AWS のコンソール上から連携に必要な情報を作成いただけます。

こちらの手順を進めていただくことで、安全な方法で Securify ASM によるリソースへのアクセスが可能になり、外部へ公開されているリソースを Securify 上で一覧として確認できるようになります。

前提

• 対象AWSアカウントIDがあること

本連携で作成されるリソース

• ID Provider
• IAM Role

　　※組織一括連携ではStackSetの作成、StackSet連携用に更にもう一つIAM Roleが必要となります。

実行ユーザーに必要な権限

• 対象AWSアカウント内でID Providerを作成する権限があること
  • 例
    • iam:CreateOpenIDConnectProvider
• Roleの作成権限があること
• CloudFormationの実行権限があること

作成リソースに付与する必要がある権限

IAM Role

• AWSAccountManagementReadOnlyAccess
• SecurityAudit
• ReadOnlyAccess

リソース作成手順

単一アカウントの連携、または組織一括連携の二通りの登録方法があります。

AWS 単一アカウント連携

１．連携用IAMロールの作成

Stackのデプロイリージョンを選択してからAWSコンソール画面を開きます。テンプレートから自動的に設定値が入力された状態でコンソールの画面に切り替わりますので、AWS上で連携用IAMロールを作成してください。

機能の「AWS CloudFormation によって IAM リソースがカスタム名で作成される場合があることを承認します。」にチェックを入れてスタックの作成を完了してください。

２．連携用IAMロール ARNの入力

以下のAWS CloudFormation画面を参考に、作成したスタックの「出力」タブを開き「SecurifyARN」の値をコピーしてください。

Securifyの画面上で、コピーしたARNを入力して新規作成を押すと連携が完了します。

組織一括連携

１．必須項目の入力

StackSet名、メンバーアカウントに展開するIAMロール名を入力してください

２．CloudFormation StackSetsの作成

StackSetsデプロイリージョンを選択して、AWSのコンソール画面を開きます。手順に従いながらStackSetsを作成してください。
遷移先のコンソールで、STEP1で設定した下記項目

• Amazon S3 URL
• StackSet名
• SecurityOrgld
• IAMロール

をコピーして、AWSの該当箇所にペーストしてください。各種値はSecurify画面にあるボタンからコピーできます。

３．連携用IAMロールの作成

スタックをデプロイするリージョンを選択してIAMロールを作成します。

（スタックとIAMロール名は任意に設定できます。）

a．任意のスタック名を入力します。

b．任意のIAMロール名を設定したい場合はパラメータの「StackSetRoleName」を編集します。
※ 「SecurifyOrgId」は編集しないでください。

c．チェックボックスの承認を行い「スタックの作成」をクリックします。

４．連携用IAMロールARNの入力

連携用IAMロールのARNを入力する
STEP3で作成した連携用IAMロールのARNをコピーして入力してください。

作成したスタックの「出力」タブを開き「SecurifyARN」の値をコピーしてください。

委任された管理者メンバーアカウントで連携する

Cloud Formation StackSetsのデプロイを行ったアカウントの権限種別を設定します。

StackSetのデプロイを管理を委任されたメンバーアカウントを利用して連携を行う場合は、以下にチェックを入れてください。
※ Organizationの管理権を持つマネジメントアカウントで連携を行う場合は、チェックせずに進んでください。