Configurer l'accès aux comptes de service AWS

  • Rversion finale: Zurich
  • Mis à jour 3 sept. 2025
  • 7 minutes de lecture

    • Découverte dans le cloud et Cloud Provisioning and Governance doivent avoir accès aux ressources dans les comptes de service Amazon Web Services (AWS). Découvrez les différentes méthodes de configuration de cet accès.

    Découverte dans le cloud et Cloud Provisioning and Governance accèdent aux ressources dans les comptes de service AWS via les Serveurs MID. Vous devez autoriser le trafic entrant vers les Amazon instances EC2 à partir de pour configurer la Serveur MID communication initiale. Pour plus d’informations, consultez Configurer des règles entrantes de groupe de sécurité à l’aide d’AWS Management Console.

    Types d'informations d'identification AWS

    Vous pouvez utiliser des informations d'identification AWS permanentes et temporaires pour configurer l'accès aux comptes de service AWS.
    Permanentes
    Les informations d'identification permanentes correspondent aux informations d'identification AWS actives pour le compte de service que vous ajoutez au module Connexions et informations d'identification de ServiceNow AI Platform. Bien que la gestion des informations d’identification le , la gestion des informations d’identification le ServiceNow AI Platform, vous évite les configurations complexes liées à l’utilisation d’informations d’identification temporaires.
    Temporaire

    Les informations d'identification temporaires sont générées par le service de jeton de sécurité AWS (AWS STS) pour les rôles IAM. Une fois que vous avez configuré les rôles IAM pour AWS les comptes, l’accède aux AWS ressources avec ces informations d’identification Serveur MID temporaires. Vous pouvez utiliser le rôle IAM par défaut, OrganizationAccountAccessRole, ou créer des rôles IAM personnalisés.

    Endosser des rôles IAM dans une grande organisation AWS est plus pratique et sûr que d'utiliser de nombreuses informations d'identification permanentes pour tous les comptes AWS. Les informations d’identification temporaires ne sont acquises au nom d’un compte de service que lorsqu’aucune information d’identification permanente n’est spécifiée pour ce compte de service dans la table Comptes de service [cmdb_ci_cloud_service_account].

    L’utilise Serveur MID l’action AssumeRole dans l’API AWS Security Token Service pour assumer un rôle de compte membre. Les paramètres transmis à cette API déterminent quelles restrictions de sécurité supplémentaires sont appliquées au rôle lorsqu'il accède aux ressources AWS.

    Par défaut, le Serveur MID est configuré pour endosser le rôle OrganizationAccountAccessRole, qui accorde des informations d'identification temporaires à tous les membres d'un compte principal. Cette action se produit automatiquement en l'absence d'informations d'identification permanente pour les comptes membre. Cette configuration n'applique pas de sécurité supplémentaire ou d'accès restreint aux ressources des comptes membre.

    Par défaut, l'instance ServiceNow met en cache les informations d'identification temporaires pour les comptes de membre pendant 60 minutes. Cet intervalle permet au processus de découverte horizontale de s’exécuter plusieurs fois sans générer de nouvelles informations d’identification lors de chaque découverte. Vous pouvez éviter la mise en cache des informations d’identification ou modifier la période de mise en cache à l’aide des propriétés de Serveur MID.

    Rôles et autorisations IAM

    Pour renforcer la sécurité fournie par le rôle AWS OrganizationAccountAccessRole par défaut, vous pouvez personnaliser les AWS rôles que Serveurs MID vous pouvez endosser pour recevoir des informations d’identification temporaires pour les comptes de membre. Vous pouvez configurer des autorisations supplémentaires pour améliorer la sécurité et personnaliser la façon dont le rôle du compte de membre est assumé lors de la détection des ressources dans le cloud.

    Méthodes d'octroi de l'accès

    Aux fins de la configuration de l'accès pour les comptes AWS, les termes suivants sont utilisés :
    Comptes d'approbation
    Les comptes d'approbation n'ont pas d'informations d'identification AWS permanentes. Vous configurez la relation de confiance pour que les rôles IAM de ces comptes s'appuient sur d'autres comptes pour fournir l'accès.
    Comptes approuvés
    Les comptes d'approbation utilisent les comptes approuvés pour fournir l'accès. Dans l'interface utilisateur ServiceNow, les comptes approuvés sont appelés comptes d'accesseur.
    En règle générale, vous configurez l'accès aux comptes AWS de votre organisation à l'aide des méthodes suivantes :
    Configuration de l’accès pour un compte unique
    Configuration de l’accès pour un compte qui approuve un compte d’accesseur avec AWS des informations d’identification
    Figure 1. Configurer n'importe quel compte AWS de façon à utiliser un compte approuvé avec des informations d'identification AWS

    Configurez le rôle IAM du compte AWS d’approbation pour faire confiance à l’utilisateur du compte AWS approuvé pour l’accès
    • Configurez n’importe quel type de compte (discret (indépendant), de gestion ou membre) pour vous appuyer sur un compte approuvé avec AWS des informations d’identification pour l’accès.
    • La configuration d’un rôle IAM appartenant aux comptes d’approbation pour approuver l’utilisateur du compte approuvé permet d’utiliser un seul ensemble d’informations d’identification AWS pour fournir un accès à plusieurs AWS comptes.
    Pour plus d'informations, consultez Configurer l'accès à l'aide d'informations d'identification temporaires basées sur des comptes AWS approuvés avec des informations d'identification AWS.
    Configuration de l’accès pour un compte qui approuve un compte d’accesseur sans AWS informations d’identification
    Figure 2. Configurer n'importe quel compte AWS pour l'utiliser comme compte approuvé sans informations d'identification AWS

    Configurez le rôle IAM du compte AWS d’approbation pour approuver le rôle IAM du compte AWS approuvé pour l’accès
    • Configurez n’importe quel type de compte (discret (indépendant), de gestion ou membre) pour vous appuyer sur un compte approuvé sans AWS informations d’identification pour l’accès.
    • Configurez un compte sans AWS informations d’identification à l’aide d’un rôle IAM et des autorisations pour accéder au compte de service d’approbation.
    • Configurez le rôle IAM du compte de confiance pour accorder l’accès au rôle IAM du compte de confiance.
    Pour plus d'informations, consultez Configurer l'accès à l'aide d'informations d'identification temporaires basées sur des comptes AWS approuvés sans informations d'identification AWS.
    Configurer l’accès pour AWS les comptes membres à l’aide d’une chaîne de confiance de l’accesseur via le compte de gestion.
    Figure 3. Configurer des comptes de membre pour utiliser leur compte de gestion pour fournir l'accès

    Configurer le rôle IAM des comptes des membres d’approbation pour approuver leur compte de gestion

    Comment Découverte dans le cloud détermine les informations d'identification à utiliser

    Compte membre fait confiance compte de gestion
    Découverte dans le cloud utilise la logique suivante pour déterminer les informations d’identification à utiliser pour détecter AWS les ressources dans le cloud dans les comptes membres :
    1. Si des informations d'identification permanentes sont définies pour le compte de membre dans la table Compte de service dans le cloud [cmdb_ci_cloud_service_account], Découverte utilise ces informations d'identification. La table Comptes de services dans le cloud [cmdb_ci_cloud_service_account] contient les informations sur les types de comptes de service, notamment de gestion ou de membre, et leurs informations d'identification.
    2. Si aucune information d’identification permanente n’est définie pour le compte membre, Découverte vérifie la table Endosser les paramètres de rôle org AWS [cloud_service_account_aws_org_assume_role_params] de compte de service dans le cloud pour tous les paramètres spéciaux associés au compte membre. S'il existe des paramètres dans cette table, Découverte utilise les informations d'identification temporaires acquises auprès de la spécification d'un rôle et de ses paramètres dans l'action AssumeRole de l'API de service de jeton AWS Security.
    3. Si aucun paramètre spécial n’est associé au compte membre dans la table Découverte [cloud_service_account_aws_org_assume_role_params], vérifie les paramètres associés au compte de gestion dans cette table. S’il existe des paramètres qui définissent un rôle pour le compte de gestion, Découverte utilise les informations d’identification temporaires fournies par ce rôle.
    4. Si aucun paramètre spécial n'est présent dans la table [cloud_service_account_aws_org_assume_role_params] pour les comptes de gestion ou de membre, Découverte utilise les valeurs par défaut définies pour le rôle OrganizationAccountAccessRole.
    Compte de membre ou de gestion faisant confiance au compte d’accesseur
    1. Si des informations d’identification permanentes sont définies pour le compte de membre ou de gestion dans la table Compte de services dans le cloud [cmdb_ci_cloud_service_account], ces Découverte informations d’identification sont utilisées. La table Comptes de services dans le cloud [cmdb_ci_cloud_service_account] contient les informations sur les types de comptes de service, notamment de gestion ou de membre, et leurs informations d'identification.
    2. Si aucune information d’identification permanente n’est définie pour le compte, Découverte vérifie tous les paramètres spéciaux associés au compte de services dans le cloud [cloud_service_account_aws_cross_assume_role_params] dans la table Endosser les paramètres de rôle Cross AWS de compte de services dans le cloud. S'il existe des paramètres dans cette table, Découverte utilise les informations d'identification temporaires acquises auprès de la spécification d'un rôle et de ses paramètres dans l'action AssumeRole de l'API de service de jeton AWS Security.