Konfigurieren Sie den Zugriff mit temporären Anmeldeinformationen für das Vertrauen AWSmitgliedsaccounts

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Konfigurieren Sie den Zugriff auf AWSmitglieds-Accounts, die den Verwaltungs-Account als vertrauenswürdiges Konto verwenden, das die IAM-Rolle verwendet.

    Vorbereitungen

    Erforderliche Rolle: Administrator Erforderliche Rolle: administrator, Discovery_admin oder sn_CMP.Cloud_admin (für Cloud Provisioning and Governance)

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können den Zugriff auf Mitgliederaccounts konfigurieren, bei denen Mitglieder auf ihren Verwaltungs-Account angewiesen sind. Es spielt keine Rolle, ob der Verwaltungsaccount selbst dauerhafte oder temporäre Anmeldeinformationen verwendet.

    Abbildung : 1. Mitgliedsaccounts werden so konfiguriert, dass ihr Verwaltungs-Account für den Zugriff verwendet wird

    Richten Sie die IAM-Rolle der Accounts vertrauender Mitglieder ein, um ihrem Management-Account zu vertrauen

    Prozedur

    1. Erstellen Sie eine IAM-Rolle für den Mitgliedsaccount, und konfigurieren Sie die Vertrauensbeziehung zwischen dem Anwender, der diese Rolle übernimmt, und dem vertrauenswürdigen Account (Accessor).
      1. Melden Sie sich bei an AWSVerwaltungskonsole mit den Anmeldeinformationen des Mitgliedsaccounts, für den Sie den Zugriff konfigurieren.
      2. Erstellen und konfigurieren Sie die IAM-Rolle, die die Verwaltungs-Account-ID in angibt Account-ID Feld.
        Für operative Informationen zum Erstellen AWSRollen, siehe AmazonDokumentation.
      3. Auf Zusammenfassung Klicken Sie auf die Seite für die IAM-Rolle Vertrauensbeziehungen Registerkarte.
      4. Klicken Sie Auf Bearbeiten Sie die Vertrauensbeziehung .
        Die Seite zum Bearbeiten der Vertrauensstellung wird geöffnet und zeigt das Richtliniendokument an.
      5. Bearbeiten Sie die Vertrauensbeziehung wie folgt:
        • Legen Sie fest ActionParameter bis sts:AssumeRole
        • Legen Sie fest AWS Parameter für die ARN der vollständigen Rolle des Verwaltungs-Accounts.

        Vertrauensstellung für das vertrauende Konto bearbeiten.
      6. Klicken Sie Auf Aktualisieren Sie Die Vertrauensrichtlinie .
    2. Konfigurieren Sie den vertrauenswürdigen Service-Account für den vertrauenswürdigen Account unter Now Platform.
      1. Navigieren zu Cloud Provisioning and Governance > Service-Kontenan.
      2. Öffnen Sie den Mitgliedsaccount.
      3. Geben Sie im Formular Cloud-Service-Account den Namen des Verwaltungs-Accounts in ein Übergeordneter Account Feld.
      4. Klicken Sie auf Aktualisieren.
    3. Weisen Sie die für den Mitgliedsaccount erstellte IAM-Rolle dem Mitgliedsaccount unter zu Now Platform.
      Wichtig:
      Führen Sie diesen Schritt nur aus, wenn Sie anwenderdefinierte IAM-Rollen erstellt haben. Es ist nicht erforderlich, die Standardrolle OrganizationAccountAccessRole einem Serviceaccount zuzuweisen.
      1. Navigieren zu Cloud Provisioning and Governance > Zugriffsparameter der Organisation > AWS – Parameter für übergreifende Rollenübernahmean.
      2. Klicken Sie auf Neu.
      3. Konfigurieren Sie im Formular „AWS-übergreifende Rollenübernahmeparameter für Cloud-Serviceaccount“ nur die folgenden Felder:
        Feld Definition
        Name der Zugriffsrolle Name der IAM-Rolle, die für den vertrauende Account erstellt wurde.
        Cloud-Servicekonto Name des vertrauenden Accounts, für den Sie mit der IAM-Rolle Zugriff bereitstellen.
      4. Klicken Sie auf Absenden.

    Nächste Maßnahme

    Überprüfen Sie das ServiceNowAnwendungen können mit der IAM-Rolle auf den vertrauenden Service-Account zugreifen:
    1. Navigieren zu Cloud Provisioning and Governance > Service-Konten, Und wählen Sie aus AWSAccount, den Sie zuvor erstellt haben, wie in beschrieben Einrichten AWSService-Accounts.
    2. Wählen Sie den vertrauenden Account aus, den Sie mit der IAM-Rolle konfiguriert haben.
    3. Unter Zugehörige Links , Klicken Sie auf Erkennen Sie Rechenzentren .
    4. Navigieren zu Discovery > Cloud-Discovery-Dashboard, Und klicken Sie dann auf AWS Registerkarte.
    5. Überprüfen Sie, ob das Dashboard erkannte Ressourcen für den Account anzeigt, den Sie dem neu erstellten zugeordnet haben AWSAnmeldeinformationen.