Conditions préalables à l’exécution des scripts

  • Rversion finale: Australia
  • Mis à jour 17 juin 2026
  • 4 minutes de lecture

    • Remplissez les conditions préalables avant d’exécuter les AWS scripts.

    Important :
    Assurez-vous d’avoir téléchargé les scripts disponibles dans le Connecteur du graphe de services pour AWS. Consultez Télécharger les AWS scripts.
    Décidez des détails suivants à utiliser ultérieurement lors de l’exécution des AWS scripts :

    Déterminer le ServiceNow rôle IAM

    Déterminez le rôle IAM (Identity and Access Management) qui effectue des opérations en lecture seule dans les comptes membres pour extraire les éléments de configuration (CI) de l’environnement AWS .

    Par défaut, le script CreateSnowOrganizationAccountAccessRoleInMemberAccount.yml crée le rôle IAM SnowOrganizationAccountAccessRole. Vous pouvez utiliser le nom par défaut créé par le script ou créer un nouveau rôle IAM. Toutefois, lorsque cela est requis en tant que paramètre d’entrée, vous devez saisir le même rôle IAM dans tous les scripts. Consultez Exécution des scripts requis pour la configuration AWS.

    Déterminer le nom d’utilisateur ServiceNow IAM

    Déterminez le nom de l’utilisateur IAM qui assume le ServiceNow rôle IAM dans les comptes membres.

    Par défaut, le script CreateServiceNowUser.yml crée l’utilisateur IAM NOWSGCUser. Vous pouvez utiliser le nom par défaut créé par le script ou créer un nouvel utilisateur IAM. Toutefois, lorsque cela est requis en tant que paramètre d’entrée, vous devez saisir le même nom d’utilisateur IAM dans tous les scripts. Consultez Exécution des scripts requis pour la configuration AWS.

    Définir la catégorie S3 pour une découverte approfondie

    Configurez une catégorie S3 avec des privilèges de lecture et de suppression pour le ServiceNow rôle IAM afin de stocker et de supprimer les réponses d’API SendCommand lors de l’importation AWS de données.

    Avant de commencer

    Rôle requis : administrateur d’application

    Pourquoi et quand exécuter cette tâche

    Créez une catégorie S3 pour l’application Connecteur du graphe de services pour AWS et permettez au ServiceNow rôle IAM d’accéder à cette catégorie dans l’organisation.
    Remarque :
    Utilisez une catégorie S3 uniquement lorsque vous souhaitez effectuer une découverte approfondie sur les instances EC2.

    Procédure

    1. Créez une catégorie S3 dans une région de AWS compte.
      Voir Création d’un compartiment sur le site de documentationAWS.
      Remarque :
      La catégorie S3 doit avoir les paramètres d’autorisation suivants.
      Tableau 1. Autorisations des catégories S3 et leurs paramètres
      Autorisation Paramètre
      Accès Catégorie et objets non publics
      Accès public du bloc S3 Bloquer l’accès public aux compartiments et objets S3

      Pour plus d’informations, consultez Blocage de l’accès public S3 sur le site de documentationAWS.

    2. Ajouter une politique de catégorie.

      Consultez Politiques de compartiment sur le site de documentationAWS.

      Pour accéder à la catégorie S3 que vous avez créée à l’étape 1, sa politique de catégorie doit autoriser le rôle de profil d’instance IAM attaché aux instances EC2 gérées. Vous pouvez soit créer une politique de catégorie, soit accorder l’accès à votre AWS compte de membre dans la liste de contrôle d’accès (ACL) de catégorie. Le compte membre doit inclure les instances EC2.
      Remarque :
      L’ajout d’un AWS compte de membre à l’ACL de catégorie permet à tous les utilisateurs et rôles du compte membre d’accéder à la catégorie S3.
      Reportez-vous à l’exemple de code suivant lors de l’ajout d’une politique de catégorie.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AWS-ACCOUNT:role/INSTANCE-PROFILE-ROLE-NAME"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      • SOURCE-AWS-ACCOUNT est l’ID de AWS compte du compte membre qui inclut les instances EC2.
      • INSTANCE-PROFILE-ROLE-NAME est le profil d’instance IAM qui est attaché aux instances EC2.

        Par défaut, le script AmazonSSMForInstancesRoleSetup.yml crée le rôle de profil d’instance IAM AmazonSSMForInstancesRole et l’associe à la politique de compartiment AmazonSSMManagedInstanceCore. Consultez Exécution des scripts requis pour la configuration AWS.

      • DOC-EXAMPLE-BUCKET est le nom de la catégorie S3.
      L’exemple de politique de compartiment suivant montre les éléments d’effet, de principal, d’action et de ressource. La politique autorise AmazonSSMRoleForInstances, un rôle de profil d’instance IAM dans un compte avec les autorisations ID 123456789000, s3 :GetObject, s3 :PutObject, et s3 :PutObjectAcl S3 sur le compartiment myS3Bucket .
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789000:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789001:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789002:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789003:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789004:role/AmazonSSMRoleForInstances"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::myS3Bucket/*"
        }
    ]
}
    3. Associez des autorisations IAM au rôle de profil d’instance pour les instances EC2 afin de publier les réponses de l’API SendCommand sur la catégorie S3 que vous avez créée à l’étape 1.
      Consultez Utilisation de profils d’instance et Attacher un rôle IAM à une instance sur le site de documentation AWS .
      Le rôle de profil d’instance IAM attaché aux instances EC2 gérées doit disposer des autorisations S3 :GetObject, s3 :PutObject et s3 :PutObjectAcl S3 pour autoriser l’accès à la catégorie S3, comme illustré dans l’exemple de politique suivant.
      {
    "Version": "2012-10-17",
    "Statement": [
        {
        "Sid": "PublishTerminalOutputToS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      DOC-EXAMPLE-BUCKET est le nom de la catégorie S3.
      Remarque :
      Assurez-vous d’ajouter le suffixe /* à la fin du nom de la catégorie pour activer la création de fichiers sous le nom de la catégorie.