Sommario
- Creazione di ruoli IAM e account utente IAM per le istanze Amazon EC2
- Verifica delle autorizzazioni di Kaspersky Security Center Administration Server per l'utilizzo di AWS
- Creazione di un ruolo IAM per l'Administration Server
- Creazione di un account utente IAM per l'utilizzo di Kaspersky Security Center
- Creazione di un ruolo IAM per l'installazione delle applicazioni nelle istanze Amazon EC2
Creazione di ruoli IAM e account utente IAM per le istanze Amazon EC2
In questa sezione sono descritte le azioni da eseguire per garantire il corretto funzionamento dell'Administration Server. Queste azioni includono l'utilizzo dei ruoli e degli account utente IAM (Identity and Access Management) AWS. Sono inoltre descritte le azioni che devono essere eseguite nei dispositivi client per installare Network Agent in tali dispositivi e quindi installare Kaspersky Security for Windows Server e Kaspersky Endpoint Security for Linux.
Verifica delle autorizzazioni di Kaspersky Security Center Administration Server per l'utilizzo di AWS
Gli standard per l'esecuzione nell'ambiente cloud Amazon Web Services prevedono l'assegnazione di un ruolo IAM speciale all'istanza di Administration Server per l'utilizzo con i servizi AWS. Un ruolo IAM è un'entità IAM che definisce il set di autorizzazioni per l'esecuzione delle richieste ai servizi AWS. Il ruolo IAM fornisce le autorizzazioni per il polling dei segmenti cloud e l'installazione delle applicazioni nelle istanze.
Dopo aver creato un ruolo IAM e averlo assegnato all'Administration Server, sarà possibile distribuire la protezione delle istanze utilizzando questo ruolo, senza fornire informazioni aggiuntive a Kaspersky Security Center.
Tuttavia, potrebbe essere consigliabile non creare un ruolo IAM per l'Administration Server nei seguenti casi:
- I dispositivi di cui si prevede di gestire la protezione sono istanze EC2 all'interno di ambiente cloud Amazon Web Services, ma l'Administration Server è all'esterno dell'ambiente.
- Si prevede di gestire la protezione di istanze non solo all'interno del proprio segmento cloud, ma anche in altri segmenti cloud che sono stati creati con un altro account in AWS. In questo caso, sarà necessario un ruolo IAM solo per la protezione del proprio segmento cloud. Non sarà richiesto un ruolo IAM per proteggere un altro segmento cloud.
In questi casi, invece di creare un ruolo IAM, sarà necessario creare un account utente IAM, che verrà usato da parte di Kaspersky Security Center per l'utilizzo dei servizi AWS. Prima di iniziare a utilizzare Administration Server, creare un account utente IAM con una chiave di accesso AWS IAM (di seguito denominata anche chiave di accesso IAM).
La creazione di un ruolo IAM o di un account utente IAM richiede la console di gestione AWS. Per utilizzare la console di gestione AWS, saranno necessari il nome utente e la password di un account AWS.
Creazione di un ruolo IAM per l'Administration Server
Prima di distribuire l'Administration Server, nella console di gestione AWS creare un ruolo IAM con le autorizzazioni richieste per l'installazione delle applicazioni nelle istanze. Per ulteriori dettagli, vedere le sezioni della Guida AWS sui ruoli IAM.
Per creare un ruolo IAM per l'Administration Server:
- Aprire la console di gestione AWS e accedere con il proprio account AWS.
- Nella sezione Ruoli creare un ruolo con le seguenti autorizzazioni:
- AmazonEC2ReadOnlyAccess, se si prevede di eseguire solo il polling dei segmenti cloud e non si intende installare applicazioni nelle istanze EC2 tramite API AWS.
- AmazonEC2ReadOnlyAccess e AmazonSSMFullAccess, se si intende eseguire il polling dei segmenti cloud e installare le applicazioni nelle istanze EC2 utilizzando API AWS. In questo caso sarà necessario assegnare anche un ruolo IAM con l'autorizzazione AmazonEC2RoleforSSM alle istanze EC2 protette.
È necessario assegnare questo ruolo all'istanza EC2 che verrà utilizzata come Administration Server.
Il nuovo ruolo creato è disponibile per tutte le applicazioni nell'Administration Server. Di conseguenza, qualsiasi applicazione in esecuzione nell'Administration Server è in grado di eseguire il polling dei segmenti cloud o di installare applicazioni nelle istanze EC2 all'interno di un segmento cloud.
Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.
Creazione di un account utente IAM per l'utilizzo di Kaspersky Security Center
È necessario un account utente IAM per l'utilizzo di Kaspersky Security Center se all'Administration Server non è stato assegnato un ruolo IAM con le autorizzazioni per l'individuazione dei dispositivi e l'installazione delle applicazioni nelle istanze. Se si utilizza un bucket S3, è inoltre necessario lo stesso account, o un account differente, per l'attività di backup dei dati di Administration Server. È possibile creare un solo account utente IAM con tutte le autorizzazioni necessarie oppure due account utente distinti.
Per l'utente IAM viene creata automaticamente una chiave di accesso IAM che sarà necessario fornire a Kaspersky Security Center durante la configurazione iniziale. Una chiave di accesso IAM è costituita da un ID chiave di accesso e da una chiave segreta. Per ulteriori informazioni sul servizio IAM, consultare le seguenti pagine di riferimento su AWS:
- http://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html.
- http://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html#UseCase_EC2.
Per creare un account utente IAM con le autorizzazioni richieste:
- Aprire la console di gestione AWS e accedere con il proprio account.
- Nell'elenco dei servizi AWS selezionare IAM (come illustrato nella figura seguente).
Elenco di servizi nella console di gestione AWS
Verrà visualizzata una finestra che contiene un elenco di nomi utente e un menu che consente di utilizzare lo strumento.
- Spostarsi tra le aree della console per gestire gli account utente e aggiungere uno o più nomi utente.
- Per gli utenti aggiunti, specificare le seguenti proprietà AWS:
- Tipo di accesso: Programmatic Access.
- Limite per le autorizzazioni non impostato.
- Autorizzazioni:
- ReadOnlyAccess - Se si prevede di eseguire solo il polling dei segmenti cloud e non si intende installare applicazioni nelle istanze EC2 tramite API AWS.
- ReadOnlyAccess e AmazonSSMFullAccess - Se si intende eseguire il polling dei segmenti cloud e installare le applicazioni nelle istanze EC2 utilizzando API AWS. In questo caso, è necessario assegnare un ruolo IAM con l'autorizzazione AmazonEC2RoleforSSM alle istanze EC2 protette.
Dopo aver aggiunto le autorizzazioni, verificare che siano corrette. Se la selezione è errata, tornare alla finestra precedente e ripetere la selezione.
- Dopo la creazione dell'account utente, verrà visualizzata una tabella contenente la chiave di accesso IAM del nuovo utente IAM. L'ID chiave di accesso sarà visualizzato nella colonna Access key ID. La chiave segreta sarà visualizzata tramite asterischi nella colonna Secret access key. Per visualizzare la chiave segreta, fare clic su Show.
Il nuovo account creato verrà visualizzato nell'elenco degli account utente IAM corrispondente all'account in AWS.
Durante la distribuzione di Kaspersky Security Center in un segmento cloud, è necessario specificare un account utente IAM e fornire l'ID chiave di accesso e la chiave segreta a Kaspersky Security Center.
Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.
Creazione di un ruolo IAM per l'installazione delle applicazioni nelle istanze Amazon EC2
Prima di avviare la distribuzione della protezione nelle istanze EC2 utilizzando Kaspersky Security Center, creare nella console di gestione AWS un ruolo IAM con le autorizzazioni richieste per l'installazione delle applicazioni nelle istanze. Per ulteriori dettagli, vedere le sezioni della Guida AWS sui ruoli IAM.
Il ruolo IAM è necessario in modo da poterlo assegnare a tutte le istanze EC2 in cui si intende installare applicazioni di protezione utilizzando Kaspersky Security Center. Se non si assegna a un'istanza il ruolo IAM con le autorizzazioni necessarie, l'installazione delle applicazioni in questa istanza utilizzando gli strumenti API AWS genererà un errore.
Per utilizzare la console di gestione AWS, saranno necessari il nome utente e la password di un account AWS.
Per creare un ruolo IAM per l'installazione delle applicazioni nelle istanze:
- Aprire la console di gestione AWS e accedere con il proprio account AWS.
- Nel menu a sinistra selezionare Roles.
- Fare clic sul pulsante Create Role.
- Nell'elenco dei servizi visualizzato selezionare EC2 e quindi, nell'elenco Select Your Use Case, selezionare nuovamente EC2.
- Fare clic sul pulsante Next: Permissions.
- Nell'elenco visualizzato selezionare la casella di controllo accanto a AmazonEC2RoleforSSM.
- Fare clic sul pulsante Next: Review.
- Immettere un nome e una descrizione per il ruolo IAM e fare clic sul pulsante Create role.
Il ruolo creato viene visualizzato nell'elenco dei ruoli con il nome e la descrizione immessi.
Da questo momento in poi è possibile utilizzare il nuovo ruolo IAM creato per creare nuove istanze EC2 da proteggere tramite Kaspersky Security Center, nonché associarlo alle istanze esistenti.
Gli indirizzi delle pagine Web citate in questo documento sono corretti alla data di rilascio di Kaspersky Security Center.