Configurer Connecteur du graphe de services pour AWS à l’aide de SGC Central

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 11 minutes de lecture

    • Utilisez le playbook disponible avec l’application SGC Central pour configurer l’extraction Connecteur du graphe de services pour AWS des AWS données dans le CMDB

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    L’expérience de playbook pour les connecteurs d’intégration est activée avec SGC Central .Espace de travail CMDB Pour plus d’informations sur l’interaction avec un playbook, consultez Interagir avec le playbook.

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail CMDB.
    2. Dans le Espace de travail CMDB, sélectionnez SGC Central.
    3. Sur la page Tableau de bord, sélectionnez Créer une connexion.
      Conseil :
      Vous pouvez également sélectionner Créer une connexion sur la page Toutes les connexions.
    4. Dans la fenêtre Créer une connexion, sélectionnez le type de AWS connecteur, puis sélectionnez Créer une connexion.
    5. Remplissez les conditions préalables initiales lors de la première configuration d’une connexion à l’aide d’un connecteur.
      Remarque :
      Cette étape n’est nécessaire que lors de la première configuration. Consultez Effectuer les tâches de configuration initiale lors de la création d’une connexion dans SGC Central.
    6. Remplissez les conditions préalables à la configuration de l’environnement AWS .
      1. Configurez la configuration de base dans l’environnement AWS requise pour importer des données à l’aide du connecteur.
        1. À l’étape Conditions préalables du playbook, sélectionnez l’activité Télécharger les scripts de base .
        2. Exécutez les scripts pour configurer l’environnement AWS .

          Pour plus d’informations sur l’exécution de scripts, reportez-vous à la section Scripts de base.

        3. Cochez la case J’ai lu les instructions et exécuté le script en conséquence pour confirmer que vous avez exécuté les scripts.
        4. Sélectionnez Continuer.
      2. Configurez la découverte approfondie sur les instances Amazon Elastic Compute Cloud (Amazon EC2).
        Remarque :
        Effectuez cette étape uniquement pour effectuer une découverte approfondie sur les instances EC2. Sinon, sélectionnez Ignorer.
        1. À l’étape Conditions préalables du playbook, sélectionnez l’activité Télécharger lesscripts de découverte approfondie .
        2. Exécutez les scripts pour configurer les Amazon instances EC2 pour une découverte approfondie.

          Pour plus d’informations sur l’exécution de scripts, reportez-vous à la section Scripts de découverte approfondie.

        3. Sélectionnez Continuer.
      3. Configurez les grappes Amazon Elastic Kubernetes Service (EKS).
        Remarque :
        Effectuez cette étape uniquement lorsque le service Amazon EKS pour les grappes Kubernetes est requis. Sinon, sélectionnez Ignorer.
        1. Dans l’étape Conditions préalables du playbook, sélectionnez l’activité Télécharger les scripts Amazon EKS .
        2. Exécutez les scripts pour configurer les grappes Amazon EKS.

          Pour plus d’informations sur l’exécution de scripts, reportez-vous à la section Amazon Scripts EKS.

        3. Sélectionnez Continuer.
    7. Terminez la configuration du connecteur pour l’importation des données.
      1. Créez et testez la connexion.
        1. À l’étape Configuration du playbook, sélectionnez l’activité Créer et tester la connexion .
        2. Renseignez les champs du formulaire.
          Tableau 1. Formulaire Créer et tester la connexion
          Champ
          Nom de la connexion Nom permettant d’identifier l’enregistrement de AWS connexion.

          Par exemple, SG_AWS_CredentialAlias_Org.

          ID de clé d'accès ID de clé d’accès de l’utilisateur IAM qui est autorisé à interagir avec les ressources AWS.
          Clé d'accès secrète Clé d’accès secrète qui correspond à l’ID de clé d’accès requis pour authentifier la connexion de manière sécurisée.
          Utiliser un Serveur MID Option permettant d’utiliser un Serveur MID.
          Remarque :
          L’utilisation d’un serveur MID est facultative.
          Sélection de MID Nom du serveur MID utilisé par le connecteur.

          Ce champ est disponible uniquement si la case Utiliser un serveur MID est cochée.
        3. Sélectionnez Créer et tester la connexion.
        4. Une fois le test de connexion terminé, sélectionnez Continuer.
      2. Définissez les propriétés de configuration de la connexion pour accéder aux AWS ressources.
        1. À l’étape Configuration du playbook, sélectionnez l’activité Définir les propriétés de configuration .
        2. Dans la section Détails de l’organisation, renseignez les détails de l’organisation, y compris l’identificateur de compte, le nom et la description de l’organisation AWS .
        3. Dans la section Détails du compte S3, renseignez les détails.
          Tableau 2. Détails du compte S3
          Champ Description
          ID du compte S3 Identificateur numérique du AWS compte qui héberge la catégorie Service de Amazon stockage simple (Amazon S3).
          Nom de catégorie S3 Nom de la Amazon catégorie S3 qui collecte les détails à partir des Amazon instances EC2.
          Région S3 Région où se trouve la Amazon catégorie S3.
        4. Dans le champ Régions AWS de la section Supposer le nom du rôle AWS et STS, entrez les AWS régions pour collecter les données CI.

          Par défaut, Connecteur du graphe de services pour AWS s’exécute dans toutes les AWS régions pour collecter les données CI.

          Vous pouvez entrer AWS des régions spécifiques pour accélérer le processus d’importation de données CI. Par exemple, us-east1, us-east-2.

          Si ce champ est laissé vide, le Connecteur du graphe de services pour AWS extrait les ressources de toutes les AWS régions.

          Toutefois, pour les régions AWS GovCloud, ne laissez pas le champ Régions vide. Les régions AWS GovCloud prises en charge sont us-gov-east-1 et us-gov-west-1.

          Si vous mettez à jour la valeur du champ Régions ultérieurement, effacez la valeur du champ Date/heure de la dernière exécution dans toutes les sources de données associées au Connecteur du graphe de services pour AWS importer un nouvel ensemble de données.

        5. Dans le champ Nom d’endossement du rôle STS des régions AWS et de la section Nom du rôle d’endossement STS, saisissez le nom du rôle AWS Identity and Access Management (IAM).
          Le nom du rôle AWS IAM est obtenu par l’utilisateur ServiceNow en appelant l’API AssumeRole proposée par le AWS service de jeton de sécurité (STS). L’API AssumeRole renvoie un ensemble d’informations d’identification de sécurité temporaires permettant à l’utilisateur ServiceNow d’accéder aux AWS ressources.
          Remarque :
          Saisissez le nom du rôle IAM, mais ne fixez pas de préfixe ARN dans le nom. Si vous laissez ce champ vide, la valeur de ce champ est automatiquement définie sur SnowOrganizationAccountAccessRole, qui est le nom de rôle IAM par défaut pour l’utilisateur ServiceNow .
        6. Dans la section Détails du document SSM SendCommand, entrez le nom du document qui définit les actions exécutées par Systems AWS Manager (SSM) sur une instance EC2 basée sur Amazon Linux ou une instance EC2 basée sur Amazon Windows dans leurs champs respectifs.
        7. Dans le champ ID du compte de gestion de la section ID de compte de gestion et ID de compte autonome, saisissez l’ID du compte de gestion de l’organisation.AWS

          Saisissez une valeur pour ce champ lorsque l’utilisateur ServiceNow a été créé dans un AWS compte membre.

          Le compte appelle l’API ListAccounts associée à l’organisation AWS pour collecter des informations de CI à partir de tous les comptes. Pour plus d’informations, consultez ListAccounts sur le site de documentation AWS .

        8. Dans le champ ID de compte autonome de la section ID de compte de gestion et ID de compte autonome, saisissez l’ID d’un compte membre dans l’organisation AWS .
          Remarque :
          Lors de la spécification d’un compte autonome, les données liées à l’organisation telles que le nom de l’organisation, les unités d’organisation, l’ID AWS d’organisation et les comptes de service ne sont pas importées. Pour importer les données complètes ultérieurement, effacez toute valeur mentionnée dans le champ ID de compte autonome . Consultez l’article Connecteur du graphe de services pour AWS : configuration autonome [KB1642159] dans la base de Now Support connaissances.
        9. Dans la section Détails de l’agrégateur AWS Config, saisissez les détails du AWS compte pour le type de ressource d’agrégateur.
          Tableau 3. Détails de l’agrégateur de configuration AWS
          Champ Description
          Compte d’agrégateur Config AWS compte dans lequel le type de ressource d’agrégateur dans le AWS service de configuration a été configuré.

          Saisissez une valeur dans ce champ lorsque vous utilisez un AWS agrégateur Config.
          Nom de l’agrégateur Config Nom du type de ressource d’agrégateur. Ce champ n’est disponible que lorsque vous saisissez une valeur dans le champ Compte d’agrégateur Config .
          Région de l’agrégateur Config Région où réside le type de ressource d’agrégateur. Ce champ n’est disponible que lorsque vous saisissez une valeur dans le champ Compte d’agrégateur Config .
        10. Dans la section Configuration de la rotation de clé AWS, saisissez les détails du processus de rotation de clés.
          Tableau 4. Configuration de la rotation de clé AWS
          Champ Description
          Lancer la rotation des clés AWS Option permettant d’activer le processus de rotation des clés.
          Date de rotation de la clé AWS Date de rotation des clés. Ce champ est automatiquement défini sur la date de rotation suivante. Ce champ n’est disponible que lorsque vous cochez la case Rotation des clés AWS .
          Période de rotation de la clé AWS (en jours) Période de rotation de clés en jours. Ce champ n’est disponible que lorsque vous cochez la case Rotation des clés AWS .
          État de rotation de la clé AWS Message d’état d’une rotation de clés indiquant si la rotation a été réussie ou échouée. Ce champ est automatiquement défini pour afficher le message d’état de rotation des clés. Ce champ n’est disponible que lorsque vous cochez la case Rotation des clés AWS . Si l’état de rotation est un échec, une notification par e-mail est déclenchée, si elle est configurée.
          Comptes de messagerie pour la réception des notifications d'erreur Liste séparée par des virgules des adresses de destinataires qui reçoivent des notifications concernant les erreurs de rotation de AWS clés.
          Groupes de comptes de messagerie pour la réception des notifications d'erreur Liste séparée par des virgules ServiceNow des groupes qui reçoivent des notifications concernant les AWS erreurs de rotation de clés.
        11. Cochez la case Est gov Cloud dans la section Configuration de Gov Cloud pour indiquer que la configuration de la connexion est pour GovCloud AWS .
        12. Dans la section Détails du document SSM EKS SendCommand, saisissez les détails du AWS document SSM.
          Tableau 5. Détails du document SSM EKS SendCommand
          Champ Description
          Document de noms de grappes EKS Nom du AWS document SSM pour détecter les grappes EKS associées aux hôtes bastions EC2.
          Document de script du shell EKS Nom du document SSM permettant d’extraire AWS les CI liés aux composants Kubernetes, tels que les pods, les services et les déploiements, à partir des grappes EKS.
        13. Sélectionnez Enregistrer les propriétés.
        14. Sélectionnez Continuer.
      3. Configurez les ressources EC2 requises pour Amazon Elastic Kubernetes Service (EKS) importer des données de grappe EKS.
        Remarque :
        Effectuez cette étape uniquement lorsque des ressources EC2 sont nécessaires. Sinon, sélectionnez Ignorer pour l’activité Configurer les ressources EC2 EKS .
        Une ressource EC2 EKS est un hôte bastion qui dispose d’un accès réseau aux grappes EKS. Les clusters EKS ne sont pas directement accessibles au connecteur. Par conséquent, vous devez fournir les détails de la ressource EC2 EKS . Pour l’importation de données de grappe EKS, le connecteur utilise la commande SSM Send sur les ressources EC2 EKS pour exécuter les commandes kubectl à distance.
        Remarque :
        Assurez-vous d’avoir configuré votre AWS environnement pour l’intégration EKS. Pour plus d’informations, consultez l’article Connecteur du graphe de services pour AWS - Intégration Amazon EKS [KB1437138] dans la base de Now Support connaissances.
        1. À l’étape Configuration du playbook, sélectionnez l’activité Configurer les ressources EC2 EKS .
        2. Sur la page Configurer les ressources EC2 EKS, sélectionnez Nouveau.
        3. Renseignez les champs de la fenêtre Configurer les ressources EC2 EKS qui s’affiche.
          Tableau 6. Configurer les champs de ressources EC2 EKS
          Champ Description
          ID de ressource EC2 EKS Identificateur de la ressource EC2 EKS.
          Région EC2 Région AWS où se trouve la ressource EC2 EKS .
          Compte EC2 Nom d’utilisateur affecté au compte de ressource EC2 EKS .
          Alias de connexion Alias de connexion associé à l’environnement installé et configuré à l’étape AWS7.a.ii.
          Connexion Nom de connexion associé à l’environnement installé et configuré dans l’étape AWS7.a.ii.
          Actif Option permettant d’activer la ressource EC2 EKS.
        4. Sélectionnez Enregistrer.
        5. Répétez les étapes de 7.c.ii à pour ajouter d’autres 7.c.iv ressources EC2 EKS.
        6. Sélectionnez Continuer.
      4. Exécutez l’outil de AWS diagnostic avant d’exécuter une tâche d’importation planifiée pour identifier tous les problèmes dans la configuration de l’environnement AWS .
        1. À l’étape Configuration du playbook, sélectionnez l’activité Exécuter des tests de diagnostic .
        2. Sur la page Exécuter le test de diagnostic, sélectionnez une option permettant d’exclure les résultats des tests correspondants du résumé du diagnostic.
          Ignorer les tests de configuration SSM
          Exclut les données d’inventaire de logiciels des résultats récapitulatifs en n’appelant pas l’API GetInventory . Sélectionnez cette option lorsque vous avez choisi de désabonner ou de ne pas avoir configuré la configuration pour SSM.
          Ignorer les tests de découverte approfondie SSM
          Exclut les données de découverte approfondie des résultats récapitulatifs. Sélectionnez cette option lorsque vous avez choisi d’annuler ou de configurer la configuration de la découverte approfondie SSM.
          Ignorer les tests de configuration EKS
          Exclut les données EKS des résultats récapitulatifs en n’exécutant pas les commandes kubectl.
          Remarque :
          Cette case à cocher n’apparaît que lorsque vous avez configuré les ressources EC2 dans l’activité Configurer les ressources EC2 EKS .
        3. Sélectionnez Exécuter le test de diagnostic et attendez que le test se termine.
        4. Passez en revue le résumé du diagnostic, les résultats des accès à l’API et les journaux de validation des autorisations IAM.
        5. Lorsque les résultats du test sont positifs, sélectionnez Continuer.
      5. Configurez le calendrier d’importation pour importer des données à intervalles réguliers.
        1. À l’étape Configuration du playbook, sélectionnez l’activité Configurer le calendrier d’importation .
        2. Développez l’importation de données planifiée parente dans la liste Calendriers d’importation pour sélectionner le calendrier d’importation SG-AWS-Organization .
        3. Dans la boîte de dialogue Configurer le calendrier d’importation , cochez la case Actif , puis renseignez les détails du calendrier et de l’heure d’exécution.

          Pour plus d'informations, consultez Schedule a data import.

        4. Sélectionnez Enregistrer.

          Vous pouvez également sélectionner Exécuter maintenant pour exécuter immédiatement le calendrier d’importation.

        5. Sélectionnez Continuer.
      6. À l’étape Configuration du playbook, sélectionnez l’activité de configuration Confirmer la connexion pour vérifier si la connexion a été créée.

    Que faire ensuite

    Sélectionnez Afficher toutes les connexions pour examiner les détails de la connexion. La connexion configurée apparaît dans la liste Connexions installées.