Создание IAM-роли и учетных записей IAM-пользователя для инстансов Amazon EC2

В этом разделе описано, какие действия необходимо выполнить, чтобы обеспечить корректную работу Сервера администрирования. Эти действия включают работу с сервисами AWS, с IAM-ролями (Identity and Access Management) и учетными записями пользователей. Также описано, какие действия должны быть выполнены с клиентскими устройствами, чтобы установить на них Агент администрирования и затем защитные программы Kaspersky Security для Windows Server и Kaspersky Endpoint Security для Linux.

Обеспечение прав для работы Сервера администрирования Kaspersky Security Center с AWS

Стандарты работы в облачном окружении Amazon Web Services рекомендуют, чтобы специальная IAM-роль была назначена экземпляру Сервера администрирования для работы со службами AWS. Создайте в консоли AWS IAM-роль, которая определяет набор разрешений для выполнения запросов к сервисам AWS. IAM-роль обеспечивает права на опрос облачных сегментов и на установку программ на инстансы.

После того как вы создадите IAM-роль и назначите ее на Сервер администрирования, вы сможете разворачивать защиту инстансов, пользуясь этой ролью и не предоставляя Kaspersky Security Center никакой дополнительной информации.

Однако в следующих случаях может быть целесообразно отказаться от создания IAM-роли для Сервера администрирования:

• Если устройства, защитой которых вы планируете управлять, являются инстансами EC2 внутри облачного окружения Amazon Web Services, а Сервер администрирования находится вне него.
• Если вы планируете управлять защитой инстансов не только внутри вашего облачного сегмента, но и внутри других облачных сегментов, созданных под другой учетной записью в AWS. В таком случае вам понадобится IAM-роль только для защиты вашего облачного сегмента. Для защиты другого облачного сегмента IAM-роль не понадобится.

В этих случаях вам потребуется создать не IAM-роль, а учетную запись IAM-пользователя, от имени которого Kaspersky Security Center будет работать с сервисами AWS. Прежде чем начинать работу с Сервером администрирования, создайте учетную запись IAM-пользователя с ключом доступа AWS IAM (далее также ключ доступа IAM).

Для создания IAM-роли либо IAM-пользователя требуется Консоль управления AWS. Для работы с Консолью управления AWS вам понадобятся имя пользователя и пароль от учетной записи в AWS.

Создание IAM-роли для Сервера администрирования

Прежде чем разворачивать Сервер администрирования, создайте в Консоли управления AWS IAM-роль с необходимыми правами для установки программ на инстансы. Подробнее см. в справке AWS в разделах об IAM-ролях.

Чтобы создать IAM-роль для Сервера администрирования:

1. Откройте Консоль управления AWS и выполните вход под своей учетной записью AWS.
2. В разделе Роли создайте роль со следующими правами:
   • AmazonEC2ReadOnlyAccess, если вы планируете только запускать опрос облачных сегментов и не планируете устанавливать программы на инстансы EC2 с помощью AWS API.
   • AmazonEC2ReadOnlyAccess и AmazonSSMFullAccess, если вы планируете и запускать опрос облачных сегментов, и устанавливать программы на инстансы EC2 с помощью AWS API. В этом случае вам понадобится также назначить на защищаемые инстансы EC2 IAM-роль с правами AmazonEC2RoleforSSM.

Вам потребуется назначить эту роль на инстанс EC2, который вы будете использовать в качестве Сервера администрирования.

Созданная роль доступна для всех программ на Сервере администрирования. Поэтому любая программа, работающая на Сервере администрирования, имеет возможность опрашивать облачные сегменты либо устанавливать программы на инстансы EC2 внутри облачного сегмента.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Создание учетной записи IAM-пользователя для работы Kaspersky Security Center

Учетная запись IAM-пользователя необходима для работы с Kaspersky Security Center, если Серверу администрирования не назначена IAM-роль с правами на обнаружение устройств и установку программ на инстансы. Эта же учетная запись или другая учетная запись также требуется для резервного копирования задачи данных Сервера администрирования, если вы используете корзину S3. Вы можете создать одну учетную запись IAM-пользователя с требуемыми правами или две разные учетные записи.

Для IAM-пользователя автоматически создается ключ доступа IAM, который вам потребуется предоставить Kaspersky Security Center на этапе первоначальной настройки. Ключ доступа IAM состоит из ID ключа доступа и секретного ключа. Подробнее о сервисе IAM см. на следующих справочных страницах AWS:

• http://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html;
• http://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html#UseCase_EC2.

Чтобы создать учетную запись IAM-пользователя с необходимыми правами:

1. Откройте Консоль управления AWS и войдите под своей учетной записью.
2. В списке служб AWS выберите IAM (как показано на рисунке ниже).

   

   Список служб в Консоли управления AWS

   Откроется окно, содержащее список имен пользователей и меню, с помощью которого вы сможете работать с инструментом.

3. Перейдите к областям консоли, использующим учетные записи пользователей, и добавьте новое имя пользователя или имена.
4. Для пользователей, которых вы добавили, укажите следующие параметры AWS:
   • Тип доступа: Programmatic Access.
   • Границы разрешений не установлены.
   • Разрешения:
     • ReadOnlyAccess - если вы планируете только запускать опрос облачных сегментов и не планируете устанавливать программы на инстансы EC2 с помощью AWS API;
     • ReadOnlyAccess и AmazonSSMFullAccess – если вы планируете и запускать опрос облачных сегментов, и устанавливать программы на инстансы EC2 с помощью AWS API. В этом случае вам нужно назначить защищаемым инстансам EC2 IAM-роль с правами AmazonEC2RoleforSSM.

     После добавления разрешений внимательно их просмотрите. В случае ошибки выбора параметров перейдите к предыдущему экрану и выполните выбор параметров снова.

5. После того как вы создали учетную запись, отобразится таблица с ключом доступа IAM нового IAM-пользователя. ID ключа доступа отобразится в графе Access key ID. Секретный ключ отобразится в графе Secret access key в виде звездочек. Чтобы посмотреть секретный ключ, нажмите Show.

Созданная учетная запись отобразится в списке учетных записей IAM-пользователей, соответствующих вашей учетной записи в AWS.

При развертывании Kaspersky Security Center в облачном сегменте вам потребуется указать, что вы пользуетесь учетной записью IAM-пользователя, и предоставить Kaspersky Security Center идентификатор ключа доступа и секретный ключ доступа.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.

Создание IAM-роли для установки программ на инстансы Amazon EC2

Прежде чем разворачивать защиту на инстансах EC2 средствами Kaspersky Security Center, создайте в Консоли управления AWS IAM-роль с необходимыми правами для установки программ на инстансы. Дополнительную информацию см. в разделах справки AWS, описывающих IAM-роли.

IAM-роль необходима для того, чтобы назначать ее на все инстансы EC2, на которые вы планируете устанавливать программы безопасности с помощью Kaspersky Security Center. Если вы не назначите инстансу IAM-роль, обладающую необходимыми правами, установка программ средствами AWS API на этот инстанс завершится с ошибкой.

Для работы с Консолью управления AWS вам понадобятся имя пользователя и пароль от учетной записи в AWS.

Чтобы создать IAM-роль для установки программ на инстансы:

1. Откройте Консоль управления AWS и выполните вход под своей учетной записью AWS.
2. В меню слева выберите пункт Roles.
3. Нажмите на кнопку Create Role.
4. В отобразившемся списке сервисов выберите EC2 и затем в списке Select Your Use case еще раз EC2.
5. Нажмите на кнопку Далее: Права.
6. В отобразившемся списке установите флажок напротив пункта AmazonEC2RoleforSSM.
7. Нажмите на кнопку Далее: Просмотр.
8. Введите имя и описание IAM-роли и нажмите на кнопку Create role.

   Созданная роль отобразится в списке ролей с именем и описанием, которые вы ввели.

В дальнейшем вы можете использовать созданную IAM-роль при создании новых инстансов EC2, которые вы будете защищать с помощью Kaspersky Security Center, а также ассоциировать ее с уже существующими инстансами.

Адреса веб-страниц, указанные в этом документе, верны на дату выпуска Kaspersky Security Center.