Configurer l’accès à l’aide d’informations d’identification temporaires basées sur des comptes de confiance AWS sans AWS informations d’identification

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Configurez un compte approuvé sans informations d’identification auquel d’autres AWS comptes peuvent compter pour y accéder.

    Avant de commencer

    • Familiarisez-vous avec la création d'un rôle pour déléguer des autorisations à un utilisateur IAM dans la documentation de Amazon.
    • Décidez quel AWS compte sera le compte approuvé. Vous utilisez le compte approuvé pour configurer des informations d’identification temporaires pour Découverte dans le cloud l’utilisation des rôles IAM. Le compte de confiance que vous utilisez pour accéder à d'autres comptes à l'aide des rôles IAM est appelé compte d'accesseur.
    • Si vous configurez une chaîne de confiance où un compte de membre fait confiance à un compte de gestion et où le compte de gestion approuve un compte d’accesseur, vérifiez que vous avez configuré le compte de membre pour approuver le compte de gestion. Pour plus d'informations, consultez Configurer l’accès à l’aide d’informations d’identification temporaires pour approuver les comptes de membres dans la AWS chaîne de confiance de gestion-accesseur.
    • Confirmez que Espace de travail de l'administrateur de Découverte utilise au moins la version 1.10.0. Le Découverte > Comptes de services dans le cloud Le module de navigation n’est pas disponible avec les versions antérieures. Pour accéder aux comptes de service dans le cloud dotés d’une version antérieure, saisissez dans le filtre de navigation : cmdb_ci_cloud_service_account.list.
    Rôle requis :
    • Pour Découverte dans le cloud: discovery_admin
    • Pour Mise en service et gouvernance du cloud: administrateur ou sn_cmp.cloud_admin

    Pourquoi et quand exécuter cette tâche

    Pour utiliser un compte sans AWS informations d’identification, vous devez d’abord configurer ce compte avec un rôle IAM et des autorisations pour accéder au compte de service d’approbation. Ensuite, vous configurez le rôle IAM du compte de confiance pour accorder l’accès au rôle IAM du compte de confiance.

    Figure 1. Configurer n'importe quel compte AWS pour l'utiliser comme compte approuvé sans informations d'identification AWS

    Configurez le rôle IAM du compte AWS d’approbation pour approuver le rôle IAM du compte AWS approuvé pour l’accès

    Procédure

    1. Configurez un rôle IAM pour le compte d’approbation.
      1. Connectez-vous au compte d’approbation sur la AWS console de gestion.
      2. Créez un rôle IAM pour ce compte.
        Utilisez l’ID de compte du compte approuvé lors de la création de ce rôle IAM. Pour plus d’informations opérationnelles sur l’utilisation des AWS rôles, consultez la Amazon documentation.
      3. Créez une politique ReadOnlyAccess et associez-la au rôle IAM nouvellement créé.
    2. Configurez le rôle IAM pour le compte approuvé.
      1. Connectez-vous à la console de gestion à l’aide AWS des informations d’identification du compte que vous souhaitez configurer en tant que compte de confiance.
      2. Créez un rôle IAM en choisissant l’option de service AWS .

        Sélectionnez l’option de service AWS pour créer un rôle IAM du compte de confiance
      3. Créez une politique d’accès en lecture seule pour le rôle IAM de compte approuvé.
        Pour plus d'informations, consultez Contrôler AWS l’accès et les autorisations à l’aide de politiques.
      4. Créez une politique supplémentaire pour accorder à ce rôle IAM l’accès aux ressources des comptes d’approbation :
        • Définir le Action paramètre sur sts :AssumeRole
        • Définissez le Resource paramètre sur l’ARN du rôle de compte d’approbation que vous avez créé dans 1.b.

        Configurez la politique entre le rôle dans le compte approuvé et le rôle dans le compte de confiance.

      5. Associez le rôle nouvellement créé à l’instance EC2 pertinente Amazon .
        Par défaut, lorsque vous attachez un rôle IAM à une instance EC2, cela crée une relation de confiance entre ce rôle et l’instance EC2.
        Vérification de la relation de confiance entre le rôle IAM et l’instance EC2.
    3. Configurez le compte de service d’approbation pour accorder l’accès au rôle IAM appartenant au compte approuvé.
      1. Connectez-vous au compte d’approbation sur la AWS console de gestion.
      2. Accédez au rôle IAM que vous avez créé pour ce compte, comme décrit dans .1.b
      3. Modifiez la relation de confiance pour ce rôle IAM comme suit :
        • Définissez le Action paramètre sur sts :AssumeRole.
        • Définissez le AWS paramètre sur l’ARN du rôle de compte approuvé que vous avez créé dans 2.b.
        Configurer la relation de confiance pour le compte d’approbation
    4. Configurez le pour AWS les Serveur MID rôles IAM.
      Pour plus d'informations, consultez Configurer les pour AWS les Serveur MID rôles IAM.
    5. Sur le ServiceNow AI Platform, configurez le compte de service approuvé.
      1. Accédez à la Tous > Découverte > Comptes de services dans le cloud.
      2. Selelct Nouveau.
      3. Remplissez les champs du formulaire.
        Pour obtenir une description des valeurs de champ, consultez la rubrique Créer des AWS comptes de service.
      4. Sélectionnez Soumettre.
    6. Sur la ServiceNow AI Platform, configurez le compte de service d’approbation.
      1. Accédez à la Tous > Découverte > Comptes de services dans le cloud.
      2. Sélectionnez Nouveau.
      3. Dans le champ Compte d’accesseur , saisissez le nom du compte approuvé.
      4. Renseignez les champs restants du formulaire.
        Pour obtenir une description des valeurs de champ, consultez la rubrique Créer des AWS comptes de service.
      5. Sélectionnez Soumettre.
    7. ServiceNow AI Platform Le , affectez le AWS rôle IAM au compte de confiance, à l’aide du formulaire approprié, en fonction de la relation avec le compte de confiance.
      Type de compte approuvéÉtapes
      Compte de gestion
      1. Accédez à la Tous > Mise en service et gouvernance du cloud > Paramètres d’accès à l’organisation > Endosser les paramètres de rôle org AWS.
      2. Sélectionnez Nouveau.
      3. Sur le formulaire, configurez uniquement les champs suivants pour le compte du membre qui approuve :
        Tableau 1. Endosser le formulaire des paramètres de rôle org AWS de compte de services dans le cloud
        Champ Définition
        Nom du rôle d'accès Nom du rôle IAM créé pour le compte de confiance.
        • Si les rôles IAM sont les mêmes pour tous les comptes membres : saisissez l’ARN complet à l’aide d’un astérisque (*) comme caractère générique pour l’ID de compte au format : arn :aws :iam ::* :role/MemberRoleName.

          Par exemple : arn :aws :iam ::* :role/SN_MEMBER_ACCOUNT_ROLE.

        • Si les rôles IAM sont différents d’un compte membre à l’autre : saisissez l’ARN complet du rôle IAM spécifique pour chaque compte membre dans une entrée distincte.
        Compte de services dans le cloud Nom du compte de confiance pour lequel vous fournissez l'accès à l'aide du rôle IAM.
        • Si les rôles IAM sont les mêmes pour tous les comptes membres : Saisissez le nom du compte de gestion.
        • Si les rôles IAM sont différents d’un compte membre à l’autre : saisissez chaque compte membre dans une entrée distincte.
      4. Sélectionnez Soumettre.
      Membre ou compte discret
      1. Accédez à la Tous > Mise en service et gouvernance du cloud > Paramètres d’accès à l’organisation > Endosser les paramètres de rôle Cross AWS.
      2. Sélectionnez Nouveau.
      3. Sur le formulaire, configurez uniquement les champs suivants pour le compte d’approbation :
        Tableau 2. Endosser le formulaire des paramètres de rôle Cross AWS de compte de services dans le cloud
        Champ Description
        Nom du rôle d'accès Nom du rôle IAM créé pour le compte de confiance.
        Compte de services dans le cloud Nom du compte de confiance pour lequel vous fournissez l'accès à l'aide du rôle IAM.
      4. Sélectionnez Soumettre.

    Que faire ensuite

    Vérifiez que ServiceNow les applications peuvent accéder au compte de service d’approbation à l’aide du rôle IAM :
    1. Accédez à la Tous > Découverte > Comptes de services dans le cloud.
    2. Sélectionnez le compte de service d’approbation AWS .
    3. Sous Liens connexes, sélectionnez Créer un calendrier de découverte.
    4. Sur la page Découverte dans le cloud du gestionnaire de découverte, sélectionnez Compte de test.
      • Si la connexion aboutit, un message s’affiche indiquant que la validation du compte est réussie.
      • Si la connexion échoue, un message d’erreur s’affiche indiquant la cause de l’échec.