Einrichten von Bibliothek von Cloud-Aktionen für AWS

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Richten Sie den Zugriff auf ein Amazon Web Services( AWS) Cloud-Accounts in Bibliothek von Cloud-AktionenZum Aktivieren der Interaktion zwischen der Anwendung und der Cloud.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Zum Konfigurieren des Zugriffs für AWSAccounts werden die folgenden Begriffe verwendet:
    Vertrauenswürdige Accounts
    Die vertrauenden Accounts haben keine permanenten Accounts AWSAnmeldeinformationen. Sie konfigurieren die Vertrauensbeziehung für IAM-Rollen in diesen Accounts, um sich auf andere Accounts für den Zugriff zu verlassen.
    Vertrauenswürdige Accounts
    Die vertrauenswürdigen Accounts werden von den vertrauenswürdigen Accounts für den Zugriff verwendet. Die ServiceNowUI bezieht sich auf die vertrauenswürdigen Accounts als Zugriffsberechtigte-Accounts.
    Verwenden Sie eine der folgenden Methoden, um den Zugriff auf zu konfigurieren AWSAccounts:
    • Konfigurieren Sie die permanenten Anmeldeinformationen in Now PlatformUm eine Verbindung mit dem eigenständigen herzustellen AWSAccounts (diskrete Accounts). Die Tabelle „Cloudservicekonto [cmdb_ci_cloud_service-Account]“ enthält Informationen zum Servicekontotyp, z. B. Verwaltungs- oder Mitgliedsaccount und Zugriffsanmeldeinformationen.
    • Konfigurieren Sie die Mitglieds-Accounts so, dass sie sich für den Zugriff auf den Verwaltungs-Account verlassen. Konfigurieren Sie in diesem Fall die permanenten Anmeldeinformationen des Verwaltungs-Accounts in Now Platform.
    • Konfigurieren Sie die Accounts so, dass sie sich für den Zugriff auf einen vertrauenswürdigen Account stützen (seitlicher Zugriff innerhalb desselben AWSOrganisation oder andere AWSOrganisationen). Konfigurieren Sie in diesem Fall die permanenten Anmeldeinformationen des vertrauenswürdigen Accounts in Now Platform.
    Hinweis:
    Bibliothek von Cloud-Aktionen Verwendet kein MID-serverbasiertes Übernahmerollen-Setup für den Zugriff auf die vertrauenswürdigen Accounts.

    Prozedur

    1. Erstellen Sie Anmeldeinformationen für AWSService-Accounts.
      1. Navigieren zu Verbindung und Anmeldeinformationen > Anmeldeinformationenan.
      2. Wählen Sie Aus Neu , Und wählen Sie dann aus AWS-Anmeldeinformationen .
      3. Füllen Sie im Formular die Felder aus.
        Tabelle : 1. AWS Anmeldeinformationsformular
        Feld Beschreibung
        Name Eindeutiger und beschreibender Name für AWSAnmeldeinformationen.
        Aktiv Option zur Verwendung der Anmeldeinformationen.
        Zugangsschlüssel-ID Die Zugriffsschlüssel-ID, die Sie auf generiert haben AWSVerwaltungskonsole.
        Geheimer Zugangsschlüssel Der geheime Zugriffsschlüssel, den Sie auf generiert haben AWSVerwaltungskonsole.
      4. Wählen Sie Speichern.
    2. Wählen Sie aus sn_itom_cal.Aws_Creds_Alias Anmeldeinformationsalias, oder erstellen Sie einen Anmeldeinformationsalias.
      1. Entsperren Sie den Anmeldeinformationsalias.
      2. Suchen Sie nach einem Anmeldeinformationsalias.
      3. Wählen Sie Neu.
      4. Füllen Sie im Formular die Felder aus.
        Tabelle : 2. Aliasformular für Verbindungen und Anmeldeinformationen
        Feld Beschreibung
        Name Eindeutiger Name des Alias.
        Typ Aliastyp für Anmeldeinformationen.

        Wählen Sie Aus Anmeldeinformationen Aus der Dropdown-Liste Typ.
      5. Wählen Sie Absenden.
    3. Legen Sie fest Authentifizierungsalgorithmus Feld bis AWS-Authentifikator .
    4. Wählen Sie Absenden.
    5. Richten Sie ein ein AWSService-Account.
      1. Navigieren zu Cloud Provisioning and Governance > Serviceaccountsan.
      2. Wählen Sie Neu.
      3. Füllen Sie im Formular die Felder aus.
        Tabelle : 3. Cloud-Service-Account-Formular
        Feld Beschreibung
        Name Eindeutiger Name des Service-Accounts.
        Account-ID 12-stellige Anwenderkontonummer. Erweitern Sie die Liste unter dem Accountnamen auf AWSVerwaltungskonsole zum Anzeigen der Nummer.
        Wichtig:
        In Account-ID Entfernen Sie die Bindestriche (-) aus der Zahl.
        Discovery-Anmeldeinformationen Die für erforderlichen Anmeldeinformationen ServiceNowAnwendungen für den Zugriff auf den Cloud-Account. Sie können die Discovery-Anmeldeinformationen zu einem späteren Zeitpunkt konfigurieren, während Sie den Zugriff auf konfigurieren AWSAccounts.
        • Wenn Sie einen unabhängigen Service-Account oder einen Management-Account einrichten, wählen Sie ihn aus AWSAnmeldeinformationen.
        • Um andere zu verwenden AWSAccounts um auf diesen Account zuzugreifen, lassen Sie das Feld leer.

          Sie müssen beispielsweise nicht angeben AWSAnmeldeinformationen für Accounts, die Rollen für Identitäts- und Zugriffsmanagement (IAM) annehmen, oder Mitgliedsaccounts, die ihren Verwaltungs-Account für den Zugriff verwenden.
        Rechenzentrums-URL URL des Rechenzentrums.

        Lassen Sie dieses Feld leer.
        Rechenzentrumstyp Typ des Rechenzentrums, in dem der Account gehostet wird.

        Wählen Sie Aus AWS-Rechenzentrum .
        Rechenzentrums-Discovery-Status Automatisch generierter Wert: Status und Zeitstempel der letzten Discovery-Ausführung im Rechenzentrum.
        Übergeordneter Account Name des Verwaltungs-Accounts, der darstellt AWSOrganisation, zu der dieser Mitgliedsaccount gehört.

        Dieses Feld wird angezeigt, wenn Sie AWS-Rechenzentrum auswählen. Wenn der Account zu keinem gehört AWSOrganisation, lassen Sie dieses Feld leer.
        Ist Master-Account Kennzeichnung für Verwaltungs-Account.

        Dieses Kontrollkästchen wird angezeigt, wenn Sie auswählen AWSRechenzentrum aus der Dropdown-Liste „Rechenzentrumstyp“. Aktivieren Sie das Kontrollkästchen, um zuzuordnen AWSService-Account mit dem Verwaltungs-Account. Aktivieren Sie dieses Kontrollkästchen nur für Accounts, die Sie zuvor als Verwaltungsaccounts konfiguriert haben, zu denen einige Mitgliedsaccounts gehören. Weitere Informationen zu finden AWSOrganisation, siehe AWS Dokumentationan.
        Account des Zugriffsberechtigten Name des vertrauenswürdigen Kontos.

        Konfigurieren Sie dieses Feld nur für Accounts, die keine permanenten AWS-Anmeldeinformationen verwenden und sich für den Zugriff auf IAM-Rollen verlassen.
      4. Wählen Sie Absenden.
    6. Wahlweise: Dient zur Verwendung eines Verwaltungs-Accounts zum Scannen der Mitgliedsaccounts von AWSOrganisation: Erstellen Sie eine Rollenübernahmekonfiguration für den Verwaltungs-Account.
      1. Wahlweise: Wenn Sie die OrganisationskontoAccessRole nicht für den Zugriff auf den Mitgliedsaccount verwenden möchten, konfigurieren Sie den vertrauenswürdigen Account für Bibliothek von Cloud-Aktionen.
        Weitere Informationen finden Sie unter Konfigurieren Sie den vertrauenden Account für Governance für Cloud-KonfigurationenUnd Bibliothek von Cloud-Aktionen.
      2. Wahlweise: Wiederholen Sie den Schritt 6.aFür jeden Mitgliedsaccount, der über den Verwaltungsaccount gescannt werden muss, ohne die OrganisationsAccountAccessRole zu verwenden.
      3. Wahlweise: Wenn Sie die OrganizationAccountAccessRole für den Zugriff auf den Mitglieds-Account verwenden möchten, erstellen Sie eine Rollenübernahmekonfiguration für den Verwaltungs-Account.
        Weitere Informationen finden Sie unter Erstellen Sie eine Rollenübernahmekonfiguration.
    7. Wahlweise: Um einen vertrauenswürdigen Account zum Scannen des vertrauenswürdigen Accounts zu verwenden, konfigurieren Sie den vertrauenswürdigen Account für Bibliothek von Cloud-Aktionen.
      Der vertrauenswürdige Account und der vertrauenswürdige Account können unterschiedlich sein AWSOrganisationen oder sie können sich in denselben befinden AWSOrganisation.
      1. Konfigurieren Sie einen vertrauenswürdigen Account für Governance für Cloud-Konfigurationen.
        Weitere Informationen finden Sie unter Konfigurieren Sie den vertrauenden Account für Governance für Cloud-KonfigurationenUnd Bibliothek von Cloud-Aktionen.
      2. Wiederholen Sie den Schritt 7.aFür jeden vertrauenswürdigen Account, der über den vertrauenswürdigen Account gescannt werden muss.