 3 |
次のいずれかを実行します。
|
||||||||||||||||
ステップ 4 |
次の情報を入力します。
|
||||||||||||||||
ステップ 5 |
コネクタを保存する前に、[テスト(Test)] をクリックして、Test connection succeeded が表示されることを確認します。 |
||||||||||||||||
ステップ 6 |
[保存(Save)] をクリックします。 |
||||||||||||||||
ステップ 7 |
[ステータス(Status)] 列に [OK] が表示されていることを確認します。 |
Azure サービスタグコネクタの作成
このトピックでは、アクセス コントロール ポリシーで使用する management center への Azure サービスタグのコネクタを作成する方法について説明します。これらのタグに関連付けられた IP アドレスは、Microsoft によって毎週更新されます。
詳細については、Microsoft TechNet の「仮想ネットワーク サービス タグ」を参照してください。
手順
ステップ 1 |
動的属性コネクタにログインします。 |
||||||||||||||||
ステップ 2 |
[コネクタ(Connectors)] をクリックします。 |
||||||||||||||||
ステップ 3 |
次のいずれかを実行します。
|
||||||||||||||||
ステップ 4 |
次の情報を入力します。
|
||||||||||||||||
ステップ 5 |
コネクタを保存する前に、[テスト(Test)] をクリックして、Test connection succeeded が表示されることを確認します。 |
||||||||||||||||
ステップ 6 |
[保存(Save)] をクリックします。 |
||||||||||||||||
ステップ 7 |
[ステータス(Status)] 列に [OK] が表示されていることを確認します。 |
GitHub コネクタの作成
このセクションでは、アクセス コントロール ポリシーで使用するためにデータを management center に送信する GitHub コネクタを作成する方法について説明します。これらのタグに関連付けられている IP アドレスは、GitHub によって管理されています。動的属性フィルタを作成する必要はありません。
詳細については、「GitHub の IP アドレスについて」を参照してください。
(注) |
IP アドレスの取得に失敗するため、URL は変更しないでください。 |
手順
ステップ 1 |
動的属性コネクタ にログインします。 |
ステップ 2 |
[コネクタ(Connectors)] をクリックします。 |
ステップ 3 |
次のいずれかを実行します。
|
ステップ 4 |
[名前(Name)] とオプションの [説明(Description)]を入力します。 |
ステップ 5 |
(オプション)[プル間隔(Pull Interval)] フィールドで、動的属性コネクタが GitHub から IP アドレスを取得する頻度を秒単位で変更します。デフォルトは 21,600 秒(6 時間)です。 |
ステップ 6 |
コネクタを保存する前に、[テスト(Test)] をクリックして、テストが成功することを確認します。 |
ステップ 7 |
[保存(Save)] をクリックします。 |
ステップ 8 |
[ステータス(Status)] 列に [OK] が表示されていることを確認します。 |
Google Cloud コネクタ:ユーザー権限とインポートされたデータについて
Cisco Secure 動的属性コネクタ は、アクセス コントロール ポリシーで使用するために、Google Cloud から management center へ動的属性をインポートします。
インポートされた動的属性
次の動的属性を Google Cloud からインポートします。
必要最小限の権限
Cisco Secure 動的属性コネクタ では、少なくとも、動的属性をインポートできる基本閲覧者(Basic Viewer)権限を持つユーザーが必要です。
Cisco Secure 動的属性コネクタ に対して最小限の権限を持つ Google Cloud ユーザーを作成します。
このタスクでは、動的属性を management center に送信するための最小限の権限を持つサービスアカウントを設定する方法について説明します。これらの属性のリストについては、Google Cloud コネクタ:ユーザー権限とインポートされたデータについてを参照してください。
始める前に
Google Cloud アカウントがすでに設定されている必要があります。設定方法に関する詳細情報については、 Google Cloud ドキュメントの「環境設定」を参照してください。
手順
ステップ 1 |
所有者ロールを持つユーザーとして Google Cloud アカウントにログインします。 |
ステップ 2 |
をクリックします。 |
ステップ 3 |
次の情報を入力します。
サービスアカウントの詳細については、Google Cloud ドキュメントの「サービス アカウントについて」を参照してください。 |
ステップ 4 |
[作成して続行(Create and Continue)] をクリックします。 |
ステップ 5 |
[このサービスアカウントへのアクセスをユーザーに許可する(Grant users access to this service account)] セクションが表示されるまで、画面の指示に従います。 |
ステップ 6 |
ユーザーに基本閲覧者(Basic Viewer)ロールを付与します。 |
ステップ 7 |
[完了(Done)] をクリックします。 サービスアカウントのリストが表示されます。 |
ステップ 8 |
作成したサービスアカウントの行の末尾にある その他() をクリックします。 |
ステップ 9 |
[キーの管理(Manage Keys)] をクリックします。 |
ステップ 10 |
をクリックします。 |
ステップ 11 |
[JSON] をクリックします。 |
ステップ 12 |
[作成(Create)] をクリックします。 JSON キーがコンピュータにダウンロードされます。 |
ステップ 13 |
GCP コネクタを構成するときは、キーを手元に置いておいてください。 |
次のタスク
Google Cloud コネクタの作成 を参照してください。
Google Cloud コネクタの作成
始める前に
Google Cloud JSON 形式のサービスアカウントデータを準備します。コネクタの設定に必要です。
手順
ステップ 1 |
動的属性コネクタにログインします。 |
||||||||||||
ステップ 2 |
[コネクタ(Connectors)] をクリックします。 |
||||||||||||
ステップ 3 |
次のいずれかを実行します。
|
||||||||||||
ステップ 4 |
次の情報を入力します。
|
||||||||||||
ステップ 5 |
コネクタを保存する前に、[テスト(Test)] をクリックして、テストが成功することを確認します。 |
||||||||||||
ステップ 6 |
[保存(Save)] をクリックします。 |
||||||||||||
ステップ 7 |
[ステータス(Status)] 列に [OK] が表示されていることを確認します。 |
Office 365 コネクタの作成
このタスクでは、アクセス コントロール ポリシーで使用するためのデータを management center に送信する、Office 365 タグのコネクタを作成する方法について説明します。これらのタグに関連付けられた IP アドレスは、Microsoft によって毎週更新されます。データを使用するために動的属性フィルタを作成する必要はありません。
詳細については、docs.microsoft.com の「Office 365 URL および IP アドレス範囲」を参照してください。
手順
ステップ 1 |
動的属性コネクタにログインします。 |
||||||||||||||
ステップ 2 |
[コネクタ(Connectors)] をクリックします。 |
||||||||||||||
ステップ 3 |
次のいずれかを実行します。
|
||||||||||||||
ステップ 4 |
次の情報を入力します。
|
||||||||||||||
ステップ 5 |
コネクタを保存する前に、[テスト(Test)] をクリックして、テストが成功することを確認します。 |
||||||||||||||
ステップ 6 |
[保存(Save)] をクリックします。 |
||||||||||||||
ステップ 7 |
[ステータス(Status)] 列に [OK] が表示されていることを確認します。 |
vCenter コネクタ:ユーザー権限とインポートされたデータについて
Cisco Secure 動的属性コネクタ は、アクセス コントロール ポリシーで使用するために、vCenter から management center へ動的属性をインポートします。
インポートされた動的属性
vCenter から次の動的属性をインポートします。
-
オペレーティング システム
-
MAC アドレス
-
IP アドレス
-
NSX タグ
必要最小限の権限
Cisco Secure 動的属性コネクタ では、少なくとも、動的属性をインポートできる読み取り専用権限を持つユーザーが必要です。
vCenter コネクタの作成
このタスクでは、アクセス コントロール ポリシーで使用するためにデータを management center に送信する VMware vCenter のコネクタを作成する方法について説明します。
始める前に
信頼されていない証明書を使用して vCenter と通信する場合は、認証局 (CA) チェーンの手動での取得を参照してください。
手順
ステップ 1 |
動的属性コネクタにログインします。 |
||||||||||||||||||||||||
ステップ 2 |
[コネクタ(Connectors)] をクリックします。 |
||||||||||||||||||||||||
ステップ 3 |
次のいずれかを実行します。
|
||||||||||||||||||||||||
ステップ 4 |
次の情報を入力します。
ダイアログボックスの上部にある証明書 CA チェーンを展開すると、次のような証明書が表示されます。 この方法で証明書を取得できない場合は、認証局 (CA) チェーンの手動での取得で説明されているように、証明書チェーンを手動で取得できます。 |
||||||||||||||||||||||||
ステップ 5 |
コネクタを保存する前に、[テスト(Test)] をクリックして、Test connection succeeded が表示されることを確認します。 |
||||||||||||||||||||||||
ステップ 6 |
[保存(Save)] をクリックします。 |