Fähigkeiten der Xanadu Now Platform

Voraussetzungen für die Ausführung von Skripts

Als PDF speichern

Diese Seite teilen

Drucken

Inhalte

Now Platform-Fähigkeiten erweitern

Inhaltsverzeichnis

Voraussetzungen für die Ausführung von Skripts

Als PDF speichern

Diese Seite teilen

Drucken

Version:
Aktualisiert1. Aug. 2024
3 Minuten Lesedauer

Xanadu
"Funktionen der Now Platform"

Füllen Sie die Voraussetzungen aus, bevor Sie die AWS -Skripts ausführen.

Wichtig: Stellen Sie sicher, dass Sie die in Service Graph Connector für AWSverfügbaren Skripts heruntergeladen haben. Weitere Informationen finden Sie unter Laden Sie die AWS -Skripts herunter.

Legen Sie die folgenden Details fest, die später während der Ausführung der AWS -Skripts verwendet werden sollen:

ServiceNow IAM-Rolle
ServiceNow IAM-Anwendername
S3-Bucket für ServiceNow IAM-Rolle
Hinweis: Definieren Sie einen S3-Bucket nur, wenn Sie Deep Discovery-Skriptsverwenden.

Bestimmen Sie die IAM-Rolle ServiceNow .

Legen Sie die IAM-Rolle (Identity and Access Management) fest, die schreibgeschützte Vorgänge in Mitgliedskonten ausführt, um die Configuration Items (CIs) aus der Umgebung AWS abzurufen.

Standardmäßig erstellt das Skript CreateSnowOrganizationAccountAccessRoleInMemberAccount.yml die IAM-Rolle SnowOrganizationAccountAccessRole. Sie können den vom Skript erstellten Standardnamen verwenden oder eine neue IAM-Rolle erstellen. Wenn dies jedoch als Eingabeparameter erforderlich ist, müssen Sie dieselbe IAM-Rolle in allen -Skripts eingeben. Weitere Informationen finden Sie unter Die für die Einrichtung erforderlichen Skripts werden ausgeführt AWS.

Bestimmen Sie den IAM-Anwendernamen ServiceNow .

Bestimmen Sie den Namen des IAM-Benutzers, der die IAM-Rolle ServiceNow in den Mitgliedskonten übernimmt.

Standardmäßig erstellt das Skript CreateServiceNowUser.yml den IAM-Benutzer NOWSGCUser. Sie können den vom Skript erstellten Standardnamen verwenden oder einen neuen IAM-Benutzer erstellen. Wenn dies jedoch als Eingabeparameter erforderlich ist, müssen Sie in allen -Skripts denselben IAM-Anwendernamen eingeben. Weitere Informationen finden Sie unter Die für die Einrichtung erforderlichen Skripts werden ausgeführt AWS.

Definieren Sie den S3-Bucket für eine umfassende Erkennung

Richten Sie einen S3-Bucket mit Lese- und Löschberechtigungen für die IAM-Rolle ServiceNow ein, um die SendCommand- API-Antworten beim Importieren von AWS -Daten zu speichern und zu löschen.

Vorbereitungen

Erforderliche Rolle: Anwendungsadministrator

Warum und wann dieser Vorgang ausgeführt wird

Erstellen Sie einen S3-Bucket für die Anwendung Service Graph Connector für AWS, und ermöglichen Sie der ServiceNow IAM-Rolle Zugriff auf diesen Bucket in der Organisation.

Hinweis: Verwenden Sie einen S3-Bucket nur, wenn Sie eine umfassende Erkennung für EC2-Instanzen durchführen möchten.

Prozedur

Erstellen Sie einen S3-Bucket in einer Account-Region AWS.

Siehe Bucket erstellen auf der Dokumentationswebsite AWS.

Hinweis: Der S3-Bucket muss die folgenden Berechtigungseinstellungen aufweisen.

Tabelle : 1. S3-Bucket-Berechtigungen und ihre Einstellungen
Berechtigung	Einstellung
Zugriff	Bucket und Objekte nicht öffentlich
Öffentlicher Zugriff auf S3-Block	Blockieren Sie den öffentlichen Zugriff auf S3-Buckets und -Objekte

Weitere Informationen finden Sie unter Öffentlicher Zugriff auf S3-Block auf der Dokumentationswebsite AWS.

Fügen Sie eine Bucket-Richtlinie hinzu.
Siehe Bucket-Richtlinien auf der Dokumentationswebsite AWS.

Um auf den S3-Bucket zuzugreifen, den Sie in Schritt 1erstellt haben, muss die Bucket-Richtlinie die IAM-Instanzprofilrolle zulassen, die an die verwalteten EC2-Instanzen angehängt ist. Sie können entweder eine Bucket-Richtlinie erstellen oder Ihrem AWS Mitgliedsaccount in der Bucket-Zugriffssteuerungsliste (ACL) Zugriff gewähren. Der Mitgliedsaccount muss die EC2-Instanzen enthalten.
Hinweis: Durch Hinzufügen eines AWS Mitgliedsaccounts zur Bucket-ACL können alle Benutzer und Rollen im Mitgliedsaccount auf den S3-Bucket zugreifen.
Beachten Sie den folgenden Beispielcode, wenn Sie eine Bucket-Richtlinie hinzufügen.
```
{
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AWS-ACCOUNT:role/INSTANCE-PROFILE-ROLE-NAME"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
```
Wobei
- SOURCE-AWS-ACCOUNT ist die AWS Account -ID des Mitgliedsaccounts, der die EC2-Instanzen enthält.
- INSTANCE-PROFILE-ROLE-NAME ist das IAM-Instanzprofil, das an die EC2-Instanzen angehängt ist.
  Standardmäßig erstellt das Skript AmazonSSMForInstancesRoleSetup.yml die IAM-Instanzprofilrolle AmazonSSMForInstancesRole und hängt die Rolle an die Bucket-Richtlinie AmazonSSMManagedInstanceCore an. Weitere Informationen finden Sie unter Die für die Einrichtung erforderlichen Skripts werden ausgeführt AWS.
- DOC-EXAMPLE-Bucket ist der S3-Bucket-Name.
Die folgende Beispiel-Bucket-Richtlinie zeigt die Elemente Wirkung, Prinzipal, Aktion und Ressource. Die Richtlinie ermöglicht AmazonSSMRoleForInstances, eine IAM-Instanzprofilrolle in einem Account mit der ID 123456789000, den S3-Berechtigungen s3:GetObject, s3:PutObjectund s3:PutObjectAcl für den Bucket myS3Bucket.
```
{
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789000:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789001:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789002:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789003:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789004:role/AmazonSSMRoleForInstances"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::myS3Bucket/*"
        }
    ]
}
```
Fügen Sie der Instanzprofilrolle IAM-Berechtigungen für EC2-Instanzen hinzu, um die SendCommand- API-Antworten im S3-Bucket zu veröffentlichen, den Sie in Schritt 1erstellt haben.
Weitere Informationen finden Sie unter Instanzprofile verwenden und Eine IAM-Rolle an eine Instanz anhängen auf der Dokumentationswebsite AWS.
Die an die verwalteten EC2-Instanzen angehängte IAM-Instanzprofilrolle muss über die S3-Berechtigungen s3:GetObject, s3:PutObjectund s3:PutObjectAcl verfügen, um den Zugriff auf den S3-Bucket zu ermöglichen, wie in der folgenden Beispielrichtlinie gezeigt.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
        "Sid": "PublishTerminalOutputToS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
```
Dabei ist DOC-EXAMPLE- Bucket der Name des S3-Buckets.
Hinweis: Stellen Sie sicher, dass Sie das Suffix „ /* “ am Ende des Bucket-Namens hinzufügen, um die Erstellung von Dateien unter dem Bucket-Namen zu ermöglichen.

Zurück

Kein vorheriger Abschnitt vorhanden

Weiter

Kein nächster Abschnitt vorhanden

Zurück

Kein vorheriger Abschnitt vorhanden

Weiter

Kein nächster Abschnitt vorhanden

Log in to get a better experience

Anmelden