Configurer l’accès à l’aide d’informations d’identification temporaires pour approuver les comptes de membres dans la AWS chaîne de confiance de gestion-accesseur

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Configurez l’accès pour AWS les comptes membres à l’aide d’une chaîne de confiance depuis l’accesseur via le compte de gestion.

    Avant de commencer

    • Familiarisez-vous avec la création d'un rôle pour déléguer des autorisations à un utilisateur IAM dans la documentation de Amazon.
    • Assurez-vous de savoir quels AWS comptes de membres sont affectés au même compte de gestion. Vous utilisez le compte de gestion pour configurer des informations d’identification temporaires pour la détection dans le cloud à l’aide de rôles IAM.
    • Confirmez que Espace de travail de l'administrateur de Découverte utilise au moins la version 1.10.0. Le Découverte > Comptes de services dans le cloud Le module de navigation n’est pas disponible avec les versions antérieures. Pour accéder aux comptes de service dans le cloud dotés d’une version antérieure, saisissez dans le filtre de navigation : cmdb_ci_cloud_service_account.list.
    Rôle requis :
    • Pour Découverte dans le cloud: discovery_admin
    • Pour Mise en service et gouvernance du cloud: administrateur ou sn_cmp.cloud_admin

    Pourquoi et quand exécuter cette tâche

    Vous pouvez configurer l’accès pour AWS les comptes de membre à l’aide d’une chaîne de confiance depuis l’accesseur via le compte de gestion. Le compte d’accesseur dispose AWS d’informations d’identification ou utilise une méthode sans informations d’identification.

    Figure 1. Configurer des comptes de membre pour utiliser leur compte de gestion pour fournir l'accès

    Configurez le rôle IAM des comptes de membres d’approbation pour approuver leur compte de gestion, qui à son tour fait confiance à un compte d’accesseur

    Procédure

    1. Créez un rôle IAM pour le compte membre et configurez la relation de confiance entre l’utilisateur assumant ce rôle et le compte de gestion approuvé.
      1. Connectez-vous à la AWS console de gestion à l’aide des informations d’identification du compte membre pour lequel vous configurez l’accès.
      2. Créez et configurez le rôle IAM en spécifiant l’ID de compte de gestion dans le champ ID de compte .
        Pour plus d’informations opérationnelles sur la création de AWS rôles, consultez la Amazon documentation.
      3. Sur la page Résumé du rôle IAM, cliquez sur l’onglet Relations de confiance .
      4. Cliquez sur Modifier la relation de confiance.
        La page Modifier la relation de confiance s'ouvre et affiche le document de politique.
      5. Modifiez la relation de confiance comme suit :
        • Définir le Action paramètre sur sts :AssumeRole
        • Définissez le paramètre AWS sur l’ARN de rôle complet du compte de gestion.

        Modification de la relation de confiance pour le compte d'approbation.
      6. Cliquez sur Mettre à jour la politique de confiance.
    2. Sur le ServiceNow AI Platform, configurez le compte de service du membre qui approuve
      1. Accédez à la Tous > Découverte > Comptes de services dans le cloud.
      2. Sélectionnez Nouveau.
      3. Dans le champ Compte parent , saisissez le nom du compte de gestion.
      4. Renseignez les champs restants du formulaire.
        Pour obtenir une description des valeurs de champ, consultez la rubrique Créer des AWS comptes de service.
      5. Sélectionnez Envoyer.
    3. ServiceNow AI Platform Le , affectez le AWS rôle IAM au compte membre.
      Important :
      Effectuez cette étape uniquement si vous avez créé des rôles IAM personnalisés. Par défaut, le rôle OrganizationAccountAccessRole est affecté au compte de gestion d’approbation du membre et vous n’avez pas besoin d’affecter le rôle OrganizationAccountAccessRole à un compte de service.
      1. Accédez à la Tous > Mise en service et gouvernance du cloud > Paramètres d’accès à l’organisation > Endosser les paramètres de rôle org AWS.
      2. Sélectionnez Nouveau.
      3. Sur le formulaire, configurez uniquement les champs suivants pour le compte du membre qui approuve :
        Tableau 1. Endosser le formulaire des paramètres de rôle org AWS de compte de services dans le cloud
        Champ Définition
        Nom du rôle d'accès Nom du rôle IAM créé pour le compte de confiance.
        • Si les rôles IAM sont les mêmes pour tous les comptes membres : saisissez l’ARN complet à l’aide d’un astérisque (*) comme caractère générique pour l’ID de compte au format : arn :aws :iam ::* :role/MemberRoleName.

          Par exemple : arn :aws :iam ::* :role/SN_MEMBER_ACCOUNT_ROLE.

        • Si les rôles IAM sont différents d’un compte membre à l’autre : saisissez l’ARN complet du rôle IAM spécifique pour chaque compte membre dans une entrée distincte.
        Compte de services dans le cloud Nom du compte de confiance pour lequel vous fournissez l'accès à l'aide du rôle IAM.
        • Si les rôles IAM sont les mêmes pour tous les comptes membres : Saisissez le nom du compte de gestion.
        • Si les rôles IAM sont différents d’un compte membre à l’autre : saisissez chaque compte membre dans une entrée distincte.
      4. Sélectionnez Envoyer.

    Que faire ensuite

    Configurez le compte de gestion de l’approbation et le compte d’accesseur approuvé.