Zugriff mit temporären Anmeldeinformationen basierend auf vertrauenswürdigen AWS-Konten mit AWS-Anmeldeinformationen konfigurieren

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Konfigurieren Sie das vertrauende Konto, auf dessen Ressourcen zugegriffen werden muss, so, dass es über die Identity and Access Management (IAM)-Rolle auf das vertrauenswürdige Konto zurückgreift.

    Vorbereitungen

    • Machen Sie sich mit der Amazon-Dokumentation zum Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer vertraut.
    • Entscheiden Sie, welcher Amazon Web Services (AWS)-Account der vertrauenswürdige Account sein soll. Sie verwenden den vertrauenswürdigen Account zur Konfiguration temporärer Anmeldeinformationen für Cloud-Discovery mithilfe von IAM-Rollen. Der vertrauenswürdige Account, den Sie für den Zugriff auf andere Accounts mit IAM-Rollen verwenden, wird als Account eines Zugriffsberechtigten bezeichnet.
    • Richten Sie das vertrauenswürdige und das vertrauende Konto wie in AWS-Servicekonten einrichten beschrieben ein.
    Erforderliche Rolle:
    • Für Cloud-Discovery: admin oder discovery_admin
    • Für Cloud Provisioning and Governance: admin oder sn_cmp.cloud_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Während dieser Konfiguration erstellen Sie eine IAM-Rolle für das vertrauende Konto und konfigurieren dann das vertrauenswürdige Servicekonto für das vertrauende Konto in Now Platform. Schließlich ordnen Sie die IAM-Rolle, die Sie für das vertrauende Konto erstellt haben, dem vertrauenden Konto selbst zu.

    Abbildung : 1. AWS-Konten so einrichten, dass sie auf ein vertrauenswürdiges Konto mit AWS-Anmeldeinformationen zurückgreifen

    Richten Sie die IAM-Rolle des vertrauenden AWS-Kontos so ein, dass sie dem Benutzer des vertrauenswürdigen AWS-Kontos für den Zugriff vertraut

    Prozedur

    1. Erstellen Sie eine IAM-Rolle für das vertrauende Konto, und konfigurieren Sie die Vertrauensstellung zwischen dem Benutzer, der diese Rolle übernimmt, und dem vertrauenswürdigen Konto (Account des Zugriffsberechtigten).
      1. Melden Sie sich in der AWS-Managementkonsole bei dem vertrauenden Account an.
      2. Erstellen und konfigurieren Sie die IAM-Rolle, indem Sie im Feld Account ID die ID des vertrauenswürdigen Kontos (des Accounts des Zugriffsberechtigten) angeben.
        Informationen zum Erstellen von AWS -Rollen finden Sie unter Amazon Dokumentation.
      3. Wählen Sie auf der Seite „Zusammenfassung“ für die IAM-Rolle die Registerkarte Trust Relationships (Vertrauensstellungen).
      4. Klicken Sie auf Edit trust relationship (Vertrauensstellung bearbeiten).
        Die Seite zum Bearbeiten der Vertrauensstellung wird geöffnet und zeigt das Richtliniendokument an.
      5. Legen Sie den Parameter AWS auf den vollständigen Benutzer-ARN des vertrauenswürdigen Accounts (des Zugriffsberechtigten) fest.

        Vertrauensstellung für das vertrauende Konto bearbeiten.
      6. Verifizieren Sie, ob der Action-Wert auf sts:AssumeRole festgelegt ist.
      7. Klicken Sie auf Update Trust Policy (Vertrauensrichtlinie aktualisieren).
    2. Konfigurieren Sie den vertrauenswürdigen Serviceaccount für das vertrauende Konto auf der Now Platform.
      1. Navigieren zu Cloud Provisioning and Governance > Servicekonten.
      2. Öffnen Sie das vertrauende Konto.
      3. Geben Sie im Formular „Cloud-Servicekonto“ den Namen des vertrauenswürdigen Kontos im Feld Account des Zugriffsberechtigten ein.
      4. Wählen Sie Aktualisieren.
    3. Weisen Sie die für den vertrauenden Account erstellte IAM-Rolle dem vertrauenden Account unter Now Platform zu.
      Wichtig:
      Führen Sie diesen Schritt nur aus, wenn Sie benutzerdefinierte IAM-Rollen erstellt haben. Es ist nicht erforderlich, die Standardrolle OrganizationAccountAccessRole einem Serviceaccount zuzuweisen.
      1. Navigieren zu Alle > Cloud Provisioning and Governance > Zugriffsparameter der Organisation > Cloud-Servicekonto AWS – Parameter für übergreifende Rollenübernahme.
      2. Wählen Sie Neu.
      3. Konfigurieren Sie im Formular „Cloud-Service-Account: AWS-Parameter für übergreifende Rollenübernahme“ nur die folgenden Felder:
        Feld Definition
        Name der Zugriffsrolle Name der IAM-Rolle, die für den vertrauende Account erstellt wurde.
        Cloud-Servicekonto Name des vertrauenden Accounts, für den Sie mit der IAM-Rolle Zugriff bereitstellen.
      4. Wählen Sie Absenden.
        Das System fügt diesen Datensatz der Tabelle „Cloud Servicekonto AWS – Parameter für übergreifende Rollenübernahme“ [cloud_service_account_aws_cross_assume_role] hinzu.

    Nächste Maßnahme

    Stellen Sie sicher, dass ServiceNow-Anwendungen mithilfe der IAM-Rolle auf das vertrauende Servicekonto zugreifen können:
    1. Navigieren zu Cloud Provisioning and Governance > Service-Accounts.
    2. Wählen Sie das vertrauende Konto aus, das Sie konfiguriert haben.
    3. Klicken Sie unter Zugehörige Links auf Rechenzentren erkennen.
    4. Navigieren zu Discovery > Cloud Discovery-Dashboard, und klicken Sie dann auf die Registerkarte AWS.
    5. Prüfen Sie, ob das Dashboard erkannte Ressourcen für das Konto zeigt, das Sie den neu erstellten AWS-Anmeldeinformationen zugeordnet haben.