Konfigurieren Sie eine anwenderdefinierte AWS-Mitgliedsrolle

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 1 Minute Lesedauer

    • Passen Sie die AWS-Rollen an, die ein MID-Server übernehmen kann, um temporäre Anmeldeinformationen für Mitgliedsaccounts zu erhalten. Sie können zusätzliche Parameter konfigurieren, um die Sicherheit zu verbessern und die Art und Weise anzupassen, wie die Rolle des Mitglieds-Accounts bei der Erkennung von Cloud-Ressourcen übernommen wird.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Werte, die Sie in der Tabelle „Cloud-Serviceaccount“ > „AWS-Organisation – Rollenübernahmeparameter“ [cloud_service_account_aws_org_assume_role_params] eingeben, werden als Parameter an die AWS-AssumeRole-API für den benannten Service-Account übergeben.

    Prozedur

    1. Navigieren zu Alle > Cloud-Bereitstellung und -Governance > Zugriffsparameter der Organisation > AWS-Org. – Parameter für Rollenübernahmean.
      AWS-Organisation – Rollenparameter-Modul übernehmen
    2. Klicken Sie Auf Neu Und füllen Sie dann das Formular mit diesen Parametern aus:
      Feld Beschreibung
      Zugriffsrollenname [Access_role_Name] Name der AWS-Rolle im Mitglieds-Account, die vom Verwaltungs-Account zum Abrufen temporärer Anmeldeinformationen verwendet wird.

      Standard: OrganizationAccountAccessRole
      Name der Rollensitzung [role_Session_Name] Name für die Sitzung mit den temporären Sicherheitsanmeldeinformationen, die bei der Unterscheidung der Verwendung einer Rolle nach einem Prinzipal oder Zweck helfen können. Dieser Sitzungsname ist in den AWS-Cloudpfadprotokollen sichtbar. Siehe Cloud-API-Pfad Und AWS-Dokumentation Im AWS-Cloudpfad für Details.

      Standard: Master_Account_ID_<Management Account ID number> ein Beispiel hierfür ist: Master_Account_ID__321003876149 .
      Anmeldeinformations-ttl in Sekunden [credential_ttl_seconds] Zeit in Sekunden, bis die temporären Sicherheitsanmeldeinformationen gültig sind.
      Standard: Wird wie folgt berechnet:
      1. Rufen Sie den Wert in ab mid.aws.sts.assume_role.credential_ttl_minutes MID-Servereigenschaft .
      2. Beschränken Sie diesen Wert auf einen Wert zwischen 15 und 720 Minuten. Wenn die Einstellung in der Eigenschaft weniger als 15 Minuten beträgt, gibt das System 15 Minuten ein. Wenn die Einstellung größer als 720 Minuten ist, gibt das System 720 Minuten ein.
      3. Konvertieren Sie den resultierenden Wert in Sekunden.
      Externe ID [external_ID] Eindeutiger Bezeichner, der von der Vertrauensrichtlinie der übernommenen Rolle erforderlich ist.

      Standard: ServiceNow_MID_Server
      Sitzungsrichtlinie [Session_Policy] IAM-Richtlinie im JSON-Format, die die Berechtigungen der temporären Sicherheitsanmeldeinformationen über die konfigurierte Richtlinie für die Rolle hinaus einschränkt. (JSON in AWS-Richtliniensprache.)

      Standard: leer
      MFA [Multifaktor-Authentifizierung] Seriennummer des MFA-Geräts (Hardware oder virtuell), das zur Authentifizierung des Verwaltungs-Accounts verwendet wird.

      Standard: leer
      MFA-Tokencode [mfa_Token_Code] Tokencode, der vom MFA-Gerät (Hardware oder virtuell) bereitgestellt wird, das zur Authentifizierung des Verwaltungs-Accounts verwendet wird.

      Standard: leer
      Cloud-Service-Account [Cloud_Service_Account] Erforderlich. Service-Account, der den Zugriffsparametern zugeordnet werden soll, die Sie an die AWS AssumeRole-API übergeben. Geben Sie eine Account-ID aus der Tabelle „Serviceaccounts“ [cmdb_ci_cloud_service_account] ein, entweder ein Verwaltungs-Account oder ein Mitgliedsaccount.
      Hinweis:
      Weitere Informationen dazu, wie diese Parameter verwendet werden und was sie bedeuten, finden Sie unter AWS-Dokumentation Auf der AWS-Sicherheitstoken-Service-API für die Aktion „AssumeRole“.