Configurer l'accès à l'aide d'informations d'identification temporaires basées sur des comptes AWS approuvés sans informations d'identification AWS

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Configurez un compte approuvé sans informations d'identification que d'autres comptes AWS peuvent utiliser pour fournir l'accès.

    Avant de commencer

    Créez et configurez le compte AWS approuvé.

    Rôle requis : admin, discovery_admin ou sn_cmp.cloud_admin (pour Cloud Provisioning and Governance)

    Rôle requis : administrateur

    Pourquoi et quand exécuter cette tâche

    Pour utiliser un compte sans informations d'identification AWS, vous devez d'abord configurer ce compte avec un rôle et des autorisations IAM pour accéder au compte de service d'approbation. Ensuite, vous configurez le rôle IAM du compte d'approbation pour accorder l'accès au rôle IAM du compte approuvé.

    Figure 1. Configurer n'importe quel compte AWS pour l'utiliser comme compte approuvé sans informations d'identification AWS

    Configurer le rôle IAM du compte AWS d’approbation pour approuver le rôle IAM du compte AWS approuvé pour l’accès

    Procédure

    1. Configurez un rôle IAM pour le compte d'approbation.
      1. Connectez-vous au compte d'approbation sur la console de gestion d'AWS.
      2. Créez un rôle IAM pour ce compte.
        Utilisez l'ID de compte du compte approuvé lors de la création de ce rôle IAM. Pour plus d'informations opérationnelles sur l'utilisation des rôles AWS, consultez la documentation Amazon.
      3. Créez une politique ReadOnlyAccess et joignez-la au rôle IAM nouvellement créé.
    2. Configurez le rôle IAM pour le compte approuvé.
      1. Connectez-vous à la console de gestion d'AWS à l'aide des informations d'identification du compte que vous souhaitez configurer en tant que compte approuvé.
      2. Créez un rôle IAM en choisissant l'option Service AWS.

        Sélectionner l'option Service AWS pour créer un rôle IAM du compte approuvé
      3. Créez une politique ReadOnlyAccess pour le rôle IAM de compte approuvé.
      4. Créez une politique supplémentaire pour accorder à ce rôle IAM l'accès aux ressources dans les comptes d'approbation :
        • Définissez le paramètre Action sur sts:AssumeRole.
        • Définissez le paramètre Resource sur l'ARN du rôle de compte d'approbation que vous avez créé à l'étape 1.b.

        Configurez la politique entre le rôle dans le compte approuvé et le rôle dans le compte d'approbation.

      5. Joignez le rôle nouvellement créé à l'instance EC2 Amazon pertinente.
        Par défaut, lorsque vous joignez un rôle IAM à une instance EC2, une relation de confiance est établie entre ce rôle et l'instance EC2.
        Vérification de la relation de confiance entre le rôle IAM et l'instance EC2.
    3. Configurez le compte de service d'approbation pour accorder l'accès au rôle IAM appartenant au compte approuvé.
      1. Connectez-vous au compte d'approbation sur la console de gestion d'AWS.
      2. Accédez au rôle IAM que vous avez créé pour ce compte en suivant les instructions de la rubrique 1.b.
      3. Modifiez la relation de confiance pour ce rôle IAM, comme suit :
        • Définissez le paramètre Action sur sts:AssumeRole.
        • Définissez le paramètre AWS sur l'ARN du rôle de compte approuvé que vous avez créé à l'étape 2.b.
        Configurer la relation de confiance pour le compte d'approbation
    4. Configurer le Serveur MID pour les rôles IAM AWS.
    5. Configurez le compte de service approuvé sans informations d'identification pour le compte d'approbation sur Now Platform.
      1. Accédez à la Mise en service et gouvernance du cloud > Comptes de services.
      2. Ouvrez le compte d'approbation.
      3. Sur le formulaire Compte de service dans le cloud, saisissez le nom du compte approuvé dans le champ Compte d'accesseur.
      4. Cliquez sur Mettre à jour.
    6. Affectez le rôle IAM créé pour le compte de confiance au compte de confiance à Now Platform.
      Important :
      Effectuez cette étape uniquement si vous avez créé des rôles IAM personnalisés. Il n'est pas nécessaire d'affecter le rôle OrganizationAccountAccessRole par défaut à un compte de service.
      1. Accédez à Tout > Cloud Provisioning and Governance > Paramètres d'accès à l'organisation > Endosser les paramètres de rôle Cross AWS de compte de services dans le cloud.
      2. Sélectionnez Nouveau.
      3. Sur le formulaire Endosser les paramètres de rôle Cross AWS de compte de services dans le cloud de compte de services dans le cloud, configurez uniquement les champs suivants :
        Champ Définition
        Nom du rôle d'accès Nom du rôle IAM créé pour le compte de confiance.
        Compte de services dans le cloud Nom du compte de confiance pour lequel vous fournissez l'accès à l'aide du rôle IAM.
      4. Sélectionnez Envoyer.
        Le système ajoute cet enregistrement à la table Endosser les paramètres de rôle Cross AWS de compte de services dans le cloud [cloud_service_account_aws_cross_assume_role].
      Remarque :
      Par défaut, le rôle OrganizationAccountAccessRole est affecté au compte de gestion d'approbation du membre et MID utilise le même rôle s'il n'est pas ajouté à la table Endosser les paramètres de rôle org AWS de compte de service dans le cloud [cloud_service_account_aws_org_assume_role_params]. Si vous avez supprimé la valeur par défaut ou si vous avez créé un rôle IAM personnalisé, vous devez l'ajouter manuellement à la table Endosser les paramètres de rôle org AWS de compte de service dans le cloud [cloud_service_account_aws_org_assume_role_params] pour chaque compte de membre d'approbation Pour ce faire, accédez à Tout > Cloud Provisioning and Governance > Paramètres d'accès à l'organisation > Endosser les paramètres de rôle org AWS de compte de services dans le cloud et procédez comme précédemment.

    Que faire ensuite

    Vérifiez que les applications ServiceNow peuvent accéder au compte de service d'approbation à l'aide du rôle IAM :
    1. Accédez à la Mise en service et gouvernance du cloud > Comptes de services.
    2. Sélectionnez le compte d'approbation que vous avez configuré.
    3. Sous Liens connexes, cliquez sur Détecter les centres de données.
    4. Accédez à la Découverte > Tableau de bord de détection dans le cloud, puis cliquez sur l’onglet AWS .
    5. Vérifiez que le tableau de bord affiche les ressources détectées pour le compte que vous avez associé aux informations d'identification AWS nouvellement créées.