Configuration de l’accès pour AWS les comptes de services

  • Rversion finale: Yokohama
  • Mis à jour 3 sept. 2025
  • 7 minutes de lecture

    • Découverte dans le cloud et Cloud Provisioning and Governance ont besoin d’accéder aux ressources des comptes de Amazon Web Services services (AWS). Découvrez les différentes méthodes de configuration de cet accès.

    Découverte dans le cloud et Cloud Provisioning and Governance accéder aux ressources dans les AWS comptes de service via Serveurs MID. Vous devez autoriser le trafic entrant vers les Amazon instances EC2 à partir de la pour établir la Serveur MID communication initiale. Pour plus d’informations, consultez Configurer les règles entrantes de groupe de sécurité à l’aide d’AWS Management Console.

    Types d’informations d’identification AWS

    Il existe des informations d’identification permanentes et temporaires AWS que vous pouvez utiliser pour configurer l’accès aux comptes de AWS services.
    Permanentes
    Les informations d’identification permanentes sont les informations d’identification réelles AWS pour le compte de service que vous ajoutez au Connexions et informations d'identification module de Now Platform. Bien que la gestion des informations d’identification sur Now Platform, vous évitez les configurations complexes liées à l’utilisation d’informations d’identification temporaires.
    Temporaire

    Les informations d’identification temporaires sont générées par le service de jeton de sécurité (AWS STS) pour les AWS rôles IAM. Une fois que vous avez configuré les rôles IAM pour AWS les comptes, le accède aux AWS ressources avec ces informations d’identification Serveur MID temporaires. Vous pouvez utiliser le rôle OrganizationAccountAccessRoleIAM par défaut ou créer des rôles IAM personnalisés.

    Assumer des rôles IAM dans une grande AWS organisation est plus pratique et offre une meilleure sécurité que l’utilisation d’un grand nombre d’informations d’identification permanentes pour tous les AWS comptes. Les informations d’identification temporaires ne sont acquises au nom d’un compte de service que lorsqu’il n’y a pas d’informations d’identification permanentes spécifiées pour ce compte de service dans la table Comptes de services [cmdb_ci_cloud_service_account].

    Utilise Serveur MID l’action AssumeRole dans l’API AWS Security Token Service pour assumer un rôle de compte membre. Les paramètres transmis à cette API déterminent les restrictions de sécurité supplémentaires appliquées au rôle lorsqu’il accède aux AWS ressources.

    Par défaut, le Serveur MID est configuré pour endosser le OrganizationAccountAccessRole, qui accorde des informations d’identification temporaires à tous les membres d’un compte primaire. Cette action se produit automatiquement s’il n’existe aucune information d’identification permanente pour les comptes des membres. Cette configuration n’applique aucune sécurité supplémentaire et ne restreint pas l’accès aux ressources des comptes membres.

    Par défaut, l’instance ServiceNow met en cache les informations d’identification temporaires des comptes membres pendant 60 minutes. Cet intervalle permet au processus de découverte horizontale de s’exécuter plusieurs fois sans générer de nouvelles informations d’identification lors de chaque découverte. Vous pouvez éviter la mise en cache des informations d’identification ou modifier la période de mise en cache à l’aide des propriétés du serveur MID.

    Rôles et autorisations IAM

    Pour renforcer la sécurité fournie par le rôle AWS OrganizationAccountAccessRole par défaut, vous pouvez personnaliser les rôles que Serveurs MID vous pouvez endosser pour recevoir des AWS informations d’identification temporaires pour les comptes de membre. Vous pouvez configurer des autorisations supplémentaires pour améliorer la sécurité et personnaliser la façon dont le rôle du compte membre est assumé lors de la détection des ressources dans le cloud.

    Méthodes d’octroi de l’accès

    Pour configurer l’accès AWS aux comptes, les termes suivants sont utilisés :
    Comptes d’approbation
    Les comptes d’approbation n’ont pas d’informations d’identification permanentes AWS . Vous configurez la relation de confiance pour les rôles IAM dans ces comptes afin de dépendre d’autres comptes pour l’accès.
    Comptes approuvés
    Les comptes approuvés sont utilisés par les comptes de confiance pour y accéder. L’interface ServiceNow utilisateur fait référence aux comptes approuvés en tant que comptes d’accesseur.
    En règle générale, vous configurez l’accès AWS aux comptes de votre organisation à l’aide des méthodes suivantes :
    Configuration de l’accès pour un seul compte
    Configuration de l’accès pour un compte qui approuve un compte d’ascesseur avec AWS des informations d’identification
    Figure 1. Configuration de n’importe quel AWS compte pour s’appuyer sur un compte de confiance avec AWS des informations d’identification

    Configurez le rôle IAM du compte AWS d’approbation pour approuver l’utilisateur du compte AWS approuvé pour l’accès
    • Configurez n’importe quel type de compte (discret (indépendant), de gestion ou de membre, pour vous appuyer sur un compte de confiance avec AWS des informations d’identification pour y accéder.
    • Configurer un rôle IAM appartenant aux comptes d’approbation pour approuver l’utilisateur du compte approuvé permet d’utiliser un seul ensemble d’informations d’identification AWS pour fournir un accès à plusieurs AWS comptes.
    Pour plus d'informations, consultez Configurer l’accès à l’aide d’informations d’identification temporaires basées sur des comptes de confiance AWS avec AWS informations d’identification.
    Configuration de l’accès pour un compte qui approuve un compte d’accesseur sans AWS informations d’identification
    Figure 2. Configuration de n’importe quel AWS compte pour s’appuyer sur un compte de confiance sans AWS informations d’identification

    Configurer le rôle IAM du compte AWS d’approbation pour approuver le rôle IAM du compte AWS approuvé pour l’accès
    • Configurez n’importe quel type de compte (discret (indépendant), de gestion ou membre, pour vous appuyer sur un compte approuvé sans AWS informations d’identification pour y accéder.
    • Configurez un compte sans informations d’identification à AWS l’aide d’un rôle IAM et d’autorisations pour accéder au compte de service d’approbation.
    • Configurez le rôle IAM du compte de confiance pour accorder l’accès au rôle IAM du compte approuvé.
    Pour plus d'informations, consultez Configurer l’accès à l’aide d’informations d’identification temporaires basées sur des comptes de confiance AWS sans AWS informations d’identification.
    Configurer l’accès pour AWS les comptes membres à l’aide d’une chaîne de confiance depuis l’accesseur via le compte de gestion.
    Figure 3. Configurer les comptes membres pour utiliser leur compte de gestion pour l’accès

    Configurer le rôle IAM des comptes membres d’approbation pour approuver leur compte de gestion

    Comment Découverte dans le cloud détermine les informations d’identification à utiliser

    Compte membre Trusts Compte de gestion
    Découverte dans le cloud utilise la logique suivante pour déterminer les informations d’identification à utiliser pour détecter AWS les ressources dans le cloud dans les comptes membres :
    1. Si des informations d’identification permanentes sont définies pour le compte membre dans la table Découverte Compte de services dans le cloud [cmdb_ci_cloud_service_account], utilisez ces informations d’identification. La table Comptes de service dans le cloud [cmdb_ci_cloud_service_account] contient des informations sur les types de comptes de service, tels que la direction ou le membre, ainsi que leurs informations d’identification.
    2. Si aucune information d’identification permanente n’est définie pour le compte membre, Découverte vérifie si les paramètres spéciaux associés au compte membre sont associés au compte membre dans la table Endosser les paramètres de rôle org AWS cloud_service_account_aws_org_assume_role_params de compte de services dans le cloud. Si des paramètres existent dans cette table, Découverte utilise les informations d’identification temporaires acquises en spécifiant un rôle et ses paramètres dans l’action AssumeRole de l’API AWS Security Token Service.
    3. Si aucun paramètre spécial n’est associé au compte membre dans la table Découverte [cloud_service_account_aws_org_assume_role_params], vérifie que cette table recherche les paramètres associés au compte de gestion. S’il existe des paramètres qui définissent un rôle pour le compte de gestion, Découverte utilise les informations d’identification temporaires fournies par ce rôle.
    4. Si aucun paramètre spécial n’est présent dans la table [cloud_service_account_aws_org_assume_role_params] pour les comptes de gestion ou de membre, Découverte utilise les valeurs par défaut définies pour le rôle OrganizationAccountAccessRole .
    Compte de membre ou de gestion faisant confiance à un compte d’accesseur
    1. Si des informations d’identification permanentes sont définies pour le compte de membre ou de gestion dans la table Découverte Compte de services dans le cloud [cmdb_ci_cloud_service_account], utilisez ces informations d’identification. La table Comptes de service dans le cloud [cmdb_ci_cloud_service_account] contient des informations sur les types de comptes de service, tels que la direction ou le membre, ainsi que leurs informations d’identification.
    2. Si aucune information d’identification permanente n’est définie pour le compte, Découverte vérifie la table Endosser les paramètres de rôle Cross AWS de compte de services dans le cloud [cloud_service_account_aws_cross_assume_role_params] pour tous les paramètres spéciaux associés au compte. Si des paramètres existent dans cette table, Découverte utilise les informations d’identification temporaires acquises en spécifiant un rôle et ses paramètres dans l’action AssumeRole de l’API AWS Security Token Service.