Zugriff mit temporären Anmeldeinformationen basierend auf vertrauenswürdigen AWS-Konten ohne AWS-Anmeldeinformationen konfigurieren

  • Freigeben Version: Zurich
  • Aktualisiert 3. September 2025
  • 4 Minuten Lesedauer

    • Richten Sie ein vertrauenswürdiges Konto ohne Anmeldeinformationen ein, auf das andere AWS-Konten für den Zugriff zurückgreifen können.

    Vorbereitungen

    • Machen Sie sich mit der Amazon-Dokumentation zum Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer vertraut.
    • Entscheiden Sie, welches AWS-Konto das vertrauenswürdige Konto sein soll. Sie verwenden den vertrauenswürdigen Account, um temporäre Anmeldeinformationen für zu konfigurieren Cloud-Discovery Mit IAM-Rollen. Der vertrauenswürdige Account, den Sie für den Zugriff auf andere Accounts mit IAM-Rollen verwenden, wird als Account eines Zugriffsberechtigten bezeichnet.
    • Wenn Sie eine Vertrauenskette einrichten, bei der ein Mitgliedsaccount einem Verwaltungs-Account vertraut und der Verwaltungsaccount einem Zugriffsberechtigungs-Account vertraut, überprüfen Sie, ob Sie den Mitgliedsaccount so konfiguriert haben, dass er dem Verwaltungs-Account vertraut. Weitere Informationen finden Sie unter Zugriff mithilfe temporärer Anmeldeinformationen für vertrauende AWS-Mitgliederkonten konfigurieren.
    • Bestätigen Sie das Discovery-Administratorarbeitsbereich Verwendet mindestens Version 1.10.0. Die Discovery > Cloud-Service-Accounts Das Navigationsmodul ist mit früheren Versionen nicht verfügbar. Um auf zuzugreifen Cloud-Service-Accounts Geben Sie bei einer früheren Version im Navigationsfilter Folgendes ein: cmdb_ci_Cloud_Service_Account.list .
    Erforderliche Rolle:
    • Für Cloud-Discovery: Discovery_admin
    • Für Cloud Provisioning and Governance: admin oder sn_cmp.cloud_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Dient zur Verwendung eines Accounts ohne AWS Anmeldeinformationen müssen Sie diesen Account zuerst mit einer IAM-Rolle und Berechtigungen für den Zugriff auf den vertrauenden Service-Account konfigurieren. Dann richten Sie die IAM-Rolle des vertrauenden Accounts ein, um Zugriff auf die IAM-Rolle des vertrauenswürdigen Accounts zu gewähren.

    Abbildung : 1. AWS-Konten so einrichten, dass sie auf einem vertrauenswürdigen Konto ohne AWS-Anmeldeinformationen beruhen

    Richten Sie die IAM-Rolle des vertrauenden AWS-Accounts ein, um der IAM-Rolle des vertrauenswürdigen AWS-Accounts für den Zugriff zu vertrauen

    Prozedur

    1. Konfigurieren Sie eine IAM-Rolle für das vertrauende Konto.
      1. Melden Sie sich in der AWS-Managementkonsole bei dem vertrauenden Konto an.
      2. Erstellen Sie eine IAM-Rolle für dieses Konto.
        Verwenden Sie beim Erstellen dieser IAM-Rolle die Konto-ID des vertrauenswürdigen Kontos. Bedienungsinformationen zum Arbeiten mit AWS-Rollen finden Sie in der Amazon-Dokumentation.
      3. Erstellen Sie eine ReadOnlyAccess-Richtlinie, und hängen Sie sie an die neu erstellte IAM-Rolle an.
    2. Konfigurieren Sie die IAM-Rolle für das vertrauenswürdige Konto.
      1. Melden Sie sich bei der AWS-Managementkonsole mit den Anmeldeinformationen des Kontos an, das Sie als vertrauenswürdiges Konto einrichten möchten.
      2. Wählen Sie die Option AWS service aus, um eine IAM-Rolle zu erstellen.

        Option für AWS-Service auswählen, um eine IAM-Rolle für das vertrauenswürdige Konto zu erstellen
      3. Erstellen Sie eine ReadOnlyAccess-Richtlinie für die IAM-Rolle des vertrauenswürdigen Kontos.
      4. Erstellen Sie eine zusätzliche Richtlinie, um dieser IAM-Rolle Zugriff auf Ressourcen in vertrauenden Konten zu gewähren:
        • Legen Sie den Parameter Action auf sts:AssumeRole fest.
        • Legen Sie den Parameter Resource auf den ARN der Rolle des vertrauenden Kontos fest, die Sie in 1.b erstellt haben.

        Richtlinie zwischen der Rolle im vertrauenswürdigen Konto und der Rolle im vertrauenden Konto konfigurieren.

      5. Hängen Sie die neu erstellte Rolle an die relevante Amazon EC2-Instanz an.
        Wenn Sie eine IAM-Rolle an eine EC2-Instanz anhängen, wird standardmäßig eine Vertrauensstellung zwischen dieser Rolle und der EC2-Instanz erzeugt.
        Vertrauensstellung zwischen IAM-Rolle und EC2-Instanz überprüfen
    3. Konfigurieren Sie das vertrauende Servicekonto, um Zugriff auf die IAM-Rolle zu gewähren, die zum vertrauenswürdigen Konto gehört.
      1. Melden Sie sich in der AWS-Managementkonsole bei dem vertrauenden Konto an.
      2. Navigieren Sie zu der IAM-Rolle, die Sie für dieses Konto in 1.b erstellt haben.
      3. Bearbeiten Sie die Vertrauensstellung für diese IAM-Rolle wie folgt:
        • Legen Sie den Parameter Action auf sts:AssumeRole fest.
        • Legen Sie den Parameter AWS auf den ARN der Rolle des vertrauenswürdigen Kontos fest, die Sie in 2.b erstellt haben.
        Konfiguration der Vertrauensstellung für das vertrauende Konto
    4. MID-Server für AWS-IAM-Rollen konfigurieren.
    5. Auf der ServiceNow AI Platform, Konfigurieren Sie den vertrauenswürdigen Service-Account.
      1. Navigieren zu Alle > Discovery > Cloud-Service-Accountsan.
      2. Auswählen Neu .
      3. Füllen Sie im Formular die Felder aus.
        Eine Beschreibung der Feldwerte finden Sie unter Erstellen AWS Service-Accounts.
      4. Wählen Sie Absenden.
    6. Auf der ServiceNow AI Platform, Konfigurieren Sie den vertrauenden Service-Account.
      1. Navigieren zu Alle > Discovery > Cloud-Service-Accountsan.
      2. Wählen Sie Neu.
      3. In Zugriffsberechtigter-Account Geben Sie den Namen des vertrauenswürdigen Accounts ein.
      4. Füllen Sie die verbleibenden Felder im Formular aus.
        Eine Beschreibung der Feldwerte finden Sie unter Erstellen AWS Service-Accounts.
      5. Wählen Sie Absenden.
    7. Auf der ServiceNow AI Platform, Weisen Sie zu AWS IAM-Rolle für den vertrauenden Account mithilfe des entsprechenden Formulars basierend auf der Beziehung zum vertrauenswürdigen Account.
      Vertrauenswürdiger Account-TypSchritte
      Verwaltungsaccount
      1. Navigieren zu Alle > Cloud Provisioning and Governance > Zugriffsparameter der Organisation > AWS-Org. – Parameter für Rollenübernahmean.
      2. Wählen Sie Neu.
      3. Konfigurieren Sie im Formular nur die folgenden Felder für den Account des vertrauenden Mitglieds:
        Tabelle : 1. Formular „AWS-Organisation für Cloud-Service-Account – Rollenparameter übernehmen“
        Feld Definition
        Name der Zugriffsrolle Name der IAM-Rolle, die für den vertrauende Account erstellt wurde.
        • Wenn IAM-Rollen für alle Mitgliedsaccounts identisch sind: Geben Sie den vollständigen ARN mit einem Sternchen (*) als Platzhalter für die Account-ID im folgenden Format ein: arn:aws:iam::*:role/MemberRoleName .

          Beispiel: arn:aws:iam::*:role/SN_MEMBER_ACCOUNT_ROLE .

        • Wenn sich die IAM-Rollen in den Mitgliedsaccounts unterscheiden: Geben Sie den vollständigen ARN der spezifischen IAM-Rolle für jeden Mitgliedsaccount in einem separaten Eintrag ein.
        Cloud-Servicekonto Name des vertrauenden Accounts, für den Sie mit der IAM-Rolle Zugriff bereitstellen.
        • Wenn IAM-Rollen für alle Mitgliedsaccounts identisch sind: Geben Sie den Namen des Verwaltungsaccounts ein.
        • Wenn sich die IAM-Rollen in den Mitgliedsaccounts unterscheiden: Geben Sie jeden Mitgliedsaccount in einem separaten Eintrag ein.
      4. Wählen Sie Absenden.
      Mitglieds- oder diskreter Account
      1. Navigieren zu Alle > Cloud Provisioning and Governance > Zugriffsparameter der Organisation > AWS – Parameter für übergreifende Rollenübernahmean.
      2. Wählen Sie Neu.
      3. Konfigurieren Sie im Formular nur die folgenden Felder für den vertrauenden Account:
        Tabelle : 2. Formular „AWS-übergreifende Rollenübernahmeparameter für Cloud-Service-Account“
        Feld Beschreibung
        Name der Zugriffsrolle Name der IAM-Rolle, die für den vertrauende Account erstellt wurde.
        Cloud-Servicekonto Name des vertrauenden Accounts, für den Sie mit der IAM-Rolle Zugriff bereitstellen.
      4. Wählen Sie Absenden.

    Nächste Maßnahme

    Stellen Sie sicher, dass ServiceNow-Anwendungen mithilfe der IAM-Rolle auf das vertrauende Servicekonto zugreifen können:
    1. Navigieren zu Alle > Discovery > Cloud-Service-Accountsan.
    2. Wählen Sie das Vertrauen aus AWS Service-Account.
    3. Unter Zugehörige Links , Wählen Sie aus Erstellen Sie Einen Discovery-Zeitplan .
    4. Wählen Sie auf der Seite Discovery Manager Cloud Discovery die Option aus Test-Account .
      • Wenn die Verbindung erfolgreich ist, wird eine Meldung angezeigt, die angibt, dass die Accountvalidierung erfolgreich war.
      • Wenn die Verbindung nicht erfolgreich ist, wird eine Fehlermeldung angezeigt, die die Fehlerursache angibt.