Zugriffs-Setup für AWSService-Accounts

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Cloud-DiscoveryUnd Cloud Provisioning and GovernanceBenötigt Zugriff auf Ressourcen in Amazon Web Services( AWS) Service-Accounts. Erfahren Sie mehr über verschiedene Methoden zur Konfiguration eines solchen Zugriffs.

    Cloud-DiscoveryUnd Cloud Provisioning and GovernanceGreifen Sie auf Ressourcen in zu AWSService-Accounts bis MID Servers. Sie müssen eingehenden Datenverkehr von dem MID-Server an Amazon EC2-Instanzen autorisieren, um die erste Kommunikation einzurichten. Weitere Informationen finden Sie unter Konfigurieren Sie eingehende Regeln für Sicherheitsgruppen mit der AWS-Verwaltungskonsole .

    Typen von AWSAnmeldeinformationen

    Es gibt permanente und temporäre AWSAnmeldeinformationen, die Sie zum Konfigurieren des Zugriffs auf verwenden können AWSService-Accounts.
    Festangestellt
    Die permanenten Anmeldeinformationen sind die tatsächlichen AWSAnmeldeinformationen für den Service-Account, den Sie dem hinzufügen Verbindungen und AnmeldeinformationenModul von Now Platform. Es kann zeitaufwändig sein, Anmeldeinformationen für zu verwalten Now Platform, Vermeiden Sie die komplexen Konfigurationen, die bei der Verwendung temporärer Anmeldeinformationen erforderlich sind.
    Temporär

    Die temporären Anmeldeinformationen werden von generiert AWSSicherheitstoken-Service (AWS STS) für IAM-Rollen. Nachdem Sie IAM-Rollen für konfiguriert haben AWSAccounts, die MID-ServerZugriffe AWSRessourcen mit diesen temporären Anmeldeinformationen. Sie können die standardmäßige IAM-Rolle verwenden, OrganizationAccountAccessRole, Oder erstellen Sie anwenderdefinierte IAM-Rollen.

    IAM-Rollen werden angenommen in einem großen AWSDie Organisation ist bequemer und bietet bessere Sicherheit als die Verwendung einer großen Anzahl dauerhafter Anmeldeinformationen für alle AWSAccounts. Temporäre Anmeldeinformationen werden nur im Namen eines Service-Accounts erworben, wenn für diesen Service-Account keine permanenten Anmeldeinformationen in der Tabelle „Serviceaccounts“ [cmdb_ci_cloud_service_account] angegeben sind.

    Die MID-ServerVerwendet AssumeRole Aktion in AWS-Sicherheitstoken-Service-API Um eine Mitgliedsaccount-Rolle zu übernehmen. An diese API übergebene Parameter bestimmen, welche zusätzlichen Sicherheitsbeschränkungen auf die Rolle angewendet werden, wenn sie auf zugreift AWSRessourcen.

    Standardmäßig ist MID-ServerIst so konfiguriert, dass angenommen wird OrganizationAccountAccessRole, Der allen Mitgliedern eines primären Accounts temporäre Anmeldeinformationen gewährt. Diese Aktion wird automatisch ausgeführt, wenn für die Mitgliedsaccounts keine dauerhaften Anmeldeinformationen vorhanden sind. Diese Konfiguration wendet keine zusätzliche Sicherheit an oder schränkt den Zugriff auf Ressourcen in Mitgliedsaccounts ein.

    Standardmäßig ist ServiceNowInstanz speichert temporäre Anmeldeinformationen für Mitgliedsaccounts 60 Minuten lang im Cache. Mit diesem Intervall kann der horizontale Discovery-Prozess mehrmals ausgeführt werden, ohne während jeder Discovery neue Anmeldeinformationen zu generieren. Sie können das Caching von Anmeldeinformationen verhindern oder den Caching-Zeitraum mit ändern MID-Servereigenschaften .

    IAM-Rollen und -Berechtigungen

    Dient zur Verbesserung der Sicherheit, die vom Standard-AWS bereitgestellt wird OrganisationAccountAccessRole Rolle können Sie die AWS-Rollen anpassen, die MID-Server übernehmen können, um temporäre Anmeldeinformationen für Mitgliedsaccounts zu erhalten. Sie können zusätzliche Berechtigungen konfigurieren, um die Sicherheit zu verbessern und die Art und Weise anzupassen, wie die Rolle des Mitgliedsaccounts bei der Erkennung von Cloud-Ressourcen übernommen wird.

    Methoden für die Gewährung von Zugriff

    Zum Konfigurieren des Zugriffs für AWSAccounts werden die folgenden Begriffe verwendet:
    Vertrauenswürdige Accounts
    Die vertrauenden Accounts haben keine permanenten Accounts AWSAnmeldeinformationen. Sie konfigurieren die Vertrauensbeziehung für IAM-Rollen in diesen Accounts, um sich auf andere Accounts für den Zugriff zu verlassen.
    Vertrauenswürdige Accounts
    Die vertrauenswürdigen Accounts werden von den vertrauenswürdigen Accounts für den Zugriff verwendet. Die ServiceNowUI bezieht sich auf die vertrauenswürdigen Accounts als Zugriffsberechtigte-Accounts.
    Normalerweise richten Sie den Zugriff auf ein AWSAccounts in Ihrer Organisation mit den folgenden Methoden:
    • Konfigurieren Sie den Zugriff auf AWSAccounts, die dauerhaft verwenden AWSAnmeldeinformationen

      Konfigurieren Sie den ist-Wert AWSAnmeldeinformationen bei Now PlatformUm die Komplexität der Erstellung und Einrichtung von IAM-Rollen zu vermeiden.

    • Konfigurieren Sie den Zugriff mit temporären Anmeldeinformationen basierend auf vertrauenswürdigen AWSAccounts mit AWSAnmeldeinformationen

      Konfigurieren Sie AWSAccounts, die sich für den Zugriff auf den vertrauenswürdigen Account verlassen sollen. Dieses Setup funktioniert für jede Art von Account: Diskret (unabhängig), Management oder Mitglied. Wenn Sie den vertrauenswürdigen Account mit konfigurieren AWSAnmeldeinformationen bei Now Platform, Sie können eine IAM-Rolle konfigurieren, die zu den vertrauenswürdigen Accounts gehört, um dem Anwender des vertrauenswürdigen Accounts zu vertrauen. Auf diese Weise können Sie nur einen Satz von verwenden AWSAnmeldeinformationen für die Bereitstellung des Zugriffs auf mehrere AWS-Accounts.

      Abbildung : 1. Beliebige werden eingerichtet AWSAccount, für den ein vertrauenswürdiger Account verwendet werden soll AWSAnmeldeinformationen

      Richten Sie die IAM-Rolle des vertrauenden AWS-Accounts ein, um dem Anwender des vertrauenswürdigen AWS-Accounts beim Zugriff zu vertrauen
    • Konfigurieren Sie den Zugriff mit temporären Anmeldeinformationen basierend auf vertrauenswürdigen AWSAccounts ohne AWSAnmeldeinformationen

      Dient zur Verwendung eines Accounts ohne AWSAnmeldeinformationen (Account ohne Anmeldeinformationen). Sie müssen diesen Account zuerst mit einer IAM-Rolle und Berechtigungen für den Zugriff auf den vertrauenswürdigen Service-Account konfigurieren. Dann richten Sie die IAM-Rolle des vertrauenden Accounts ein, um Zugriff auf die IAM-Rolle des vertrauenswürdigen Accounts zu gewähren.

      Abbildung : 2. Beliebige werden eingerichtet AWSAccount, der auf einen vertrauenswürdigen Account ohne vertrauen soll AWSAnmeldeinformationen

      Richten Sie die IAM-Rolle des vertrauenden AWS-Accounts ein, um der IAM-Rolle des vertrauenswürdigen AWS-Accounts für den Zugriff zu vertrauen
    • Konfigurieren Sie den Zugriff mit temporären Anmeldeinformationen für das Vertrauen AWSmitgliedsaccounts

      Wenn vorhanden AWSOrganisationen können Sie konfigurieren AWSmitglieds-Accounts, um Zugriff auf ihren Verwaltungs-Account zu erhalten. In diesem Fall konfigurieren Sie die IAM-Rollen der Mitgliedsaccounts so, dass sie der IAM-Rolle ihres Verwaltungs-Accounts vertrauen. Es spielt keine Rolle, ob der Verwaltungs-Account auf einem Account mit oder ohne basiert AWSAnmeldeinformationen.

      Abbildung : 3. Mitgliedsaccounts werden so konfiguriert, dass ihr Verwaltungs-Account für den Zugriff verwendet wird

      Richten Sie die IAM-Rolle der Accounts vertrauender Mitglieder ein, um ihrem Management-Account zu vertrauen

    Wie Cloud-DiscoveryBestimmt, welche Anmeldeinformationen verwendet werden sollen

    Cloud-Discovery Verwendet die folgende Logik, um zu bestimmen, welche Anmeldeinformationen zum Erkennen von AWS-Cloud-Ressourcen in Mitgliedsaccounts verwendet werden sollen:
    1. Wenn dauerhafte Anmeldeinformationen für den Mitgliedsaccount in der Tabelle „Cloudservicekonto [cmdb_ci_cloud_service_account]“ definiert sind, DiscoveryVerwendet diese Anmeldeinformationen. Die Tabelle „Cloudservicekonten [cmdb_ci_cloud_service_account]“ enthält die Informationen zu den Service-Account-Typen, z. B. Verwaltung oder Mitglied, und ihre Anmeldeinformationen.
    2. Wenn für den Mitgliedsaccount keine dauerhaften Anmeldeinformationen definiert sind, DiscoveryÜberprüft die Tabelle „Rollenübernahmeparameter für Cloud-Serviceaccount-AWS-Organisation“ [cloud_service_account_aws_org_assume_role_params] auf spezielle Parameter, die dem Mitgliedsaccount zugeordnet sind. Wenn in dieser Tabelle Parameter vorhanden sind, DiscoveryVerwendet die temporären Anmeldeinformationen, die durch die Angabe einer Rolle und ihrer Parameter in der AWS-Sicherheitstoken-API-AssumeRole-Aktion erworben wurden.
    3. Wenn dem Mitgliedsaccount in der Tabelle [cloud_service_account_aws_org_assume_role_params] keine speziellen Parameter zugeordnet sind, DiscoveryÜberprüft diese Tabelle auf Parameter, die dem Verwaltungs-Account zugeordnet sind. Wenn Parameter vorhanden sind, die eine Rolle für den Verwaltungs-Account definieren, DiscoveryVerwendet die von dieser Rolle bereitgestellten temporären Anmeldeinformationen.
    4. Wenn in der Tabelle [cloud_service_account_aws_org_assume_role_params] keine speziellen Parameter für Verwaltungs- oder Mitgliedsaccounts vorhanden sind, DiscoveryVerwendet die für definierten Standardwerte OrganisationAccountAccessRole Rolle.