Konfigurieren Service Graph Connector für AWSWird verwendet SGC Central

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 9 Minuten Lesedauer

    • Verwenden Sie das Playbook, das mit verfügbar ist SGC CentralAnwendung zum Einrichten von Service Graph Connector für AWSZum Einholen AWSDaten in CMDB

    Vorbereitungen

    • Installieren Service Graph Connector für AWSVersion 2.7.0 oder höher von ServiceNow Store. Die Schritte zur ServiceNow Store-Installation finden Sie unter ServiceNow Store-Anwendungen installieren.
    • Stellen Sie sicher, dass Sie die Voraussetzungen für die Einrichtung erfüllt haben AWS. Weitere Informationen finden Sie unter AWS-Umgebung konfigurieren.

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Die Playbook-Experience für Onboarding-Connectors wird mit aktiviert SGC CentralIn CMDB-Arbeitsbereich. Weitere Informationen zur Interaktion mit einem Playbook finden Sie unter Interagieren Sie mit Playbook .

    Prozedur

    1. Navigieren zu Arbeitsbereiche > CMDB-Arbeitsbereichan.
    2. In CMDB-Arbeitsbereich, Auswählen SGC Central.
    3. Wählen Sie auf der Dashboard-Seite aus Verbindung erstellen .
      Tipp:
      Alternativ können Sie auswählen Verbindung erstellen Auf der Seite „alle Verbindungen“.
    4. Wählen Sie im Fenster Verbindung erstellen die aus AWSConnector-Typ und dann auswählen Verbindung erstellen .
    5. Füllen Sie die ersten Voraussetzungen aus, wenn Sie zum ersten Mal eine Verbindung mit einem Connector einrichten.
      Hinweis:
      Dieser Schritt ist nur beim erstmaligen Setup erforderlich. Weitere Informationen finden Sie unter Führen Sie erste Setup-Aufgaben durch, wenn Sie eine Verbindung in erstellen SGC Central.
    6. Füllen Sie die Voraussetzungen für die Einrichtung von aus AWSUmgebung.
      1. Konfigurieren Sie das Standard-Setup in AWSUmgebung, die zum Importieren von Daten mit dem Connector erforderlich ist.
        1. In Voraussetzungen Phase des Playbooks: Wählen Sie aus Laden Sie grundlegende Skripts herunter Aktivität.
        2. Führen Sie die Skripts aus, um zu konfigurieren AWSUmgebung.

          Weitere Informationen zum Ausführen von Skripts finden Sie unter Grundlegende Skripts.

        3. Wählen Sie aus Ich habe die Anweisungen gelesen und das Skript entsprechend ausgeführt Aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass Sie die Skripts ausgeführt haben.
        4. Wählen Sie Fortsetzen.
      2. Richten Sie Deep Discovery in Amazon Elastic Compute Cloud (Amazon EC2)-Instanzen ein.
        Hinweis:
        Führen Sie diesen Schritt nur aus, um eine Deep-Discovery für EC2-Instanzen durchzuführen. Andernfalls wählen Sie aus Überspringen .
        1. In Voraussetzungen Phase des Playbooks: Wählen Sie aus Deep Discovery-Skripts herunterladen Aktivität.
        2. Führen Sie die zu konfigurierenden Skripts aus AmazonEC2-Instanzen Für Deep Discovery.

          Weitere Informationen zum Ausführen von Skripts finden Sie unter Deep-Discovery-Skripts.

        3. Wählen Sie Fortsetzen.
      3. Richten Sie Amazon Elastic Kubernetes Service (EKS)-Cluster ein.
        Hinweis:
        Führen Sie diesen Schritt nur aus, wenn der Amazon EKS-Service für Kubernetes-Cluster erforderlich ist. Andernfalls wählen Sie aus Überspringen .
        1. In Voraussetzungen Phase des Playbooks: Wählen Sie aus Laden Sie Amazon EKS-Skripts herunter Aktivität.
        2. Führen Sie die Skripts aus, um Amazon EKS-Cluster einzurichten.

          Weitere Informationen zum Ausführen von Skripts finden Sie unter AmazonEKS Skripts.

        3. Wählen Sie Fortsetzen.
    7. Schließen Sie das Setup für die Konfiguration des Connectors zum Importieren von Daten ab.
      1. Erstellen und testen Sie die Verbindung.
        1. In Setup Phase des Playbooks: Wählen Sie aus Erstellen und testen Sie die Verbindung Aktivität.
        2. Füllen Sie im Formular die Felder aus.
          Tabelle : 1. Erstellen und testen Sie das Verbindungsformular
          Feld
          Verbindungsname Name zur Identifizierung von AWSVerbindungsdatensatz.

          Beispiel: SG_AWS_CredentialAlias_Org .

          Zugangsschlüssel-ID Zugriffsschlüssel-ID des IAM-Anwenders, der über Berechtigungen zur Interaktion mit den AWS-Ressourcen verfügt.
          Geheimer Zugangsschlüssel Geheimer Zugriffsschlüssel, der der Zugriffsschlüssel-ID entspricht, die für die sichere Authentifizierung der Verbindung erforderlich ist.
          MID-Server verwenden Option zur Verwendung eines MID-Servers.
          Hinweis:
          Die Verwendung eines MID-Servers ist optional.
          Mid-Auswahl Name des vom Connector verwendeten MID-Servers.

          Dieses Feld wird nur angezeigt, wenn Verwenden Sie den MID-Server Kontrollkästchen ist aktiviert.
        3. Wählen Sie Aus Erstellen und testen Sie die Verbindung .
        4. Sobald der Verbindungstest abgeschlossen ist, wählen Sie aus Fahren Sie Fort .
      2. Legen Sie Konfigurationseigenschaften für die Verbindung fest, um auf zuzugreifen AWSRessourcen.
        1. In Setup Phase des Playbooks: Wählen Sie aus Legen Sie Konfigurationseigenschaften fest Aktivität.
        2. Geben Sie im Abschnitt Organisationsdetails die Organisationsdetails ein, einschließlich Accountbezeichner, Name und Beschreibung von AWSOrganisation.
        3. Geben Sie im Abschnitt „S3-Account-Details“ die Details ein.
          Tabelle : 2. S3-Account-Details
          Feld Beschreibung
          S3-Account-ID Numerischer Bezeichner von AWSAccount, der hostet AmazonEinfacher Speicherservice ( AmazonS3) Bucket.
          S3-Bucket-Name Name von AmazonS3-Bucket, aus dem die Details erfasst werden AmazonEC2-Instanzen.
          S3-Region Region, in der AmazonS3-Bucket befindet sich.
        4. In AWS-Regionen Geben Sie im Feld „AWS-Regionen“ und im Abschnitt „STS-Rollenname übernehmen“ ein AWSRegionen zum Erfassen der CI-Daten.

          Standardmäßig ist Service Graph-Connector für AWSDurchläuft alle AWSRegionen zum Erfassen der CI-Daten.

          Sie können eingeben AWSBestimmte Regionen, um den CI-Datenimport zu beschleunigen. Beispiel: US-Ost1, US-Ost-2 .

          Wenn dieses Feld leer gelassen wird, wird Service Graph-Connector für AWSRuft die Ressourcen aus allen ab AWSRegionen.

          Verlassen Sie für die AWS GovCloud-Regionen jedoch nicht Regionen Feld leer. Die unterstützten AWS GovCloud-Regionen sind US-gov-East-1 Und US-gov-West-1 .

          Wenn Sie aktualisieren Regionen Feldwert löschen Sie später den Wert von Datum/Uhrzeit der letzten Ausführung Feld in allen Datenquellen, die sich auf beziehen Service Graph-Connector für AWSDient zum Importieren eines neuen Datensatzes.

        5. In STS – Rollenname übernehmen Geben Sie im Feld AWS-Regionen und im Abschnitt „STS-Rollenname übernehmen“ den Namen der AWS-Rolle für Identitäts- und Zugriffsmanagement (IAM) ein.
          Der AWS IAM-Rollenname wird von abgerufen ServiceNowAnwender, indem er anruft AssumeRole API angeboten von AWSSicherheitstoken-Service (STS). Die AssumeRole API gibt eine Reihe temporärer Sicherheitsanmeldeinformationen für zurück ServiceNowAnwender, der auf zugreifen soll AWSRessourcen.
          Hinweis:
          Geben Sie den IAM-Rollennamen ein, aber kein Präfix arn Im Namen. Wenn Sie dieses Feld leer lassen, wird der Wert dieses Felds automatisch auf festgelegt SnowOrganizationAccountAccessRole , Der der standardmäßige IAM-Rollenname für ist ServiceNowAnwender.
        6. Geben Sie im Abschnitt „SSM SendCommand-Dokumentdetails“ den Namen des Dokuments ein, das die von ausgeführten Aktionen definiert AWSSystemmanager (SSM) auf Linux-Basis AmazonEC2-Instanz oder eine Windows-basierte Instanz AmazonEC2-Instanz in ihren jeweiligen Feldern.
        7. In Verwaltungs-Account-ID Geben Sie im Feld „Verwaltungs-Account-ID“ und im Abschnitt „eigenständige Account-ID“ die Verwaltungs-Account-ID in ein AWSOrganisation.

          Geben Sie einen Wert für dieses Feld ein, wenn ServiceNowAnwender wurde in erstellt AWSmitgliedsaccount.

          Der Account ruft auf ListAccounts API, die mit verknüpft ist AWSOrganisation zum Sammeln von CI-Informationen aus allen Accounts. Weitere Informationen finden Sie unter ListAccounts Auf AWSDokumentationswebsite.

        8. In Eigenständige Account-ID Geben Sie die ID eines Mitglieds-Accounts in den Feldern „Verwaltungs-Account-ID“ und „eigenständige Account-ID“ ein AWSOrganisation.
          Hinweis:
          Wenn Sie einen eigenständigen Account angeben, wird AWSOrganisationsbezogene Daten wie Organisationsname, Organisationseinheiten, Organisations-ID und Service-Accounts werden nicht importiert. Um die vollständigen Daten später zu importieren, löschen Sie den in genannten Wert Eigenständige Account-ID Feld. Siehe Service Graph Connector für AWS – eigenständiges Setup [KB1642159] artikel in Now SupportKnowledge Base.
        9. Geben Sie im Abschnitt „AWS-Konfigurationsaggregator-Details“ ein AWSAccountdetails für den Aggregator-Ressourcentyp.
          Tabelle : 3. AWS-Konfigurationsaggregator-Details
          Feld Beschreibung
          Konfigurationsaggregator-Account AWSAccount, in dem der Aggregator-Ressourcentyp in enthalten ist AWSKonfigurationsservice wurde konfiguriert.

          Geben Sie einen Wert in dieses Feld ein, wenn Sie einen verwenden AWSKonfigurationsaggregator.
          Name des Konfigurationsaggregators Name des Aggregator-Ressourcentyps. Dieses Feld ist nur verfügbar, wenn Sie einen Wert in eingeben Konfigurationsaggregator-Account Feld.
          Region des Konfigurationsaggregators Region, in der sich der Aggregator-Ressourcentyp befindet. Dieses Feld ist nur verfügbar, wenn Sie einen Wert in eingeben Konfigurationsaggregator-Account Feld.
        10. Geben Sie im Abschnitt „Setup der AWS-Schlüsselrotation“ die Details zum Schlüsselrotationsprozess ein.
          Tabelle : 4. Setup der AWS-Schlüsselrotation
          Feld Beschreibung
          AWS-Schlüssel rotieren Option zum Aktivieren des Schlüsselrotationsprozesses.
          AWS-Schlüsselrotationsdatum Datum der Schlüsselrotation. Dieses Feld wird automatisch auf das nächste Rotationsdatum festgelegt. Dieses Feld ist nur verfügbar, wenn Sie auswählen AWS-Schlüssel rotieren Kontrollkästchen.
          AWS-Schlüsselrotationszeitraum (in Tagen) Schlüsselrotationszeitraum in Tagen. Dieses Feld ist nur verfügbar, wenn Sie auswählen AWS-Schlüssel rotieren Kontrollkästchen.
          AWS-Schlüsselrotationsstatus Statusnachricht einer Schlüsselrotation, die angibt, ob die Rotation ein Erfolg oder ein Fehler war. Dieses Feld wird automatisch so festgelegt, dass die Statusnachricht der Schlüsselrotation angezeigt wird. Dieses Feld ist nur verfügbar, wenn Sie auswählen AWS-Schlüssel rotieren Kontrollkästchen. Wenn der Rotationsstatus ein Fehler ist, wird, falls konfiguriert, eine E-Mail-Benachrichtigung ausgelöst.
          E-Mail-Accounts für den Empfang von Fehlerbenachrichtigungen Kommagetrennte Liste der E-Mail-Adressen von Empfängern, die Benachrichtigungen über erhalten AWSSchlüsselrotationsfehler.
          E-Mail-Account-Gruppen für den Empfang von Fehlerbenachrichtigungen Kommagetrennte Liste von ServiceNowGruppen, die Benachrichtigungen über erhalten AWSSchlüsselrotationsfehler.
        11. Wählen Sie aus Ist gov Cloud Aktivieren Sie das Kontrollkästchen im Abschnitt „Gov-Cloud-Setup“, um anzugeben, dass das Verbindungs-Setup für gilt AWSGovCloud.
        12. Geben Sie im Abschnitt „SSM EKS SendCommand-Dokumentdetails“ ein AWSSSM-Dokumentdetails.
          Tabelle : 5. SSM EKS SendCommand-Dokumentdetails
          Feld Beschreibung
          EKS-Clusternamen-Dokument Name von AWSSSM-Dokument zum Erkennen von EKS-Clustern, die EC2-Bastionshosts zugeordnet sind.
          EKS-Shell-Skriptdokument Name von AWSSSM-Dokument zum Abrufen von CIs im Zusammenhang mit Kubernetes-Komponenten, z. B. Pods, Services und Bereitstellungen, aus EKS-Clustern.
        13. Wählen Sie Aus Speichern Sie Eigenschaften .
        14. Wählen Sie Fortsetzen.
      3. Konfigurieren Sie die erforderlichen EC2-Ressourcen für Amazon Elastic Kubernetes Service (EKS)Dient zum Importieren von EKS-Clusterdaten.
        Hinweis:
        Führen Sie diesen Schritt nur aus, wenn EC2-Ressourcen benötigt werden. Andernfalls wählen Sie aus Überspringen Für Konfigurieren Sie EKS EC2-Ressourcen Aktivität.
        Ein EKS-EC2-Ressource Ist ein Bastion-Host, der Netzwerkzugriff auf EKS-Cluster hat. Die EKS-Cluster sind für den Connector nicht direkt zugänglich. Daher müssen Sie angeben EKS-EC2-Ressource Details. Zum Importieren von EKS-Clusterdaten verwendet der Connector den SSM-Befehl „Befehl senden“ für EKS EC2-Ressourcen Dient zum Remote-Ausführen von kubectl-Befehlen.
        Hinweis:
        Stellen Sie sicher, dass Sie konfiguriert haben AWSUmgebung für die EKS-Integration. Weitere Informationen finden Sie unter Service Graph Connector für AWS – Amazon EKS-Integration [KB1437138] artikel in Now SupportKnowledge Base.
        1. In Setup Phase des Playbooks: Wählen Sie aus Konfigurieren Sie EKS EC2-Ressourcen Aktivität.
        2. Wählen Sie auf der Seite EKS-EC2-Ressourcen konfigurieren die Option aus Neu .
        3. Füllen Sie im angezeigten Fenster EKS-EC2-Ressourcen konfigurieren die Felder aus.
          Tabelle : 6. Konfigurieren Sie EKS EC2-Ressourcenfelder
          Feld Beschreibung
          EKS-EC2-Ressourcen-ID Bezeichner von EKS-EC2-Ressource .
          EC2-Region AWS-Region, in der EKS-EC2-Ressource Befindet sich.
          EC2-Account Anwendername, der zugewiesen ist EKS-EC2-Ressource Account.
          Verbindungsalias Verbindungsalias, der zugeordnet ist AWSSetup und Konfiguration der Umgebung in Schritt 7.a.ii.
          Verbindung Verbindungsname, der zugeordnet ist AWSSetup und Konfiguration der Umgebung in Schritt 7.a.ii.
          Aktiv Option zum Aktivieren von EKS-EC2-Ressource .
        4. Wählen Sie Speichern.
        5. Wiederholen Sie die Schritte ab 7.c.iiBis 7.c.ivZum Hinzufügen weiterer EKS-EC2-Ressourcen.
        6. Wählen Sie Fortsetzen.
      4. Führen Sie aus AWSDiagnosetool, bevor eine geplante Importaufgabe ausgeführt wird, um Probleme in zu identifizieren AWSUmgebungs-Setup.
        1. In Setup Phase des Playbooks: Wählen Sie aus Führen Sie Diagnosetests aus Aktivität.
        2. Wählen Sie auf der Seite „Diagnosetest ausführen“ eine Option aus, um die entsprechenden Testergebnisse aus der Diagnosezusammenfassung auszuschließen.
          SSM-Setuptests überspringen
          Schließt die Softwarebestandsdaten aus den Zusammenfassungsergebnissen aus, indem nicht aufgerufen wird Bestand abrufen API. Wählen Sie diese Option aus, wenn Sie die Konfiguration für SSM deaktiviert haben oder nicht eingerichtet haben.
          SSM-Deep Discovery-Tests überspringen
          Schließt die Deep Discovery-Daten aus den Zusammenfassungsergebnissen aus. Wählen Sie diese Option aus, wenn Sie die Konfiguration für die SSM-Deep-Discovery deaktiviert haben oder nicht eingerichtet haben.
          EKS-Setuptests überspringen
          Schließt die EKS-Daten aus den Zusammenfassungsergebnissen aus, indem die kubectl-Befehle nicht ausgeführt werden.
          Hinweis:
          Dieses Kontrollkästchen wird nur angezeigt, wenn Sie EC2-Ressourcen in konfiguriert haben Konfigurieren Sie EKS EC2-Ressourcen Aktivität.
        3. Wählen Sie Aus Führen Sie einen Diagnosetest aus Und warten Sie, bis der Test abgeschlossen ist.
        4. Überprüfen Sie die Diagnosezusammenfassung, die API-Zugriffsergebnisse und die Protokolle der IAM-Berechtigungsvalidierung.
        5. Wenn die Testergebnisse erfolgreich sind, wählen Sie aus Fahren Sie Fort .
      5. Konfigurieren Sie den Importzeitplan, um Daten in regelmäßigen Intervallen zu importieren.
        1. In Setup Phase des Playbooks: Wählen Sie aus Konfigurieren Sie den Importzeitplan Aktivität.
        2. Erweitern Sie den übergeordneten geplanten Datenimport in der Liste „Zeitpläne importieren“, um auszuwählen SG-AWS-Organisation Zeitplan importieren.
        3. In Konfigurieren Sie den Importzeitplan Wählen Sie aus Aktiv Aktivieren Sie das Kontrollkästchen, und geben Sie dann den Ausführungszeitplan und die Zeitdetails ein.

          Weitere Informationen finden Sie unter Schedule a data import.

        4. Wählen Sie Speichern.

          Alternativ wählen Sie aus Jetzt Ausführen Um den Importzeitplan sofort auszuführen.

        5. Wählen Sie Fortsetzen.
      6. In Setup Phase des Playbooks: Wählen Sie aus Bestätigen Sie das Verbindungssetup Aktivität zum Überprüfen, ob die Verbindung erstellt wurde.

    Nächste Maßnahme

    Wählen Sie Aus Zeigen Sie alle Verbindungen an Dient zum Überprüfen der Verbindungsdetails. Die konfigurierte Verbindung wird in der Liste der installierten Verbindungen angezeigt.