PodNumber
|
文字列
許可パターン:'^\d{1,3}$'
|
これはポッド番号です。Auto Scale グループ名(Threat Defense Virtual-Group-Name)の末尾に追加されます。たとえば、この値が「1」の場合、グループ名は Threat Defense Virtual-Group-Name-1. になります。
1 桁以上 3 桁以下の数字である必要があります。デフォルト:1
|
AutoscaleGrpNamePrefix
|
文字列
|
これは Auto Scale グループ名プレフィックスです。ポッド番号がサフィックスとして追加されます。
最大:18 文字
例:Cisco-Threat Defense Virtual-1
|
NotifyEmailID
|
文字列
|
Auto Scale イベントはこの電子メールアドレスに送信されます。サブスクリプション電子メール要求を受け入れる必要があります。
例:admin@company.com
|
VpcId
|
文字列
|
デバイスを展開する必要がある VPC ID。これは、AWS の要件に従って設定する必要があります。
タイプ:AWS::EC2::VPC::Id
「infrastructure.yaml」ファイルを使用してインフラストラクチャを展開すると、スタックの出力セクションにこの値が設定されます。その値を使用してください。
|
LambdaSubnets
|
リスト
|
Lambda 関数が展開されるサブネット。
タイプ:List<AWS::EC2::Subnet::Id>
「infrastructure.yaml」ファイルを使用してインフラストラクチャを展開すると、スタックの出力セクションにこの値が設定されます。その値を使用してください。
|
LambdaSG
|
リスト
|
Lambda 機能のセキュリティグループ。
タイプ:List<AWS::EC2::SecurityGroup::Id>
「infrastructure.yaml」ファイルを使用してインフラストラクチャを展開すると、スタックの出力セクションにこの値が設定されます。その値を使用してください。
|
S3BktName
|
文字列
|
ファイルの S3 バケット名。これは、AWS の要件に従ってアカウントに設定する必要があります。
「infrastructure.yaml」ファイルを使用してインフラストラクチャを展開すると、スタックの出力セクションにこの値が設定されます。その値を使用してください。
|
LoadBalancerType
|
文字列
|
インターネットに面したロードバランサのタイプ(「アプリケーション」または「ネットワーク」)。
例:アプリケーション
|
LoadBalancerSG
|
文字列
|
ロードバランサのセキュリティグループ。ネットワークロードバランサの場合は使用されません。ただし、セキュリティグループ ID を指定する必要があります。
タイプ:List<AWS::EC2::SecurityGroup::Id>
「infrastructure.yaml」ファイルを使用してインフラストラクチャを展開すると、スタックの出力セクションにこの値が設定されます。その値を使用してください。
|
LoadBalancerPort
|
整数
|
ロードバランサポート。このポートは、選択したロードバランサタイプに基づいて、プロトコルとして HTTP/HTTPS または TCP/TLS を使用して LB で開きます。
ポートが有効な TCP ポートであることを確認します。これはロードバランサリスナーの作成に使用されます。
デフォルト:80
|
SSL認証
|
文字列
|
セキュアポート接続の SSL 証明書の ARN。指定しない場合、ロードバランサで開かれるポートは TCP/HTTP になります。指定した場合、ロードバランサで開かれるポートは TLS/HTTPS になります。
|
TgHealthPort
|
整数
|
このポートは、正常性プローブのターゲットグループによって使用されます。Threat Defense Virtual のこのポートに到達する正常性プローブは、AWS メタデータサーバーにルーティングされるため、トラフィックには使用しないでください。このポートは有効な TCP ポートである必要があります。
アプリケーション自体が正常性プローブに応答するようにする場合は、それに応じて Threat Defense Virtual の NAT ルールを変更できます。このような場合、アプリケーションが応答しないと、Threat Defense Virtual は Unhealthy インスタンスのしきい値アラームにより、非正常としてマークされ、削除されます。
例:8080
|
AssignPublicIP
|
ブール値
|
「true」を選択すると、パブリック IP が割り当てられます。BYOL タイプの Threat Defense Virtual の場合、これは https://tools.cisco.com に接続するために必要です。
例:TRUE
|
InstanceType
|
文字列
|
Amazon マシンイメージ(AMI)は、さまざまなインスタンスタイプをサポートしています。インスタンスタイプによって、インスタンスのサイズと必要なメモリ容量が決まります。
Threat Defense Virtual をサポートする AMI インスタンスタイプのみを使用する必要があります。
例:c4.2xlarge
|
LicenseType
|
文字列
|
Threat Defense Virtual ライセンスタイプ(BYOL または PAYG)。関連する AMI ID が同じライセンスタイプであることを確認します。
例:BYOL
|
AmiId
|
文字列
|
Threat Defense Virtual AMI ID(有効な Cisco Threat Defense Virtual AMI ID)。
タイプ:AWS::EC2::Image::Id
リージョンとイメージの目的のバージョンに応じて、正しい AMI ID を選択してください。Auto Scale 機能は、バージョン 6.4+、BYOL/PAYG イメージをサポートします。いずれの場合も、AWS マーケットプレイスでライセンスに同意する必要があります。
BYOL の場合、設定 JSON ファイルの「licenseCaps」キーを「BASE」、「MALWARE」、「THREAT」、「URLFilter」などの機能で更新してください。
|
NoOfAZs
|
整数
|
Threat Defense Virtual を展開する必要がある可用性ゾーンの数(1 〜 3)。ALB 導入の場合、AWS で必要な最小値は 2 です。
例:2。
|
ListOfAzs
|
カンマ区切り文字列
|
ゾーンの順序のカンマ区切りリスト。
(注)
|
ゾーンのリスト順は重要です。サブネットリストは同じ順序で指定する必要があります。
|
「infrastructure.yaml」ファイルを使用してインフラストラクチャを展開すると、スタックの出力セクションにこの値が設定されます。その値を使用してください。
例:us-east-1a、us-east-1b、us-east-1c
|
MgmtInterfaceSG
|
文字列
|
Threat Defense Virtual 管理インターフェイスのセキュリティグループ。
タイプ:List<AWS::EC2::SecurityGroup::Id>
「infrastructure.yaml」ファイルを使用してインフラストラクチャを展開すると、スタックの出力セクションにこの値が設定されます。その値を使用してください。
|
InsideInterfaceSG
|
文字列
|
Threat Defense Virtual 内部インターフェイスのセキュリティグループ。
タイプ:AWS::EC2::SecurityGroup::Id
「infrastructure.yaml」ファイルを使用してインフラストラクチャを展開すると、スタックの出力セクションにこの値が設定されます。その値を使用してください。
|
OutsideInterfaceSG
|
文字列
|
Threat Defense Virtual 外部インターフェイスのセキュリティグループ。
タイプ:AWS::EC2::SecurityGroup::Id
「infrastructure.yaml」ファイルを使用してインフラストラクチャを展開すると、スタックの出力セクションにこの値が設定されます。その値を使用してください。
例:sg-0c190a824b22d52bb
|
MgmtSubnetId
|
カンマ区切りリスト
|
管理サブネット ID のカンマ区切りリスト。リストは、対応する可用性ゾーンと同じ順序にする必要があります。
タイプ:List<AWS::EC2::SecurityGroup::Id>
「infrastructure.yaml」ファイルを使用してインフラストラクチャを展開すると、スタックの出力セクションにこの値が設定されます。その値を使用してください。
|
InsideSubnetId
|
カンマ区切りリスト
|
内部/Gig0/0 サブネット ID のカンマ区切りリスト。リストは、対応する可用性ゾーンと同じ順序にする必要があります。
タイプ:List<AWS::EC2::SecurityGroup::Id>
「infrastructure.yaml」ファイルを使用してインフラストラクチャを展開すると、スタックの出力セクションにこの値が設定されます。その値を使用してください。
|
OutsideSubnetId
|
カンマ区切りリスト
|
外部/Gig0/1 サブネット ID のカンマ区切りリスト。リストは、対応する可用性ゾーンと同じ順序にする必要があります。
タイプ:List<AWS::EC2::SecurityGroup::Id>
「infrastructure.yaml」ファイルを使用してインフラストラクチャを展開すると、スタックの出力セクションにこの値が設定されます。その値を使用してください。
|
KmsArn
|
文字列
|
既存の KMS の ARN(保存時に暗号化するための AWS KMS キー)。 指定した場合、Management Center と Threat Defense Virtual のパスワードを暗号化する必要があります。 パスワードの暗号化は、指定された ARN のみを使用して実行する必要があります。
暗号化パスワードの生成例: " aws kms encrypt --key-id <KMS ARN> --plaintext <password> " 次のような生成されたパスワードを使用してください。
例:arn:aws:kms:us-east-1:[AWS Account]:key/7d586a25-5875-43b1-bb68-a452e2f6468e
|
ngfwPassword
|
文字列
|
すべての Threat Defense Virtual インスタンスには、起動テンプレート(自動スケールグループ)の [ユーザーデータ(Userdata)] フィールドに入力されたデフォルトのパスワードが設定されています。
この入力により、Threat Defense Virtual にアクセスできるようになると、パスワードが新しく提供されたパスワードに変更されます。
KMS ARN が使用されていない場合は、プレーンテキストのパスワードを使用してください。KMS ARN が使用されている場合は、暗号化されたパスワードを使用する必要があります。
例:Cisco123789! または AQIAgcQFAGtz/hvaxMtJvY/x/rfHnI3lPpSXU
|
fmcServer
|
数値文字列
|
Lambda 関数と Threat Defense Virtual 管理インターフェイスの両方に到達可能な Management Center 管理用の IP アドレス。
例:10.10.17.21
|
fmcOperationsUsername
|
文字列
|
Management Center を管理する際に作成された Network-Admin 以上の特権ユーザー。ユーザとロールの作成の詳細については、『Cisco Secure Firewall Management Center デバイス構成ガイド』を参照してください。
例:apiuser-1
|
fmcOperationsPassword
|
文字列
|
KMS ARN が記載されていない場合は、プレーンテキストのパスワードを使用してください。記載されている場合は、暗号化されたパスワードを使用する必要があります。
例:Cisco123@ または AQICAHgcQAtz/hvaxMtJvY/x/rnKI3clFPpSXUHQRnCAajB
|
fmcDeviceGrpName
|
文字列
|
Management Center のデバイスグループ名。
例:AWS-Cisco-NGFW-VMs-1
|
fmcPerformanceLicenseTier
|
文字列
|
Threat Defense Virtual デバイスを Management Center Virtual に登録する際に使用されたパフォーマンス階レイヤライセンス。
使用できる値:FTDv/FTDv20/FTDv30/FTDv50/FTDv100
(注)
|
FTDv5 および FTDv10 パフォーマンス階レイヤライセンスは、AWS ゲートウェイロードバランサではサポートされていません。
|
|
fmcPublishMetrics
|
ブール値
|
「TRUE」に設定すると、指定されたデバイスグループ内の登録済み Threat Defense Virtual センサーのメモリ消費量を取得するために、2 分に 1 回実行される Lambda 関数が作成されます。
使用可能な値:TRUE、FALSE
例:TRUE
|
fmcMetricsUsername
|
文字列
|
AWS CloudWatch にメトリックを公開するための一意の Management Center ユーザー名。ユーザとロールの作成の詳細については、『Cisco Secure Firewall Management Center デバイス構成ガイド』を参照してください。
「fmcPublishMetrics」が「FALSE」に設定されている場合は、この入力を行う必要はありません。
例:publisher-1
|
fmcMetricsPassword
|
文字列
|
AWS CloudWatch にメトリックを公開するための Management Center パスワード。KMS ARN が記載されていない場合は、プレーンテキストのパスワードを使用してください。記載されている場合は、暗号化されたパスワードを使用する必要があります。
「fmcPublishMetrics」が「FALSE」に設定されている場合は、この入力を行う必要はありません。
例:Cisco123789!
|
CpuThresholds
|
カンマ区切り整数
|
CPU しきい値の下限と CPU しきい値の上限。最小値は 0 で、最大値は 99 です。
デフォルト:10, 70
しきい値の下限はしきい値の上限よりも小さくする必要があります。
例:30,70
|
MemoryThresholds
|
カンマ区切り整数
|
MEM しきい値の下限と MEM しきい値の上限。最小値は 0 で、最大値は 99 です。
デフォルト:40, 70
しきい値の下限はしきい値の上限よりも小さくする必要があります。「fmcPublishMetrics」パラメータが「FALSE」の場合、影響はありません。
例:40,50
|