Configure o acesso usando credenciais temporárias para confiar AWS contas de membro

  • Versão de lançamento: Zurich
  • Atualizado 3 de set. de 2025
  • 3 min. de leitura

    • Configure o acesso para AWS contas de membro usando uma cadeia de confiança do acessador por meio da conta de gestão.

    Antes de Iniciar

    • Familiarize-se com a documentação da Amazon sobre Como criar uma função para delegar permissões a um usuário de IAM.
    • Certifique-se de saber qual AWS as contas de membro são atribuídas à mesma conta de gestão. Você usa a conta de gestão para configurar credenciais temporárias para descoberta em nuvem usando funções de IAM.
    • Confirme isso Espaço do administrador da Descoberta está usando pelo menos a versão 1.10.0. . Descoberta > Contas de serviço em nuvem o módulo de navegação não está disponível com versões anteriores. Para acessar Contas de serviço em nuvem com uma versão anterior, insira no filtro de navegação: cmdb_ci_cloud_service_account.list .
    Função necessária:
    • Para Descoberta na nuvem: discovery_admin
    • Para Cloud Provisioning and Governance: admin ou sn_cmp.cloud_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode configurar o acesso para AWS contas de membro usando uma cadeia de confiança do acessador por meio da conta de gestão. A conta do acessador tem AWS ou usa um método sem credenciais.

    Figura 1. Configurar contas de membro para usar suas contas de gestão para acesso

    Configure a função de IAM das contas de membro confiáveis para confiar em sua conta de gestão, que, por sua vez, confia em uma conta de acessador

    Procedimento

    1. Crie uma função do IAM para a conta do membro e configure o relacionamento de confiança entre o usuário que assume essa função e a conta de gestão confiável.
      1. Faça login no AWS Console de gestão usando as credenciais da conta de membro para a qual você está configurando o acesso.
      2. Crie e configure a função do IAM especificando o ID da conta de gestão no ID da conta campo.
        Para obter informações operacionais sobre como criar AWS funções, consulte Amazon documentação.
      3. Em Resumo Para a função do IAM, clique em Relacionamentos de confiança guia.
      4. Clique em Editar relacionamento de confiança .
        A página Editar relacionamento de confiança é aberta mostrando o documento da política.
      5. Edite o relacionamento de confiança da seguinte forma:
        • Defina Actionparâmetro para AssumeRole
        • Defina AWS Parâmetro para o ARN da função completa da conta de gestão.

        Editar o relacionamento de confiança da conta confiável.
      6. Clique em Atualizar Política de Confiança .
    2. Em ServiceNow AI Platform, configure a conta de serviço do membro confiável.
      1. Navegar até Tudo > Descoberta > Contas de serviço em nuvem.
      2. Selecione Novo.
      3. Em Conta primária , insira o nome da conta de gestão.
      4. No formulário, preencha os campos remanescentes.
        Para obter uma descrição dos valores dos campos, consulte Criar AWS contas de serviço.
      5. Selecione Enviar.
    3. Em ServiceNow AI Platform, atribua o. AWS Função do IAM para a conta do membro.
      Importante:
      Execute esta etapa somente se você tiver criado funções de IAM personalizadas. Por padrão, a função OrganizationAccountAccessRole é atribuída à conta de gestão de confiança do membro e você não precisa atribuir a função OrganizationAccountAccessRole a uma conta de serviço.
      1. Navegar até Tudo > Cloud Provisioning and Governance > Parâmetros de Acesso à Organização > Parâmetros de Função Presumidos da Organização AWS.
      2. Selecione Novo.
      3. No formulário, configure somente os seguintes campos para a conta de membro confiável:
        Tabela 1. Formulário Parâmetros de função da organização da AWS da conta de serviço em nuvem
        Campo Definição
        Nome da função de acesso Nome da função de IAM criada para a conta de confiança.
        • Se as funções do IAM forem as mesmas em todas as contas de membro: Insira o ARN completo usando um asterisco (*) como caractere curinga para o ID da conta no formato: aws:iam::*:Role/MemberRoleName .

          Por exemplo: aws:iam::*:role/SN_MEMBER_ACCOUNT_ROLE .

        • Se as funções do IAM forem diferentes nas contas de membro: Insira o ARN completo da função do IAM específica para cada conta de membro em uma entrada separada.
        Conta de serviço em nuvem Nome da conta de confiança para a qual você está fornecendo acesso usando a função de IAM.
        • Se as funções do IAM forem as mesmas em todas as contas de membro: Insira o nome da conta de gestão.
        • Se as funções do IAM forem diferentes entre as contas de membro: Insira cada conta de membro em uma entrada separada.
      4. Selecione Enviar.

    O que Fazer Depois

    Configure a conta de gestão confiável e a conta do acessador confiável.