Configurer l'accès à l'aide d'informations d'identification temporaires basées sur des comptes AWS approuvés avec des informations d'identification AWS

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Configurez le compte d'approbation dont les ressources doivent être accessibles, pour faire confiance au compte approuvé à l'aide du rôle IAM.

    Avant de commencer

    • Familiarisez-vous avec la création d'un rôle pour déléguer des autorisations à un utilisateur IAM dans la documentation de Amazon.
    • Décidez quel compte Amazon Web Services (AWS) sera le compte approuvé. Vous utilisez le compte approuvé pour configurer des informations d'identification temporaires pour Détection dans le cloud à l'aide des rôles IAM. Le compte de confiance que vous utilisez pour accéder à d'autres comptes à l'aide des rôles IAM est appelé compte d'accesseur.
    • Configurez le compte approuvé et le compte d'approbation en suivant les instructions de la rubrique Configurer les comptes de service AWS.
    Rôle requis :
    • Pour Détection dans le cloud : admin ou discovery_admin
    • Pour Cloud Provisioning and Governance : admin ou sn_cmp.cloud_admin

    Pourquoi et quand exécuter cette tâche

    Au cours de cette configuration, vous créez un rôle IAM pour le compte d'approbation, puis configurez le compte de service approuvé pour le compte d'approbation sur Now Platform. Enfin, vous associez le rôle IAM que vous avez créé pour le compte d'approbation au compte d'approbation proprement dit.

    Figure 1. Configurer n'importe quel compte AWS de façon à utiliser un compte approuvé avec des informations d'identification AWS

    Configurer le rôle IAM du compte AWS d’approbation pour faire confiance à l’utilisateur du compte AWS approuvé pour fournir l’accès

    Procédure

    1. Créez un rôle IAM pour le compte d'approbation et configurez la relation de confiance entre l'utilisateur assumant ce rôle et le compte approuvé (d'accesseur).
      1. Connectez-vous au compte d'approbation sur la console de gestion d'AWS.
      2. Créez et configurez le rôle IAM en spécifiant l'ID de compte approuvé (d'accesseur) dans le champ ID de compte.
        Pour en savoir plus sur la création de AWS rôles, consultez la section Amazon interne.
      3. Sur la page Résumé du rôle IAM, sélectionnez l'onglet Relations de confiance.
      4. Sélectionnez Modifier la relation de confiance.
        La page Modifier la relation de confiance s'ouvre et affiche le document de politique.
      5. Définissez le paramètre AWS sur l'ARN d'utilisateur complet du compte approuvé (d'accesseur).

        Modification de la relation de confiance pour le compte d'approbation.
      6. Vérifiez que la valeur Action est définie sur sts:AssumeRole.
      7. Sélectionnez Mettre à jour la politique de confiance.
    2. Configurez le compte de service approuvé pour le compte d'approbation dans Now Platform.
      1. Accédez à la Mise en service et gouvernance du cloud > Comptes de services.
      2. Ouvrez le compte d'approbation.
      3. Sur le formulaire Compte de service dans le cloud, saisissez le nom du compte approuvé dans le champ Compte d'accesseur.
      4. Sélectionnez Mettre à jour.
    3. Affectez le rôle IAM créé pour le compte de confiance au compte de confiance à Now Platform.
      Important :
      Effectuez cette étape uniquement si vous avez créé des rôles IAM personnalisés. Il n'est pas nécessaire d'affecter le rôle OrganizationAccountAccessRole par défaut à un compte de service.
      1. Accédez à la Tout > Mise en service et gouvernance du cloud > Paramètres d'accès à l'organisation > Endosser les paramètres de rôle Cross AWS de compte de services dans le cloud.
      2. Sélectionnez Nouveau.
      3. Sur le formulaire Endosser les paramètres de rôle Cross AWS de compte de services dans le cloud de compte de services dans le cloud, configurez uniquement les champs suivants :
        Champ Définition
        Nom du rôle d'accès Nom du rôle IAM créé pour le compte de confiance.
        Compte de services dans le cloud Nom du compte de confiance pour lequel vous fournissez l'accès à l'aide du rôle IAM.
      4. Sélectionnez Envoyer.
        Le système ajoute cet enregistrement à la table Endosser les paramètres de rôle Cross AWS de compte de services dans le cloud [cloud_service_account_aws_cross_assume_role].

    Que faire ensuite

    Vérifiez que les applications ServiceNow peuvent accéder au compte de service d'approbation à l'aide du rôle IAM :
    1. Accédez à la Mise en service et gouvernance du cloud > Comptes de services.
    2. Sélectionnez le compte d'approbation que vous avez configuré.
    3. Sous Liens connexes, cliquez sur Détecter les centres de données.
    4. Accédez à la Détection > Tableau de bord de Détection dans le cloud, puis cliquez sur l’onglet AWS .
    5. Vérifiez que le tableau de bord affiche les ressources détectées pour le compte que vous avez associé aux informations d'identification AWS nouvellement créées.