MSP ポータルの使用

CloudGuard MSP ポータルの使用方法について説明します。

MSP ポータルへのサインイン

MSP ポータルにサインオンするには、MSP アカウントを使用する必要があります。アカウントをMSP タイプに変更するには、Check Point Support Center にお問い合わせください。

MSP ポータルにサインインするには:

CloudGuard アプリケーション(secure.dome9.com) にMSP アカウント名とパスワードでサインインします。
MSP ポータルにリダイレクトするには、ブラウザアドレスバーのURL を、アカウントのリージョンに応じてMSP アドレスに変更します。
- 米国 - msp.dome9.com
- Europe - msp.eu1.dome9.com
- Singapore - msp.ap1.dome9.com
- Australia - msp.ap2.dome9.com
- India - msp.ap3.dome9.com

アクション

CloudGuard MSPポータルまたはCloudGuardコンソールから次の操作を実行できます。一部の操作は、CloudGuard API を使用して実行することもできます。

アカウントの表示

MSP ポータルのホームページには、すべてのアカウントが表示されます。エンタープライズアカウントは、MSP アカウント(一番上の行、MSP アカウント、サインオンしたMSP アカウント)の下にグループ化されます。アカウントごとに、選択したCloudGuardモジュールと、ユーザの現在数、課金可能なアイテムを表示できます。

左側には、サインインしたアカウントを含むすべての個別のアカウント名のリストが表示されます。リストをフィルタリングしてこれらのアカウントのみを表示するには、これらの名前のいずれかを選択します。

顧客アカウントの追加

CloudGuard カスタマーアカウントを追加するには、リスト内のいずれかのMSP アカウントを選択する必要があります(一番上の行は、ポータルにサインオンしたアカウントです)。新しいアカウントは、選択したMSPアカウントによって管理され、リストの下に表示されます。
Add Accountをクリックします。
ポップアップウィンドウで、アカウントの種類を選択し、メール(CloudGuardのサインオン名として使用される) を含め、アカウントの残りの詳細を入力します。
カスタマーアカウントで使用できるCloudGuardモジュールを選択します(ネットワーク、IAM セーフティ、ポスチャマネジメントから)。
アカウントにエンタープライズ機能があるかどうか、およびアカウントにFIM 機能があるかどうかを選択します。
顧客のアカウントにアクセス(サインオン) し、CloudGuard でそのアカウントに代わって操作できるようにするには、Trust を選択します(下記のクロスアカウントトラストを参照)。
アカウントのCloudGuardユーザの数を選択します(または「制限なし」を選択します)。
Save をクリックしてアカウントを追加します。
後にアカウントのリストに表示されます。入力したメールアドレスにメッセージが送信されます。
メールメッセージを開き、リンクに従って新しいアカウントを有効にします。

アカウントのパスワードを入力します。

顧客アカウントの詳細の変更

これにより、CloudGuardのカスタマーアカウントの詳細が変更されます。

ポータルのホームページで、メニューをクリックします。変更するアカウントの行の右側にあるEdit account を選択します。
ポップアップウィンドウで、必要に応じてアカウントの詳細を変更します。アカウントの計画(アカウントのタイプ)、名前、およびモジュールを変更できます。
Save をクリックして、アカウントの変更を保存します。ポータルホームページのアカウントのリストには、アカウントの更新された詳細が表示されます。

顧客アカウントの削除

この操作により、CloudGuardのカスタマーアカウントが削除されます。関連付けられているクラウド環境は削除されません。

ポータルのホームページで、メニューをクリックします。変更するアカウントの行の右側にあるDelete account を選択します。
削除を確認します。アカウントが削除され、ホームページのリストから削除されます。

CloudGuardのカスタマーアカウントへの切り替え

MSP アカウントを使用してCloudGuard アプリケーションに接続し、次のいずれかの管理対象アカウントに切り替えます。

CloudGuard アプリケーション(secure.dome9.com) にMSP アカウントのユーザ名とパスワードでサインオンします。
右側のユーザオプションメニューを開き、Switch Role を選択します。
ロールの切り替えウィンドウで、一覧表示されているアカウント(管理対象アカウント)のいずれかを選択し、隣の一覧からロールを選択します。次に、選択したアカウントとロールのCloudGuardに接続します。アカウントを切り替えたことを示すために、アカウントが画面の右上に影付きで表示されます。
元のCloudGuard アカウントに戻すには、ユーザオプションメニューを再度開き、Back to [name_of_your_account] を選択します。

CloudGuard API の使用

MSP ポータルではなくCloudGuard API を使用して、MSP アカウントとカスタマーアカウント間のクロスアカウント信頼関係を確立できます。アカウント(そのうちの1 つはMSP アカウント) を最初に作成する必要があります。

アカウント間のクロスアカウント信頼関係の設定

この手順では、MSP アカウントと1 つ以上の顧客アカウント間のクロスアカウント信頼関係を確立します。

MSP アカウントで:

MSP アカウントのCloudGuard ポータルで、Settings メニューでAccount Info を選択します。
Cross Account Access タブを選択します。
GENERATEをクリックします。アカウントID を生成します。次のステップで使用する値を保存します。

顧客アカウントごとに:

カスタマーアカウントのCloudGuard ポータルで、メニューでSettings を選択します。
認証情報の説明に従ってAPI キーを作成します。これにより、一意のAPI キーとシークレットが生成されます。シークレットの値をコピーすると、ウィンドウを閉じたときに再度表示されることはありません。

以下の例のように、API でこのAccountTrust メソッドを使用してクロスアカウントトラストを確立します。

クロスアカウントトラスト

curl -X POST --user '<api-key-id>:<api-key-secret>' -H "Content-Type: application/json" -d '{ "sourceAccountId": "<cross-account-identifier>", "description": "Grant access for MSP account", }' "https://api.dome9.com/v2/AccountTrust"

各変数の意味は以下のとおりです。

api-key-id api-key-secret は、前のステップで生成されたAPI キーとシークレットです。
cross-account-identifier は、MSP アカウント(上記) に対して生成されたアカウントID です。

クロスアカウントトラストのロール制限の設定

カスタマーアカウントへのアクセスは、特定のロールの場合にのみ設定できます。これは、たとえば、MSP が制限された権限を持つ顧客アカウントにアクセスする場合に使用します。

以下のスニペットをメソッドに追加します。

"restrictions": { "roles": ["Role1","Role2"]}}

これにより、MSP アカウントはロール1 またはロール2 としてのみ接続できます(MSP がアカウントにサインインすると、固有のロールが選択されます)。

URL は次のように表示されます。

制限のあるクロスアカウント

curl -X POST --user "<api-key-id>:<api-key-secret>" -H "Content-Type: application/json" -d '{ "sourceAccountId" : "<cross-account-identifier>", "description" : "Grant access for MSP account", "restrictions": { "roles": ["Role1","Role2"]}}' https://api.dome9.com/v2/AccountTrust