AWS 認証情報を持つトラステッド AWS アカウントに基づく一時的な認証情報を使用したアクセス構成

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • アクセスが必要なリソースを持つトラスティングアカウントを、Identity and Access Management (IAM) ロールを使用してトラステッドアカウントに依存するように構成します。

    始める前に

    • IAM ユーザーに権限を委任するロールの作成に関する Amazon ドキュメントで、しっかりと理解してください。
    • トラステッドアカウントにする Amazon Web サービス (AWS) アカウントを決定します。 クラウドディスカバリー IAM ロールを使用するための一時的な認証情報を設定するには、トラステッドアカウントを使用します。 IAM ロールを使用して他のアカウントにアクセスできるような信頼できるアカウントを、アクセサーアカウントといいます。
    • AWS サービスアカウントの設定」での説明に従って、トラステッドアカウントとトラスティングアカウントを設定します。
    必要なロール:
    • クラウドディスカバリー の場合:admin または discovery_admin
    • クラウドプロビジョニングとガバナンス の場合:admin または sn_cmp.cloud_admin

    このタスクについて

    これを構成する際に、トラスティングアカウントに対して IAM ロールを作成してから、そのトラスティングアカウントに対してトラステッドサービスアカウントを Now Platform で構成します。最後に、トラスティングアカウント用に作成した IAM ロールを、そのトラスティングアカウント自体に関連付けます。

    図 : 1. 任意の AWS アカウントを AWS 認証情報を備えたトラステッドアカウントに依存させる設定

    アクセスのためトラステッド AWS アカウントのユーザーを信頼するようにトラスティング AWS アカウントの IAM ロールを設定

    手順

    1. トラスティングアカウントの IAM ロールを作成し、このロールを担うユーザーとトラステッド (アクセサー) アカウントの間に信頼関係を設定します。
      1. AWS 管理コンソールで、トラスティングアカウントにログインします。
      2. [アカウント ID] フィールドで、トラステッド (アクセサー) アカウント ID を指定する IAM ロールを作成して構成します。
        AWS ロールの作成の詳細については、Amazonドキュメントを参照してください。
      3. IAM ロールの [サマリー] ページで、[信頼関係] タブを選択します。
      4. [信頼関係を編集 (Edit trust relationship)] を選択します。
        [信頼関係の編集 (Edit Trust Relationship)] ページが開き、ポリシードキュメントが表示されます。
      5. AWS パラメーターをトラステッド (アクセサー) アカウントのフルユーザー ARN に設定します。

        トラスティングアカウントの信頼関係を編集しています。
      6. Action 値が sts:AssumeRole に設定されていることを確認します。
      7. [信頼ポリシーの更新] を選択します。
    2. Now Platform でトラスティングアカウントのトラステッドサービスアカウントを構成します。
      1. [Cloud Provisioning and Governance] > [サービスアカウント]に移動します。
      2. トラスティングアカウントを開きます。
      3. クラウドサービスアカウントのフォームで、[アクセサーアカウント] フィールドにトラステッドアカウントの名前を入力します。
      4. [更新] を選択します。
    3. 信頼するアカウント用に作成された IAM ロールを、Now Platform の信頼するアカウントに割り当てます。
      重要:
      この手順は、カスタム IAM ロールを作成した場合にのみ実行します。デフォルトの OrganizationAccountAccessRole ロールをサービスアカウントに割り当てる必要はありません。
      1. [すべて] > [Cloud Provisioning and Governance] > [組織アクセスパラメーター] > [クラウドサービスアカウント AWS クロス想定ロールパラメーター]に移動します。
      2. [新規] を選択します。
      3. [クラウドサービスアカウント AWS クロス想定ロールパラメーター] フォームで、次のフィールドのみを設定します。
        フィールド 定義
        アクセスロール名 信頼するアカウント用に作成された IAM ロールの名前。
        クラウドサービスアカウント IAM ロールを使用してアクセスを提供している信頼するアカウントの名前。
      4. [送信] を選択します。
        このレコードは、システムによりクラウドサービスアカウント AWS クロス想定ロールパラメーター [cloud_service_account_aws_cross_assume_role] テーブルに追加されます。
      注:
      デフォルトでは、OrganizationAccountAccessRole ロールはメンバーのトラスティング管理アカウントにアサインされ、クラウドサービスアカウント AWS 組織想定ロールパラメーター [cloud_service_account_aws_org_assume_role_params] テーブルに追加されていない場合、MID は同じロールを使用します。デフォルトを削除した場合、またはカスタム IAM ロールを作成した場合は、トラスティングメンバーアカウントごとに、クラウドサービスアカウント AWS 組織想定ロールパラメーター [cloud_service_account_aws_org_assume_role_params] テーブルに手動で追加する必要があります。これを行うには、[すべて] > [Cloud Provisioning and Governance] > [組織アクセスパラメーター] > [クラウドサービスアカウント AWS クロス想定ロールパラメーター]に移動し、上の手順を実行します。

    次のタスク

    ServiceNow アプリケーションが IAM ロールを使用してトラスティングサービスアカウントにアクセスできることを確認します。
    1. 移動先 Cloud Provisioning and Governance > サービスアカウント.
    2. 構成したトラスティングアカウントを選択します。
    3. [関連リンク][データセンターを検出] をクリックします。
    4. 移動先 ディスカバリー > クラウドディスカバリーダッシュボードをクリックし、[ AWS ] タブをクリックします。
    5. 新しく作成した AWS 認証情報に関連付けたアカウントの検出されたリソースがダッシュボードに表示されていることを確認します。