Konfigurieren Sie den Zugriff mit temporären Anmeldeinformationen basierend auf vertrauenswürdigen AWSAccounts mit AWSAnmeldeinformationen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer
  • Konfigurieren Sie den vertrauenswürdigen Account, auf dessen Ressourcen zugegriffen werden muss, um sich auf den vertrauenswürdigen Account mit der Rolle „Identitäts- und Zugriffsmanagement“ (IAM) zu verlassen.

    Vorbereitungen

    • Machen Sie sich mit vertraut AmazonDokumentation zu Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Anwender .
    • Entscheiden Sie, welche Amazon Web Services( AWS)-Account wird der vertrauenswürdige Account sein. Sie verwenden den vertrauenswürdigen Account, um temporäre Anmeldeinformationen für zu konfigurieren Cloud-Discovery IAM-Rollen werden verwendet. Der vertrauenswürdige Account, den Sie für den Zugriff auf andere Accounts mit IAM-Rollen verwenden, wird als Zugriffsberechtigter-Account bezeichnet.
    • Richten Sie den vertrauenswürdigen und den vertrauenswürdigen Account wie in beschrieben ein Einrichten AWSService-Accounts.
    Erforderliche Rolle:
    • Für Cloud-Discovery: Admin oder Discovery_admin
    • Für Cloud Provisioning and Governance: Admin oder sn_CMP.Cloud_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Während dieser Konfiguration erstellen Sie eine IAM-Rolle für den vertrauenswürdigen Account und konfigurieren dann den vertrauenswürdigen Service-Account für den vertrauenswürdigen Account unter Now Platform. Schließlich ordnen Sie die IAM-Rolle, die Sie für den vertrauenden Account erstellt haben, dem vertrauenden Account selbst zu.

    Abbildung : 1. Beliebige werden eingerichtet AWSAccount, für den ein vertrauenswürdiger Account verwendet werden soll AWSAnmeldeinformationen

    Richten Sie die IAM-Rolle des vertrauenden AWS-Accounts ein, um dem Anwender des vertrauenswürdigen AWS-Accounts beim Zugriff zu vertrauen

    Prozedur

    1. Erstellen Sie eine IAM-Rolle für den vertrauenden Account, und konfigurieren Sie die Vertrauensbeziehung zwischen dem Anwender, der diese Rolle übernimmt, und dem vertrauenswürdigen Account (Accessor).
      1. Melden Sie sich beim vertrauenden Account auf an AWSVerwaltungskonsole.
      2. Erstellen und konfigurieren Sie die IAM-Rolle, die die vertrauenswürdige Account-ID (Accessor) in angibt Account-ID Feld.
        Für Informationen zum Erstellen AWSRollen, siehe Amazon Dokumentationan.
      3. Wählen Sie auf der Zusammenfassungsseite für die IAM-Rolle aus Vertrauensbeziehungen Registerkarte.
      4. Wählen Sie Aus Bearbeiten Sie die Vertrauensbeziehung .
        Die Seite „Vertrauensbeziehung bearbeiten“ wird geöffnet und zeigt das Richtliniendokument an.
      5. Legen Sie fest AWSParameter für die vollständige Anwender-ARN des vertrauenswürdigen Accounts (Accessor).

        Vertrauensstellung für das vertrauende Konto bearbeiten.
      6. Überprüfen Sie, ob ActionWert ist auf festgelegt sts:AssumeRole.
      7. Wählen Sie Aus Aktualisieren Sie Die Vertrauensrichtlinie .
    2. Konfigurieren Sie den vertrauenswürdigen Service-Account für den vertrauenswürdigen Account in Now Platform.
      1. Navigieren zu Cloud Provisioning and Governance > Service-Kontenan.
      2. Öffnen Sie den vertrauenden Account.
      3. Geben Sie im Formular Cloud-Service-Account den Namen des vertrauenswürdigen Accounts in ein Zugriffsberechtigter-Account Feld.
      4. Wählen Sie Aktualisieren.
    3. Weisen Sie die für den vertrauenden Account erstellte IAM-Rolle dem vertrauenden Account unter zu Now Platform.
      Wichtig:
      Führen Sie diesen Schritt nur aus, wenn Sie anwenderdefinierte IAM-Rollen erstellt haben. Es ist nicht erforderlich, einem Service-Account die standardmäßige Rolle „OrganizationAccountAccessRole“ zuzuweisen.
      1. Navigieren zu Alle > Cloud Provisioning and Governance > Zugriffsparameter der Organisation > Cloud-Serviceaccount – AWS-übergreifende Rollenübernahmeparameteran.
      2. Wählen Sie Neu.
      3. Im Cloud-Service-Account AWSFormular „Rollenübernahmeparameter überschreiben“. Konfigurieren Sie nur die folgenden Felder:
        Feld Definition
        Name der Zugriffsrolle Name der IAM-Rolle, die für den vertrauende Account erstellt wurde.
        Cloud-Servicekonto Name des vertrauenden Accounts, für den Sie Zugriff mit der IAM-Rolle gewähren.
      4. Wählen Sie Absenden.
        Das System fügt diesen Datensatz dem Cloud-Service-Account hinzu AWSTabelle „Rollenparameter für übergreifende Übernahme“ [cloud_service_account_aws_cross_assume_role].
      Hinweis:
      Standardmäßig ist die Rolle OrganizationAccountAccessRole dem vertrauenswürdigen Verwaltungsaccount des Mitglieds zugewiesen, und DER MID verwendet dasselbe, wenn er dem Cloud-Service-Account nicht hinzugefügt wird AWSTabelle mit Parametern für Organisationsübernahme [cloud_service_account_aws_org_assume_role_params]. Wenn Sie den Standard entfernt oder eine anwenderdefinierte IAM-Rolle erstellt haben, müssen Sie sie dem Cloud-Service-Account manuell hinzufügen AWSTabelle „Parameter für Organisationsübernahme [cloud_service_account_aws_org_assume_role_params]“ für jeden Account des vertrauenden Mitglieds. Navigieren Sie dazu zu Alle > Cloud Provisioning and Governance > Zugriffsparameter der Organisation > Cloud-Serviceaccount – AWS-Organisation – Rollenübernahmeparameter Und führen Sie die vorherigen Schritte aus.

    Nächste Maßnahme

    Überprüfen Sie das ServiceNowAnwendungen können mit der IAM-Rolle auf den vertrauenden Service-Account zugreifen:
    1. Navigieren zu Cloud Provisioning and Governance > Service-Kontenan.
    2. Wählen Sie den vertrauenden Account aus, den Sie konfiguriert haben.
    3. Unter Zugehörige Links , Klicken Sie auf Erkennen Sie Rechenzentren .
    4. Navigieren zu Discovery > Cloud-Discovery-Dashboard, Und klicken Sie dann auf AWS Registerkarte.
    5. Überprüfen Sie, ob das Dashboard erkannte Ressourcen für den Account anzeigt, den Sie dem neu erstellten zugeordnet haben AWSAnmeldeinformationen.