Configure o acesso usando credenciais temporárias com base em confiável AWS contas sem AWS credenciais

  • Versão de lançamento: Zurich
  • Atualizado 3 de set. de 2025
  • 5 min. de leitura

    • Configure uma conta confiável sem credenciais do que outra AWS as contas podem contar com para acesso.

    Antes de Iniciar

    • Familiarize-se com a documentação da Amazon sobre Como criar uma função para delegar permissões a um usuário de IAM.
    • Decida qual AWS a conta será a conta confiável. Você usa a conta confiável para configurar credenciais temporárias para Descoberta na nuvem Usando funções de IAM. A conta confiável que você usa para acessar outras contas usando funções de IAM é chamada de conta de acessador.
    • Se você estiver configurando uma cadeia de confiança em que uma conta de membro confia em uma conta de gestão e a conta de gestão confia em uma conta de acessador, verifique se você configurou a conta de membro para confiar na conta de gestão. Para obter mais informações, consulte Configure o acesso usando credenciais temporárias para confiar AWS contas de membro.
    • Confirme isso Espaço do administrador da Descoberta está usando pelo menos a versão 1.10.0. . Descoberta > Contas de serviço em nuvem o módulo de navegação não está disponível com versões anteriores. Para acessar Contas de serviço em nuvem com uma versão anterior, insira no filtro de navegação: cmdb_ci_cloud_service_account.list .
    Função necessária:
    • Para Descoberta na nuvem: discovery_admin
    • Para Cloud Provisioning and Governance: admin ou sn_cmp.cloud_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Para usar uma conta sem AWS Primeiro, você deve configurar essa conta com uma função de IAM e permissões para acessar a conta de serviço confiável. Em seguida, configure a função do IAM da conta confiável para conceder acesso à função do IAM da conta confiável.

    Figura 1. Configurar qualquer AWS conta sem a qual confiar em uma conta confiável AWS credenciais

    Configure a função do IAM da conta confiável da AWS para confiar na função do IAM da conta confiável da AWS para acesso

    Procedimento

    1. Configure uma função do IAM para a conta confiável.
      1. Faça login na conta confiável no AWS Management Console.
      2. Crie uma função do IAM para esta conta.
        Use o ID da conta confiável ao criar esta função do IAM. Para obter informações operacionais sobre como trabalhar com AWS funções, consulte Amazon documentação.
      3. Crie uma política ReadOnlyAccess E anexe-o à função do IAM recém-criada.
    2. Configure a função do IAM para a conta confiável.
      1. Faça login no AWS Console de gestão usando as credenciais da conta que você deseja configurar como uma conta confiável.
      2. Escolha uma função do IAM Serviço da AWS opção.

        Selecione a opção de serviço da AWS para criar uma função de IAM da conta confiável
      3. Crie uma política ReadOnlyAccess Para a função de IAM da conta confiável.
      4. Crie uma política adicional para conceder a esta função do IAM acesso a recursos em contas confiáveis:
        • Defina Actionparâmetro para AssumeRole
        • Defina ResourceParâmetro para o ARN da função de conta confiável que você criou em 1.b.

        Configure a política entre a função na conta confiável e a função na conta confiável.

      5. Anexe a função recém-criada ao relevante Amazon Instância do EC2.
        Por padrão, quando você anexa uma função do IAM a uma instância do EC2, ela cria um relacionamento de confiança entre essa função e a instância do EC2.
        Verificando o relacionamento de confiança entre a função do IAM e a instância do EC2.
    3. Configure a conta de serviço confiável para conceder acesso à função do IAM que pertence à conta confiável.
      1. Faça login na conta confiável no AWS Management Console.
      2. Navegue até a função do IAM que você criou para esta conta, conforme descrito em 1.b.
      3. Edite o Relacionamento de confiança para esta função do IAM da seguinte forma:
        • Defina Actionparâmetro para AssumeRole .
        • Defina AWSParâmetro para o ARN da função de conta confiável que você criou em 2.b.
        Configure o relacionamento de confiança para a conta confiável
    4. Configure o. MID Server para AWS Funções do IAM.
    5. Em ServiceNow AI Platform, configure a conta de serviço confiável.
      1. Navegar até Tudo > Descoberta > Contas de serviço em nuvem.
      2. Selelct Novo .
      3. No formulário, preencha os campos.
        Para obter uma descrição dos valores dos campos, consulte Criar AWS contas de serviço.
      4. Selecione Enviar.
    6. Em ServiceNow AI Platform, configure a conta de serviço confiável.
      1. Navegar até Tudo > Descoberta > Contas de serviço em nuvem.
      2. Selecione Novo.
      3. Em Conta do acessador , insira o nome da conta confiável.
      4. No formulário, preencha os campos remanescentes.
        Para obter uma descrição dos valores dos campos, consulte Criar AWS contas de serviço.
      5. Selecione Enviar.
    7. Em ServiceNow AI Platform, atribua o. AWS Função do IAM para a conta confiável, usando o formulário relevante, com base no relacionamento com a conta confiável.
      Tipo de conta confiávelEtapas
      Conta de gestão
      1. Navegar até Tudo > Cloud Provisioning and Governance > Parâmetros de Acesso à Organização > Parâmetros de Função Presumidos da Organização AWS.
      2. Selecione Novo.
      3. No formulário, configure somente os seguintes campos para a conta de membro confiável:
        Tabela 1. Formulário Parâmetros de função da organização da AWS da conta de serviço em nuvem
        Campo Definição
        Nome da função de acesso Nome da função de IAM criada para a conta de confiança.
        • Se as funções do IAM forem as mesmas em todas as contas de membro: Insira o ARN completo usando um asterisco (*) como caractere curinga para o ID da conta no formato: aws:iam::*:Role/MemberRoleName .

          Por exemplo: aws:iam::*:role/SN_MEMBER_ACCOUNT_ROLE .

        • Se as funções do IAM forem diferentes nas contas de membro: Insira o ARN completo da função do IAM específica para cada conta de membro em uma entrada separada.
        Conta de serviço em nuvem Nome da conta de confiança para a qual você está fornecendo acesso usando a função de IAM.
        • Se as funções do IAM forem as mesmas em todas as contas de membro: Insira o nome da conta de gestão.
        • Se as funções do IAM forem diferentes entre as contas de membro: Insira cada conta de membro em uma entrada separada.
      4. Selecione Enviar.
      Membro ou conta separada
      1. Navegar até Tudo > Cloud Provisioning and Governance > Parâmetros de Acesso à Organização > AWS Assume de Modo Cruzado os Parâmetros de Função.
      2. Selecione Novo.
      3. No formulário, configure somente os seguintes campos para a conta confiável:
        Tabela 2. Formulário Parâmetros de função de assunção cruzada da AWS da conta de serviço em nuvem
        Campo Descrição
        Nome da função de acesso Nome da função de IAM criada para a conta de confiança.
        Conta de serviços em nuvem Nome da conta de confiança para a qual você está fornecendo acesso usando a função de IAM.
      4. Selecione Enviar.

    O que Fazer Depois

    Verifique isso ServiceNow As aplicações podem acessar a conta de serviço confiável usando a função do IAM:
    1. Navegar até Tudo > Descoberta > Contas de serviço em nuvem.
    2. Confiando AWS conta de serviço.
    3. Em Links relacionados , selecione Criar Programação da Descoberta .
    4. Na página Descoberta da nuvem do Gerenciador de Descoberta, selecione Conta de teste .
      • Se a conexão for bem-sucedida, uma mensagem será exibida indicando que a validação da conta foi bem-sucedida.
      • Se a conexão não for bem-sucedida, uma mensagem de erro será exibida indicando a causa da falha.