Voraussetzungen für die Ausführung von Skripts

  • Freigeben Version: Zurich
  • Aktualisiert 13. März 2026
  • 3 Minuten Lesedauer

    • Schließen Sie die Voraussetzungen ab, bevor Sie ausführen AWS Skripts.

    Wichtig:
    Stellen Sie sicher, dass Sie die in verfügbaren Skripts heruntergeladen haben Service Graph Connector für AWS. Weitere Informationen finden Sie unter Laden Sie herunter AWS Skripts.
    Entscheiden Sie sich für die folgenden Details, die später während der Ausführung von verwendet werden sollen AWS Skripts:

    Bestimmen Sie ServiceNow IAM-Rolle

    Bestimmen Sie die IAM-Rolle (Identity and Access Management), die schreibgeschützte Vorgänge in Mitgliedsaccounts ausführt, um die Konfigurationselemente (Configuration Items, CIs) aus dem abzurufen AWS Umgebung.

    Standardmäßig ist CreateSnowOrganizationAccountAccessRoleInMemberAccount.yml Skript erstellt die IAM-Rolle „SnowOrganizationAccountAccessRole“. Sie können den vom Skript erstellten Standardnamen verwenden oder eine neue IAM-Rolle erstellen. Wenn Sie jedoch als Eingabeparameter erforderlich sind, müssen Sie dieselbe IAM-Rolle in allen Skripts eingeben. Weitere Informationen finden Sie unter Zum Einrichten erforderliche Skripts werden ausgeführt AWS.

    Bestimmen Sie ServiceNow IAM-Anwendername

    Bestimmen Sie den Namen des IAM-Anwenders, der annimmt ServiceNow IAM-Rolle in den Mitgliedsaccounts.

    Standardmäßig ist Erstellt ServiceNowUser.yml Skript erstellt den NOWSGCUser IAM-Anwender. Sie können den vom Skript erstellten Standardnamen verwenden oder einen neuen IAM-Anwender erstellen. Wenn Sie jedoch als Eingabeparameter erforderlich sind, müssen Sie denselben IAM-Anwendernamen in Skripts eingeben. Weitere Informationen finden Sie unter Zum Einrichten erforderliche Skripts werden ausgeführt AWS.

    Definieren Sie den S3-Bucket für die Deep Discovery

    Richten Sie einen S3-Bucket mit Lese- und Löschberechtigungen für ein ServiceNow IAM-Rolle zum Speichern und Löschen von SendCommand API-Antworten beim Importieren AWS Daten.

    Vorbereitungen

    Erforderliche Rolle: Anwendungsadministrator

    Warum und wann dieser Vorgang ausgeführt wird

    Erstellen Sie einen S3-Bucket für Service Graph Connector für AWS Anwendung und aktivieren Sie ServiceNow IAM-Rolle Um Zugriff auf diesen Bucket in der Organisation zu haben.
    Hinweis:
    Verwenden Sie einen S3-Bucket nur, wenn Sie eine Deep Discovery für EC2-Instanzen durchführen möchten.

    Prozedur

    1. Erstellen Sie einen S3-Bucket in einem AWS Account-Region.
      Siehe Bucket wird erstellt Auf der AWS Dokumentationswebsite .
      Hinweis:
      Der S3-Bucket muss über die folgenden Berechtigungseinstellungen verfügen.
      Tabelle : 1. S3-Bucket-Berechtigungen und ihre Einstellungen
      Berechtigung Einstellung
      Zugriff Bucket und Objekte nicht öffentlich
      S3 blockiert den öffentlichen Zugriff Blockieren Sie den öffentlichen Zugriff auf S3-Buckets und -Objekte

      Weitere Informationen finden Sie unter S3 blockiert den öffentlichen Zugriff Auf der AWS Dokumentationswebsite .

    2. Fügen Sie eine Bucket-Richtlinie hinzu.

      Siehe Bucket-Richtlinien Auf der AWS Dokumentationswebsite .

      Um auf den S3-Bucket zuzugreifen, den Sie in erstellt haben Schritt 1 , Die Bucket-Richtlinie muss die IAM-Instanzprofilrolle zulassen, die an die verwalteten EC2-Instanzen angehängt ist. Sie können entweder eine Bucket-Richtlinie erstellen oder Zugriff auf gewähren AWS mitgliedsaccount In der Bucket-Zugriffssteuerungsliste (ACL). Der Mitgliedsaccount muss die EC2-Instanzen enthalten.
      Hinweis:
      Hinzufügen von AWS mitgliedsaccount Mit der Bucket-ACL können alle Anwender und Rollen im Mitgliedsaccount auf den S3-Bucket zugreifen.
      Beachten Sie beim Hinzufügen einer Bucket-Richtlinie den folgenden Beispielcode.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AWS-ACCOUNT:role/INSTANCE-PROFILE-ROLE-NAME"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      Wobei
      • QUELL-AWS-ACCOUNT Ist AWS Account ID des Mitglieds-Accounts, der die EC2-Instanzen enthält.
      • INSTANZPROFIL-ROLLENNAME Ist das IAM-Instanzprofil, das an die EC2-Instanzen angehängt ist.

        Standardmäßig ist AmazonSSMForInstancesRoleSetup.yml Das Skript erstellt die IAM-Instanzprofilrolle AmazonSSMForInstancesRole und hängt die Rolle an die AmazonSSMManagedInstanceCore-Bucket-Richtlinie an. Weitere Informationen finden Sie unter Zum Einrichten erforderliche Skripts werden ausgeführt AWS.

      • DOC-EXAMPLE-BUCKET Ist der S3-Bucket-Name.
      Das folgende Beispiel für die Bucket-Richtlinie zeigt die Auswirkungen-, Prinzipal-, Aktion- und Ressourcenelemente. Die Richtlinie ermöglicht AmazonSSMRoleForInstances, eine IAM-Instanzprofilrolle in einem Account mit ID 123456789000 , s3: GetObject , s3: PutObject , Und s3:PutObjectAcl S3-Berechtigungen für MyS3Bucket Bucket.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789000:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789001:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789002:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789003:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789004:role/AmazonSSMRoleForInstances"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::myS3Bucket/*"
        }
    ]
}
    3. Hängen Sie IAM-Berechtigungen an die Instanzprofilrolle an, damit EC2-Instanzen veröffentlicht werden SendCommand API-Antworten auf den S3-Bucket, den Sie in erstellt haben Schritt 1 .
      Siehe Instanzprofile werden verwendet Und Hängen Sie eine IAM-Rolle an eine Instanz an Auf der AWS Dokumentationswebsite.
      Die IAM-Instanzprofilrolle, die an die verwalteten EC2-Instanzen angehängt ist, muss über verfügen s3: GetObject , s3: PutObject , Und s3:PutObjectAcl S3-Berechtigungen zum Zulassen des Zugriffs auf den S3-Bucket, wie in der folgenden Beispielrichtlinie dargestellt.
      {
    "Version": "2012-10-17",
    "Statement": [
        {
        "Sid": "PublishTerminalOutputToS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      Wo, DOC-EXAMPLE-BUCKET Ist der S3-Bucket-Name.
      Hinweis:
      Stellen Sie sicher, dass Sie das Suffix hinzufügen /* Am Ende des Bucket-Namens, um das Erstellen von Dateien unter dem Bucket-Namen zu ermöglichen.