AWS Organizations環境にPrisma ユースカジノ twitterを導入してみた

投稿日: 2025/03/13

はじめに

こんにちは。ユースカジノ twitterの加納です。
ユースカジノ twitterの利用を進めていくと、ユースカジノ twitterアカウントの数は増加する傾向にあると思います。
このようなマルチアカウント環境を運用されている場合、管理機能としてAWSの提供するOrganizationsを活用しつつ、セキュリティガバナンスをより強化するためにPrisma ユースカジノ twitterのようなCSPM（ユースカジノ twitter Security Posture Management）、CWPP（ユースカジノ twitter Workload Protection Platform）製品の利用を検討されるケースも多いのではないかと思います。
Prisma ユースカジノ twitterにはOrganizations機能と連携することでマルチアカウント環境への一括導入が簡単にできるという特徴があるため、今回はそれを実際に試してみた結果をまとめました。

Prisma ユースカジノ twitterとは

Prisma ユースカジノ twitterはパロアルトネットワークス社が提供するCSPM、CWPP製品であり、クラウドリソースの設定の脆弱性や不審な挙動を監視・修正するSaaS型のサービスです。

●主な特徴

導入手順（試してみた）

それでは実際に、Prisma ユースカジノ twitterをOrganizations環境に導入していきたいと思います。

前提

Prisma ユースカジノ twitterをAWS環境に導入する場合、Prisma ユースカジノ twitterが利用するためのIAMロールを各アカウントに作成する必要があります。
Organizations機能と連携する場合、メンバーアカウントへのIAMロール作成はユースカジノ twitterFormation StackSets機能を使って行います。

Prisma ユースカジノ twitter設定① -IAMロール用CFTダウンロード

Prisma ユースカジノ twitter管理コンソールで必要な情報を入力し、IAMロールを展開するためのユースカジノ twitterFormationテンプレートをダウンロードします。
[ユースカジノ twitter Account（クラウドアカウント）]を選択します。

オンボーディングするクラウドアカウントとして[Amazon Web Services]を選択します。

ユースカジノ twitterのアカウント設定画面に移ります。
ユースカジノ twitter機能と連携させる場合、[Scope（範囲）] として [ユースカジノ twitter（組織）] を選択します。
[Agent-Based Workload Protection（エージェントベースのワークロード保護）] 機能は今回利用しないので、チェックを外しています。

[ユースカジノ twitter Details（ユースカジノ twitterの詳細）] では、ユースカジノ twitter管理アカウントのアカウントIDとアカウント名を入力します。
今回はアラート検知の際の自動修復機能を利用するため、[Remediation（修復）] にチェックを入れます。
この状態で[Download IAM Role CFT（IAMロールCFTをダウンロード）] をクリックすると、IAMロール展開用のユースカジノ twitterFormationテンプレートファイルをダウンロードすることができます。
このテンプレートファイルはダウンロードしてから30日間有効です。

ユースカジノ twitter設定　-IAMロール作成

IAMロールの展開の前に、Prisma ユースカジノ twitterで管理する対象となるOrganizationsのOU（組織単位）のIDを確認しておきましょう。今回はOrganizations全体を管理するので、Root OUのIDを使います。
[ユースカジノ twitterアカウント] から確認できます。

[スタックの作成] からスタックの作成を開始します。
前提条件で [テンプレートの準備完了] を選択し、[テンプレートファイルのアップロード] でPrisma ユースカジノ twitterからダウンロードしたテンプレートファイルをアップロードします。

スタック名と、予め確認しておいたOUのID、ロール名を入力します。ロール名は今回デフォルトで用意されているものを使用しました。

他のスタックオプションはデフォルトのまま、[送信] を選択してスタックを作成します。

このスタックで、管理アカウント上のPrisma ユースカジノ twitter用IAMロールと、メンバーアカウントにIAMロールを作成するためのStackSetsが作成されます。
作成したスタックの状態がCREATE_COMPLETEになったら、[出力] タブからPrismaユースカジノ twitterRoleARNを控えます。
問題なく展開されていれば、以下のように管理アカウントにPrisma ユースカジノ twitter用IAMロールが作成されます。

また、メンバーアカウントにも同様にPrisma ユースカジノ twitter用IAMロールが作成されています。

※メンバーアカウントのIAMロールはロール名の末尾に “member” が付与されます。

StackSetsを利用しているので、今後Organizations配下に新しいメンバーアカウントが増えた場合は自動的にPrisma ユースカジノ twitter用IAMロールが作成されます。便利ですね。

Prisma ユースカジノ twitter設定　-Organizationsアカウントのオンボード

IAMロールが展開できたら、再びPrisma ユースカジノ twitterの管理画面に戻ります。
さきほどの画面が消えてしまっている場合は、最初と同じ手順を繰り返してテンプレートファイルをダウンロードした状態までたどり着きましょう。

[IAM Role ARN] にスタックで管理アカウントに作成したIAMロールのARNを入力します。
ユースカジノ twitter内の管理対象アカウントを選択できますが、今回は [Select All Member Account（すべてのメンバーアカウントを選択します）] を [enabled（有効化）] としました。
Organizations内のアカウントが所属するPrisma ユースカジノ twitterアカウントグループを指定します。今回はデフォルトのアカウントグループを選択しています。

[Review Status（レビューステータス）] 画面でオンボード前のステータスチェックを確認します。

※今回使った環境の制限でIAMロールに付与できなかった権限があり、Resource Configurationの結果が [Issues Found] となっています。

問題なければそのまま [Save and Close（保存して閉じる）] を選ぶと、Prisma ユースカジノ twitterへのオンボードが開始されます。

[Providers（プロバイダー）] からユースカジノ twitter管理アカウントが確認できるようになります。

管理アカウント名をクリックすると、配下のメンバーアカウントもオンボードされていることが確認できます。

これで、ユースカジノ twitter配下のアカウントに対して検知・通知・修正を行っていくことができるようになりました。
Organizationと連携したオンボードは一度行うことで、それ以降Organizations配下に作成されたAWSアカウントを自動的にPrisma ユースカジノ twitterにオンボードさせることができます。便利ですね。

注意点 -IAMロールの更新

Prisma ユースカジノ twitter用IAMロールはPrisma ユースカジノ twitterが動作するための必要最低限の権限で構成されています。
Prisma ユースカジノ twitterの機能は日々アップデートされているため、IAMロールに必要となる権限も同様にアップデートされることになります。
初回オンボードの際のIAMロールのまま使用していると、新しいポリシーの検知が権限不足でできていなかった、という事態にもなり得るため、IAMロールは定期的に更新頂くことが推奨です。
Prisma ユースカジノ twitter管理画面から最新のCFTファイルをダウンロードしてスタックを更新することでIAMロールの更新ができます。

まとめ

本記事では、Organizations環境へのPrisma ユースカジノ twitterのオンボードを試してみました。
Prisma ユースカジノ twitterを利用するようなマルチアカウント環境においてはOrganizationsでアカウントの管理をされているケースが多いかと思います。アカウント追加時の運用が非常に楽になりますので、Prisma ユースカジノ twitterを導入される際は是非こちらのOrganizationsとの連携機能を活用頂ければと思います。

ユースカジノ twitterではAWS Organizations機能をご利用頂けるマルチアカウント管理サービスと併せて、Prisma Cloudの導入のご支援が可能です。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。