Azure アカウントの準備
Multicloud Defense Controller に接続してオンボーディングする前に、次の手順で Azure アカウントとサブスクリプションを準備します。
-
Azure サブスクリプションを取得して登録します。サブスクリプションが Microsoft Entra ID に関連付けられていることを確認します。Azure ポータルでアプリケーション登録のリストを確認し、サブスクリプションが Multicloud Defense に正しくリンクされているかどうかを確認します。
-
Azure サブスクリプションのカスタムロールを作成します。これにより、ブロックされる特定のリソースまたはアクションへの Multicloud Defense アクセスが許可されます。
-
Azure イベントグリッドに登録します。これにより、Multicloud Defense はリアルタイム更新を受信でき、サブスクライバにイベントを送信するように設定できます(プッシュ)。またはサブスクライバは Event Grid に接続してイベントを読み取り(プル)できます。詳細については、『Azure ユーザーガイド』の「イベントサブスクリプションの作成」の章を参照してください。
-
Multicloud Defense ダッシュボードから Multicloud Defense Controller に Azure サブスクリプションを接続する。Azure サブスクリプションでは、仮想マシンなどの「技術的な」リソースがカプセル化されます。Azure ベースの VM を Multicloud Defense ゲートウェイまたは展開アクションで使用するには、この手順を完了します。
-
マーケットプレイスの利用規約に同意する。初めて Azure アカウントを Multicloud Defense にオンボードする場合は、Cisco MarketPlace の利用規約に同意する必要があります。この契約がなければ、オンボーディングアクションを完了できません。
-
(任意)Key Vault および BLOB ストレージへのアクセス用のユーザー割り当てマネージド ID。Azure 環境で設定された Key Vault および Blob ストレージアクセスは、異なるリソース間で同じアイデンティティをより柔軟に使用できるようにすることを目的としています。これにより、サービス間で一貫した権限とアイデンティティを維持できます。
自動スクリプトを使用できない場合は、アカウントを手動でオンボーディングする別の手順を参照してください(こちら)。
![]() (注) |
Multicloud Defense で構成するサブスクリプションが複数ある場合は、1 つのサブスクリプションで Multicloud Defense ダッシュボードから Multicloud Defense Controller に Azure サブスクリプションを接続する の手順を実行してから、Azure ポータルでポリシーを変更して他のサブスクリプションを追加します。これらのサブスクリプションは個別にオンボーディングする必要がありますが、Multicloud Defense に一括で関連付けることができます。 |
Microsoft Entra ID へのアプリケーションの登録
Multicloud Defense アプリケーションを Entra ID に登録するには、次の手順を実行します。
手順
|
ステップ 1 |
Azure ポータルから [Microsoft Entra ID] に移動します。 |
|
ステップ 2 |
[アプリケーションの登録(App Registration)] を選択します。 |
|
ステップ 3 |
[新規登録(New Registration)] をクリックします。 |
|
ステップ 4 |
新規登録するアプリケーションを示す名前を入力します(例:Multicloud Defense Controller)。 [サポートされているアカウントタイプ(Supported Account Types)] で、2 番目のオプションである [任意の組織ディレクトリのアカウント(Accounts in any organizational directory)] を選択します。 |
|
ステップ 5 |
組織に適したオプションを選択します。[リダイレクトURI(Redirect URI)] は、アプリケーション登録の作成時には必要ないことに注意してください。 |
|
ステップ 6 |
[登録(Register)] をクリックします。 |
|
ステップ 7 |
新しく作成したアプリケーションの下にある左側のナビゲーションバーで、[証明書およびシークレット(Certificates & secrets)] をクリックします。 |
|
ステップ 8 |
[+ New client secret] をクリックし、[Add a client secret] ダイアログに必要な情報を入力します。
|
|
ステップ 9 |
[追加(Add)] をクリックします。クライアントシークレットが [値(Value)] 列の下に入力されます。 |
|
ステップ 10 |
クライアントシークレットをメモ帳にコピーします。これは 1 回だけ表示され、再度表示されることはありません。 |
|
ステップ 11 |
左側のナビゲーションバーで、[概要(Overview)] をクリックします。 |
|
ステップ 12 |
アプリケーション(クライアント)ID とディレクトリ(テナント)ID をメモ帳にコピーします。 |
アプリケーションに割り当てるカスタムロールの作成
Multicloud Defense Controller 用に作成されたアプリケーションに割り当てられるカスタムロールを作成します。カスタムロールは、インベントリ情報を読み取り、VM、ロードバランサなどのリソースを作成する権限をアプリケーションに付与します。
カスタムロールを作成する方法は複数ありますが、次の手順が推奨されます。
手順
|
ステップ 1 |
[サブスクリプション(Subscriptions)] に移動し、[アクセス制御(IAM)(Access Control (IAM))] をクリックします。 |
|
ステップ 2 |
[ロール(Roles)] をクリックし、上部のメニューバーでをクリックします。 |
|
ステップ 3 |
カスタムロールに名前を付けます(例: |
|
ステップ 4 |
JSON 編集画面が表示されるまで、[次へ(Next)] をクリックし続けます。 |
|
ステップ 5 |
画面で [Edit] をクリックし、JSON テキストの [permissions] > [actions] セクションで、角カッコの間に次のコンテンツをコピーして貼り付けます(インデントを維持する必要はありません)。コードの内容に示されているように、ロールの割り当てとロール定義を読み取るために、Azure ロールにも権限を追加していることに注意してください。
|
|
ステップ 6 |
任意:Multicloud Defense で複数のサブスクリプションを使用する場合は、 |
|
ステップ 7 |
テキストボックスの上部にある [保存(Save)] をクリックします。 |
|
ステップ 8 |
[確認して作成(Review + Create)] をクリックして、ロールを作成します。 |
|
ステップ 9 |
カスタムロールが作成されたら、[Access Control (IAM)] に戻ります。 |
|
ステップ 10 |
上部のメニューバーで、をクリックします。 |
|
ステップ 11 |
[ロール(Role)] ドロップダウンで、上で作成したカスタムロールを選択します。 |
|
ステップ 12 |
[Assign Access To] ドロップダウンリストはデフォルト値のままとします(Azure AD ユーザー、グループ、またはサービスプリンシパル)。 |
|
ステップ 13 |
[Select] テキストボックスに、先ほど作成したアプリケーションの名前(例: |
|
ステップ 14 |
[サブスクリプション(Subscription)] ページで、左側のメニューバーの [概要(Overview)] をクリックし、サブスクリプション ID をメモ帳にコピーします。 |
Multicloud Defense ダッシュボードから Multicloud Defense Controller に Azure サブスクリプションを接続する
前のセクションの説明に従って Azure アカウントとサブスクリプションを準備したら、Multicloud Defense Controller にリンクできます。
手順
|
ステップ 1 |
Multicloud Defense Controller ダッシュボードで、[クラウドアカウント(Cloud Accounts)] ペインの [アカウントの追加(Add Account)] をクリックします。 |
||
|
ステップ 2 |
[一般情報(General Information)] ページで、[アカウントタイプ(Account Type)] リストボックスから [Azure] を選択します。 |
||
|
ステップ 3 |
ステップ 1 で、Azure Cloud Shell を bash モードで開く手順に従います。 |
||
|
ステップ 4 |
ステップ 2 で、[コピー(Copy)] ボタンをクリックします。 |
||
|
ステップ 5 |
bash シェルでオンボーディングスクリプトを実行します。
|
||
|
ステップ 6 |
この Azure アカウントの名前を入力します。Azure サブスクリプション名と同じ名前を付けることができます。この名前は Multicloud Defense Controller アカウントページにのみ表示されます。 |
||
|
ステップ 7 |
(任意)サブスクリプションの説明を入力します。 |
||
|
ステップ 8 |
[ディレクトリID(Directory ID)](テナント ID とも呼ばれます)を入力します。 |
||
|
ステップ 9 |
オンボーディングするサブスクリプションの [サブスクリプションID(Subscription ID)] を入力します。 |
||
|
ステップ 10 |
オンボーディングスクリプトによって作成された [アプリケーションID(Application ID)](クライアント ID とも呼ばれます)を入力します。 |
||
|
ステップ 11 |
[クライアントシークレット(Client Secret)](シークレット ID とも呼ばれます)を入力します。 |
||
|
ステップ 12 |
[保存して続行(Save & Continue)] をクリックします。 |
Azure サブスクリプションがオンボーディングされ、ダッシュボードに戻ると、新しいデバイスが追加されたことを確認できます。
次のタスク
-
Azure ポータルでポリシーを作成します。
マーケットプレイスの利用規約に同意する
Multicloud Defense Controller は、Azure マーケットプレイスの Multicloud Defense 仮想マシン(VM)イメージを使用してゲートウェイインスタンスを作成します。サブスクリプションごとに利用規約に同意する必要があります。Azure ポータル Web サイト(上部のメニューバーの右側)から Azure Cloud Shell を開きます。bash シェルを選択する、または bash シェルに切り替えて、次のコマンドを実行します(subscription-id を前のセクションでコピーしたサブスクリプション ID に置き換えます)。
az vm image terms accept --subscription $sub_id --publisher valtix --offer datapath --plan valtix_dp_image

フィードバック