Erkennung von Amazon Simple Storage Service ( AWS S3)
Die ServiceNow Discovery-Anwendung verwendet das Muster „Amazon AWS S3“, um Buckets von öffentlichem und nicht öffentlichem Speicher des Amazon Simple Storage Service zu suchen. Das Muster verwendet eine Reihe von REST API-Aufrufen, um diese Ressourcen zu finden. Die Erkennung einiger dieser Ressourcen erfordert ein Update der Anwendung Muster für Discovery und Service-Mappingaus dem ServiceNow Store.
Zusätzlich zum Erkennungszeitplan löst die ServiceNow-Instanz das Muster „Amazon AWS S3“ aus, wenn AWS Config ein Event an die ServiceNow-Instanz sendet. Config ist ein Service, der AWS-Ressourcen kontinuierlich überwacht und jedes Mal Events an ServiceNow sendet, wenn erkannt wird, dass sich eine Ressourcenkonfiguration geändert hat.
Das Muster „Amazon AWS S3“ kann auch AWS S3-Buckets erkennen, die sich in der Region AWS GovCloud (US) befinden. Für AWS S3 in AWS GovCloud (SU) kann das Muster ausgehende AWS S3-Verbindungen zu anderen Cloud-Ressourcen wie der Lambda-Funktion nicht erkennen. Die Erkennung ausgehender Verbindungen für AWS S3 wird in zukünftigen Versionen unterstützt.
Sie können dieses Muster auf der ServiceNow-Plattform mit Jakarta Patch 10, Kingston Patch 8 oder London Patch 1 verwenden.
Apps im Store anfordern
Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.
Voraussetzungen
- Wenn Sie Identity and Access Management (IAM) verwenden, um Benutzer auf der AWS-Plattform (Amazon Web Services) zu verwalten, stellen Sie sicher, dass Sie eine Benutzerrichtlinie für den AWS-Benutzer erstellt haben. Weitere Informationen finden Sie im Abschnitt zur Erstellung einer IAM-Benutzerrichtlinie für Cloud Provisioning and Governance in der ServiceNow Cloud Provisioning and Governance-Dokumentation.
- Konfigurieren Sie das AWS-Servicekonto.
- Konfigurieren Sie die AWS-Anmeldeinformationen mithilfe eines geheimen Schlüssels und eines Zugriffsschlüssels.
- Benutzerberechtigungen für die AmazonS3ReadOnlyAccess-Richtlinie
- Erkennen Sie logische Rechenzentren, die S3-Buckets hosten, wie unter „Erkennung für ein AWS Cloud-Servicekonto ausführen“ in der ServiceNow Cloud Provisioning and Governance-Dokumentation beschrieben.
- Erstellen Sie einen Zeitplan für das relevante AWS-Servicekonto, wie im Abschnitt zum Planen der Erkennung für ein Servicekonto in der ServiceNow Cloud Provisioning and Governance-Dokumentation beschrieben.
- Zum Aktivieren der alarmbasierten Erkennung konfigurieren Sie den AWS Event-Service wie im Abschnitt zum Einrichten der AWS Event-Verarbeitung für Discovery und Service-Mapping in der ServiceNow Cloud Provisioning and Governance-Dokumentation beschrieben.
- Laden Sie für Cloud-Discovery das Muster „Discovery and Service Mapping“ aus dem ServiceNow Store herunter.
- Stellen Sie bei der Installation von MID-Serversicher, dass der Hostcomputer die auf der Dokumentationswebsite von ServiceNow veröffentlichten MID Server-Systemanforderungen erfüllt oder übertrifft.
Von Discovery während der horizontalen Erkennung erfasste Daten
| Tabelle und Feld | Beschreibung |
|---|---|
| Cloud-Objektspeicher [cmdb_ci_cloud_object_storage] | |
| Bucket-Name [bucket_name] | Der Name des AWS S3-Bucket. Sie können alle in einem logischen Rechenzentrum gehosteten Buckets während eines Erkennungsprozesses erkennen. |
| Erstellungsdatum [creation date] | Erstellungsdatum des AWS S3-Bucket |
| Cloud-Anbieter [cloud_provider] | Amazon AWS |
| Objekt-ID [object_id] | Der Amazon-Ressourcenname (ARN) im folgenden Format: arn:aws:s3:::<bucket name> |
| Servicename [service_name] | Standardmäßig auf S3 festgelegt |
| Eigentümer [owner] | Der Name des Eigentümers des AWS S3-Bucket |
| Verschlüsselungstyp [encryption_type] | Typ der Verschlüsselung für diesen Bucket. Die Auswahlmöglichkeiten sind:
|
| ACL-Zugriffstyp [acl_access_type] | Auswahlmöglichkeiten für Zugriffssteuerungstypen:
|
| Richtlinie Zugriffstyp [policy_access_type] | Auswahlmöglichkeiten für Richtlinien-Zugriffstypen:
|
| Replikationsziel [replication_destination] | Bucket-ARN des Bucket am Replikationsziel |
CI-Beziehungen
| CI | Beziehung | CI |
|---|---|---|
| cmdb_ci_cloud_object_storage | Repliziert zu::Repliziert von | cmdb_ci_cloud_object_storage |
| cmdb_ci_cloud_object_storage | Gehostet auf::Hostet | cmdb_ci_logical_datacenter |
Von Service-Mapping während der Erkennung von oben nach unten erfasste Daten
Service-Mapping kann ausgehende AWS S3-Verbindungen zu Cloud-Ressourcen erkennen, z. B. die Lambda-Funktion.
Problembehandlung
| Symptom | Ursache | Lösung |
|---|---|---|
| Discovery fehlgeschlagen. Die Discovery-Nachricht enthält die Informationen zu einem Fehler, der durch die REST-Zeitüberschreitung verursacht wurde. | Es gibt viele CIs, deren REST-Aufrufantwort in der Bereitstellung gesendet wird. Der MID-Server kann die REST-Aufrufantwort nicht verarbeiten, ohne dass die vom Parameter mid.sa.cloud.request_timeout gesteuerte Zeitbegrenzung überschritten wird. | Standardmäßig ist der Parameter mid.sa.cloud.request_timeout auf 30.000 Millisekunden festgelegt. Erhöhen Sie den Wert dieses Parameters auf dem entsprechenden MID-Server, und führen Sie die Discovery erneut aus. Hinweis: Wenn dieser Parameter in der zugehörigen Liste der Konfigurationsparameter für den betreffenden MID-Server nicht angezeigt wird, müssen Sie ihn möglicherweise hinzufügen. |
| Bei Musterdesigner tritt während einer Debug-Sitzung ein Fehler auf. Die Musterdesigner-Meldung enthält die Informationen zu einem Fehler, der durch eine Zeitüberschreitung verursacht wurde. | Beim Musterdesigner tritt ein Fehler aufgrund einer Zeitüberschreitung beim Muster-Debugging auf (und nicht während der Discovery). | Standardmäßig ist der Parameter sa.debugger.max_timeout auf 240 Sekunden festgelegt. Erhöhen Sie den Wert dieses Parameters auf dem betreffenden MID-Server. |