Zugriff mithilfe temporärer Anmeldeinformationen für vertrauende AWS-Mitgliederkonten konfigurieren

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Konfigurieren Sie den Zugriff auf AWS-Mitgliedskonten mit dem Verwaltungskonto als vertrauenswürdigem Konto mithilfe der IAM-Rolle.

    Vorbereitungen

    Erforderliche Rolle: admin Erforderliche Rolle: admin, discovery_admin oder sn_cmp.cloud_admin (für Cloud Provisioning and Governance)

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können den Zugriff auf Mitgliedskonten so konfigurieren, dass die Mitglieder auf das jeweilige Verwaltungskonto zurückgreifen. Es spielt keine Rolle, ob das Verwaltungskonto selbst permanente oder temporäre Anmeldeinformationen verwendet.

    Abbildung : 1. Mitgliedskonten so konfigurieren, dass sie für den Zugriff das jeweilige Verwaltungskonto nutzen

    Richten Sie die IAM-Rolle der vertrauenden Mitgliedskonten so ein, dass sie ihrem Verwaltungskonto vertraut

    Prozedur

    1. Erstellen Sie eine IAM-Rolle für das Mitgliedskonto, und konfigurieren Sie die Vertrauensstellung zwischen dem Benutzer, der diese Rolle übernimmt, und dem vertrauenswürdigen Konto (Account des Zugriffsberechtigten).
      1. Melden Sie sich bei der AWS-Managementkonsole mit den Anmeldeinformationen des Mitgliedskontos an, für das Sie den Zugriff konfigurieren.
      2. Erstellen und konfigurieren Sie die IAM-Rolle, indem Sie im Feld Account ID die ID des Verwaltungskontos angeben.
        Bedienungsinformationen zum Erstellen von AWS-Rollen finden Sie in der Amazon-Dokumentation.
      3. Klicken Sie auf der Seite Summary (Zusammenfassung) für die IAM-Rolle auf die Registerkarte Trust Relationships (Vertrauensstellungen).
      4. Klicken Sie auf Edit trust relationship (Vertrauensstellung bearbeiten).
        Die Seite zum Bearbeiten der Vertrauensstellung wird geöffnet und zeigt das Richtliniendokument an.
      5. Bearbeiten Sie die Vertrauensstellung wie folgt:
        • Legen Sie den Parameter Action auf sts:AssumeRole fest.
        • Legen Sie den Parameter AWS auf den vollständigen ARN der Rolle des Verwaltungskontos fest.

        Vertrauensstellung für das vertrauende Konto bearbeiten
      6. Klicken Sie auf Update Trust Policy (Vertrauensrichtlinie aktualisieren).
    2. Konfigurieren Sie das vertrauenswürdige Servicekonto für das vertrauende Konto in Now Platform.
      1. Navigieren zu Cloud Provisioning and Governance > Service-Accounts.
      2. Öffnen Sie das Mitgliedskonto.
      3. Geben Sie im Formular „Cloud-Servicekonto“ im Feld Übergeordneter Account den Namen des Verwaltungskontos ein.
      4. Klicken Sie auf Aktualisieren.
    3. Weisen Sie dem Mitgliedskonto in Now Platform die für das Mitgliedskonto erstellte IAM-Rolle zu.
      Wichtig:
      Führen Sie diesen Schritt nur aus, wenn Sie benutzerdefinierte IAM-Rollen erstellt haben. Es ist nicht erforderlich, die Standardrolle OrganizationAccountAccessRole einem Serviceaccount zuzuweisen.
      1. Navigieren zu Cloud Provisioning and Governance > Zugriffsparameter der Organisation > AWS – Parameter für übergreifende Rollenübernahme.
      2. Klicken Sie auf Neu.
      3. Konfigurieren Sie im Formular „Cloud-Service-Account: Parameter für Annahme der AWS-übergreifenden Rolle“ nur die folgenden Felder:
        Feld Definition
        Name der Zugriffsrolle Name der IAM-Rolle, die für den vertrauende Account erstellt wurde.
        Cloud-Servicekonto Name des vertrauenden Accounts, für den Sie mit der IAM-Rolle Zugriff bereitstellen.
      4. Klicken Sie auf Aktualisieren.

    Nächste Maßnahme

    Stellen Sie sicher, dass ServiceNow-Anwendungen mithilfe der IAM-Rolle auf das vertrauende Servicekonto zugreifen können:
    1. Navigieren zu Cloud Provisioning and Governance > Service-Accounts, und wählen Sie das Konto AWS aus, das Sie zuvor wie in AWS-Servicekonten einrichtenerstellt haben.
    2. Wählen Sie das vertrauende Konto aus, das Sie mit der IAM-Rolle konfiguriert haben.
    3. Klicken Sie unter Zugehörige Links auf Rechenzentren erkennen.
    4. Navigieren zu Discovery > Cloud Discovery-Dashboard, und klicken Sie dann auf die Registerkarte AWS.
    5. Prüfen Sie, ob das Dashboard erkannte Ressourcen für das Konto zeigt, das Sie den neu erstellten AWS-Anmeldeinformationen zugeordnet haben.