Zugriff mit temporären Anmeldeinformationen basierend auf vertrauenswürdigen AWS-Konten ohne AWS-Anmeldeinformationen konfigurieren

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Richten Sie ein vertrauenswürdiges Konto ohne Anmeldeinformationen ein, auf das andere AWS-Konten für den Zugriff zurückgreifen können.

    Vorbereitungen

    Erstellen und konfigurieren Sie das vertrauenswürdige AWS-Konto.

    Erforderliche Rolle: admin, discovery_admin oder sn_cmp.cloud_admin (für Cloud Provisioning and Governance)

    Erforderliche Rolle: admin

    Warum und wann dieser Vorgang ausgeführt wird

    Um ein Konto ohne AWS-Anmeldeinformationen zu verwenden, müssen Sie dieses Konto zuerst mit einer IAM-Rolle und mit Berechtigungen für den Zugriff auf das vertrauende Servicekonto konfigurieren. Dann richten Sie die IAM-Rolle des vertrauenden Kontos ein, um Zugriff auf die IAM-Rolle des vertrauenswürdigen Kontos zu gewähren.

    Abbildung : 1. AWS-Konten so einrichten, dass sie auf einem vertrauenswürdigen Konto ohne AWS-Anmeldeinformationen beruhen

    Richten Sie die IAM-Rolle des vertrauenden AWS-Kontos so ein, dass sie der IAM-Rolle des vertrauenswürdigen AWS-Kontos für den Zugriff vertraut

    Prozedur

    1. Konfigurieren Sie eine IAM-Rolle für das vertrauende Konto.
      1. Melden Sie sich in der AWS-Managementkonsole bei dem vertrauenden Konto an.
      2. Erstellen Sie eine IAM-Rolle für dieses Konto.
        Verwenden Sie beim Erstellen dieser IAM-Rolle die Konto-ID des vertrauenswürdigen Kontos. Bedienungsinformationen zum Arbeiten mit AWS-Rollen finden Sie in der Amazon-Dokumentation.
      3. Erstellen Sie eine ReadOnlyAccess-Richtlinie, und hängen Sie sie an die neu erstellte IAM-Rolle an.
    2. Konfigurieren Sie die IAM-Rolle für das vertrauenswürdige Konto.
      1. Melden Sie sich bei der AWS-Managementkonsole mit den Anmeldeinformationen des Kontos an, das Sie als vertrauenswürdiges Konto einrichten möchten.
      2. Wählen Sie die Option AWS service aus, um eine IAM-Rolle zu erstellen.

        Option für AWS-Service auswählen, um eine IAM-Rolle für das vertrauenswürdige Konto zu erstellen
      3. Erstellen Sie eine ReadOnlyAccess-Richtlinie für die IAM-Rolle des vertrauenswürdigen Kontos.
      4. Erstellen Sie eine zusätzliche Richtlinie, um dieser IAM-Rolle Zugriff auf Ressourcen in vertrauenden Konten zu gewähren:
        • Legen Sie den Parameter Action auf sts:AssumeRole fest.
        • Legen Sie den Parameter Resource auf den ARN der Rolle des vertrauenden Kontos fest, die Sie in 1.b erstellt haben.

        Richtlinie zwischen der Rolle im vertrauenswürdigen Konto und der Rolle im vertrauenden Konto konfigurieren.

      5. Hängen Sie die neu erstellte Rolle an die relevante Amazon EC2-Instanz an.
        Wenn Sie eine IAM-Rolle an eine EC2-Instanz anhängen, wird standardmäßig eine Vertrauensstellung zwischen dieser Rolle und der EC2-Instanz erzeugt.
        Vertrauensstellung zwischen IAM-Rolle und EC2-Instanz überprüfen
    3. Konfigurieren Sie das vertrauende Servicekonto, um Zugriff auf die IAM-Rolle zu gewähren, die zum vertrauenswürdigen Konto gehört.
      1. Melden Sie sich in der AWS-Managementkonsole bei dem vertrauenden Konto an.
      2. Navigieren Sie zu der IAM-Rolle, die Sie für dieses Konto in 1.b erstellt haben.
      3. Bearbeiten Sie die Vertrauensstellung für diese IAM-Rolle wie folgt:
        • Legen Sie den Parameter Action auf sts:AssumeRole fest.
        • Legen Sie den Parameter AWS auf den ARN der Rolle des vertrauenswürdigen Kontos fest, die Sie in 2.b erstellt haben.
        Konfiguration der Vertrauensstellung für das vertrauende Konto
    4. MID-Server für AWS-IAM-Rollen konfigurieren.
    5. Konfigurieren Sie das vertrauenswürdige Servicekonto ohne Anmeldeinformationen für das vertrauende Konto in Now Platform.
      1. Navigieren zu Cloud Provisioning and Governance > Service-Accounts.
      2. Öffnen Sie das vertrauende Konto.
      3. Geben Sie im Formular „Cloud-Servicekonto“ den Namen des vertrauenswürdigen Kontos im Feld Account des Zugriffsberechtigten ein.
      4. Klicken Sie auf Aktualisieren.
    6. Weisen Sie die für den vertrauenden Account erstellte IAM-Rolle dem vertrauenden Account unter Now Platform zu.
      Wichtig:
      Führen Sie diesen Schritt nur aus, wenn Sie benutzerdefinierte IAM-Rollen erstellt haben. Es ist nicht erforderlich, die Standardrolle OrganizationAccountAccessRole einem Serviceaccount zuzuweisen.
      1. Navigieren zu Alle > Cloud Provisioning and Governance > Zugriffsparameter der Organisation > Cloud-Servicekonto AWS – Parameter für übergreifende Rollenübernahme.
      2. Wählen Sie Neu.
      3. Konfigurieren Sie im Formular „Cloud-Service-Account: AWS-Parameter für übergreifende Rollenübernahme“ nur die folgenden Felder:
        Feld Definition
        Name der Zugriffsrolle Name der IAM-Rolle, die für den vertrauende Account erstellt wurde.
        Cloud-Servicekonto Name des vertrauenden Accounts, für den Sie mit der IAM-Rolle Zugriff bereitstellen.
      4. Wählen Sie Absenden.
        Das System fügt diesen Datensatz der Tabelle „Cloud Servicekonto AWS – Parameter für übergreifende Rollenübernahme“ [cloud_service_account_aws_cross_assume_role] hinzu.

    Nächste Maßnahme

    Stellen Sie sicher, dass ServiceNow-Anwendungen mithilfe der IAM-Rolle auf das vertrauende Servicekonto zugreifen können:
    1. Navigieren zu Cloud Provisioning and Governance > Service-Accounts.
    2. Wählen Sie das vertrauende Konto aus, das Sie konfiguriert haben.
    3. Klicken Sie unter Zugehörige Links auf Rechenzentren erkennen.
    4. Navigieren zu Discovery > Cloud Discovery-Dashboard, und klicken Sie dann auf die Registerkarte AWS.
    5. Prüfen Sie, ob das Dashboard erkannte Ressourcen für das Konto zeigt, das Sie den neu erstellten AWS-Anmeldeinformationen zugeordnet haben.