Richten Sie einen Identity Access Manager-Account für ein ein ServiceNow Anwender in AWS

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Erstellen Sie einen AWS CloudFormation Identity Access Manager (IAM)-Anwender im Verwaltungsaccount mit der CloudFormation-Vorlage (CFT), damit Sie mehrere verwalten können AWS Accounts mit einem zentralisierten IAM-Anwender.

    Vorbereitungen

    • Erforderliche Rolle: AWS Administrator

    • Die ServiceNow IAM-Anwenderaccount erfordert spezifische AWS IAM-Berechtigungen zum Ausführen grundlegender Vorgänge. Weitere Informationen zu den Berechtigungen finden Sie unter Über Amazon Web Services API-Berechtigungen.

    Prozedur

    1. Melden Sie sich bei an AWS Verwaltungskonsole und Eingabetaste CloudFormation Wählen Sie es in der Suchleiste aus, und wählen Sie es aus.
    2. Wählen Sie in der CloudFormation-Konsole aus Stapel Erstellen .

      Ein Stapel ist eine Sammlung von AWS Ressourcen, die Sie als einzelne Einheit verwalten können.

    3. Kopieren Sie den CloudFormation-Vorlagencode (CFT) in eine Datei, und speichern Sie die Datei.

      Die Dateierweiterung muss sein .Yml . Beispiel: Erstellt ServiceNowUser.yml .

      AWSTemplateFormatVersion: '2010-09-09'
Description: This script is executed in Management Account where the  ServiceNow user is created.

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
      - Label:
          default: User Credentials
        Parameters:
          - SNUserName
    ParameterLabels:
      SNUserName:
        default: User Name

Parameters:
  SNUserName:
    Type: String
    Description: User name for CW Service Account user
    MinLength: '6'
    MaxLength: '15'
    ConstraintDescription: The username must be between 6 and 15 characters

Resources:
  SnowCWMemberAccountAccessGroup:
    Type: 'AWS::IAM::Group'
    Properties:
      GroupName: SnowCWMemberAccountAccessGroup

  SnowCWAccountAccessPolicy:
    Type: 'AWS::IAM::Policy'
    Properties:
      PolicyName: SnowCWAccountAccessPolicy
      PolicyDocument:
        Statement:
          - Sid: ServiceNowCWUserAccess
            Effect: Allow
            Action:
              - 'organizations:ListRoots'
              - 'organizations:ListTagsForResource'
              - 'organizations:DescribeAccount'
              - 'organizations:CreateAccount'
              - 'organizations:ListAWSServiceAccessForOrganization'
              - 'organizations:TagResource'
              - 'organizations:ListAccounts'
              - 'organizations:ListRoots'
              - 'organizations:ListTagsForResource'
              - 'organizations:DescribeAccount'
              - 'organizations:CreateAccount'
              - 'organizations:ListAWSServiceAccessForOrganization'
              - 'organizations:TagResource'
              - 'organizations:ListAccounts'
              - 'organizations:CloseAccount'
              - 'organizations:DescribeOrganization'
              - 'organizations:DescribeOrganizationalUnit'
              - 'organizations:ListParents'
              - 'organizations:ListOrganizationalUnitsForParent'
              - 'organizations:MoveAccount'
              - 'organizations:DescribeCreateAccountStatus'
              - 'organizations:AttachPolicy'
              - 'organizations:DescribePolicy'
              - 'organizations:ListAccounts'
              - 'budgets:CreateBudgetAction'
              - 'budgets:ModifyBudget'
              - 'budgets:ViewBudget'
              - 'budgets:ListTagsForResource'
              - 'iam:GetAccountSummary'
              - 'iam:GetAccountPasswordPolicy'
              - 'budgets:DescribeBudgetAction'
              - 'iam:ListAccountAliases'
              - 'sts:AssumeRole'
              - 'iam:GetRole'
              - 'iam:ListAccountAliases'
              - 'iam:GetAccountPasswordPolicy'
              - 'organizations:DetachPolicy'
              - 'iam:GetAccountAuthorizationDetails'              
            Resource: '*'
      Groups:
        - !Ref SnowCWMemberAccountAccessGroup

  CreateServicenowUser:
    Type: 'AWS::IAM::User'
    Properties:
      Path: /
      UserName: !Ref SNUserName
  AddSnowUserToSnowCWMemberAccountAccessGroup:
    Type: 'AWS::IAM::UserToGroupAddition'
    Properties:
      GroupName: SnowCWMemberAccountAccessGroup
      Users:
        - !Ref SNUserName
    DependsOn: CreateServicenowUser

Outputs:
  ServiceNowUserARN:
    Description: ARN of ServiceNow user
    Value: !GetAtt 
      - CreateServicenowUser
      - Arn

  ServiceNowUser:
    Description: ServiceNow user
    Value: !Ref SNUserName
    4. Auf der Stapel Erstellen Seite auswählen Wählen Sie eine vorhandene Vorlage aus > Laden Sie eine Vorlagendatei hoch > Datei wählen Um eine Vorlagendatei von Ihrem lokalen Computer auszuwählen.
    5. Wählen Sie Aus Als Nächstes Um fortzufahren und die Vorlage zu validieren.
    6. Auf der Geben Sie Stapeldetails an Seite, geben Sie ein CloudFormation-Stapelname In Stapelname Feld.

      Der Stapelname ist ein Bezeichner, der Ihnen hilft, einen bestimmten Stapel aus einer Liste von Stapeln zu finden. Ein Stapelname darf nur alphanumerische Zeichen (Groß-/Kleinschreibung beachten) und Bindestriche enthalten. Er muss mit einem Buchstaben beginnen und darf nicht länger als 128 Zeichen sein.

    7. In Anwendername Geben Sie ein Cloud Account Management Anwendername des Service-Accounts.
    8. Wählen Sie Aus Als Nächstes Um fortzufahren.
    9. Auf der Konfigurieren Sie Stapeloptionen Wählen Sie Seite aus Ich bestätige, dass AWS CloudFormation IAM-Ressourcen mit anwenderdefinierten Namen erstellen kann Aktivieren Sie das Kontrollkästchen, und wählen Sie aus Als Nächstes .
    10. Auf der Überprüfen und erstellen Seite auswählen Übermitteln Um Ihren Stapel zu starten.
      Der IAM-Account wird erstellt.
    11. So fügen Sie Sicherheitsanmeldeinformationen hinzu:
      1. Wählen Sie Aus Ressourcen .
      2. Wählen Sie den Anwendernamen-Link aus.
      3. Wählen Sie im Abschnitt Zugriffsschlüssel die Option aus Erstellen Sie einen Zugriffsschlüssel .
      4. Auf der Greifen Sie auf wichtige Best Practices und Alternativen zu Seite wählen Sie aus Drittpartei-Service Option.

        Sie planen, diesen Zugriffsschlüssel zu verwenden, um den Zugriff für eine Drittpartei-Anwendung oder einen Drittpartei-Service zu ermöglichen, die bzw. den überwacht oder verwaltet AWS Ressourcen.

      5. Wählen Sie aus Ich verstehe die obige Empfehlung und möchte mit der Erstellung eines Zugriffsschlüssels fortfahren Aktivieren Sie das Kontrollkästchen, und wählen Sie aus Als Nächstes .
      6. Wählen Sie Aus Erstellen Sie einen Zugriffsschlüssel .
      7. In Überprüfen Sie die Zugriffsschlüssel Seite, laden Sie die Zugriffsschlüsseldatei herunter, und wählen Sie aus Fertig .
        Hinweis:
        Geben Sie den Zugriffsschlüssel und den geheimen Schlüssel für den frei Terraform administrator und ServiceNow AI Platform administrator.

    Nächste Maßnahme

    Richten Sie die Aussetzung von ein AWS Account, der die Servicesteuerrichtlinie verwendet