Prérequis pour l’exécution de scripts

  • Rversion finale: Washingtondc
  • Mis à jour 10 janv. 2026
  • 4 minutes de lecture

    • Renseignez les conditions préalables avant d’exécuter les AWS scripts.

    Important :
    Assurez-vous d’avoir téléchargé les scripts disponibles dans le Connecteur du graphe de services pour AWS. Consultez Télécharger les AWS scripts.
    Décidez des détails suivants à utiliser ultérieurement lors de l’exécution AWS des scripts :

    Déterminer le ServiceNow rôle IAM

    Déterminez le rôle IAM (Identity and Access Management) qui effectue les opérations en lecture seule dans les comptes membres pour extraire les éléments de configuration (CI) de l’environnement AWS .

    Par défaut, le script CreateSnowOrganizationAccountAccessRoleInMemberAccount.yml crée le rôle IAM SnowOrganizationAccountAccessRole. Vous pouvez utiliser le nom par défaut créé par le script ou créer un nouveau rôle IAM. Toutefois, lorsque cela est requis comme paramètre d’entrée, vous devez saisir le même rôle IAM dans tous les scripts. Consultez Exécution des scripts requis pour la configuration AWS.

    Déterminer le nom d’utilisateur ServiceNow IAM

    Déterminez le nom de l’utilisateur IAM qui assume le ServiceNow rôle IAM dans les comptes membres.

    Par défaut, le script CreateServiceNowUser.yml crée l’utilisateur IAM NOWSGCUser. Vous pouvez utiliser le nom par défaut créé par le script ou créer un nouvel utilisateur IAM. Toutefois, lorsque vous êtes requis comme paramètre d’entrée, vous devez saisir le même nom d’utilisateur IAM dans tous les scripts. Consultez Exécution des scripts requis pour la configuration AWS.

    Définir la catégorie S3 pour Deep Discovery

    Configurez une catégorie S3 avec des privilèges de lecture et de suppression pour que le rôle IAM stocke et supprime les réponses de l’API SendCommand lors de l’importation ServiceNow de AWS données.

    Avant de commencer

    Rôle requis : administrateur d’application

    Pourquoi et quand exécuter cette tâche

    Créez une catégorie S3 pour l’application Connecteur du graphe de services pour AWS et activez le ServiceNow rôle IAM pour accéder à cette catégorie dans l’organisation.
    Remarque :
    Utilisez une catégorie S3 uniquement lorsque vous souhaitez effectuer une détection approfondie sur les instances EC2.

    Procédure

    1. Créez une catégorie S3 dans une région de AWS compte.
      Reportez-vous à la section Création d’une catégorie sur le site de documentationAWS.
      Remarque :
      La catégorie S3 doit avoir les paramètres d’autorisation suivants.
      Tableau 1. Autorisations de catégorie S3 et leurs paramètres
      Autorisation Paramètre
      Accès Catégorie et objets non publics
      Accès public du bloc S3 Bloquer l’accès public aux catégories et objets S3

      Pour plus d’informations, consultez S3 Block Public Access sur le site de documentationAWS.

    2. Ajoutez une politique de compartiment.

      Consultez Stratégies relatives aux catégories sur le site de documentationAWS.

      Pour accéder à la catégorie S3 que vous avez créée à l’étape 1, sa politique de catégorie doit autoriser le rôle de profil d’instance IAM attaché aux instances EC2 gérées. Vous pouvez créer une politique de catégorie ou accorder l’accès à votre AWS compte de membre dans la liste de contrôle d’accès aux catégories (ACL). Le compte membre doit inclure les instances EC2.
      Remarque :
      L’ajout d’un AWS compte de membre à l’ACL de la catégorie permet à tous les utilisateurs et rôles du compte de membre d’accéder à la catégorie S3.
      Consultez l’exemple de code suivant lors de l’ajout d’une politique de catégorie.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AWS-ACCOUNT:role/INSTANCE-PROFILE-ROLE-NAME"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      • SOURCE-AWS-ACCOUNT est l’ID de AWS compte du compte membre qui inclut les instances EC2.
      • INSTANCE-PROFILE-ROLE-NAME est le profil d’instance IAM qui est attaché aux instances EC2.

        Par défaut, le script AmazonSSMForInstancesRoleSetup.yml crée le rôle de profil d’instance IAM AmazonSSMForInstancesRole et joint ce rôle à la politique de compartiment AmazonSSMManagedInstanceCore. Consultez Exécution des scripts requis pour la configuration AWS.

      • DOC-EXAMPLE-BUCKET est le nom de la catégorie S3.
      L’exemple de politique de catégorie suivant montre les éléments d’effet, de principal, d’action et de ressource. La politique autorise AmazonSSMRoleForInstances, un rôle de profil d’instance IAM dans un compte avec les autorisations ID 123456789000, s3 :GetObject, s3 :PutObject et s3 :PutObjectAcl sur la catégorie myS3Bucket .
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789000:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789001:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789002:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789003:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789004:role/AmazonSSMRoleForInstances"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::myS3Bucket/*"
        }
    ]
}
    3. Joignez des autorisations IAM au rôle de profil d’instance pour que les instances EC2 publient les réponses de l’API SendCommand dans la catégorie S3 que vous avez créée à l’étape 1.
      Reportez-vous aux sections Utilisation des profils d’instance et Joindre un rôle IAM à une instance sur le site de documentation AWS .
      Le rôle de profil d’instance IAM attaché aux instances EC2 gérées doit avoir les autorisations S3 s3 :GetObject, s3 :PutObject et s3 :PutObjectAcl pour autoriser l’accès à la catégorie S3, comme indiqué dans l’exemple de politique suivant.
      {
    "Version": "2012-10-17",
    "Statement": [
        {
        "Sid": "PublishTerminalOutputToS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      DOC-EXAMPLE-BUCKET est le nom de la catégorie S3.
      Remarque :
      Assurez-vous d’ajouter le suffixe /* à la fin du nom de la catégorie pour permettre la création de fichiers sous le nom de la catégorie.