跳至主内容

集成设置

您必须持有有效的 AWS安全防护 订阅才能保护EC2实例。详情请参阅 订阅管理 .

要通过 AWS安全防护 保护EC2实例,需执行以下步骤:

在实例上安装安全代理

若要保护您的 Amazon EC2 实例上,您必须安装 Bitdefender终端安全工具 代理程序。

安全代理会将扫描请求发送至您AWS区域中托管的最邻近安全服务器,由该服务器执行实际扫描。扫描服务器还会与 GravityZone 控制中心 通信,从网页控制台接收安全设置并回传操作结果。 安全服务器 Bitdefender 托管在多个AWS区域,因此您无需在自身环境中部署。

Bitdefender 支持以下AWS区域:

  • 必选区域:

    • us-east-1: 美国东部(弗吉尼亚北部)

    • us-east-2: 美国东部(俄亥俄)

    • us-west-2: 美国西部(俄勒冈)

    • us-west-1: 美国西部(加利福尼亚北部)

    • ca-central-1: 加拿大(中部)

    • eu-west-1: 欧洲(爱尔兰)

    • eu-central-1: 欧洲(法兰克福)

    • eu-west-2: 欧洲(伦敦)

    • eu-west-3: 欧洲(巴黎)

    • eu-north-1: 欧洲(斯德哥尔摩)

    • ap-southeast-1: 亚太地区(新加坡)

    • ap-southeast-2: 亚太地区(悉尼)

    • ap-northeast-1: 亚太地区(东京)

    • ap-northeast-2: 亚太地区(首尔)

    • ap-south-1: 亚太地区(孟买)

    • sa-east-1: 南美洲 (圣保罗)

  • 选择加入区域:

    • eu-central-2: 欧洲 (苏黎世)

    • eu-south-1: 欧洲 (米兰)

    • eu-south-2: 欧洲 (西班牙)

    • ap-south-2: 亚太地区 (海得拉巴)

    • ap-southeast-3: 亚太地区 (雅加达)

    • ap-east-1: 亚太地区 (香港)

    • me-south-1: 中东 (巴林)

    • me-central-1: 中东 (阿联酋)

    • af-south-1: 非洲 (开普敦)

更多信息,请参阅 亚马逊官方区域与可用区页面 .

在配置安全代理安装包时,扫描模式配置会考虑 Amazon EC2 实例:

  • EC2实例的自动(默认)扫描模式设置为 中央扫描 配合 安全服务器 托管在对应的AWS区域,并回退至 混合扫描 (使用云端扫描的轻量引擎及部分本地特征库)。

    注意

    BEST 在配置 Amazon EC2 集成前已安装, 中央扫描 将在重新应用策略后被设为主要扫描模式。

  • 您也可以选择自定义模式来配置扫描方式,并勾选所需的扫描模式。

建议对EC2实例使用默认扫描模式,因为这些模式专为低资源占用和低消耗设计。

对于资源充足的实例,您还可以配置EC2实例使用 私有云扫描 配合 安全服务器 (部署在对应AWS区域),并启用 本地扫描 (完整引擎,使用本地存储的特征码和引擎)作为备用方案。

重要提示

为确保 Amazon EC2 集成功能正常运作,必须确保AWS中启用了实例元数据功能(默认已启用)。

更多信息请参阅 AWS官方文档 .

关于如何安装 Bitdefender终端安全工具 的详细信息,请参考 设置 Bitdefender AWS安全防护 (来自AWS Marketplace) .

Amazon EC2 GravityZone 控制中心

创建 Amazon EC2 集成

Amazon EC2 集成在 GravityZone 中现基于跨账户访问登录机制。此流程可避免共享长期有效的AWS凭证(如访问密钥ID和秘密访问密钥)。

您必须提供 ARN (Amazon资源名称 - AWS资源的唯一标识符),该ARN需关联到您AWS用户账户中为 Amazon EC2 集成所附加的角色。

注意

建议使用专为此目的创建的IAM用户账户来设置Amazon集成。该IAM用户需要具备 IAMFullAccess 权限,以便能在 GravityZone 中创建AWS集成所需的角色。更多信息请参阅 IAM安全最佳实践 页面。

配置AWS集成前,您必须:

  • 确保手头持有有效的AWS用户账户凭证。

  • 同时打开AWS控制台与 GravityZone 控制中心 的两个浏览器标签页。需同时操作两者才能成功创建AWS集成。

重要提示

开始流程前,请确保已更改默认 GravityZone 会话超时设置在 控制中心 > 我的账户 中从15分钟调整为至少1小时。若会话过期,您必须重新开始集成步骤。

要在 GravityZone 中创建AWS集成,请按以下步骤操作:

  1. 使用公司管理员凭证登录 GravityZone 控制中心

  2. 点击控制台右上角的用户菜单并选择 集成 .

  3. 点击 add.png 添加 按钮。

  4. 选择 添加 Amazon EC2 集成 .

  5. 此时将显示 Amazon EC2 集成设置 窗口,包含以下字段:

    gz__integration1.png

    1. 名称 :集成的名称。

    2. 账户ID :该 Bitdefender AWS账户的唯一标识符。账户ID字段已预填且不可编辑。

    3. 外部ID :与您的 GravityZone 公司关联的唯一标识符,由您的AWS用户账户要求生成 GravityZone 特定角色以实现跨账户访问。点击对应的 生成 按钮获取代码,并复制到剪贴板。此代码需在AWS控制台中用于获取ARN代码以完成集成(参见步骤6-g)。

      注意

      :每个集成必须生成一个 外部ID

    4. ARN :与AWS中创建的 GravityZone 特定角色关联的ARN字符串(亚马逊资源名称)。

  6. 通过以下步骤从AWS控制台获取ARN代码:

    1. 切换至 AWS控制台 并使用您的AWS用户账户登录。

    2. 在AWS服务下搜索 IAM 并选择。

    3. 访问管理 下,点击 角色 .

    4. 点击 创建角色 .

      click_create_role.png

    5. 可信实体类型 下,点击 AWS账户 .

      aws_account.png

    6. AWS账户 下,选择 另一个AWS账户 .

      add_aws_account_ID.png

    7. 账户ID 字段中,输入由 GravityZone 集成窗口提供的账户ID(参见步骤5)。

    8. 选项 下,勾选 需要外部ID(当第三方将承担此角色时的最佳实践) 复选框。将显示一个新的文本框,您必须在其中输入由 GravityZone 控制中心 生成的外部ID(参见步骤4),位于 Amazon EC2 集成设置中 窗口。

      aws_options.png

    9. 点击 下一步 .

    10. 添加权限 页面中,必须勾选 AmazonEC2ReadOnlyAccess 权限。您也可以通过 搜索 字段查找该权限。

      add_permissions.png

    11. 点击 下一步 .

    12. 输入该角色的名称。

    13. 点击 创建角色 .

    14. 下一页将显示现有角色列表。找到您刚创建的新角色并点击它。

    15. 在角色页面中,您可以找到该角色的ARN(在 GravityZone 控制中心 Amazon EC2集成设置窗口中需要此ARN)。复制ARN代码。

  7. 切换至 GravityZone 控制中心 并将ARN代码粘贴到集成窗口的 ARN 字段中。

    重要提示

    在控制台创建AWS角色后,此变更需要约一分钟时间才能传播到所有AWS区域。只有新角色在AWS全境完成传播后,集成才能成功。因此,请等待一分钟后再进行下一步操作。

  8. 点击 保存 .

  9. 阅读AWS许可协议。若要继续,请点击 我同意 .

    • 若集成成功, Amazon EC2 实例将被导入至 GravityZone 并显示在 网络 > Amazon EC2 中。您可以看到 Amazon EC2 实例按其所属的亚马逊区域及对应可用区分组显示。

    • 若集成失败,系统将显示错误信息说明可能原因,例如无效的外部ID,或集成操作在AWS新角色完成全区域传播前就已执行。

    此后,您可通过 网络 页面下的 Amazon EC2 .

编辑 Amazon EC2 集成

您可以编辑您的 Amazon EC2 随时点击 集成 页面中的选项即可编辑 GravityZone 控制中心 .

例如,AWS可能需要新的 外部ID 。此时请点击 生成 按钮(对应 外部ID 字段)。注意此操作将使当前集成使用的 外部ID 失效并生成新ID。

该情况下原集成将失效,需通过AWS IAM账户更新对应角色以恢复集成。有关生成新外部ID的详细信息,请参阅 设置 GravityZone Amazon EC2 的跨账户角色集成 .

本节内容 :