Zugriff für AWS-Servicekonten einrichten

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Cloud-Discovery und Cloud Provisioning and Governance benötigen Zugriff auf Ressourcen in den AWS-Servicekonten (Amazon Web Services). Informieren Sie sich über verschiedene Methoden zur Konfiguration dieses Zugriffs.

    Cloud-Discovery und Cloud Provisioning and Governance greifen auf Ressourcen in den AWS-Servicekonten über MID Servers zu. Sie müssen eingehenden Datenverkehr an Amazon EC2-Instanzen vom MID-Server autorisieren, um die anfängliche Kommunikation einzurichten. Weitere Informationen finden Sie unter Eingehende Sicherheitsgruppenregeln mit der AWS-Verwaltungskonsole konfigurieren.

    Typen von AWS-Anmeldeinformationen

    Es gibt permanente und temporäre AWS-Anmeldeinformationen, die Sie zur Konfiguration des Zugriffs auf AWS-Servicekonten verwenden können.
    Permanent
    Die permanenten Anmeldeinformationen sind die eigentlichen AWS-Anmeldeinformationen für das Servicekonto, das Sie zum Modul Verbindungen und Anmeldeinformationen von Now Platform hinzufügen. Die Verwaltung der Anmeldeinformationen in Now Platform kann zwar zeitaufwendig sein, Sie vermeiden jedoch die komplexen Konfigurationen, die mit der Verwendung temporärer Anmeldeinformationen verbunden sind.
    Temporär

    Die temporären Anmeldeinformationen werden vom AWS-Sicherheitstoken-Service (AWS STS) für IAM-Rollen generiert. Nachdem Sie IAM-Rollen für Konten von MID-ServerAWS konfiguriert haben, greift AWS mit diesen temporären Anmeldeinformationen auf Ressourcen von [] zu. Sie können die IAM-Standardrolle OrganizationAccountAccessRole verwenden oder benutzerdefinierte IAM-Rollen erstellen.

    Die Annahme von IAM-Rollen in einer großen AWS-Organisation ist bequemer und bietet mehr Sicherheit als die Verwendung einer hohen Anzahl permanenter Anmeldeinformationen für alle AWS-Konten. Temporäre Anmeldeinformationen werden nur im Namen eines Servicekontos erfasst, wenn für dieses Servicekonto in der Tabelle „Servicekonten“ [cmdb_ci_cloud_service_account] keine permanenten Anmeldeinformationen angegeben sind.

    MID-Server verwendet die Aktion AssumeRole in der AWS-Sicherheitstoken-Service-API, um die Rolle eines Mitgliedskontos zu übernehmen. An diese API übergebene Parameter bestimmen, welche zusätzlichen Sicherheitsbeschränkungen auf die Rolle beim Zugriff auf AWS-Ressourcen angewendet werden.

    Standardmäßig ist der MID-Server so konfiguriert, dass er die Rolle OrganizationAccountAccessRole übernimmt, mit der allen Mitgliedern eines Primärkontos temporäre Anmeldeinformationen gewährt werden. Diese Aktion erfolgt automatisch, wenn keine permanenten Anmeldeinformationen für die Mitgliedskonten vorhanden sind. Durch diese Konfiguration werden keine zusätzlichen Sicherheitseinstellungen angewendet; der Zugriff auf Ressourcen in Mitgliedskonten wird nicht eingeschränkt.

    Standardmäßig werden temporäre Anmeldeinformationen für Mitgliedskonten 60 Minuten lang im Cache der ServiceNow-Instanz gespeichert. Dieses Intervall ermöglicht im Prozess der horizontalen Erkennung eine mehrmalige Ausführung, ohne dass bei jeder Erkennung neue Anmeldeinformationen generiert werden müssen. Sie können die Zwischenspeicherung von Anmeldeinformationen verhindern oder den Zwischenspeicherungszeitraum mithilfe der MID Server-Eigenschaften ändern.

    IAM-Rollen und -Berechtigungen

    Um die Sicherheit der AWS-Standardrolle OrganizationAccountAccessRole zu verbessern, können Sie die AWS-Rollen anpassen, die MID Server annehmen können, um temporäre Anmeldeinformationen für Mitgliedskonten zu erhalten. Sie können zusätzliche Berechtigungen konfigurieren, um die Sicherheit zu verbessern und um anzupassen, wie die Rolle des Mitgliedskontos angenommen wird, wenn Cloud-Ressourcen erkannt werden.

    Methoden zum Gewähren von Zugriff

    Im Zusammenhang mit der Konfiguration des Zugriffs für AWS-Konten werden die folgenden Begriffe verwendet:
    Vertrauende Konten
    Vertrauende Konten haben keine permanenten AWS-Anmeldeinformationen. Sie konfigurieren die Vertrauensstellung für IAM-Rollen in diesen Konten so, dass sie für den Zugriff auf andere Konten zurückgreifen.
    Vertrauenswürdige Konten
    Die vertrauenswürdigen Konten werden von den vertrauenden Konten für den Zugriff verwendet. In der Benutzeroberfläche von ServiceNow werden die vertrauenswürdigen Konten als Accounts des Zugriffsberechtigten bezeichnet.
    Normalerweise richten Sie den Zugriff auf die AWS-Konten in Ihrer Organisation mit den folgenden Methoden ein:
    • Zugriff auf AWS-Konten mit permanenten AWS-Anmeldeinformationen konfigurieren

      Konfigurieren Sie die tatsächlichen AWS-Anmeldeinformationen auf der Now Platform, um die Komplexität beim Erstellen und Einrichten von IAM-Rollen zu vermeiden.

    • Zugriff mit temporären Anmeldeinformationen basierend auf vertrauenswürdigen AWS-Konten mit AWS-Anmeldeinformationen konfigurieren

      Konfigurieren Sie die AWS-Konten so, dass sie für den Zugriff auf das vertrauenswürdige Konto zurückgreifen. Dieses Setup funktioniert für jede Art von Konto: diskrete Konten (unabhängig), Verwaltungskonten oder Mitgliedskonten. Wenn Sie das vertrauenswürdige Konto mit den AWS-Anmeldeinformationen auf der Now Platform konfigurieren, können Sie eine IAM-Rolle konfigurieren, die zu den vertrauenden Konten gehört und die dem Benutzer des vertrauenswürdigen Kontos vertraut. Auf diese Weise können Sie nur einen Satz von AWS-Anmeldeinformationen für den Zugriff auf mehrere AWS-Konten verwenden.

      Abbildung : 1. AWS-Konten so einrichten, dass sie auf ein vertrauenswürdiges Konto mit AWS-Anmeldeinformationen zurückgreifen

      Richten Sie die IAM-Rolle des vertrauenden AWS-Kontos so ein, dass sie dem Benutzer des vertrauenswürdigen AWS-Kontos für den Zugriff vertraut
    • Zugriff mit temporären Anmeldeinformationen basierend auf vertrauenswürdigen AWS-Konten ohne AWS-Anmeldeinformationen konfigurieren

      Um ein Konto ohne AWS-Anmeldeinformationen zu verwenden, müssen Sie dieses Konto zuerst mit einer IAM-Rolle und mit Berechtigungen für den Zugriff auf das vertrauende Servicekonto konfigurieren. Dann richten Sie die IAM-Rolle des vertrauenden Kontos ein, um Zugriff auf die IAM-Rolle des vertrauenswürdigen Kontos zu gewähren.

      Abbildung : 2. AWS-Konten so einrichten, dass sie auf einem vertrauenswürdigen Konto ohne AWS-Anmeldeinformationen beruhen

      Richten Sie die IAM-Rolle des vertrauenden AWS-Kontos so ein, dass sie der IAM-Rolle des vertrauenswürdigen AWS-Kontos für den Zugriff vertraut
    • Zugriff mithilfe temporärer Anmeldeinformationen für vertrauende AWS-Mitgliederkonten konfigurieren

      Wenn AWS-Organisationen vorhanden sind, können Sie AWS-Mitgliedskonten so konfigurieren, dass sie für den Zugriff auf das jeweilige Verwaltungskonto zurückgreifen. In diesem Fall konfigurieren Sie die IAM-Rollen der Mitgliedskonten so, dass sie der IAM-Rolle des jeweiligen Verwaltungskontos vertrauen. Es spielt keine Rolle, ob das Verwaltungskonto auf ein Konto mit oder ohne AWS-Anmeldeinformationen zurückgreift.

      Abbildung : 3. Mitgliedskonten so konfigurieren, dass sie für den Zugriff das jeweilige Verwaltungskonto nutzen

      Richten Sie die IAM-Rolle der vertrauenden Mitgliedskonten so ein, dass sie ihrem Verwaltungskonto vertraut

    Wie Cloud-Discovery die zu verwendenden Anmeldeinformationen bestimmt

    Cloud-Discovery verwendet die folgende Logik, um zu bestimmen, welche Anmeldeinformationen zum Erkennen von AWS-Cloud-Ressourcen in Mitgliedskonten verwendet werden:
    1. Wenn für das Mitgliedskonto in der Tabelle „Cloud-Servicekonto“ [cmdb_ci_cloud_service_account] dauerhafte Anmeldeinformationen definiert sind, verwendet Discovery diese Anmeldeinformationen. Die Tabelle „Cloud-Servicekonten“ [cmdb_ci_cloud_service_account] enthält die Informationen zu den Servicekontotypen wie Verwaltungskonto oder Mitgliedskonto und deren Anmeldeinformationen.
    2. Wenn für das Mitgliedskonto keine dauerhaften Anmeldeinformationen definiert sind, überprüft Discovery ] die Tabelle „Cloud-Servicekonto AWS-Org. - Parameter für Rollenübernahme“ [cloud_service_account_aws_org_assume_role_params] auf spezielle Parameter, die dem Mitgliedskonto zugeordnet sind. Wenn in dieser Tabelle Parameter vorhanden sind, verwendet Discovery die temporären Anmeldeinformationen, die durch Angabe einer Rolle und deren Parameter in der Aktion „AssumeRole“ der AWS-Sicherheits-Token-Service-API abgerufen wurden.
    3. Wenn dem Mitgliedskonto in der Tabelle [cloud_service_account_aws_org_assume_role_params] keine speziellen Parameter zugeordnet sind, überprüft Discovery diese Tabelle auf Parameter, die dem Verwaltungskonto zugeordnet sind. Wenn Parameter vorhanden sind, die eine Rolle für das Verwaltungskonto definieren, verwendet Discovery die temporären Anmeldeinformationen, die von dieser Rolle bereitgestellt werden.
    4. Wenn in der Tabelle [cloud_service_account_aws_org_assume_role_params] keine speziellen Parameter für Verwaltungs- oder Mitgliedskonten vorhanden sind, verwendet Discovery die Standardeinstellungen, die für die Rolle OrganizationAccountAccessRole definiert sind.