Configurer l'accès à l'aide d'informations d'identification temporaires pour approuver les comptes de membre AWS

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Configurez l'accès aux comptes de membre AWS en utilisant le compte de gestion comme compte approuvé à l'aide du rôle IAM.

    Avant de commencer

    Rôle requis : administrateur Rôle requis : admin, discovery_admin ou sn_cmp.cloud_admin (pour Cloud Provisioning and Governance)

    Pourquoi et quand exécuter cette tâche

    Vous pouvez configurer l'accès aux comptes de membre, où les membres utilisent leur compte de gestion. Peu importe si le compte de gestion proprement dit utilise des informations d'identification permanentes ou temporaires.

    Figure 1. Configurer des comptes de membre pour utiliser leur compte de gestion pour fournir l'accès

    Configurez le rôle IAM des comptes des membres d’approbation pour approuver leur compte de gestion

    Procédure

    1. Créez un rôle IAM pour le compte de membre et configurez la relation de confiance entre l'utilisateur assumant ce rôle et le compte approuvé (d'accesseur).
      1. Connectez-vous à la console de gestion d'AWS à l'aide des informations d'identification du compte de membre pour lequel vous configurez l'accès.
      2. Créez et configurez le rôle IAM en spécifiant l'ID de compte de gestion dans le champ ID de compte.
        Pour obtenir plus d'informations opérationnelles sur la création de rôles AWS, consultez la documentation Amazon.
      3. Sur la page Résumé du rôle IAM, cliquez sur l’onglet Relations de confiance .
      4. Cliquez sur Modifier la relation de confiance.
        La page Modifier la relation de confiance s'ouvre et affiche le document de politique.
      5. Modifiez la relation de confiance, comme suit :
        • Définissez le paramètre Action sur sts:AssumeRole.
        • Définissez le paramètre AWS sur l'ARN de rôle complet du compte de gestion.

        Modification de la relation de confiance pour le compte d'approbation.
      6. Cliquez sur Mettre à jour la politique de confiance.
    2. Configurez le compte de service approuvé pour le compte d'approbation sur Now Platform.
      1. Accédez à la Mise en service et gouvernance du cloud > Comptes de services.
      2. Ouvrez le compte de membre.
      3. Sur le formulaire Compte de service dans le cloud, saisissez le nom du compte de gestion dans le champ Compte parent.
      4. Cliquez sur Mettre à jour.
    3. Affectez le rôle IAM créé pour le compte de membre au compte de membre sur Now Platform.
      Important :
      Effectuez cette étape uniquement si vous avez créé des rôles IAM personnalisés. Il n'est pas nécessaire d'affecter le rôle OrganizationAccountAccessRole par défaut à un compte de service.
      1. Accédez à la Mise en service et gouvernance du cloud > Paramètres d'accès à l'organisation > Endosser les paramètres de rôle Cross AWS.
      2. Cliquez sur Nouveau.
      3. Sur le formulaire Endosser les paramètres de rôle Cross AWS de compte de services dans le cloud, configurez uniquement les champs suivants :
        Champ Définition
        Nom du rôle d'accès Nom du rôle IAM créé pour le compte de confiance.
        Compte de services dans le cloud Nom du compte de confiance pour lequel vous fournissez l'accès à l'aide du rôle IAM.
      4. Cliquez sur Envoyer.

    Que faire ensuite

    Vérifiez que les applications ServiceNow peuvent accéder au compte de service d'approbation à l'aide du rôle IAM :
    1. Accédez à la Mise en service et gouvernance du cloud > Comptes de services, puis sélectionnez le compte que vous avez créé précédemment, comme décrit à la AWS section Configurer les comptes de service AWS.
    2. Sélectionnez le compte d'approbation que vous avez configuré avec le rôle IAM.
    3. Sous Liens connexes, cliquez sur Détecter les centres de données.
    4. Accédez à la Découverte > Tableau de bord de détection dans le cloud, puis cliquez sur l’onglet AWS .
    5. Vérifiez que le tableau de bord affiche les ressources détectées pour le compte que vous avez associé aux informations d'identification AWS nouvellement créées.