AWS SSM-Discovery

  • Freigeben Version: Zurich
  • Aktualisiert 17. Juni 2026
  • 4 Minuten Lesedauer

    • AWS Die Agent-Discovery von Systems Manager (SSM) führt einen optimierten, Agent-basierten Ansatz für die Erkennung ein Amazon Elastic Compute Cloud (EC2) mit AWS SSM. Diese Integration verbessert sich Discovery Durch Nutzung von SSM-Service Desk-Mitarbeitern, um die Abhängigkeit von herkömmlichen Produkten zu reduzieren MID-Server Konfigurationen, vereinfachen die Anmeldeinformationsverwaltung und verbessern die Skalierbarkeit in Umgebungen mit mehreren Regionen.

    Workflow

    Abbildung : 1. AWS SSM-Discovery-Workflow
    AWS SSM-Agent-Discovery-Prozess
    Der Gesamtprozess auf allgemeiner Ebene lautet wie folgt:
    1. Die ServiceNow AI Platform® Sendet Discovery-Befehle an MID-Server.
    2. Der MID interagiert mit AWS Services (SSM, Simple Storage Service (S3), Parameterspeicher) zum Ausführen von Befehlen auf Zielgeräten.
    3. Die SSM-Agents führen die Befehle aus und geben Ergebnisse an S3 zurück.
    4. Der MID ruft Ergebnisse ab und verarbeitet sie.
    5. Der MID sendet die Ergebnisse zurück an ServiceNow AI Platform®Über die ecc_Queue, die die CMDB aktualisiert.

    Vorteile und Nutzung

    Die folgenden Beispiele heben die primären Vorteile und praktischen Verwendungen von hervor AWS SSM-Agent-Discovery:
    • Führen Sie die Discovery aus, ohne dass zusätzliche Anmeldeinformationen lokal für das Betriebssystem erforderlich sind.
    • Vereinfachen Sie die Bereitstellung, ohne dass erforderlich ist Agent Client Collector(ACC) oder Virtual Private Cloud (VPC)-Zugriff.
    • Minimieren Sie den Bedarf an mehreren MID ServersUnd direkten Netzwerkzugriff auf Zielgeräte.
    • Verwalten Sie Anmeldeinformationen und Befehlsausführung mit sicher AWS Services.

    Anforderungen

    Bestätigen Sie, dass Sie über die erforderlichen Versionen der folgenden Anwendungen und Plugins verfügen:
    • Discovery
    • Cloud Discovery Workspace Version 1.7.1 oder höher.
    • CMDB CI-Klassenmodelle Version 1.74.0 oder höher.
    • Muster für Discovery und Service-Mapping Version 1.27.0 oder höher.

    Installieren Sie MID-Server. Weitere Informationen finden Sie unter Installieren und konfigurieren Sie die MID-Server .

    Überprüfen Sie, ob Sie über einen verfügen AWS Anwenderaccount mit Administratorzugriff.

    Überprüfen Sie, ob Sie über einen verfügen ServiceNow AI Platform® Anwenderaccount mit der Rolle „Discovery_admin“.

    Nicht unterstützte Funktionen

    Derzeit werden die folgenden Funktionen nicht unterstützt AWS SSM-Discovery:

    • Dateibasierte Discovery
    • Zertifikatbasierte Discovery
    • Erkennung von oben nach unten
    • Erweitertes ADM
    • Anwenderschritt in Mustern ändern/ändern rückgängig machen
    Hinweis:
    SSM unterstützt nur sudo für die Ausführung privilegierter Befehle und standardmäßig die sh-Shell, ohne Unterstützung für alternative Befehl- oder Shell-Typen.

    AWS Umgebungskonfiguration

    Erstellen Sie IAM-Rollen und -Berechtigungen
    Definieren Sie die zu unterstützenden Rollen für Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) AWS SSM-Vorgänge, die die erforderlichen Berechtigungen für die Ausführung von Lese-, Schreib- und Listenbefehlen angeben. Weitere Informationen finden Sie unter IAM-Richtlinien
    Konfigurieren Sie EC2-Rollen und -Instanzen
    Erstellen Sie EC2-Rollen, und weisen Sie diesen Rollen die erforderlichen Berechtigungen zu, um mit SSM zu interagieren. Weitere Informationen zum Einrichten einer EC2-Instanz finden Sie unter EC2-Instanzen .
    Erstellen Sie S3-Buckets
    Erstellen Sie S3-Buckets, um große Datenübertragungen zu unterstützen, und konfigurieren Sie entsprechende Bucket-Richtlinien und Lebenszyklusregeln. Um das Ausgabelimit von SSM für 24.000-Zeichen zu überwinden, wird die Befehlsausgabe an S3 weitergeleitet, wodurch die vollständige Nutzlasterfassung aktiviert wird. Darüber hinaus erleichtert S3 Dateiübertragungen an EC2-Instanzen. Weitere Informationen zum Erstellen von S3-Buckets finden Sie unter S3-Bucket einrichten .
    (Optional) Konfigurieren Sie KMS-Schlüssel
    Erstellen Sie eine anwenderdefinierte AWS Key Management Service (KMS)-Schlüssel zum Verschlüsseln vertraulicher Anmeldeinformationen, die als SecureString-Parameter in gespeichert sind AWS Systemmanager-Parameterspeicher. Die Verwendung eines dedizierten Schlüssels erhöht die Sicherheit, indem überprüft wird, ob Anmeldeinformationen zur Laufzeit verschlüsselt und sicher abgerufen werden, ohne sie in nur-Text darzustellen. Weitere Informationen zum Erstellen von KMS-Schlüsseln finden Sie unter Erstellen Sie einen vom Kunden verwalteten AWS-KMS-Schlüssel .
    Wichtig:
    Wenn Sie in anwendbare Anmeldeinformationen verwenden Discovery, Sie müssen einen anwenderdefinierten KMS-Schlüssel erstellen.
    Importieren Sie anwenderdefinierte SSM-Dokumente
    Die Ausführung des SSM-Befehls hängt von der Verfügbarkeit der erforderlichen Dokumente ab. Stellen Sie vor dem Initiieren der SSM-basierten Discovery sicher, dass alle YAML-Dateien von bereitgestellt wurden ServiceNowWurden erfolgreich für jeden bereitgestellt AWS Region, in der der Discovery-Prozess ausgeführt wird. Weitere Informationen zu diesem Prozess finden Sie unter Importieren Sie anwenderdefinierte AWS-Dokumente . Sie können die YAML-Dateien direkt aus diesem artikel herunterladen.

    Weitere Informationen zu finden AWS Konfiguration der Verwaltungskonsole, siehe Amazon SSM Discovery: Setup-Anweisungen für die AWS-Umgebung artikel in Now Support Knowledge Base.

    ServiceNow AI Platform® Instanzkonfiguration

    Systemeigenschaften konfigurieren
    Aktivieren Sie Folgendes Discovery Systemeigenschaften:
    • glide.discovery.enable_ssm
    • glide.discovery.ssm.enable_windows

    Die AWS SSM-Agent wird mit Stamm ausgeführt ( Linux) Oder SYSTEM ( Windows) Berechtigungen, d. h. jeder über ihn gesendete Befehl kann mit vollständigem Systemzugriff ausgeführt werden. Aufgrund dieser hohen Zugriffsstufe ist SSM aus Sicherheitsgründen standardmäßig deaktiviert. Weitere Informationen finden Sie unter Aktivieren Sie die AWS SSM-basierte Discovery.

    Definieren Sie Stamm- und nicht-Stamm-Anmeldeinformationen

    Die mid.discovery.aws_ssm.linux.fallback_rootMit der Eigenschaft können EC2-Instanzen standardmäßig der Stammanwender verwendet werden. Standardmäßig ist diese Einstellung Falsch , Wenn Sie jedoch keine alternativen Anwenderanmeldeinformationen einrichten möchten, können Sie es aktivieren, dass Befehle als Stamm ausgeführt werden. Wenn Sie diese Einstellung deaktiviert lassen, müssen Sie einen Anmeldeinformationsdatensatz in erstellen AWS Tabelle „SSM-Instanzanwender“ [aws_ssm_instance_user_credentials], in der Sie einfach den Anwendernamen angeben, der zum Ausführen von Befehlen auf der Instanz verwendet werden soll. Weitere Informationen finden Sie unter . Aktivieren Sie den Stamm-Fallback Und Konfigurieren Sie anwenderdefinierte Anwenderanmeldeinformationen.

    MID-Server-Eigenschaften konfigurieren
    Nachdem Sie KMS-Schlüssel oder S3-Buckets in eingerichtet haben AWS Verwaltungskonsole konfigurieren Sie Folgendes MID-Server Systemeigenschaften auf der ServiceNow AI Platform®:
    • mid.discovery.aws_ssm.kms_key_name
    • mid.discovery.aws_ssm.kms_key_region
    • mid.discovery.aws_ssm.s3_bucket_name
    • mid.discovery.aws_ssm.s3_bucket_region
    Weitere Informationen finden Sie unter MID-Server für konfigurieren AWS S3-Zugriff und Konfigurieren MID-Server Für AWS KMS-Zugriff.
    Aktivieren Sie die MID-Server-Fähigkeit
    Sie müssen die neue aktivieren MID-Server Fähigkeit für AWS SSM so die MID-Server Kann die Ausführung der SSM-Discovery unterstützen. Standardmäßig ist diese Fähigkeit enthalten, wenn Sie verwenden ALLE Fähigkeit. Wenn Sie jedoch einzelne Fähigkeiten verwenden, müssen Sie die neue manuell hinzufügen AWS SSM Fähigkeit zu Ihrem MID Servers. Informationen zum Hinzufügen einer Fähigkeit finden Sie unter https://www.servicenow.com/docs/access?context=configure-capabilities&version=zurich&pubname=zurich-integrate-applications&ft:locale=en-US.

    Cloud-Discovery Zeitplankonfiguration

    Erstellen Sie einen Cloud-Discovery Zeitplan
    Beim Einrichten eines Discovery-Zeitplans in Cloud Discovery Workspace, Sie können SSM-Discovery bereitstellen, indem Sie auswählen Erkennen Sie virtuelle Computer Und Verwenden Sie AWS SSM Schaltet um. Weitere Informationen finden Sie unter Erstellen Sie in einen Discovery-Zeitplan Cloud Discovery Workspace.