AWS のサービスグラフコネクタ の構成

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む20読むのに数分

    • AWS 環境とジョブスケジュールを設定し、AWS データを CMDB にプルします。

    始める前に

    この サービスグラフコネクタを使用するには、IT Operations Management(ITOM) (ITOM) Visibility アプリケーションまたは ITOM Discovery アプリケーションをベースにしたサブスクリプションユニットへのサブスクリプションが必要です。サブスクリプションの [ServiceNow サブスクリプションユニットの概要] の「管理対象の IT リソースタイプ」というタイトルのセクションで定義されているとおり、 でサービスグラフコネクタ作成または変更されたCMDBが、ITOM Visibility または ITOM Discovery によってまだ管理されていない管理対象の IT リソースの場合、これらのリソースにより、そのアプリケーションからのサブスクリプションユニットの消費量が増加します。ITOM Visibility または ITOM Discovery 内の現在のサブスクリプションユニットの消費量を確認し、利用可能なキャパシティを確認してください。

    依存関係と要件:
    • 自動的にインストールされる Integration Commons for CMDB ストアアプリ。
    • 自動的にインストールされる CMDB CI Class Models ストアアプリ ストアアプリ。
    • ディスカバリー によって自動的にインストールされる Discovery Core プラグイン (com.snc.discovery.core)。
    • ITOM Discovery ライセンスプラグイン (com.snc.itom.discovery.license)。このプラグインを有効にする必要があります。
    • ITOM Licensing プラグイン (com.snc.itom.license)。詳細については、「Discovery の要求」を参照してください。

    AWS を設定するための前提条件を満たしていることを確認します。「AWS 環境の構成」を参照してください。

    注:
    以前のバージョンからアップグレードする場合は、インスタンスの SSM ドキュメントと IAM アクセス許可 AWS が更新されていることを確認してください。
    • SSM ドキュメントを更新するには、 SG-AWS-RunShellScript-Setup.ymlSG-AWS-RunPowerShellScript-Setup.yml、および SG-AWS-RunKubeCtlShellScript.yml スクリプトを実行します。
    • SnowOrganizationAccountAccessRole ロールにアサインされた IAM アクセス許可を更新するには、 CreateSnowOrganizationAccountAccessRoleInMemberAccount.yml スクリプトを実行します。

    必要なロール:admin

    このタスクについて

    Service Graph Connector for AWS のセットアップの手順の詳細については、次の記事を参照してください。

    手順

    1. アプリケーションピッカーを使用して、Service Graph Connector for AWS アプリケーションスコープを選択したことを確認します。
      詳細については、「アプリケーションピッカー」を参照してください。
    2. 移動先 すべて > AWS 向けサービスグラフコネクタ > セットアップ.
    3. AWS 環境の構成.
      注:
      [スクリプトのダウンロード] タスクで、 [ 構成 ] を選択してスクリプトをダウンロードします。
      スクリプトをダウンロードして環境を設定し AWS たら、[スクリプトのダウンロード] タスクと [AWS セットアップ手順] タスクを完了に設定します。
    4. AWS API に認証要求を送信するための認証資格情報を構成します。
      1. AWS の資格情報を設定します。
        1. [Service Graph Connector for AWS] ページの [接続の構成] セクションで、[はじめに] を選択します。
        2. [資格情報の設定] タスクで、[構成] を選択します。
        3. [名前] フィールドに、認証の名前を入力します。

          SG-AWS-Credentials-Org は、デフォルトの資格情報エイリアス名です。複数の AWS インスタンスを追加できます。ただし、デフォルトの接続エイリアスは変更しないでください。

        4. [ アクセスキー ID ] フィールドと [ 秘密アクセスキー] フィールドに、それぞれアクセスキー ID と秘密アクセスキーを入力します。

          AWS アクセスキーは IAM ユーザーの長期的な資格情報であり、アクセスキー ID と秘密アクセスキーの 2 つの部分で構成されています。要求を認証するには、アクセスキー ID と秘密アクセスキーの両方を一緒に使用する必要があります。

        5. [戻る] アイコン (<) を選択して、[接続の構成] タスクページに戻ります。
        6. [完了としてマーク] を選択して、[資格情報の設定] タスクを完了に設定します。
      2. AWS アプリケーションからデータをインポートする AWS API 接続をテストします。
        1. [接続の構成] セクションの [接続のテスト] タスクで、[構成] を選択します。
        2. [テスト接続] 関連リンクを選択します。
        3. [ステータス] フィールドが [成功] に設定されている場合は、戻るアイコン (&lt;) を選択してガイド付き設定に戻ります。
        4. [完了としてマーク] を選択して、[テスト接続] タスクを完了に設定します。
      3. インスタンスの AWS 必要な構成プロパティを更新します。
        1. [ インスタンスの構成プロパティの更新 ] タスクで、[ 構成] を選択します。
        2. 新しいタブで開く [SG-AWS 構成プロパティ] フォームで、フィールドを確認して変更します。
          表 : 1. [SG-AWS 構成プロパティ] フォーム
          フィールド 説明
          接続の詳細
          接続エイリアス AWS接続レコードを識別する名前です。例: SG_AWS_CredentialAlias_Org

          複数の AWS インスタンスを追加できます。ただし、デフォルトの接続エイリアス SG_AWS_CredentialAlias_Orgの名前は変更しないでください。
          組織の詳細
          組織アカウント AWS 組織の数値アカウント識別子。
          組織名 AWS 組織の名前。
          組織の説明 AWS 組織の説明。
          AWS リージョン
          地域 CI データを収集する AWS リージョン。

          デフォルトでは、 Service Graph Connector for AWS はすべての AWS リージョン内で動作して、 CI データを収集します。

          AWS 特定のリージョンを入力すると、CI データのインポートプロセスを高速化できます。たとえば、us-east1、us-east-2 などです。

          このフィールドが空の場合、Service Graph Connector for AWS はすべての AWS リージョンからリソースをプルします。

          ただし、AWS GovCloud リージョンの場合は、[リージョン] フィールドを空のままにしないでください。サポートされている AWS GovCloud リージョンは、 us-gov-east-1us-gov-west-1です。

          後で [リージョン] フィールドの値を更新する場合は、Service Graph Connector AWS に関連するすべてのデータソースの [前回実行日時] フィールドの値をクリアして、新しいデータセットをインポートします。
          STS 想定ロール名
          STS ロール AWS セキュリティトークンサービス (STS) によって提供される AssumeRole API を呼び出すことによって ServiceNow ユーザーが取得する AWS の ID およびアクセス管理 (IAM) ロール名。AssumeRole API は、 ServiceNow ユーザーが AWS リソースにアクセスするための一時的なセキュリティ資格情報のセットを返します。
          注:
          IAM ロール名を入力しますが、名前のプリフィックス arn は付けません。このフィールドを空のままにすると、このフィールドの値は自動的に SnowOrganizationAccountAccessRoleに設定されます。これは、 ServiceNow ユーザーのデフォルトの IAM ロール名です。
          S3 アカウントの詳細
          S3 アカウント ID Amazon Simple Storage Service (Amazon S3) バケットをホストする AWS アカウントの数値識別子。
          S3 バケット名 Amazon EC2 インスタンスから詳細を収集する Amazon S3 バケットの名前。
          S3 リージョン Amazon S3 バケットが存在するリージョン。
          SSM SendCommand ドキュメントの詳細
          SSM 送信コマンド Linux 名 Linux ベースの Amazon EC2 インスタンスで AWS Systems Manager (SSM) によって実行されるアクションを定義するドキュメントの名前。
          SSM 送信コマンド Windows 名 Windows ベースの Amazon EC2 インスタンスで AWS SSM によって実行されるアクションを定義するドキュメントの名前。
          管理アカウント ID
          管理アカウント ID AWS 組織の管理アカウント。アカウントは、 AWS 組織に関連付けられた ListAccounts API を呼び出して、すべてのアカウントから CI 情報を収集します。詳細については、 AWS ドキュメントサイトの「ListAccounts」を参照してください。

          ServiceNow ユーザーが AWS メンバーアカウントで作成されたときに、このフィールドに値を入力します。
          スタンドアロンアカウント ID の詳細
          スタンドアロンアカウント ID AWS 組織のメンバーアカウントの ID。
          AWS Config アグリゲーターの詳細
          Config アグリゲーターアカウント AWS 構成サービスのアグリゲーターリソースタイプが構成されているAWS アカウント。

          AWS 構成アグリゲーターを使用している場合は、このフィールドに値を入力します。
          Config アグリゲーター名 アグリゲーターリソースタイプの名前。このフィールドは、[Config アグリゲーターアカウント] フィールドに値を入力した場合にのみ使用できます。
          Config アグリゲーターリージョン アグリゲーターリソースタイプが存在するリージョン。このフィールドは、[Config アグリゲーターアカウント] フィールドに値を入力した場合にのみ使用できます。
          AWS キーローテーションセットアップ
          AWS ローテーションキー キーローテーションプロセスを有効にするオプション。
          AWS キーローテーション日 キーローテーションの日付。このフィールドは自動的に次のローテーションの日付に設定されます。このフィールドは、[AWS ローテーション] チェックボックスをオンにした場合にのみ使用できます。
          AWS キーローテーション期間 (日数) キーローテーション期間の日数。このフィールドは、[AWS ローテーション] チェックボックスをオンにした場合にのみ使用できます。
          AWS キーローテーションステータス ローテーションが成功したか失敗したかを示すキーローテーションのステータスメッセージ。このフィールドは、キーローテーションのステータスメッセージを表示するように自動的に設定されます。このフィールドは、[AWS ローテーション] チェックボックスをオンにした場合にのみ使用できます。ローテーションステータスが失敗の場合、メール通知がトリガーされます (設定されている場合)。
          エラー通知を受信するためのメール アカウント キーローテーションエラーに関する通知を受信する受信者のメールアドレスの AWS カンマ区切りのリスト。
          エラー通知を受信するメールアカウントグループ キーローテーションエラーに関するAWS通知を受信するグループのカンマ区切りリストServiceNow
          Gov クラウドセットアップ
          Gov クラウドである 接続セットアップが AWS GovCloud 用であることを示すオプション。
          SSM EKS SendCommand ドキュメントの詳細
          EKS クラスター名ドキュメント AWS EC2 要塞ホストに関連付けられた EKS クラスターを検出するための SSM ドキュメントの名前。
          EKS シェルスクリプトドキュメント ポッド、 AWS サービス、展開などの Kubernetes コンポーネントに関連する CI を EKS クラスターからフェッチするための SSM ドキュメントの名前。
        3. [保存]、[閉じる] の順に選択してタブを閉じ、Guided Setup タブに戻ります。
        4. [完了としてマーク] を選択して、インスタンスタスクの構成プロパティを更新タスクを完了に設定します。
    5. Amazon Elastic Kubernetes Service (EKS) に必要な EC2 リソースを構成して、EKS クラスターデータをインポートします。
      EKS EC2 リソース は、EKS クラスターへのネットワークアクセスを持つ踏み台ホストです。コネクタから EKS クラスターへは直接アクセスできません。したがって、 EKS EC2 リソース の詳細を指定する必要があります。EKS クラスターデータをインポートするために、コネクタは EKS EC2 リソース で SSM Send Command を使用して kubectl コマンドをリモートで実行します。
      注:
      EKS 統合用に AWS 環境が構成されていることを確認してください。詳細については、Now Support ナレッジベースの「Service Graph Connector for AWS - Amazon EKS 統合 [KB1437138]」 の記事を参照してください。
      1. [Service Graph Connector for AWS] ページの [EKS リソースの詳細の構成] セクションで、[はじめに] を選択します。
      2. [EKS EC2 リソースの詳細を入力] タスクで、[構成] を選択します。
      3. 新しいタブで開くフォームで、フィールドに入力します。
        表 : 2. SG-AWS-EKS-EC2-Resource フォーム
        フィールド 説明
        EKS EC2 リソース ID EKS EC2 リソースの識別子。
        EC2 アカウント EKS EC2 リソース アカウントにアサインされたユーザー名。
        EC2 リージョン EKS EC2 リソース が配置されている AWS リージョン。
        アクティブ EKS EC2 リソースを有効にするオプション。
        注:
        EKS EC2 リソース リソースを使用しない場合は、false に設定します。
        接続 AWS 環境セットアップに関連付けられ、ステップ 4.aで構成された接続エイリアス。
      4. [送信] を選択して、Guided Setup に戻ります。
      5. 5.b から 5.d までの手順を繰り返して、複数の EKS EC2 リソースを追加します。
        すべての EKS EC2 リソース が SG-AWS-EKS-Master [sn_aws_integ_sg_aws_eks_master] テーブルに追加されます。
      6. [完了としてマーク] を選択して、[EKS EC2 リソースの詳細を入力] タスクを完了に設定します。
    6. スケジュール設定済みインポートジョブを起動する前に AWS 診断ツールを実行し、AWS 環境セットアップの問題があれば特定します。
      1. [Service Graph AWS 診断ツール] ページの [接続の構成] セクションで、[はじめに] を選択します。
      2. [AWS セットアップ診断ツール] タスクで、[構成] を選択します。
      3. テキストフィールドから組織 ID を選択します。
      4. [診断テストの実行] を選択します。
        ヒント:
        対応するテスト結果を診断サマリーから除外するには、次のいずれかのオプションを選択します。
        SSM セットアップテストをスキップ
        GetInventory API を呼び出さずに、サマリー結果からソフトウェアインベントリデータを除外します。SSM の構成をオプトアウトした場合、または設定していない場合は、このオプションを選択します。
        SSM 詳細検出テストをスキップ
        サマリー結果から詳細検出データを除外します。SSM 詳細検出の構成をオプトアウトした場合、または設定していない場合は、このオプションを選択します。
        SSM セットアップテストをスキップ
        kubectl コマンドを実行しないことで、サマリー結果から EKS データを除外します。EKS 統合をオプトアウトした場合、または設定していない場合は、このオプションを選択します。
      5. オプション: [EKS テストの詳細を表示]を選択して、EKS クラスターテスト結果のみを表示します。
      6. オプション: [DT 結果をロード]を選択し、診断 ID を選択し、[結果を ロード] を選択して、以前の診断ツールの結果をプレビューします。
      7. 診断サマリー結果の確認が完了したら、ブラウザーの [戻る] ボタンを選択して、Guided Setup に戻ります。
      8. [完了としてマーク] を選択して、[AWS セットアップ診断ツール] タスクを完了に設定します。
    7. AWS アプリケーションからデータをインポートするようにジョブスケジュールを構成します。
      1. [Service Graph Connector for AWS] ページの [スケジュール設定済みインポートジョブを構成します] セクションで、[はじめに] を選択します。
      2. [ジョブスケジュールの構成] タスクの [構成] をクリックします。
      3. アクティブ化するジョブスケジュールを選択します。
      4. [予定されているデータインポート] フォームで、ジョブスケジュールのフィールド値を確認します。
        詳細については、「Schedule a data import」を参照してください。
      5. [今すぐ実行] を選択します。
      6. データインポートのジョブスケジュールそれぞれについて、ステップ 7.c7.e を繰り返します。
      7. 戻るアイコン (<) を選択して、Guided Setup ページに戻ります。
      8. Guided Setup で [完了としてマーク] を選択して、[ジョブスケジュールの構成] タスクを完了に設定します。
    8. オプション: 複数のAWSインスタンスを追加します。
      1. [Service Graph Connector for AWS] ページの [複数のインスタンスを追加] セクションで、[はじめに] を選択します。
      2. 新しいインスタンスのデータソースを作成するためのデータソース [sys_data_source] テーブルの編集権限があることを確認してください。
        1. アプリケーションピッカーを使用して、 グローバル アプリケーションスコープを選択します。
        2. [データソースアクセスを更新] タスクの、[構成] を選択します。
        3. [アプリケーションのアクセス] 関連リストで、[ 作成可能]、[ 更新可能]、および [ 削除可能 ] チェックボックスをオンにします (まだ選択されていない場合)。
        4. [更新] を選択してタブを閉じ、Guided Setup タブに戻ります。
        5. [完了としてマーク] を選択して、[データソースアクセスを更新] タスクを完了に設定します。
        6. アプリケーションピッカーを使用して、 Service Graph Connector for AWS にアプリケーションスコープを再度変更します。
      3. スケジュール設定済みインポートジョブのアクセスを更新します。
        1. アプリケーションピッカーを使用して、 グローバル アプリケーションスコープを選択します。
        2. [予定されているデータインポートアクセスを更新] タスクで、[構成] を選択します。
        3. [アプリケーションのアクセス] 関連リストで、[ 作成可能]、[ 更新可能]、および [ 削除可能 ] チェックボックスをオンにします (まだ選択されていない場合)。
        4. [更新] を選択してタブを閉じ、Guided Setup タブに戻ります。
        5. [完了としてマーク] を選択して、[予定されているデータインポートアクセスの更新] タスクを完了に設定します。
        6. アプリケーションピッカーを使用して、 Service Graph Connector for AWS にアプリケーションスコープを再度変更します。
      4. データソース [sys_data_source] テーブルおよび予定されているデータインポート [scheduled_import_set] テーブルのキャッシュをクリアして、新しい接続 AWS のサービスグラフコネクタのデータソースを作成できるようにします。
        1. アプリケーションピッカーを使用して、 グローバル アプリケーションスコープを選択します。
        2. [データソースおよび予定されているデータインポートテーブルのキャッシュをクリア] で、[構成] を選択します。
        3. [ スクリプトを実行 (サーバーで実行される JavaScript)] ペインに次のスクリプトを入力します。
          GlideTableManager.invalidateTable("sys_data_source");
      GlideCacheManager.flushTable("sys_data_source");

      GlideTableManager.invalidateTable("scheduled_import_set");
      GlideCacheManager.flushTable("scheduled_import_set");

      GlideTableManager.invalidateTable("sys_db_object");
      GlideCacheManager.flushTable("sys_db_object");
        4. [スクリプトの実行] を選択します。
        5. [データソースおよび予定されているデータインポートテーブルのキャッシュをクリア] タスクで、[完了としてマーク] を選択して、完了します。
        6. アプリケーションピッカーを使用して、 Service Graph Connector for AWS にアプリケーションスコープを再度変更します。
      5. Service Graph Connector for AWS の新しい AWS 接続用に資格情報エイリアスを作成します。
        1. [新しい接続および資格情報エイリアスレコードを作成] タスクで、[構成] を選択します。
        2. 新しいタブで開く [接続および資格情報エイリアス] フォームで、接続の詳細を入力します。
        3. [送信] を選択してタブを閉じ、[Guided Setup] タブに戻ります。
        4. [完了としてマーク] を選択して、[新しい接続および資格情報エイリアスレコードを作成] タスクを完了に設定します。]
      6. 新しい AWS 資格情報の新しい資格情報エイリアスを作成します。
        1. [新しい接続および資格情報エイリアスレコードを作成] タスクで、[構成] を選択します。
        2. Flow Designer の [接続] ページで、[ 接続の追加] を選択します。
        3. [接続を作成] ウィンドウで、接続名、アクセスキー、および秘密キーの詳細を入力します。
        4. [ 接続の作成] を選択します。
        5. Flow Designer を閉じて、[Guided Setup] タブに戻ります。
        6. [完了としてマーク] を選択して、[新しい接続および資格情報エイリアスレコードを作成] タスクを完了に設定します。]
      7. [新しいインスタンスの AWS 環境の構成] タスクに対して [構成] を選択して、新しいインスタンスAWS のサービスグラフコネクタのプロパティを更新します。
        詳細については、既定で使用可能な接続のプロパティAWSを構成するために前に説明した手順に従ってください4.c

        プロパティの更新が完了したら、[完了としてマーク] を選択して、新しいインスタンスの AWS 環境の構成 タスクを完了に設定します。

      8. [EKS リソースの詳細を更新] タスクで [構成] を選択して、EKS EC2 リソースの詳細を入力します。
        詳細については、デフォルトで利用可能な接続の AWS EKS EC2 リソースの詳細を設定するために前に説明した手順に従ってください5

        プロパティの更新が完了したら、[完了としてマーク] を選択して [EKS リソースの詳細の更新] タスクを完了に設定します。

      9. 新しい AWS インスタンスのインポートスケジュールを設定します。
        1. [インポートスケジュールの構成] タスクの [構成] をクリックします。
        2. 新しいタブで開く [予定されているデータインポート] リストで、構成するインスタンスの AWS 組織を選択します。
        3. アクティブ化するジョブスケジュールを選択します。
        4. [予定されているデータインポート] フォームで、ジョブスケジュールのフィールド値を修正します。
        5. [今すぐ実行] を選択します。
        6. データインポートのジョブスケジュールそれぞれについて、ステップ 8.i.iii8.i.v を繰り返します。
        7. [予定されているデータインポート] リストを閉じ、[Guided Setup] タブに戻ります。
        8. Guided Setup で [完了としてマーク] を選択して、[インポートスケジュールの構成] タスクを完了に設定します。