Voraussetzungen für die Ausführung von Skripts

  • Freigeben Version: Xanadu
  • Aktualisiert 17. Juni 2026
  • 3 Minuten Lesedauer

    • Füllen Sie die Voraussetzungen aus, bevor Sie die AWS -Skripts ausführen.

    Wichtig:
    Stellen Sie sicher, dass Sie die in Service Graph Connector für AWSverfügbaren Skripts heruntergeladen haben. Weitere Informationen finden Sie unter Laden Sie die AWS -Skripts herunter.
    Legen Sie die folgenden Details fest, die später während der Ausführung der AWS -Skripts verwendet werden sollen:

    Bestimmen Sie die IAM-Rolle ServiceNow .

    Legen Sie die IAM-Rolle (Identity and Access Management) fest, die schreibgeschützte Vorgänge in Mitgliedskonten ausführt, um die Configuration Items (CIs) aus der Umgebung AWS abzurufen.

    Standardmäßig erstellt das Skript CreateSnowOrganizationAccountAccessRoleInMemberAccount.yml die IAM-Rolle SnowOrganizationAccountAccessRole. Sie können den vom Skript erstellten Standardnamen verwenden oder eine neue IAM-Rolle erstellen. Wenn dies jedoch als Eingabeparameter erforderlich ist, müssen Sie dieselbe IAM-Rolle in allen -Skripts eingeben. Weitere Informationen finden Sie unter Die für die Einrichtung erforderlichen Skripts werden ausgeführt AWS.

    Bestimmen Sie den IAM-Anwendernamen ServiceNow .

    Bestimmen Sie den Namen des IAM-Benutzers, der die IAM-Rolle ServiceNow in den Mitgliedskonten übernimmt.

    Standardmäßig erstellt das Skript CreateServiceNowUser.yml den IAM-Benutzer NOWSGCUser. Sie können den vom Skript erstellten Standardnamen verwenden oder einen neuen IAM-Benutzer erstellen. Wenn dies jedoch als Eingabeparameter erforderlich ist, müssen Sie in allen -Skripts denselben IAM-Anwendernamen eingeben. Weitere Informationen finden Sie unter Die für die Einrichtung erforderlichen Skripts werden ausgeführt AWS.

    Definieren Sie den S3-Bucket für eine umfassende Erkennung

    Richten Sie einen S3-Bucket mit Lese- und Löschberechtigungen für die IAM-Rolle ServiceNow ein, um die SendCommand- API-Antworten beim Importieren von AWS -Daten zu speichern und zu löschen.

    Vorbereitungen

    Erforderliche Rolle: Anwendungsadministrator

    Warum und wann dieser Vorgang ausgeführt wird

    Erstellen Sie einen S3-Bucket für die Anwendung Service Graph Connector für AWS, und ermöglichen Sie der ServiceNow IAM-Rolle Zugriff auf diesen Bucket in der Organisation.
    Hinweis:
    Verwenden Sie einen S3-Bucket nur, wenn Sie eine umfassende Erkennung für EC2-Instanzen durchführen möchten.

    Prozedur

    1. Erstellen Sie einen S3-Bucket in einer Account-Region AWS.
      Siehe Bucket erstellen auf der Dokumentationswebsite AWS.
      Hinweis:
      Der S3-Bucket muss die folgenden Berechtigungseinstellungen aufweisen.
      Tabelle : 1. S3-Bucket-Berechtigungen und ihre Einstellungen
      Berechtigung Einstellung
      Zugriff Bucket und Objekte nicht öffentlich
      Öffentlicher Zugriff auf S3-Block Blockieren Sie den öffentlichen Zugriff auf S3-Buckets und -Objekte

      Weitere Informationen finden Sie unter Öffentlicher Zugriff auf S3-Block auf der Dokumentationswebsite AWS.

    2. Fügen Sie eine Bucket-Richtlinie hinzu.

      Siehe Bucket-Richtlinien auf der Dokumentationswebsite AWS.

      Um auf den S3-Bucket zuzugreifen, den Sie in Schritt 1erstellt haben, muss die Bucket-Richtlinie die IAM-Instanzprofilrolle zulassen, die an die verwalteten EC2-Instanzen angehängt ist. Sie können entweder eine Bucket-Richtlinie erstellen oder Ihrem AWS Mitgliedsaccount in der Bucket-Zugriffssteuerungsliste (ACL) Zugriff gewähren. Der Mitgliedsaccount muss die EC2-Instanzen enthalten.
      Hinweis:
      Durch Hinzufügen eines AWS Mitgliedsaccounts zur Bucket-ACL können alle Benutzer und Rollen im Mitgliedsaccount auf den S3-Bucket zugreifen.
      Beachten Sie den folgenden Beispielcode, wenn Sie eine Bucket-Richtlinie hinzufügen.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AWS-ACCOUNT:role/INSTANCE-PROFILE-ROLE-NAME"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      Wobei
      • SOURCE-AWS-ACCOUNT ist die AWS Account -ID des Mitgliedsaccounts, der die EC2-Instanzen enthält.
      • INSTANCE-PROFILE-ROLE-NAME ist das IAM-Instanzprofil, das an die EC2-Instanzen angehängt ist.

        Standardmäßig erstellt das Skript AmazonSSMForInstancesRoleSetup.yml die IAM-Instanzprofilrolle AmazonSSMForInstancesRole und hängt die Rolle an die Bucket-Richtlinie AmazonSSMManagedInstanceCore an. Weitere Informationen finden Sie unter Die für die Einrichtung erforderlichen Skripts werden ausgeführt AWS.

      • DOC-EXAMPLE-Bucket ist der S3-Bucket-Name.
      Die folgende Beispiel-Bucket-Richtlinie zeigt die Elemente Wirkung, Prinzipal, Aktion und Ressource. Die Richtlinie ermöglicht AmazonSSMRoleForInstances, eine IAM-Instanzprofilrolle in einem Account mit der ID 123456789000, den S3-Berechtigungen s3:GetObject, s3:PutObjectund s3:PutObjectAcl für den Bucket myS3Bucket.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789000:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789001:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789002:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789003:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789004:role/AmazonSSMRoleForInstances"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::myS3Bucket/*"
        }
    ]
}
    3. Fügen Sie der Instanzprofilrolle IAM-Berechtigungen für EC2-Instanzen hinzu, um die SendCommand- API-Antworten im S3-Bucket zu veröffentlichen, den Sie in Schritt 1erstellt haben.
      Weitere Informationen finden Sie unter Instanzprofile verwenden und Eine IAM-Rolle an eine Instanz anhängen auf der Dokumentationswebsite AWS.
      Die an die verwalteten EC2-Instanzen angehängte IAM-Instanzprofilrolle muss über die S3-Berechtigungen s3:GetObject, s3:PutObjectund s3:PutObjectAcl verfügen, um den Zugriff auf den S3-Bucket zu ermöglichen, wie in der folgenden Beispielrichtlinie gezeigt.
      {
    "Version": "2012-10-17",
    "Statement": [
        {
        "Sid": "PublishTerminalOutputToS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      Dabei ist DOC-EXAMPLE- Bucket der Name des S3-Buckets.
      Hinweis:
      Stellen Sie sicher, dass Sie das Suffix „ /* “ am Ende des Bucket-Namens hinzufügen, um die Erstellung von Dateien unter dem Bucket-Namen zu ermöglichen.