Konfigurieren Sie den Zugriff mit temporären Anmeldeinformationen basierend auf vertrauenswürdigen AWSAccounts ohne AWSAnmeldeinformationen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Richten Sie einen vertrauenswürdigen Account ohne Anmeldeinformationen ein AWSAccounts können sich für den Zugriff auf verlassen.

    Vorbereitungen

    Erstellen und konfigurieren Sie vertrauenswürdige AWSAccount.

    Erforderliche Rolle: administrator, Discovery_admin oder sn_CMP.Cloud_admin (für Cloud Provisioning and Governance)

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Dient zur Verwendung eines Accounts ohne AWSAnmeldeinformationen (Account ohne Anmeldeinformationen). Sie müssen diesen Account zuerst mit einer IAM-Rolle und Berechtigungen für den Zugriff auf den vertrauenswürdigen Service-Account konfigurieren. Dann richten Sie die IAM-Rolle des vertrauenden Accounts ein, um Zugriff auf die IAM-Rolle des vertrauenswürdigen Accounts zu gewähren.

    Abbildung : 1. Beliebige werden eingerichtet AWSAccount, der auf einen vertrauenswürdigen Account ohne vertrauen soll AWSAnmeldeinformationen

    Richten Sie die IAM-Rolle des vertrauenden AWS-Accounts ein, um der IAM-Rolle des vertrauenswürdigen AWS-Accounts für den Zugriff zu vertrauen

    Prozedur

    1. Konfigurieren Sie eine IAM-Rolle für den vertrauenden Account.
      1. Melden Sie sich beim vertrauenden Account auf an AWSVerwaltungskonsole.
      2. Erstellen Sie eine IAM-Rolle für diesen Account.
        Verwenden Sie beim Erstellen dieser IAM-Rolle die Account-ID des vertrauenswürdigen Accounts. Für operative Informationen zur Arbeit mit AWSRollen, siehe AmazonDokumentation.
      3. Erstellen Sie eine Richtlinie für schreibgeschützten Zugriff Und hängen Sie sie an die neu erstellte IAM-Rolle an.
    2. Konfigurieren Sie die IAM-Rolle für den vertrauenswürdigen Account.
      1. Melden Sie sich bei an AWSVerwaltungskonsole mit den Anmeldeinformationen des Accounts, den Sie als vertrauenswürdiges Konto einrichten möchten.
      2. Erstellen Sie eine IAM-Rolle, indem Sie auswählen AWS-Service Option.

        Wählen Sie die AWS-Serviceoption aus, um eine IAM-Rolle des vertrauenswürdigen Abschlusses zu erstellen
      3. Erstellen Sie eine Richtlinie für schreibgeschützten Zugriff Für die IAM-Rolle des vertrauenswürdigen Accounts.
      4. Erstellen Sie eine zusätzliche Richtlinie, um dieser IAM-Rolle Zugriff auf Ressourcen in vertrauenden Accounts zu gewähren:
        • Legen Sie fest ActionParameter bis sts:AssumeRole
        • Legen Sie fest ResourceParameter für die ARN der vertrauenden Account-Rolle, die Sie in erstellt haben 1.b.

        Konfigurieren Sie die Richtlinie zwischen der Rolle im vertrauenswürdigen Account und der Rolle im vertrauenswürdigen Account.

      5. Hängen Sie die neu erstellte Rolle an die relevante an AmazonEC2-Instanz.
        Wenn Sie eine IAM-Rolle an eine EC2-Instanz anhängen, wird standardmäßig eine Vertrauensbeziehung zwischen dieser Rolle und der EC2-Instanz erstellt.
        Verifizieren der Vertrauensbeziehung zwischen der IAM-Rolle und der EC2-Instanz.
    3. Konfigurieren Sie den vertrauenswürdigen Service-Account, um Zugriff auf die IAM-Rolle zu gewähren, die zum vertrauenswürdigen Account gehört.
      1. Melden Sie sich beim vertrauenden Account auf an AWSVerwaltungskonsole.
      2. Navigieren Sie zu der IAM-Rolle, die Sie für diesen Account erstellt haben, wie unter beschrieben 1.b.
      3. Bearbeiten Sie die Vertrauensbeziehung für diese IAM-Rolle wie folgt:
        • Legen Sie fest ActionParameter bis sts:AssumeRole .
        • Legen Sie fest AWSParameter für die ARN der vertrauenswürdigen Account-Rolle, die Sie in erstellt haben 2.b.
        Konfigurieren Sie die Vertrauensbeziehung für den vertrauenden Account
    4. Konfigurieren Sie MID-ServerFür AWSIAM-Rollen.
    5. Konfigurieren Sie den vertrauenswürdigen Service-Account ohne Anmeldeinformationen für den vertrauenswürdigen Account unter Now Platform.
      1. Navigieren zu Cloud Provisioning and Governance > Service-Kontenan.
      2. Öffnen Sie das vertrauende Konto.
      3. Geben Sie im Formular „Cloud-Servicekonto“ den Namen des vertrauenswürdigen Kontos im Feld Account des Zugriffsberechtigten ein.
      4. Klicken Sie auf Aktualisieren.
    6. Weisen Sie die für den vertrauenden Account erstellte IAM-Rolle dem vertrauenden Account unter zu Now Platform.
      Wichtig:
      Führen Sie diesen Schritt nur aus, wenn Sie anwenderdefinierte IAM-Rollen erstellt haben. Es ist nicht erforderlich, einem Service-Account die standardmäßige Rolle „OrganizationAccountAccessRole“ zuzuweisen.
      1. Navigieren zu Alle > Cloud Provisioning and Governance > Zugriffsparameter der Organisation > Cloud-Serviceaccount – AWS-übergreifende Rollenübernahmeparameteran.
      2. Wählen Sie Neu.
      3. Im Cloud-Service-Account AWSFormular „Rollenübernahmeparameter überschreiben“. Konfigurieren Sie nur die folgenden Felder:
        Feld Definition
        Name der Zugriffsrolle Name der IAM-Rolle, die für den vertrauende Account erstellt wurde.
        Cloud-Servicekonto Name des vertrauenden Accounts, für den Sie Zugriff mit der IAM-Rolle gewähren.
      4. Wählen Sie Absenden.
        Das System fügt diesen Datensatz dem Cloud-Service-Account hinzu AWSTabelle „Rollenparameter für übergreifende Übernahme“ [cloud_service_account_aws_cross_assume_role].
      Hinweis:
      Standardmäßig ist die Rolle OrganizationAccountAccessRole dem vertrauenswürdigen Verwaltungsaccount des Mitglieds zugewiesen, und DER MID verwendet dasselbe, wenn er dem Cloud-Service-Account nicht hinzugefügt wird AWSTabelle mit Parametern für Organisationsübernahme [cloud_service_account_aws_org_assume_role_params]. Wenn Sie den Standard entfernt oder eine anwenderdefinierte IAM-Rolle erstellt haben, müssen Sie sie dem Cloud-Service-Account manuell hinzufügen AWSTabelle „Parameter für Organisationsübernahme [cloud_service_account_aws_org_assume_role_params]“ für jeden Account des vertrauenden Mitglieds. Navigieren Sie dazu zu Alle > Cloud Provisioning and Governance > Zugriffsparameter der Organisation > Cloud-Serviceaccount – AWS-Organisation – Rollenübernahmeparameter Und führen Sie die vorherigen Schritte aus.

    Nächste Maßnahme

    Überprüfen Sie das ServiceNowAnwendungen können mit der IAM-Rolle auf den vertrauenden Service-Account zugreifen:
    1. Navigieren zu Cloud Provisioning and Governance > Service-Kontenan.
    2. Wählen Sie den vertrauenden Account aus, den Sie konfiguriert haben.
    3. Unter Zugehörige Links , Klicken Sie auf Erkennen Sie Rechenzentren .
    4. Navigieren zu Discovery > Cloud-Discovery-Dashboard, Und klicken Sie dann auf AWS Registerkarte.
    5. Überprüfen Sie, ob das Dashboard erkannte Ressourcen für den Account anzeigt, den Sie dem neu erstellten zugeordnet haben AWSAnmeldeinformationen.