Configurer l'accès aux comptes de service AWS
Détection dans le cloud et Cloud Provisioning and Governance doivent avoir accès aux ressources dans les comptes de service Amazon Web Services (AWS). Découvrez les différentes méthodes de configuration de cet accès.
Détection dans le cloud et Cloud Provisioning and Governance accèdent aux ressources dans les comptes de service AWS via les Serveurs MID. Vous devez autoriser le trafic entrant vers les instances Amazon EC2 à partir du MID Server pour configurer la communication initiale. Pour plus d’informations, consultez Configurer des règles de trafic entrant de groupe de sécurité à l’aide d’AWS Management Console.
Types d'informations d'identification AWS
- Permanentes
- Les informations d'identification permanentes correspondent aux informations d'identification AWS actives pour le compte de service que vous ajoutez au module Connexions et informations d'identification de Now Platform. Bien que la gestion des informations d'identification puisse prendre du temps sur Now Platform, vous évitez les configurations complexes qu'implique l'utilisation d'informations d'identification temporaires.
- Temporaire
Les informations d'identification temporaires sont générées par le service de jeton de sécurité AWS (AWS STS) pour les rôles IAM. Une fois que vous avez configuré les rôles IAM pour AWS les comptes, le accède aux AWS ressources avec ces informations d’identification Serveur MID temporaires. Vous pouvez utiliser le rôle IAM par défaut, OrganizationAccountAccessRole, ou créer des rôles IAM personnalisés.
Endosser des rôles IAM dans une grande organisation AWS est plus pratique et sûr que d'utiliser de nombreuses informations d'identification permanentes pour tous les comptes AWS. Les informations d’identification temporaires ne sont acquises pour le compte d’un compte de service que lorsqu’il n’y a pas d’informations d’identification permanentes spécifiées pour ce compte de service dans la table Comptes de services [cmdb_ci_cloud_service_account].
Le Serveur MID utilise l’action AssumeRole dans l’API AWS Security Token Service pour assumer un rôle de compte membre. Les paramètres transmis à cette API déterminent quelles restrictions de sécurité supplémentaires sont appliquées au rôle lorsqu'il accède aux ressources AWS.
Par défaut, le Serveur MID est configuré pour endosser le rôle OrganizationAccountAccessRole, qui accorde des informations d'identification temporaires à tous les membres d'un compte principal. Cette action se produit automatiquement en l'absence d'informations d'identification permanente pour les comptes membre. Cette configuration n'applique pas de sécurité supplémentaire ou d'accès restreint aux ressources des comptes membre.
Par défaut, l'instance ServiceNow met en cache les informations d'identification temporaires pour les comptes de membre pendant 60 minutes. Cet intervalle permet au processus de détection horizontale de s'exécuter plusieurs fois sans générer de nouvelles informations d'identification pour chaque détection. Vous pouvez empêcher la mise en cache des informations d’identification ou modifier la période de mise en cache à l’aide des propriétés de Serveur MID.
Rôles et autorisations IAM
Pour améliorer la sécurité fournie par le rôle par défaut OrganizationAccountAccessRole AWS, vous pouvez personnaliser les rôles AWS que le MID Server peut assumer afin de recevoir des informations d'identification temporaires pour les comptes de membre. Vous pouvez configurer des autorisations supplémentaires pour améliorer la sécurité et personnaliser la façon dont le rôle du compte de membre est assumé lors de la détection des ressources dans le cloud.
Méthodes d'octroi de l'accès
- Comptes d'approbation
- Les comptes d'approbation n'ont pas d'informations d'identification AWS permanentes. Vous configurez la relation de confiance pour que les rôles IAM de ces comptes s'appuient sur d'autres comptes pour fournir l'accès.
- Comptes approuvés
- Les comptes d'approbation utilisent les comptes approuvés pour fournir l'accès. Dans l'interface utilisateur ServiceNow, les comptes approuvés sont appelés comptes d'accesseur.
- Configurer l'accès aux comptes AWS à l'aide d'informations d'identification permanentes AWS
Configurez les informations d'identification AWS actives sur Now Platform pour éviter la complexité liée à la création et à la configuration des rôles IAM.
- Configurer l'accès à l'aide d'informations d'identification temporaires basées sur des comptes AWS approuvés avec des informations d'identification AWS
Configurez les comptes AWS de façon à ce qu'ils utilisent le compte approuvé pour fournir l'accès. Cette configuration fonctionne pour n'importe quel type de compte : discret (indépendant), de gestion ou de membre. Si vous configurez le compte approuvé avec les informations d'identification AWS sur Now Platform, vous pouvez configurer un rôle IAM appartenant aux comptes d'approbation pour faire confiance à l'utilisateur du compte approuvé. De cette façon, vous ne pouvez utiliser qu'un seul jeu d'informations d'identification AWS pour fournir l'accès à plusieurs comptes AWS.
Figure 1. Configurer n'importe quel compte AWS de façon à utiliser un compte approuvé avec des informations d'identification AWS
- Configurer l'accès à l'aide d'informations d'identification temporaires basées sur des comptes AWS approuvés sans informations d'identification AWS
Pour utiliser un compte sans informations d'identification AWS, vous devez d'abord configurer ce compte avec un rôle et des autorisations IAM pour accéder au compte de service d'approbation. Ensuite, vous configurez le rôle IAM du compte d'approbation pour accorder l'accès au rôle IAM du compte approuvé.
Figure 2. Configurer n'importe quel compte AWS pour l'utiliser comme compte approuvé sans informations d'identification AWS
- Configurer l'accès à l'aide d'informations d'identification temporaires pour approuver les comptes de membre AWS
S'il existe des organisations AWS, vous pouvez configurer des comptes de membre AWS de façon à ce qu'ils utilisent leur compte de gestion pour fournir l'accès. Dans ce cas, vous configurez les rôles IAM des comptes de membre pour qu'ils approuvent le rôle IAM de leur compte de gestion. Peu importe que le compte de gestion utilise un compte avec ou sans informations d'identification AWS.
Figure 3. Configurer des comptes de membre pour utiliser leur compte de gestion pour fournir l'accès
Comment Détection dans le cloud détermine les informations d'identification à utiliser
- Si des informations d'identification permanentes sont définies pour le compte de membre dans la table Compte de service dans le cloud [cmdb_ci_cloud_service_account], Découverte utilise ces informations d'identification. La table Comptes de services dans le cloud [cmdb_ci_cloud_service_account] contient les informations sur les types de comptes de service, notamment de gestion ou de membre, et leurs informations d'identification.
- Si aucune information d’identification permanente n’est définie pour le compte membre, Découverte vérifie la table Endosser les paramètres de rôle org AWS [cloud_service_account_aws_org_assume_role_params] de compte de services dans le cloud pour tous les paramètres spéciaux associés au compte membre. S'il existe des paramètres dans cette table, Découverte utilise les informations d'identification temporaires acquises auprès de la spécification d'un rôle et de ses paramètres dans l'action AssumeRole de l'API de service de jeton AWS Security.
- Si aucun paramètre spécial n’est associé au compte membre dans la table Découverte [cloud_service_account_aws_org_assume_role_params], vérifie la présence de paramètres associés au compte de gestion dans cette table. S’il existe des paramètres qui définissent un rôle pour le compte de gestion, Découverte utilise les informations d’identification temporaires fournies par ce rôle.
- Si aucun paramètre spécial n'est présent dans la table [cloud_service_account_aws_org_assume_role_params] pour les comptes de gestion ou de membre, Découverte utilise les valeurs par défaut définies pour le rôle OrganizationAccountAccessRole.