AWS Découverte SSM
AWS Systems Manager (SSM) Agent Discovery introduit une approche rationalisée, basée sur les agents, pour détecter Amazon Elastic Compute Cloud (EC2) à l’aide AWS de SSM. Cette intégration améliore Découverte l’exploitation des agents SSM pour réduire la dépendance aux configurations traditionnelles Serveur MID , simplifier la gestion des informations d’identification et améliorer l’évolutivité dans les environnements multirégions.
Workflow
- Le ServiceNow AI Platform® envoie des commandes de découverte au Serveur MID.
- Le MID interagit avec AWS les services (SSM, Simple Storage Service (S3), Parameter Store) pour exécuter des commandes sur les appareils cibles.
- Les agents SSM exécutent les commandes et renvoient les résultats à S3.
- Le MID récupère et traite les résultats.
- Le MID renvoie les résultats via ServiceNow AI Platform® la file d’attente ECC, qui met à jour le CMDB fichier .
Avantages et utilisation
- Exécutez la découverte sans avoir besoin d’informations d’identification supplémentaires locales au système d’exploitation.
- Simplifiez le déploiement sans avoir besoin d’un accès (ACC) ou Virtual Agent Client Collector Private Cloud (VPC).
- Minimisez le besoin d’un accès réseau multiple Serveurs MID et direct aux appareils cibles.
- Gérez en toute sécurité les informations d’identification et l’exécution des commandes à l’aide de AWS services.
Besoins
- Découverte
- Espace de travail de découverte dans le cloud version 1.7.1 ou ultérieure.
- Modèles de classe CI CMDB version 1.74.0 ou ultérieure.
- Schémas de découverte et de mappage des services version 1.27.0 ou ultérieure.
Installez le Serveur MID fichier . Pour plus d’informations, voir Installation et configuration des serveurs MID.
Vérifiez que vous disposez d’un AWS compte utilisateur avec accès administratif.
Vérifiez que vous disposez d’un ServiceNow AI Platform® compte d’utilisateur avec le rôle discovery_admin.
Fonctionnalités non prises en charge
Actuellement, les fonctionnalités suivantes ne prennent pas en charge AWS la découverte SSM :
- Détection basée sur les fichiers
- Découverte basée sur certificat
- Détection de haut en bas
- ADM amélioré
- Modifier/annuler le changement d’étape d’utilisateur dans les schémas
AWS Configuration de l’environnement
- Créer des autorisations et rôles IAM
- Définissez les rôles IAM (Identity and Access Management) pour prendre en charge AWS les opérations SSM, en spécifiant les autorisations requises pour l’exécution des commandes de lecture, d’écriture et de liste. Pour plus d’informations, consultez Politiques IAM
- Configurer les rôles et instances EC2
- Créez des rôles EC2 et affectez-leur les autorisations nécessaires pour qu’ils interagissent avec SSM. Pour plus d’informations sur la configuration d’une instance EC2, consultez Instances EC2.
- Créer des catégories S3
- Créez des catégories S3 pour prendre en charge les transferts de données volumineuses et configurez les politiques de catégorie et les règles de cycle de vie appropriées. Pour surmonter la limite de sortie de 24 000 caractères de SSM, la sortie de commande est redirigée vers S3, permettant une capture complète de la charge utile. De plus, S3 facilite les transferts de fichiers vers les instances EC2. Pour plus d’informations sur la création de catégories S3, consultez Configuration d’une catégorie S3.
- (Facultatif) Configurer les clés KMS
- Créez une clé KMS (Key Management Service) personnalisée AWS pour chiffrer les informations d’identification sensibles stockées en tant que paramètres SecureString dans la banque de AWS paramètres Systems Manager. L’utilisation d’une clé dédiée renforce la sécurité en vérifiant que les informations d’identification sont cryptées et récupérées en toute sécurité lors de l’exécution, sans les exposer en texte brut. Pour plus d’informations sur la création de clés KMS, consultez Créer une clé AWS KMS gérée par le client.Important :Si vous utilisez des informations d’identification applicatives dans Découverte, vous devez créer une clé KMS personnalisée.
- Importer des documents SSM personnalisés
- L’exécution de la commande SSM dépend de la disponibilité des documents requis. Avant de lancer la découverte basée sur SSM, vérifiez que tous les fichiers YAML fournis par ServiceNow ont été déployés avec succès dans chaque AWS région où le processus de découverte s’exécutera. Pour plus d’informations sur ce processus, consultez Importer des documents AWS personnalisés. Vous pouvez télécharger les fichiers YAML directement à partir de cet article.
Pour plus d’informations sur AWS la configuration de la console de gestion, consultez l’article Amazon SSM Discovery - AWS Environment Setup Instructions dans la section Now Support Base de connaissances.
ServiceNow AI Platform® Configuration d’instance
- Configurer les propriétés système
- Activez les propriétés système suivantes Découverte :
- glide.discovery.enable_ssm
- glide.discovery.ssm.enable_windows
L’agent AWS SSM s’exécute avec les privilèges racine (Linux) ou SYSTÈME (Windows), ce qui signifie que toute commande envoyée par son intermédiaire peut s’exécuter avec un accès complet au système. En raison de ce niveau d’accès élevé, SSM est désactivé par défaut pour des raisons de sécurité. Pour plus d'informations, consultez Activer la AWS découverte basée sur SSM.
- Définir les informations d’identification racines et non racines
-
La Serveur MID propriété mid.discovery.aws_ssm.linux.fallback_root_user permet aux instances EC2 d’utiliser par défaut l’utilisateur racine. Par défaut, ce paramètre est faux, mais si vous ne souhaitez pas configurer d’autres informations d’identification utilisateur, vous pouvez l’activer pour exécuter des commandes en tant que root. Si vous laissez ce paramètre désactivé, vous devez créer un enregistrement d’informations d’identification dans la table Utilisateurs d’instances AWS SSM [aws_ssm_instance_user_credentials], dans lequel vous indiquez simplement le nom d’utilisateur qui doit être utilisé pour exécuter les commandes sur l’instance. Pour plus d’informations, Activer le secours racine et Configurer les informations d’identification personnalisées de l’utilisateur.
- Configurer les Serveur MID propriétés
- Après avoir configuré les clés KMS ou les compartiments S3 dans la AWS console de gestion, configurez les propriétés système suivantes Serveur MID sur :ServiceNow AI Platform®
- mid.discovery.aws_ssm.kms_key_name
- mid.discovery.aws_ssm.kms_key_region
- mid.discovery.aws_ssm.s3_bucket_name
- mid.discovery.aws_ssm.s3_bucket_region
- Activer l’aptitude Serveur MID
- Vous devez activer la nouvelle Serveur MID aptitude pour AWS SSM afin de pouvoir prendre en charge l’exécution Serveur MID de la découverte SSM. Par défaut, cette aptitude est incluse si vous utilisez l’aptitude TOUT . Toutefois, si vous utilisez des options individuelles, vous devez ajouter manuellement la nouvelle option AWS SSM à votre Serveurs MID. Pour plus d’informations sur l’ajout d’une option, reportez-vous à la section Configure MID Server capabilities.
Découverte dans le cloud Configuration du calendrier
- Créer un Découverte dans le cloud calendrier
- SSM Discovery peut être déployé dans le cadre d’un calendrier basé sur Découverte dans le cloud AWS dans le Espace de travail de l'administrateur de Découverte. Pour ce faire, accédez à l’étape de découverte approfondie, activez le bouton Créer un calendrier de découverte basé sur IP et sélectionnez Détecter les serveurs via l’agentDécouverte AWS Systems Manager (SSM) comme méthode. Pour plus d'informations, consultez Créer un AWS Découverte calendrier dans Espace de travail de l'administrateur de Découverte.