Configuração do Governança de configuração de nuvem para AWS

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 5 min. de leitura

    • Configure o acesso às contas de nuvem Amazon Web Services (AWS) em Governança de configuração de nuvem para permitir a interação entre a aplicação e a nuvem. A aplicação requer acesso às contas de nuvem para verificar os recursos de nuvem em busca de configurações fora de conformidade e corrigi-las.

    Antes de Iniciar

    Função necessária: sn_itom_ccg.scheduling_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Para fins de configuração do acesso a contas AWS, os seguintes termos são usados:
    Contas confiáveis
    As contas confiáveis não têm credenciais AWS permanentes. Você configura o relacionamento de confiança para funções de IAM nessas contas para depender de outras contas para acesso.
    Contas confiáveis
    As contas confiáveis são usadas pelas contas confiáveis para acesso. A IU ServiceNow se refere às contas confiáveis como contas de acessador.
    Use qualquer um dos seguintes métodos para configurar o acesso às contas AWS :
    • Configure as credenciais permanentes no Now Platform para se conectar com as contas AWS autônomas (contas discretas). A tabela Conta de serviço em nuvem [cmdb_ci_cloud_service-account] contém informações sobre o tipo de conta de serviço, como gestão ou conta de membro e credenciais de acesso.
    • Configure as contas de membro para contar com a conta de gestão de acesso. Nesse caso, configure as credenciais permanentes da conta de gestão no Now Platform.
    • Configure as contas para contar com uma conta confiável para acesso (acesso lateral na mesma AWS organização ou em diferentes AWS organizações). Nesse caso, configure as credenciais permanentes da conta confiável no Now Platform.
    Nota:
    Governança de configuração de nuvem não usa uma configuração de função assumida baseada em MID Server para acessar as contas confiáveis.

    Procedimento

    1. Crie credenciais para as contas de serviço AWS.
      1. Navegar até Conexões e Credenciais > Credenciais.
      2. Selecione Novoe Credenciais da AWS.
      3. No formulário, preencha os campos.
        Tabela 1. AWS Formulário de credenciais
        Campo Descrição
        Nome Nome exclusivo e descritivo das credenciais AWS.
        Ativo Opção para usar a credencial.
        ID da chave de acesso O ID da chave de acesso que você gerou no console de gestão AWS.
        Chave secreta de acesso A chave de acesso secreta que você gerou no console de gestão AWS.
      4. Selecione Salvar.
    2. Selecione o alias de credencial sn_itom_cal.Aws_Creds_Alias ou crie um alias de credencial.
      1. Desbloqueie o alias de credencial.
      2. Pesquise um alias de credencial.
      3. Selecione Novo.
      4. No formulário, preencha os campos.
        Tabela 2. Formulário Alias de conexão e credencial
        Campo Descrição
        Nome Nome exclusivo do alias.
        Tipo Tipo de alias de credencial.

        Selecione Credencial na lista suspensa Tipo.
      5. Selecione Enviar.
    3. Defina o campo Algoritmo de autenticação como AWS Authenticator.
    4. Selecione Enviar.
    5. Configure uma conta de serviço AWS.
      1. Navegar até Cloud Provisioning and Governance > Contas de serviço.
      2. Selecione Novo.
      3. No formulário, preencha os campos.
        Tabela 3. Formulário Conta de serviço em nuvem
        Campo Descrição
        Nome Nome exclusivo da conta de serviço.
        ID da conta Número de conta de usuário de 12 dígitos. Expanda a lista sob o nome da conta no AWS Management Console para exibir o número.
        Importante:
        No campo ID da conta, remova os caracteres de hífen (-) do número.
        Credenciais da Descoberta As credenciais necessárias para que aplicações ServiceNow acessem a conta na nuvem. Você pode configurar as credenciais de descoberta posteriormente, ao configurar o acesso às contas AWS.
        • Se você estiver configurando uma conta de serviço independente ou uma conta de gestão, selecione sua credencial AWS.
        • Para usar outras contas AWS para acessar esta conta, deixe o campo em branco.

          Por exemplo, você não precisa especificar as credenciais AWS para contas que assumem funções de gestão de identidade e acesso (IAM) ou contas de membro que usam sua conta de gestão para acesso.
        URL do datacenter URL do datacenter.

        Deixe este campo em branco.
        Tipo de datacenter Tipo de datacenter em que a conta está hospedada.

        Selecione Datacenter da AWS.
        Status da descoberta de datacenter Valor gerado automaticamente: status e carimbo de data/hora da última execução da Descoberta no datacenter.
        Conta primária Nome da conta de gestão que representa a organização AWS à qual esta conta de membro pertence.

        Este campo aparece quando você seleciona AWS Datacenter. Se a conta não pertencer a nenhuma organização AWS, deixe este campo em branco.
        É a conta principal Sinalizador de conta de gestão.

        Esta caixa de seleção aparece quando você seleciona AWS Datacenter no menu suspenso Tipo de datacenter. Marque a caixa de seleção para associar a conta de serviço AWS à conta de gestão. Marque esta caixa de seleção somente para contas que você configurou anteriormente como contas de gestão com algumas contas de membro pertencentes a elas. Para obter mais informações sobre a organização AWS, consulte AWS documentação.
        Conta do acessador Nome da conta confiável.

        Configure este campo somente para contas que não usam credenciais permanentes da AWS e dependem de funções de IAM para acesso.
      4. Selecione Enviar.
    6. Realize qualquer uma das ações a seguir.
      OpçãoDescrição
      Criar uma configuração Assumir função para a conta de gestão

      Se você quiser usar uma conta de gestão para verificar as contas de membro da organização AWS, crie uma configuração Assumir função para a conta de gestão.

      1. Se você não quiser usar o OrganizationAccountAccessRole para acessar a conta do membro, configure a conta confiável para Governança de configuração de nuvem.

        Para obter mais informações, consulte Configurar a conta confiável para Governança de configuração de nuvem e Biblioteca de ações na nuvem.

      2. Repita a etapa 6.a para todas as contas de membro que devem ser verificadas por meio da conta de gestão sem usar o OrganizationAccountAccessRole.

      3. Se você quiser usar o OrganizationAccountAccessRole para acessar a conta do membro, crie uma configuração Assumir função para a conta de gestão.

        Para obter mais informações, consulte Criar uma configuração para assumir função.
      Configurar a conta confiável para Governança de configuração de nuvem

      Se você quiser usar uma conta confiável para verificar a conta confiável, configure a conta confiável para Governança de configuração de nuvem.

      1. Configure a conta confiável para Governança de configuração de nuvem.

        Para obter mais informações, consulte Configurar a conta confiável para Governança de configuração de nuvem e Biblioteca de ações na nuvem.

      2. Repita a etapa 6.a para todas as contas confiáveis que devem ser verificadas por meio da conta confiável.
    7. Instale e configure o MID Servers.
      Para obter mais informações, consulte Instalação e configuração de MID Servers.
    8. Execute a descoberta de datacenter para identificar os datacenters associados às contas de serviço.
      Para obter mais informações, consulte Executar descoberta de datacenter.