Azure アカウントの準備
Multicloud Defense Controller に接続してオンボーディングする前に、次の手順で Azure アカウントとサブスクリプションを準備します。
-
Azure サブスクリプションを取得して登録します。サブスクリプションが Microsoft Entra ID に関連付けられていることを確認します。Azure ポータルでアプリケーション登録のリストを確認し、サブスクリプションが Multicloud Defense に正しくリンクされているかどうかを確認します。
-
Azure サブスクリプションのカスタムロールを作成します。
-
Multicloud Defense ダッシュボードから Multicloud Defense Controller に Azure サブスクリプションを接続する
自動スクリプトを使用できない場合は、アカウントを手動でオンボーディングする別の手順を参照してください(こちら)。
![]() (注) |
Multicloud Defense で構成するサブスクリプションが複数ある場合は、1 つのサブスクリプションで Multicloud Defense ダッシュボードから Multicloud Defense Controller に Azure サブスクリプションを接続する の手順を実行してから、Azure ポータルでポリシーを変更して他のサブスクリプションを追加します。これらのサブスクリプションは個別にオンボーディングする必要がありますが、Multicloud Defense に一括で関連付けることができます。 |
Microsoft Entra ID へのアプリケーションの登録
Multicloud Defense アプリケーションを Entra ID に登録するには、次の手順を実行します。
手順
ステップ 1 |
Azure ポータルから [Microsoft Entra ID] に移動します。 |
ステップ 2 |
[アプリケーションの登録(App Registration)] を選択します。 |
ステップ 3 |
[新規登録(New Registration)] をクリックします。 |
ステップ 4 |
新規登録するアプリケーションを示す名前を入力します(例:Multicloud Defense Controller)。 [サポートされているアカウントタイプ(Supported Account Types)] で、2 番目のオプションである [任意の組織ディレクトリのアカウント(Accounts in any organizational directory)] を選択します。 |
ステップ 5 |
組織に適したオプションを選択します。[リダイレクトURI(Redirect URI)] は、アプリケーション登録の作成時には必要ないことに注意してください。 |
ステップ 6 |
[登録(Register)] をクリックします。 |
ステップ 7 |
新しく作成したアプリケーションの下にある左側のナビゲーションバーで、[証明書およびシークレット(Certificates & secrets)] をクリックします。 |
ステップ 8 |
[+新しいクライアントシークレット(+ New Client Secret)] をクリックし、[クライアントシークレットの追加(Add a client secret)] ダイアログに必要な情報を入力します。
|
ステップ 9 |
[追加(Add)] をクリックします。クライアントシークレットが [値(Value)] 列の下に入力されます。 |
ステップ 10 |
クライアントシークレットをメモ帳にコピーします。これは 1 回だけ表示され、再度表示されることはありません。 |
ステップ 11 |
左側のナビゲーションバーで、[概要(Overview)] をクリックします。 |
ステップ 12 |
アプリケーション(クライアント)ID とディレクトリ(テナント)ID をメモ帳にコピーします。 |
アプリケーションに割り当てるカスタムロールの作成
CloudFormation テンプレートによって次のロールが作成されます。
-
[カスタムロール(Custom Role)]:カスタムロールは、インベントリ情報を読み取り、リソース(VM、ロードバランサなど)を作成する権限をアプリケーションに付与します。カスタムロールは複数の方法で作成できます。
Multicloud Defense Controller 用に作成されたアプリケーションに割り当てられるカスタムロールを作成します。カスタムロールは、インベントリ情報を読み取り、リソース(VM、ロードバランサなど)を作成する権限をアプリケーションに付与します。カスタムロールは複数の方法で作成できます。
手順
ステップ 1 |
[サブスクリプション(Subscriptions)] に移動し、[アクセス制御(IAM)(Access Control (IAM))] をクリックします。 |
ステップ 2 |
[ロール(Roles)] をクリックし、上部のメニューバーで をクリックします。 |
ステップ 3 |
カスタムロールに名前を付けます(例: |
ステップ 4 |
JSON 編集画面が表示されるまで、[次へ(Next)] をクリックし続けます。 |
ステップ 5 |
画面で [編集(Edit)] をクリックし、JSON テキストの [権限>アクション(permissions > actions)] セクションで、角カッコの間に次のコンテンツをコピーして貼り付けます(インデントを維持する必要はありません)。
|
ステップ 6 |
任意:Multicloud Defense で複数のサブスクリプションを使用する場合は、 |
ステップ 7 |
テキストボックスの上部にある [保存(Save)] をクリックします。 |
ステップ 8 |
[確認して作成(Review + Create)] をクリックして、ロールを作成します。 |
ステップ 9 |
カスタムロールが作成されたら、[アクセス制御(IAM)(Access Control (IAM))] に戻ります。 |
ステップ 10 |
上部のメニューバーで、 をクリックします。 |
ステップ 11 |
[ロール(Role)] ドロップダウンで、上で作成したカスタムロールを選択します。 |
ステップ 12 |
[アクセス権の割り当て先(Assign Access To)] ドロップダウンリストはデフォルト値のままとします(Azure AD ユーザー、グループ、またはサービスプリンシパル)。 |
ステップ 13 |
[選択(Select)] テキストボックスに、先ほど作成したアプリケーションの名前(例: |
ステップ 14 |
[サブスクリプション(Subscription)] ページで、左側のメニューバーの [概要(Overview)] をクリックし、サブスクリプション ID をメモ帳にコピーします。 |