Bibliothek von Cloud-Aktionen for AWS einrichten

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Richten Sie in Bibliothek von Cloud-Aktionen Zugriff auf die AWS-Cloud-Konten (Amazon Web Services) ein, um die Interaktion zwischen der Anwendung und der Cloud zu ermöglichen.

    Vorbereitungen

    Erforderliche Rolle: admin

    Warum und wann dieser Vorgang ausgeführt wird

    Im Zusammenhang mit der Konfiguration des Zugriffs für AWS-Konten werden die folgenden Begriffe verwendet:
    Vertrauende Konten
    Vertrauende Konten haben keine permanenten AWS-Anmeldeinformationen. Sie konfigurieren die Vertrauensstellung für IAM-Rollen in diesen Konten so, dass sie für den Zugriff auf andere Konten zurückgreifen.
    Vertrauenswürdige Konten
    Die vertrauenswürdigen Konten werden von den vertrauenden Konten für den Zugriff verwendet. In der Benutzeroberfläche von ServiceNow werden die vertrauenswürdigen Konten als Accounts des Zugriffsberechtigten bezeichnet.
    Verwenden Sie eine der folgenden Methoden, um den Zugriff auf die Konten AWS zu konfigurieren:
    • Konfigurieren Sie die permanenten Anmeldeinformationen in Now Platform für die Verbindung mit den eigenständigen AWS -Konten (diskrete Konten). Die Tabelle „Cloud-Servicekonto“ [cmdb_ci_cloud_service-account] enthält die Informationen zum Servicekontotyp wie Verwaltungskonto oder Mitgliedskonto und deren Anmeldeinformationen.
    • Konfigurieren Sie die Mitgliedskonten so, dass sie für den Zugriff auf das Verwaltungskonto zurückgreifen. Konfigurieren Sie die permanenten Anmeldeinformationen des Verwaltungskontos in diesem Fall auf der Now Platform.
    • Konfigurieren Sie die Konten so, dass für den Zugriff ein vertrauenswürdiges Konto verwendet wird (lateraler Zugriff innerhalb derselben AWS-Organisation oder über verschiedene AWS-Organisationen hinweg). Konfigurieren Sie die permanenten Anmeldeinformationen des vertrauenswürdigen Kontos in diesem Fall auf der Now Platform.
    Hinweis:
    Bibliothek von Cloud-Aktionen verwendet kein MID Server-basiertes Setup für die Übernahme von Rollen für den Zugriff auf die vertrauenden Konten.

    Prozedur

    1. Erstellen Sie Anmeldeinformationen für die AWS-Servicekonten.
      1. Navigieren zu Verbindung und Anmeldeinformationen > Berechtigungen.
      2. Wählen Sie Neu und dann AWS-Anmeldeinformationen aus.
      3. Füllen Sie die Felder des Formulars aus.
        Tabelle : 1. Formular für AWS-Anmeldeinformationen
        Feld Beschreibung
        Name Eindeutiger und beschreibender Name für die AWS-Anmeldeinformationen
        Aktiv Option zur Verwendung dieser Anmeldeinformationen.
        Zugangsschlüssel-ID Die Zugriffsschlüssel-ID, die Sie in der AWS-Verwaltungskonsole erstellt haben
        Geheimer Zugangsschlüssel Der geheime Zugriffsschlüssel, den Sie in der AWS-Verwaltungskonsole erstellt haben
      4. Wählen Sie Speichern.
    2. Wählen Sie den Anmeldeinformationsalias sn_itom_cal.Aws_Creds_Alias aus, oder erstellen Sie einen Anmeldeinformationsalias.
      1. Entsperren Sie den Anmeldeinformationsalias.
      2. Suchen Sie nach einem Anmeldeinformationsalias.
      3. Wählen Sie Neu.
      4. Füllen Sie die Felder des Formulars aus.
        Tabelle : 2. Formular „Verbindungs- und Anmeldeinformationsalias“
        Feld Beschreibung
        Name Eindeutiger Name des Alias
        Typ Typ des Anmeldeinformationsalias.

        Wählen Sie in der Dropdown-Liste „Typ“ die Option Anmeldeinformationen aus.
      5. Wählen Sie Absenden aus.
    3. Legen Sie das Feld Authentifizierungsalgorithmus auf AWS Authenticator fest.
    4. Wählen Sie Absenden aus.
    5. Richten Sie ein AWS-Servicekonto ein.
      1. Navigieren zu Cloud Provisioning and Governance > Servicekonto.
      2. Wählen Sie Neu.
      3. Füllen Sie die Felder des Formulars aus.
        Tabelle : 3. Formular für Cloud-Servicekonto
        Feld Beschreibung
        Name Eindeutiger Name des Servicekontos
        Account-ID 12-stellige Nummer des Benutzerkontos. Erweitern Sie die Liste unter dem Kontonamen in der AWS-Verwaltungskonsole, um die Nummer anzuzeigen.
        Wichtig:
        Entfernen Sie im Feld Konto-ID die Bindestriche (-) aus der Nummer.
        Discovery-Anmeldeinformationen Die Anmeldeinformationen, die für Anwendungen von ServiceNow für den Zugriff auf das Cloud-Konto erforderlich sind. Sie können die Discovery-Anmeldeinformationen zu einem späteren Zeitpunkt konfigurieren, während Sie den Zugriff auf die Konten AWS konfigurieren.
        • Wenn Sie ein unabhängiges Servicekonto oder ein Verwaltungskonto einrichten, wählen Sie die zugehörigen AWS-Anmeldeinformationen aus.
        • Um andere AWS Accounts für den Zugriff auf diesen Account zu verwenden, lassen Sie das Feld leer.

          Beispielsweise müssen Sie die Anmeldeinformationen AWS nicht für Konten angeben, die IAM-Rollen (Identity and Access Management) übernehmen, oder Mitgliedskonten, die ihr Verwaltungskonto für den Zugriff verwenden.
        Rechenzentrums-URL URL des Rechenzentrums.

        Lassen Sie dieses Feld leer.
        Rechenzentrumstyp Typ des Rechenzentrums, in dem das Konto gehostet wird.

        Wählen Sie AWS-Rechenzentrum aus.
        Status der Rechenzentrumserkennung Automatisch generierter Wert: Status und Zeitstempel der letzten Ausführung von Discovery im Rechenzentrum.
        Übergeordneter Account Name des Verwaltungskontos, das die AWS-Organisation darstellt, zu der dieses Mitgliedskonto gehört.

        Dieses Feld wird angezeigt, wenn Sie „AWS-Rechenzentrum“ auswählen. Wenn der Account zu keiner AWS -Organisation gehört, lassen Sie dieses Feld leer.
        Ist Master-Konto Kennzeichnung des Verwaltungskontos.

        Dieses Kontrollkästchen wird angezeigt, wenn Sie in der Dropdown-Liste „Rechenzentrumstyp“ die Option „AWS-Rechenzentrum“ auswählen. Aktivieren Sie das Kontrollkästchen, um das AWS-Servicekonto dem Verwaltungskonto zuzuordnen. Aktivieren Sie dieses Kontrollkästchen nur für Konten, die Sie zuvor als Verwaltungskonten konfiguriert haben und zu denen einige Mitgliedskonten gehören. Weitere Informationen zu AWS Organization finden Sie unter AWS Dokumentation.
        Account des Zugriffsberechtigten Name des vertrauenswürdigen Kontos.

        Konfigurieren Sie dieses Feld nur für Konten, bei denen keine permanenten AWS-Anmeldeinformationen verwendet werden und bei denen IAM-Rollen für den Zugriff genutzt werden.
      4. Wählen Sie Absenden aus.
    6. Wahlweise: Um ein Verwaltungskonto zum Scannen der Mitgliedskonten der AWS-Organisation zu verwenden, erstellen Sie eine Konfiguration für die Übernahme von Rollen für das Verwaltungskonto.
      1. Wahlweise: Wenn Sie nicht die OrganizationAccountAccessRole verwenden möchten, um auf das Mitgliedskonto zuzugreifen, konfigurieren Sie ein vertrauendes Konto für Bibliothek von Cloud-Aktionen.
        Weitere Informationen finden Sie unter Vertrauendes Konto für Cloud Configuration Governance und Bibliothek von Cloud-Aktionenkonfigurieren.
      2. Wahlweise: Wiederholen Sie Schritt 6.a für jedes Mitgliedskonto, das über das Verwaltungskonto gescannt werden muss, ohne die OrganizationAccountAccessRole zu verwenden.
      3. Wahlweise: Wenn Sie die OrganizationAccountAccessRole verwenden möchten, um auf das Mitgliedskonto zuzugreifen, erstellen Sie eine Konfiguration für die Übernahme von Rollen für das Verwaltungskonto.
        Weitere Informationen finden Sie unter Konfiguration für die Übernahme von Rollen erstellen.
    7. Wahlweise: Um ein vertrauenswürdiges Konto zum Scannen des vertrauenden Kontos zu verwenden, konfigurieren Sie das vertrauende Konto für Bibliothek von Cloud-Aktionen.
      Das vertrauenswürdige Konto und das vertrauende Konto können sich in verschiedenen AWS-Organisationen, aber auch in derselben AWS-Organisation befinden.
      1. Konfigurieren Sie ein vertrauendes Konto für Cloud Configuration Governance.
        Weitere Informationen finden Sie unter Vertrauendes Konto für Cloud Configuration Governance und Bibliothek von Cloud-Aktionenkonfigurieren.
      2. Wiederholen Sie Schritt 7.a für jedes vertrauende Konto, das über das vertrauenswürdige Konto gescannt werden muss.