Voraussetzungen für die Ausführung von Skripts

  • Freigeben Version: Washingtondc
  • Aktualisiert 10. Januar 2026
  • 3 Minuten Lesedauer

    • Erfüllen Sie die Voraussetzungen, bevor Sie die AWS -Skripts ausführen.

    Wichtig:
    Vergewissern Sie sich, dass Sie die in Service Graph Connector für AWSverfügbaren Skripts heruntergeladen haben. Weitere Informationen finden Sie unter Laden Sie die AWS -Skripts herunter.
    Legen Sie die folgenden Details fest, die später während der Ausführung der AWS -Skripts verwendet werden sollen:

    Bestimmen Sie die IAM-Rolle ServiceNow .

    Bestimmen Sie die IAM-Rolle (Identity and Access Management), die schreibgeschützte Vorgänge in Mitgliedskonten ausführt, um die Konfigurationselemente (CIs) aus der Umgebung AWS abzurufen.

    Standardmäßig erstellt das Skript CreateSnowOrganizationAccountAccessRoleInMemberAccount.yml die IAM-Rolle „SnowOrganizationAccountAccessRole“. Sie können den vom Skript erstellten Standardnamen verwenden oder eine neue IAM-Rolle erstellen. Wenn dies jedoch als Eingabeparameter erforderlich ist, müssen Sie in allen Skripts dieselbe IAM-Rolle eingeben. Weitere Informationen finden Sie unter Für die Einrichtung von erforderliche Skripts werden ausgeführt AWS.

    Bestimmen Sie den ServiceNow IAM-Benutzernamen

    Bestimmen Sie den Namen des IAM-Benutzers, der die IAM-Rolle ServiceNow in den Mitgliedskonten übernimmt.

    Standardmäßig erstellt das Skript CreateServiceNowUser.yml den IAM-Benutzer NOWSGCUser. Sie können den vom Skript erstellten Standardnamen verwenden oder einen neuen IAM-Benutzer erstellen. Wenn dies jedoch als Eingabeparameter erforderlich ist, müssen Sie in allen Skripts denselben IAM-Benutzernamen eingeben. Weitere Informationen finden Sie unter Für die Einrichtung von erforderliche Skripts werden ausgeführt AWS.

    Definieren Sie den S3-Bucket für eine umfassende Erkennung

    Richten Sie einen S3-Bucket mit Lese- und Löschberechtigungen für die IAM-Rolle ServiceNow ein, um die SendCommand- API-Antworten beim Importieren von Daten von AWS ] zu speichern und zu löschen.

    Vorbereitungen

    Erforderliche Rolle: Anwendungsadministrator

    Warum und wann dieser Vorgang ausgeführt wird

    Erstellen Sie einen S3-Bucket für die Anwendung Service Graph Connector für AWS, und ermöglichen Sie der ServiceNow IAM-Rolle den Zugriff auf diesen Bucket in der Organisation.
    Hinweis:
    Verwenden Sie einen S3-Bucket nur, wenn Sie eine umfassende Erkennung für EC2-Instanzen durchführen möchten.

    Prozedur

    1. Erstellen Sie einen S3-Bucket in einer Kontoregion AWS.
      Weitere Informationen finden Sie unter Buckets erstellen auf der Dokumentationswebsite AWS.
      Hinweis:
      Der S3-Bucket muss die folgenden Berechtigungseinstellungen aufweisen.
      Tabelle : 1. S3-Bucket-Berechtigungen und ihre Einstellungen
      Berechtigung Einstellung
      Zugriff Bucket und Objekte nicht öffentlich
      Öffentlicher Zugriff auf S3-Block Blockieren Sie den öffentlichen Zugriff auf S3-Buckets und -Objekte

      Weitere Informationen finden Sie unter S3 Block Public Access auf der Dokumentationswebsite AWS.

    2. Fügen Sie eine Bucket-Richtlinie hinzu.

      Weitere Informationen finden Sie unter Bucket-Richtlinien auf der Dokumentationswebsite AWS.

      Um auf den S3-Bucket zuzugreifen, den Sie in Schritt 1erstellt haben, muss die Bucket-Richtlinie von die an die verwalteten EC2-Instanzen angehängte IAM-Instanzprofilrolle zulassen. Sie können entweder eine Bucket-Richtlinie erstellen oder in der Bucket-Zugriffssteuerungsliste (ACL) Zugriff auf Ihr AWS Mitgliedskonto gewähren. Das Mitgliedskonto muss die EC2-Instanzen enthalten.
      Hinweis:
      Durch das Hinzufügen eines AWS Mitgliedskontos zur Bucket-ACL können alle Benutzer und Rollen im Mitgliedskonto auf den S3-Bucket zugreifen.
      Beachten Sie beim Hinzufügen einer Bucket-Richtlinie den folgenden Beispielcode.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AWS-ACCOUNT:role/INSTANCE-PROFILE-ROLE-NAME"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      Wobei
      • SOURCE-AWS-ACCOUNT ist die AWS Konto -ID des Mitgliedskontos, das die EC2-Instanzen enthält.
      • INSTANCE-PROFILE-ROLE-NAME ist das IAM-Instanzprofil, das an die EC2-Instanzen angehängt ist.

        Standardmäßig erstellt das Skript AmazonSSMForInstancesRoleSetup.yml die IAM-Instanzprofilrolle AmazonSSMForInstancesRole und hängt die Rolle an die Bucket-Richtlinie AmazonSSMManagedInstanceCore an. Weitere Informationen finden Sie unter Für die Einrichtung von erforderliche Skripts werden ausgeführt AWS.

      • DOC-BEISPIEL-Bucket ist der S3-Bucket-Name.
      Die folgende Beispiel-Bucket-Richtlinie zeigt die Elemente „effect“, „principal“, „action“ und „resource“. Die Richtlinie lässt AmazonSSMRoleForInstances zu, eine IAM-Instanzprofilrolle in einem Konto mit den S3-Berechtigungen ID 123456789000, s3:GetObject, s3:PutObjectund s3:PutObjectAcl für den Bucket myS3Bucket.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789000:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789001:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789002:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789003:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789004:role/AmazonSSMRoleForInstances"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::myS3Bucket/*"
        }
    ]
}
    3. Hängen Sie IAM-Berechtigungen an die Instanzprofilrolle für EC2-Instanzen an, um die SendCommand- API-Antworten im S3-Bucket zu veröffentlichen, den Sie in Schritt 1erstellt haben.
      Weitere Informationen finden Sie unter Instanzprofile verwenden und IAM-Rollen an Instanzen anhängen auf der Dokumentationswebsite AWS.
      Die an die verwalteten EC2-Instanzen angehängte IAM-Instanzprofilrolle muss über die S3-Berechtigungen s3:GetObject, s3:PutObjectund s3:PutObjectAcl verfügen, um den Zugriff auf den S3-Bucket zu ermöglichen, wie in der folgenden Beispielrichtlinie gezeigt.
      {
    "Version": "2012-10-17",
    "Statement": [
        {
        "Sid": "PublishTerminalOutputToS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      Dabei ist DOC-BEISPIEL-Bucket der S3-Bucket-Name.
      Hinweis:
      Stellen Sie sicher, dass Sie das Suffix /* am Ende des Bucket-Namens hinzufügen, um die Erstellung von Dateien unter dem Bucket-Namen zu ermöglichen.