Konfigurieren Sie den Zugriff mit temporären Anmeldeinformationen für das Vertrauen AWS mitgliedsaccounts in der Treuhänderkette für Management-Accessor

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 3 Minuten Lesedauer

    • Konfigurieren Sie den Zugriff für AWS mitglieds-Accounts mithilfe einer Vertrauenskette vom Zugriffsberechtigten über den Verwaltungs-Account.

    Vorbereitungen

    • Machen Sie sich mit der Amazon-Dokumentation zum Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer vertraut.
    • Stellen Sie sicher, dass Sie wissen, welche AWS mitglieds-Accounts sind demselben Verwaltungs-Account zugewiesen. Sie verwenden das Verwaltungskonto zur Konfiguration temporärer Anmeldeinformationen für die Cloud-Erkennung mithilfe von IAM-Rollen.
    • Bestätigen Sie das Discovery-Administratorarbeitsbereich Verwendet mindestens Version 1.10.0. Die Discovery > Cloud-Service-Accounts Das Navigationsmodul ist mit früheren Versionen nicht verfügbar. Um auf zuzugreifen Cloud-Service-Accounts Geben Sie bei einer früheren Version im Navigationsfilter Folgendes ein: cmdb_ci_Cloud_Service_Account.list .
    Erforderliche Rolle:
    • Für Cloud-Discovery: Discovery_admin
    • Für Cloud Provisioning and Governance: admin oder sn_cmp.cloud_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können den Zugriff für konfigurieren AWS mitglieds-Accounts mithilfe einer Vertrauenskette vom Zugriffsberechtigten über den Verwaltungs-Account. Der Account des Zugriffsberechtigten hat entweder AWS Anmeldeinformationen oder verwendet eine Methode ohne Anmeldeinformationen.

    Abbildung : 1. Mitgliedskonten so konfigurieren, dass sie für den Zugriff das jeweilige Verwaltungskonto nutzen

    Richten Sie die IAM-Rolle der Accounts vertrauender Mitglieder so ein, dass sie ihrem Verwaltungsaccount vertrauen, der wiederum einem Account eines Zugriffsberechtigten vertraut

    Prozedur

    1. Erstellen Sie eine IAM-Rolle für den Mitgliedsaccount, und konfigurieren Sie die Vertrauensbeziehung zwischen dem Anwender, der diese Rolle übernimmt, und dem vertrauenswürdigen Verwaltungs-Account.
      1. Melden Sie sich bei der AWS-Managementkonsole mit den Anmeldeinformationen des Mitgliedskontos an, für das Sie den Zugriff konfigurieren.
      2. Erstellen und konfigurieren Sie die IAM-Rolle, die die Verwaltungs-Account-ID in angibt Account-ID Feld.
        Für operative Informationen zum Erstellen AWS Rollen, siehe Amazon Dokumentation.
      3. Klicken Sie auf der Seite Summary (Zusammenfassung) für die IAM-Rolle auf die Registerkarte Trust Relationships (Vertrauensstellungen).
      4. Klicken Sie Auf Bearbeiten Sie die Vertrauensbeziehung .
        Die Seite „Vertrauensbeziehung bearbeiten“ wird geöffnet und zeigt das Richtliniendokument an.
      5. Bearbeiten Sie die Vertrauensbeziehung wie folgt:
        • Legen Sie fest ActionParameter bis sts:AssumeRole
        • Legen Sie fest AWS Parameter für die ARN der vollständigen Rolle des Verwaltungs-Accounts.

        Vertrauensbeziehung für den vertrauenden Account wird bearbeitet.
      6. Klicken Sie auf Update Trust Policy (Vertrauensrichtlinie aktualisieren).
    2. Auf der ServiceNow AI Platform, Konfigurieren Sie den Service-Account des vertrauenden Mitglieds.
      1. Navigieren zu Alle > Discovery > Cloud-Service-Accountsan.
      2. Wählen Sie Neu.
      3. In Übergeordneter Account Geben Sie den Namen des Verwaltungs-Accounts ein.
      4. Füllen Sie die verbleibenden Felder im Formular aus.
        Eine Beschreibung der Feldwerte finden Sie unter Erstellen AWS Service-Accounts.
      5. Wählen Sie Absenden.
    3. Auf der ServiceNow AI Platform, Weisen Sie zu AWS IAM-Rolle für den Mitgliedsaccount.
      Wichtig:
      Führen Sie diesen Schritt nur aus, wenn Sie anwenderdefinierte IAM-Rollen erstellt haben. Standardmäßig ist die Rolle OrganizationAccountAccessRole dem vertrauenden Verwaltungsaccount des Mitglieds zugewiesen, und Sie müssen die Rolle OrganizationAccountAccessRole keinem Service-Account zuweisen.
      1. Navigieren zu Alle > Cloud-Bereitstellung und -Governance > Zugriffsparameter der Organisation > AWS-Org. – Parameter für Rollenübernahmean.
      2. Wählen Sie Neu.
      3. Konfigurieren Sie im Formular nur die folgenden Felder für den Account des vertrauenden Mitglieds:
        Tabelle : 1. Formular „AWS-Organisation für Cloud-Service-Account – Rollenparameter übernehmen“
        Feld Definition
        Name der Zugriffsrolle Name der IAM-Rolle, die für den vertrauende Account erstellt wurde.
        • Wenn IAM-Rollen für alle Mitgliedsaccounts identisch sind: Geben Sie den vollständigen ARN mit einem Sternchen (*) als Platzhalter für die Account-ID im folgenden Format ein: arn:aws:iam::*:role/MemberRoleName .

          Beispiel: arn:aws:iam::*:role/SN_MEMBER_ACCOUNT_ROLE .

        • Wenn sich die IAM-Rollen in den Mitgliedsaccounts unterscheiden: Geben Sie den vollständigen ARN der spezifischen IAM-Rolle für jeden Mitgliedsaccount in einem separaten Eintrag ein.
        Cloud-Servicekonto Name des vertrauenden Accounts, für den Sie mit der IAM-Rolle Zugriff bereitstellen.
        • Wenn IAM-Rollen für alle Mitgliedsaccounts identisch sind: Geben Sie den Namen des Verwaltungsaccounts ein.
        • Wenn sich die IAM-Rollen in den Mitgliedsaccounts unterscheiden: Geben Sie jeden Mitgliedsaccount in einem separaten Eintrag ein.
      4. Wählen Sie Absenden.

    Nächste Maßnahme

    Konfigurieren Sie den vertrauenden Verwaltungsaccount und den vertrauenswürdigen Zugriffsberechtigungsaccount.