Governance für Cloud-Konfigurationen for AWS einrichten

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Richten Sie in Governance für Cloud-Konfigurationen Zugriff auf die AWS-Cloud-Konten (Amazon Web Services) ein, um die Interaktion zwischen der Anwendung und der Cloud zu ermöglichen. Die Anwendung erfordert Zugriff auf die Cloud-Konten, damit die Cloud-Ressourcen auf nicht konforme Konfigurationen gescannt und nicht konforme Konfigurationen korrigiert werden können.

    Vorbereitungen

    Erforderliche Rolle: sn_itom_ccg.scheduling_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Im Zusammenhang mit der Konfiguration des Zugriffs für AWS-Konten werden die folgenden Begriffe verwendet:
    Vertrauende Konten
    Vertrauende Konten haben keine permanenten AWS-Anmeldeinformationen. Sie konfigurieren die Vertrauensstellung für IAM-Rollen in diesen Konten so, dass sie für den Zugriff auf andere Konten zurückgreifen.
    Vertrauenswürdige Konten
    Die vertrauenswürdigen Konten werden von den vertrauenden Konten für den Zugriff verwendet. In der Benutzeroberfläche von ServiceNow werden die vertrauenswürdigen Konten als Accounts des Zugriffsberechtigten bezeichnet.
    Verwenden Sie eine der folgenden Methoden, um den Zugriff auf die Konten AWS zu konfigurieren:
    • Konfigurieren Sie die permanenten Anmeldeinformationen in Now Platform für die Verbindung mit den eigenständigen AWS -Accounts (diskrete Accounts). Die Tabelle „Cloud-Servicekonto“ [cmdb_ci_cloud_service-account] enthält die Informationen zum Servicekontotyp wie Verwaltungskonto oder Mitgliedskonto und deren Anmeldeinformationen.
    • Konfigurieren Sie die Mitgliedskonten so, dass sie für den Zugriff auf das Verwaltungskonto zurückgreifen. Konfigurieren Sie die permanenten Anmeldeinformationen des Verwaltungskontos in diesem Fall auf der Now Platform.
    • Konfigurieren Sie die Konten so, dass für den Zugriff ein vertrauenswürdiges Konto verwendet wird (lateraler Zugriff innerhalb derselben AWS-Organisation oder über verschiedene AWS-Organisationen hinweg). Konfigurieren Sie die permanenten Anmeldeinformationen des vertrauenswürdigen Kontos in diesem Fall auf der Now Platform.
    Hinweis:
    Governance für Cloud-Konfigurationen verwendet kein MID-Server-basiertes Setup für die Rollenübernahme, um auf die vertrauenden Accounts zuzugreifen.

    Prozedur

    1. Erstellen Sie Anmeldeinformationen für die AWS-Servicekonten.
      1. Navigieren zu Verbindung und Anmeldeinformationen > Anmeldeinformationen.
      2. Wählen Sie Neu und dann AWS-Anmeldeinformationen aus.
      3. Füllen Sie die Felder des Formulars aus.
        Tabelle : 1. Formular für AWS-Anmeldeinformationen
        Feld Beschreibung
        Name Eindeutiger und beschreibender Name für die AWS-Anmeldeinformationen
        Aktiv Option zur Verwendung dieser Anmeldeinformationen.
        Zugangsschlüssel-ID Die Zugriffsschlüssel-ID, die Sie in der AWS-Verwaltungskonsole erstellt haben
        Geheimer Zugangsschlüssel Der geheime Zugriffsschlüssel, den Sie in der AWS-Verwaltungskonsole erstellt haben
      4. Wählen Sie Speichern.
    2. Wählen Sie den Anmeldeinformationsalias sn_itom_cal.Aws_Creds_Alias aus, oder erstellen Sie einen Anmeldeinformationsalias.
      1. Entsperren Sie den Anmeldeinformationsalias.
      2. Suchen Sie nach einem Anmeldeinformationsalias.
      3. Wählen Sie Neu.
      4. Füllen Sie die Felder des Formulars aus.
        Tabelle : 2. Formular „Verbindungs- und Anmeldeinformationsalias“
        Feld Beschreibung
        Name Eindeutiger Name des Alias
        Typ Typ des Anmeldeinformationsalias.

        Wählen Sie in der Dropdown-Liste „Typ“ die Option Anmeldeinformationen aus.
      5. Wählen Sie Absenden aus.
    3. Legen Sie das Feld Authentifizierungsalgorithmus auf AWS Authenticator fest.
    4. Wählen Sie Absenden aus.
    5. Richten Sie ein AWS-Servicekonto ein.
      1. Navigieren zu Cloud Provisioning and Governance > Servicekonten.
      2. Wählen Sie Neu.
      3. Füllen Sie die Felder des Formulars aus.
        Tabelle : 3. Formular für Cloud-Servicekonto
        Feld Beschreibung
        Name Eindeutiger Name des Servicekontos
        Account-ID 12-stellige Nummer des Benutzerkontos. Erweitern Sie die Liste unter dem Kontonamen in der AWS-Verwaltungskonsole, um die Nummer anzuzeigen.
        Wichtig:
        Entfernen Sie im Feld Konto-ID die Bindestriche (-) aus der Nummer.
        Discovery-Anmeldeinformationen Anmeldeinformationen, die für ServiceNow -Anwendungen erforderlich sind, um auf den Cloud-Account zuzugreifen. Sie können die Discovery-Anmeldeinformationen zu einem späteren Zeitpunkt konfigurieren, während Sie den Zugriff auf die Konten AWS konfigurieren.
        • Wenn Sie ein unabhängiges Servicekonto oder ein Verwaltungskonto einrichten, wählen Sie die zugehörigen AWS-Anmeldeinformationen aus.
        • Um andere AWS -Accounts für den Zugriff auf diesen Account zu verwenden, lassen Sie das Feld leer.

          Beispielsweise müssen Sie die Anmeldeinformationen AWS nicht für Konten angeben, die IAM-Rollen (Identity and Access Management) übernehmen, oder für Mitgliedskonten, die ihr Verwaltungskonto für den Zugriff verwenden.
        Rechenzentrums-URL URL des Rechenzentrums.

        Lassen Sie dieses Feld leer.
        Rechenzentrumstyp Typ des Rechenzentrums, in dem das Konto gehostet wird.

        Wählen Sie AWS-Rechenzentrum aus.
        Rechenzentrums-Discovery-Status Automatisch generierter Wert: Status und Zeitstempel der letzten Ausführung von Discovery im Rechenzentrum.
        Übergeordneter Account Name des Verwaltungskontos, das die AWS-Organisation darstellt, zu der dieses Mitgliedskonto gehört.

        Dieses Feld wird angezeigt, wenn Sie „AWS-Rechenzentrum“ auswählen. Wenn der Account keiner AWS -Organisation angehört, lassen Sie dieses Feld leer.
        Ist Master-Konto Kennzeichnung des Verwaltungskontos.

        Dieses Kontrollkästchen wird angezeigt, wenn Sie in der Dropdown-Liste „Rechenzentrumstyp“ die Option „AWS-Rechenzentrum“ auswählen. Aktivieren Sie das Kontrollkästchen, um das AWS-Servicekonto dem Verwaltungskonto zuzuordnen. Aktivieren Sie dieses Kontrollkästchen nur für Konten, die Sie zuvor als Verwaltungskonten konfiguriert haben und zu denen einige Mitgliedskonten gehören. Weitere Informationen zur Organisation AWS finden Sie unter AWS Dokumentation.
        Account des Zugriffsberechtigten Name des vertrauenswürdigen Kontos.

        Konfigurieren Sie dieses Feld nur für Konten, bei denen keine permanenten AWS-Anmeldeinformationen verwendet werden und bei denen IAM-Rollen für den Zugriff genutzt werden.
      4. Wählen Sie Absenden aus.
    6. Führen Sie eine der folgenden Aktionen aus.
      OptionBeschreibung
      Erstellen Sie eine Konfiguration für die Rollenübernahme für das Verwaltungskonto

      Wenn Sie ein Verwaltungskonto verwenden möchten, um die Mitgliedskonten der Organisation AWS zu scannen, erstellen Sie eine Konfiguration für die Rollenübernahme für das Verwaltungskonto.

      1. Wenn Sie OrganizationAccountAccessRole nicht für den Zugriff auf den Mitgliedsaccount verwenden möchten, konfigurieren Sie den vertrauenden Account für Governance für Cloud-Konfigurationen.

        Weitere Informationen finden Sie unter Konfigurieren Sie das vertrauende Konto für Governance für Cloud-Konfigurationen und Bibliothek von Cloud-Aktionen.

      2. Wiederholen Sie Schritt 6.a für alle Mitgliedskonten, die über das Verwaltungskonto gescannt werden müssen, ohne die OrganizationAccountAccessRole zu verwenden.

      3. Wenn Sie die OrganizationAccountAccessRole verwenden möchten, um auf das Mitgliedskonto zuzugreifen, erstellen Sie eine Konfiguration für die Übernahme von Rollen für das Verwaltungskonto.

        Weitere Informationen finden Sie unter Konfiguration für die Übernahme von Rollen erstellen.
      Konfigurieren Sie das vertrauende Konto für Governance für Cloud-Konfigurationen

      Wenn Sie ein vertrauenswürdiges Konto zum Scannen des vertrauenden Kontos verwenden möchten, konfigurieren Sie das vertrauende Konto für Governance für Cloud-Konfigurationen.

      1. Konfigurieren Sie das vertrauende Konto für Governance für Cloud-Konfigurationen.

        Weitere Informationen finden Sie unter Konfigurieren Sie das vertrauende Konto für Governance für Cloud-Konfigurationen und Bibliothek von Cloud-Aktionen.

      2. Wiederholen Sie Schritt 6.a für alle vertrauenswürdigen Konten, die über das vertrauenswürdige Konto gescannt werden müssen.
    7. Installieren und konfigurieren Sie die MID Servers.
      Weitere Informationen finden Sie unter MID-Server installieren und konfigurieren.
    8. Führen Sie die Rechenzentrumserkennung aus, um die mit den Servicekonten verbundenen Rechenzentren zu identifizieren.
      Weitere Informationen finden Sie unter Rechenzentrumserkennung ausführen.