Configurer Connecteur du graphe de services pour AWS

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 16 minutes de lecture

    • Configurez l’environnement et les AWS tâches planifiées pour extraire AWS les données dans le CMDB.

    Avant de commencer

    Pour l’utiliser Connecteur du graphe de services, vous avez besoin d’un abonnement à une unité d’abonnement basée sur l’application Gestion des opérations informatiques Visibility (ITOM) ou sur l’application ITOM Discovery. Comme défini dans la section intitulée « Types de ressources informatiques gérées » dans la vue d’ensemble de l’unité d’abonnement ServiceNow pour votre abonnement, pour les ressources informatiques gérées créées ou modifiées dans le CMDB par ce, mais qui ne sont pas encore gérées par ITOMConnecteur du graphe de services Visibility ou ITOM Discovery, ces ressources augmenteront la consommation d’unités d’abonnement de cette application. Passez en revue votre consommation actuelle d’unités d’abonnement dans ITOM Visibility ou ITOM Discovery pour vous assurer de la capacité disponible.

    Dépendances et exigences :
    • L’application de stockage Integration Commons for CMDB, qui est automatiquement installée.
    • L’application de stockage CMDB CI Class Models qui est automatiquement installée. Consultez Application de stockage CMDB CI Class Models.
    • Module d’extension Discovery Core (com.snc.discovery.core), qui est automatiquement installé par Détection.
    • Le module d’extension ITOM Discovery License (com.snc.itom.discovery.license). Vous devez activer ce module d’extension.
    • Module d’extension ITOM Licensing (com.snc.itom.license). Pour plus d’informations, consultez Request Discovery.

    Assurez-vous d’avoir rempli les conditions préalables à la configuration d’AWS. Consultez Configurer l'environnement AWS.

    Remarque :
    Lors de la mise à niveau à partir d’une version antérieure, assurez-vous d’avoir mis à jour les documents SSM et les autorisations IAM dans votre AWS instance.
    • Pour mettre à jour les documents SSM, exécutez les scripts SG-AWS-RunShellScript-Setup.yml, SG-AWS-RunPowerShellScript-Setup.yml et SG-AWS-RunKubeCtlShellScript.yml .
    • Pour mettre à jour les autorisations IAM affectées au rôle SnowOrganizationAccountAccessRole, exécutez le script CreateSnowOrganizationAccountAccessRoleInMemberAccount.yml .

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Pour plus d’informations sur les instructions de configuration de Service Graph Connector for AWS , consultez les articles suivants :

    Procédure

    1. Assurez-vous d’avoir sélectionné le périmètre de l’application Service Graph Connector for AWS à l’aide du sélecteur d’application.
      Pour plus d’informations, consultez Sélecteur d’application.
    2. Accédez à la Tous > Connecteur du graphe de services pour AWS > Configuration.
    3. Configurer l'environnement AWS.
      Remarque :
      Pour la tâche Télécharger les scripts, sélectionnez Configurer pour télécharger les scripts.
      Une fois que vous avez téléchargé les scripts et configuré l’environnement AWS , définissez les tâches Télécharger les scripts et Instructions de configuration AWS comme terminées.
    4. Configurez les informations d’identification d’authentification pour authentifier les demandes envoyées aux AWS API.
      1. Configurez vos AWS informations d’identification.
        1. Pour la section Configurer la connexion de la page Connecteur du graphe de services pour AWS , sélectionnez Premiers pas.
        2. Pour la tâche Configurer les informations d’identification , sélectionnez Configurer.
        3. Dans le champ Nom , saisissez un nom pour l’authentification.

          SG-AWS-Credentials-Org est le nom de l’alias d’informations d’identification par défaut. Vous pouvez ajouter plusieurs AWS instances. Toutefois, ne modifiez pas l’alias de connexion par défaut.

        4. Entrez l’ID de clé d’accès et la clé d’accès secrète dans les champs ID de clé d’accèset Clé d’accès secrète respectivement.

          Les AWS clés d’accès sont des informations d’identification à long terme pour l’utilisateur IAM et comprennent deux parties : un ID de clé d’accès et une clé d’accès secrète. Vous devez utiliser à la fois l’ID de clé d’accès et la clé d’accès secrète pour authentifier les demandes.

        5. Revenez à la page Configurer la tâche de connexion en sélectionnant l’icône de retour (<).
        6. Définissez la tâche Configurer les informations d’identification comme terminée en sélectionnant Marquer comme terminée.
      2. Testez la connexion de l’API AWS pour importer des données à partir de l’application AWS .
        1. Pour la tâche Tester la connexion dans la section Configurer la connexion , sélectionnez Configurer.
        2. Sélectionnez le lien connexe Test de la connexion .
        3. Lorsque le champ d’état est défini sur Réussite, sélectionnez l’icône de retour (<) pour revenir à la configuration guidée.
        4. Définissez la tâche Tester la connexion comme terminée en sélectionnant Marquer comme terminé.
      3. Mettez à jour les propriétés de configuration requises pour une AWS instance.
        1. Pour la tâche Mettre à jour les propriétés de configuration pour l’instance , sélectionnez Configurer.
        2. Dans le formulaire Propriétés de configuration Service Graph AWS qui s’ouvre dans un nouvel onglet, examinez et modifiez les champs.
          Tableau 1. Formulaire Propriétés de configuration Service Graph AWS
          Champ Description
          Détails de la connexion
          Alias de connexion Nom permettant d’identifier l’enregistrement de connexion AWS . Par exemple, SG_AWS_CredentialAlias_Org.

          Vous pouvez ajouter plusieurs AWS instances. Toutefois, ne modifiez pas le nom de l’alias de connexion par défaut SG_AWS_CredentialAlias_Org.
          Détails de l'organisation
          Compte d'organisation Identificateur de compte numérique de l’organisation AWS .
          Nom de l'organisation Nom de l’organisation AWS .
          Description de l'organisation Description de l’organisation AWS .
          Régions AWS
          Régions AWS régions pour collecter les données CI.

          Par défaut, Service Graph Connector for AWS s’exécute dans toutes les AWS régions pour collecter les données CI.

          Vous pouvez entrer AWS des régions spécifiques pour accélérer le processus d’importation des données de CI. Par exemple, us-east1, us-east-2.

          Si ce champ est laissé vide, Service Graph Connector for AWS extrait les ressources de toutes les AWS régions.

          Toutefois, pour les régions AWS GovCloud, ne laissez pas le champ Regions (Régions ) vide. Les régions AWS GovCloud prises en charge sont us-gov-east-1 et us-gov-west-1.

          Si vous mettez à jour ultérieurement la valeur du champ Régions , effacez la valeur du champ Date/Heure de la dernière exécution dans toutes les sources de données associées à Connecteur du graphe de services pour AWS importer un nouvel ensemble de données.
          Nom du rôle d’endossement STS
          Rôle STS Nom du rôle AWS Identity and Access Management (IAM) obtenu par l’utilisateur ServiceNow en appelant l’API AssumeRole proposée par le AWS service de jeton de sécurité (STS). L’API AssumeRole renvoie un ensemble d’informations d’identification de sécurité temporaires pour que l’utilisateur ServiceNow accède aux AWS ressources.
          Remarque :
          Saisissez le nom du rôle IAM, mais n’y ajoutez pas de préfixe ARN . Si vous laissez ce champ vide, la valeur de ce champ est automatiquement définie sur SnowOrganizationAccountAccessRole, qui est le nom de rôle IAM par défaut pour l’utilisateur ServiceNow .
          Détails du compte S3
          ID du compte S3 Identificateur numérique du AWS compte qui héberge la Amazon catégorie Simple Storage Service (Amazon S3).
          Nom de catégorie S3 Nom de la Amazon catégorie S3 qui collecte les détails à partir des Amazon instances EC2.
          Région S3 Région où se trouve la Amazon catégorie S3.
          Détails du document SSM SendCommand
          Nom Linux de la commande SSM Send Nom du document qui définit les actions exécutées par le AWS gestionnaire de systèmes (SSM) sur une instance EC2 basée sur Amazon Linux.
          Nom Windows de la commande SSM Send Nom du document qui définit les actions exécutées par le AWS SSM sur une instance EC2 basée sur Amazon Windows.
          ID du compte de gestion
          ID du compte de gestion Compte de gestion dans l’organisation AWS . Le compte appelle l’API ListAccounts associée à l’organisation AWS pour collecter des informations de CI à partir de tous les comptes. Pour plus d’informations, consultez ListAccounts sur le site de documentation AWS .

          Entrez une valeur pour ce champ lorsque l’utilisateur ServiceNow a été créé dans un AWS compte membre.
          Détails de l'ID de compte autonome
          ID de compte autonome ID d’un compte membre dans l’organisation AWS .
          Détails de l'agrégateur AWS Config
          Compte d'agrégateur Config AWS compte où le type de ressource d’agrégateur dans le AWS service de configuration a été configuré.

          Entrez une valeur dans ce champ lorsque vous utilisez un AWS agrégateur Config.
          Nom de l'agrégateur Config Nom du type de ressource d’agrégateur. Ce champ n’est disponible que lorsque vous entrez une valeur dans le champ Compte d’agrégateur Config .
          Région de l'agrégateur Config Région où se trouve le type de ressource d’agrégateur. Ce champ n’est disponible que lorsque vous entrez une valeur dans le champ Compte d’agrégateur Config .
          Configuration de la rotation de clé AWS
          Lancer la rotation des clés AWS Option permettant d’activer le processus de rotation de clés.
          Date de rotation de la clé AWS Date de rotation de la clé. Ce champ est automatiquement défini sur la date de rotation suivante. Ce champ n’est disponible que lorsque vous cochez la case AWS Rotate Keys (Faire pivoter les clés AWS ).
          Période de rotation de la clé AWS (en jours) Période de rotation clé en jours. Ce champ n’est disponible que lorsque vous cochez la case AWS Rotate Keys (Faire pivoter les clés AWS ).
          État de rotation de la clé AWS Message d’état d’une rotation de clés indiquant si la rotation a été un succès ou un échec. Ce champ est automatiquement défini pour afficher le message d’état de rotation des clés. Ce champ n’est disponible que lorsque vous cochez la case AWS Rotate Keys (Faire pivoter les clés AWS ). Si l’état de rotation est un échec, une notification par e-mail est déclenchée, si elle est configurée.
          Comptes de messagerie pour la réception de notifications d’erreur Liste séparée par des virgules des adresses e-mail des destinataires qui reçoivent des notifications concernant les erreurs de AWS rotation de clés.
          Groupes de comptes de messagerie pour la réception de notifications d’erreur Liste séparée par des virgules ServiceNow des groupes qui reçoivent des notifications concernant les erreurs de AWS rotation de clés.
          Configuration de Cloud Gov
          Est Gov Cloud Option permettant d’indiquer que la configuration de la connexion concerne AWS GovCloud.
          Détails du document SSM EKS SendCommand
          Document de noms de grappes EKS Nom du document SSM permettant de AWS détecter les grappes EKS associées aux hôtes bastion EC2.
          Document de script du shell EKS Nom du AWS document SSM pour extraire les CI associés aux composants Kubernetes, tels que les pods, les services et les déploiements, à partir des clusters EKS.
        3. Sélectionnez Enregistrer , puis Fermer pour fermer l’onglet et revenir à l’onglet de configuration guidée.
        4. Définissez les propriétés de configuration de mise à jour pour la tâche d’instance comme terminée en sélectionnant Marquer comme terminé.
    5. Configurez les ressources EC2 requises pour Amazon Elastic Kubernetes Service (EKS) importer des données de grappe EKS.
      Une ressource EC2 EKS est un hôte bastion qui dispose d’un accès réseau aux grappes EKS. Les clusters EKS ne sont pas directement accessibles au connecteur. Par conséquent, vous devez fournir les détails de la ressource EC2 EKS . Pour importer des données de grappe EKS, le connecteur utilise la commande SSM Send sur les ressources EC2 EKS pour exécuter des commandes kubectl à distance.
      Remarque :
      Assurez-vous d’avoir configuré votre AWS environnement pour l’intégration EKS. Pour plus d’informations, consultez l’article Connecteur du graphe de services pour AWS - Intégration Amazon EKS [KB1437138] dans la Now Support base de connaissances.
      1. Pour la section Configurer les détails des ressources EKS de la page Connecteur du graphe de services pour AWS , sélectionnez Premiers pas.
      2. Pour la tâche Enter the EKS EC2 Resource Details (Entrer les détails des ressources EC2 EKS ), sélectionnez Configurer.
      3. Renseignez les champs du formulaire qui s’ouvre dans un nouvel onglet.
        Tableau 2. Formulaire SG-AWS-EKS-EC2 - Ressource
        Champ Description
        ID de ressource EC2 EKS Identificateur de la ressource EC2 EKS.
        Compte EC2 Nom d’utilisateur affecté au compte de ressource EC2 EKS .
        Région EC2 Région AWS où se trouve la ressource EC2 EKS .
        Actif Option permettant d’activer la ressource EC2 EKS.
        Remarque :
        Définissez sur false, si vous n’utilisez pas la ressource de ressource EC2 EKS .
        Connexion Alias de connexion associé à l’environnement installé et configuré à l’étape AWS4.a.
      4. Sélectionnez Soumettre pour revenir à la configuration guidée.
      5. Répétez les étapes de 5.b à 5.d pour ajouter plusieurs ressources EC2 EKS.
        Toutes les ressources EC2 EKS sont ajoutées à la table SG-AWS-EKS-Master [sn_aws_integ_sg_aws_eks_master].
      6. Définissez la tâche Entrer les détails des ressources EC2 EKS comme terminée en sélectionnant Marquer comme terminé.
    6. Exécutez l’outil de AWS diagnostic avant d’exécuter une tâche d’importation planifiée pour identifier tous les problèmes dans la configuration de l’environnement AWS .
      1. Pour la section Outil de diagnostic de Service Graph AWS de la page Connecteur du graphe de services pour AWS , sélectionnez Premiers pas.
      2. Pour la tâche AWS Setup Diagnostic Tool , sélectionnez Configurer.
      3. Sélectionnez l’ID de l’organisation dans le champ de texte.
      4. Sélectionnez Exécuter le test de diagnostic.
        Conseil :
        Sélectionnez l’une des options suivantes pour exclure les résultats des tests correspondants du résumé du diagnostic :
        Ignorer les tests d’installation SSM
        Exclut les données d’inventaire logiciel du résumé des résultats en n’appelant pas l’API GetInventory . Sélectionnez cette option si vous vous êtes désabonné ou si vous n’avez pas configuré la configuration pour SSM.
        Ignorer les tests de détection approfondie SSM
        Exclut les données de Deep Discovery du résumé des résultats. Sélectionnez cette option si vous vous êtes désabonné ou si vous n’avez pas configuré la configuration pour la détection approfondie SSM.
        Ignorer les tests de configuration EKS
        Exclut les données EKS des résultats récapitulatifs en n’exécutant pas les commandes kubectl. Sélectionnez cette option si vous vous êtes désabonné ou si vous n’avez pas configuré l’intégration EKS.
      5. Facultatif : Affichez uniquement les résultats des tests de grappe EKS en sélectionnant Afficher les détails des tests EKS.
      6. Facultatif : Prévisualisez tous les résultats précédents de l’outil de diagnostic en sélectionnant Charger les résultats DT, en sélectionnant un ID de diagnostic, puis en sélectionnant Charger les résultats.
      7. Lorsque vous avez terminé d’examiner les résultats du résumé du diagnostic, sélectionnez le bouton de retour de votre navigateur pour revenir à la configuration guidée.
      8. Définissez la tâche de l’outil de diagnostic AWS Setup comme terminée en sélectionnant Marquer comme terminée.
    7. Configurez les tâches planifiées pour importer des données à partir de l’application AWS .
      1. Dans la section Configurer les tâches d’importation planifiée de la page Connecteur du graphe de services pour AWS , sélectionnez Premiers pas.
      2. Pour la tâche Configurer la tâche planifiée , sélectionnez Configurer.
      3. Sélectionnez la tâche planifiée que vous souhaitez activer.
      4. Vérifiez les valeurs de champ pour la tâche planifiée dans le formulaire Importation de données planifiée.
        Pour plus d'informations, consultez Schedule a data import.
      5. Sélectionnez Exécuter maintenant.
      6. Répétez les étapes 7.c pour chaque tâche planifiée pour l’importation 7.e de données.
      7. Sélectionnez l’icône de retour (<) pour revenir à la page de configuration guidée.
      8. Définissez la tâche Configurer la tâche planifiée comme terminée en sélectionnant Marquer comme terminée dans la configuration guidée.
    8. Facultatif : Ajoutez plusieurs AWS instances.
      1. Dans la section Ajouter plusieurs instances de la page Connecteur du graphe de services pour AWS , sélectionnez Premiers pas.
      2. Assurez-vous de disposer des autorisations de modification pour la table Source de données [sys_data_source] afin de créer des sources de données pour la nouvelle instance.
        1. Sélectionnez le périmètre de l’application global à l’aide du sélecteur d’application.
        2. Pour la tâche Mettre à jour l’accès à la source de données , sélectionnez Configurer.
        3. Dans la liste connexe Accès à l’application, cochez les cases Peut créer, Peut mettre à jour et Peut supprimer , si elles ne sont pas déjà sélectionnées.
        4. Sélectionnez Mettre à jour pour fermer l’onglet et revenir à l’onglet de configuration guidée.
        5. Définissez la tâche Mettre à jour l’accès à la source de données comme terminée en sélectionnant Marquer comme terminée.
        6. Modifiez à nouveau le périmètre de l’application pour Connecteur du graphe de services pour AWS à l’aide du sélecteur d’application.
      3. Mettez à jour l’accès pour les tâches d’importation planifiées.
        1. Sélectionnez le périmètre de l’application global à l’aide du sélecteur d’application.
        2. Pour la tâche Mettre à jour l’accès à l’importation de données planifiée , sélectionnez Configurer.
        3. Dans la liste connexe Accès à l’application, cochez les cases Peut créer, Peut mettre à jour et Peut supprimer , si elles ne sont pas déjà sélectionnées.
        4. Sélectionnez Mettre à jour pour fermer l’onglet et revenir à l’onglet de configuration guidée.
        5. Définissez la tâche Mettre à jour l’accès à Importation de données planifiée comme terminée en sélectionnant Marquer comme terminée.
        6. Modifiez à nouveau le périmètre de l’application pour Connecteur du graphe de services pour AWS à l’aide du sélecteur d’application.
      4. Effacez le cache des tables Source de données [sys_data_source] et Importations de données planifiées [scheduled_import_set] pour activer la création d’une source de données pour la nouvelle connexion dans le Connecteur du graphe de services pour AWS.
        1. Sélectionnez le périmètre de l’application global à l’aide du sélecteur d’application.
        2. Pour la tâche Effacer le cache des tables de source de données et d’importations de données planifiées , sélectionnez Configurer.
        3. Entrez le script suivant dans le volet Exécuter le script (JavaScript exécuté sur le serveur).
          GlideTableManager.invalidateTable("sys_data_source");
      GlideCacheManager.flushTable("sys_data_source");

      GlideTableManager.invalidateTable("scheduled_import_set");
      GlideCacheManager.flushTable("scheduled_import_set");

      GlideTableManager.invalidateTable("sys_db_object");
      GlideCacheManager.flushTable("sys_db_object");
        4. Sélectionnez Exécuter le script.
        5. Définissez la tâche Effacer le cache pour les tables de source de données et d’importations de données planifiées comme terminée en sélectionnant Marquer comme terminée.
        6. Modifiez à nouveau le périmètre de l’application pour Connecteur du graphe de services pour AWS à l’aide du sélecteur d’application.
      5. Créez un alias d’informations d’identification pour la nouvelle AWS connexion dans Connecteur du graphe de services pour AWS.
        1. Pour la tâche Créer un enregistrement d’alias de connexion et d’informations d’identification , sélectionnez Configurer.
        2. Sur le formulaire Alias de connexion et d’informations d’identification qui s’ouvre dans un nouvel onglet, renseignez les détails de la connexion.
        3. Sélectionnez Soumettre , fermez l’onglet, puis revenez à l’onglet de configuration guidée.
        4. Définissez la tâche Créer un enregistrement d’alias de connexion et d’informations d’identification comme terminée en sélectionnant Marquer comme terminé.
      6. Créez des informations d’identification pour le nouvel AWS alias d’identification.
        1. Pour la tâche Créer un enregistrement d’alias de connexion et d’informations d’identification , sélectionnez Configurer.
        2. Sur la page Connexions de Flow Designer, sélectionnez Ajouter une connexion.
        3. Dans la fenêtre Créer une connexion, renseignez les détails du nom de la connexion, de la clé d’accès et de la clé secrète.
        4. Sélectionnez Créer une connexion.
        5. Fermez Flow Designer et revenez à l’onglet de configuration guidée.
        6. Définissez la tâche Créer un enregistrement d’alias de connexion et d’informations d’identification comme terminée en sélectionnant Marquer comme terminé.
      7. Mettez à jour les propriétés de la nouvelle instance pour le Connecteur du graphe de services pour AWS en sélectionnant Configurer pour l’environnement Configurer AWS pour la nouvelle tâche d’instance .
        Pour plus d’informations, suivez l’étape 4.c décrite précédemment pour configurer les propriétés de la AWS connexion disponible par défaut.

        Lorsque vous avez terminé de mettre à jour les propriétés, définissez l’environnement Configurer AWS pour la nouvelle tâche d’instance comme terminée en sélectionnant Marquer comme terminé.

      8. Saisissez les détails de la ressource EC2 EKS en sélectionnant Configurer pour la tâche Mettre à jour les détails des ressources EKS .
        Pour plus d’informations, suivez l’étape 5 décrite précédemment pour configurer les détails de la ressource EC2 EKS pour la AWS connexion disponible par défaut.

        Lorsque vous avez terminé de mettre à jour les propriétés, définissez la tâche Mettre à jour les détails des ressources EKS comme terminée en sélectionnant Marquer comme terminé.

      9. Configurez les importations planifiées pour la nouvelle instance AWS.
        1. Pour la tâche Configurer les importations planifiées , sélectionnez Configurer.
        2. Dans la liste Importations de données planifiées qui s’ouvre dans un nouvel onglet, sélectionnez l’organisation de l’instance AWS que vous souhaitez configurer.
        3. Sélectionnez la tâche planifiée que vous souhaitez activer.
        4. Dans le formulaire Importation de données planifiée, modifiez les valeurs de champ pour la tâche planifiée.
        5. Sélectionnez Exécuter maintenant.
        6. Répétez les étapes 8.i.iii pour chaque tâche planifiée pour l’importation 8.i.v de données.
        7. Fermez l’onglet de la liste Importations de données planifiées et revenez à l’onglet de configuration guidée.
        8. Définissez la tâche Configurer les importations planifiées comme terminée en sélectionnant Marquer comme terminé dans la configuration guidée.