Configurer l'accès à l'aide d'informations d'identification temporaires basées sur des comptes AWS approuvés sans informations d'identification AWS

  • Rversion finale: Zurich
  • Mis à jour 3 sept. 2025
  • 5 minutes de lecture

    • Configurez un compte approuvé sans informations d'identification que d'autres comptes AWS peuvent utiliser pour fournir l'accès.

    Avant de commencer

    • Familiarisez-vous avec la création d'un rôle pour déléguer des autorisations à un utilisateur IAM dans la documentation de Amazon.
    • Décidez quel compte AWS sera le compte approuvé. Vous utilisez le compte approuvé pour configurer des informations d’identification temporaires pour Découverte dans le cloud l’utilisation des rôles IAM. Le compte de confiance que vous utilisez pour accéder à d'autres comptes à l'aide des rôles IAM est appelé compte d'accesseur.
    • Si vous configurez une chaîne d’approbation où un compte membre approuve un compte de gestion et le compte de gestion approuve un compte d’accesseur, vérifiez que vous avez configuré le compte de membre pour approuver le compte de gestion. Pour plus d'informations, consultez Configurer l'accès à l'aide d'informations d'identification temporaires pour approuver les comptes de membre AWS.
    • Confirmez que Espace de travail de l'administrateur de Découverte vous utilisez au moins la version 1.10.0. Le Découverte > Comptes de service dans le cloud le module de navigation n’est pas disponible avec les versions antérieures. Pour accéder aux comptes de service dans le cloud disposant d’une version antérieure, saisissez dans le filtre de navigation : cmdb_ci_cloud_service_account.list.
    Rôle requis :
    • Pour Découverte dans le cloud: discovery_admin
    • Pour Cloud Provisioning and Governance : admin ou sn_cmp.cloud_admin

    Pourquoi et quand exécuter cette tâche

    Pour utiliser un compte sans AWS informations d’identification, vous devez d’abord configurer ce compte avec un rôle IAM et les autorisations pour accéder au compte de service d’approbation. Ensuite, vous configurez le rôle IAM du compte d’approbation pour accorder l’accès au rôle IAM du compte approuvé.

    Figure 1. Configurer n'importe quel compte AWS pour l'utiliser comme compte approuvé sans informations d'identification AWS

    Configurez le rôle IAM du compte AWS d’approbation pour approuver le rôle IAM du compte AWS approuvé pour l’accès

    Procédure

    1. Configurez un rôle IAM pour le compte d'approbation.
      1. Connectez-vous au compte d'approbation sur la console de gestion d'AWS.
      2. Créez un rôle IAM pour ce compte.
        Utilisez l'ID de compte du compte approuvé lors de la création de ce rôle IAM. Pour plus d'informations opérationnelles sur l'utilisation des rôles AWS, consultez la documentation Amazon.
      3. Créez une politique ReadOnlyAccess et joignez-la au rôle IAM nouvellement créé.
    2. Configurez le rôle IAM pour le compte approuvé.
      1. Connectez-vous à la console de gestion d'AWS à l'aide des informations d'identification du compte que vous souhaitez configurer en tant que compte approuvé.
      2. Créez un rôle IAM en choisissant l'option Service AWS.

        Sélectionner l'option Service AWS pour créer un rôle IAM du compte approuvé
      3. Créez une politique ReadOnlyAccess pour le rôle IAM de compte approuvé.
      4. Créez une politique supplémentaire pour accorder à ce rôle IAM l'accès aux ressources dans les comptes d'approbation :
        • Définissez le paramètre Action sur sts:AssumeRole.
        • Définissez le paramètre Resource sur l'ARN du rôle de compte d'approbation que vous avez créé à l'étape 1.b.

        Configurez la politique entre le rôle dans le compte approuvé et le rôle dans le compte d'approbation.

      5. Joignez le rôle nouvellement créé à l'instance EC2 Amazon pertinente.
        Par défaut, lorsque vous joignez un rôle IAM à une instance EC2, une relation de confiance est établie entre ce rôle et l'instance EC2.
        Vérification de la relation de confiance entre le rôle IAM et l'instance EC2.
    3. Configurez le compte de service d'approbation pour accorder l'accès au rôle IAM appartenant au compte approuvé.
      1. Connectez-vous au compte d'approbation sur la console de gestion d'AWS.
      2. Accédez au rôle IAM que vous avez créé pour ce compte en suivant les instructions de la rubrique 1.b.
      3. Modifiez la relation de confiance pour ce rôle IAM, comme suit :
        • Définissez le paramètre Action sur sts:AssumeRole.
        • Définissez le paramètre AWS sur l'ARN du rôle de compte approuvé que vous avez créé à l'étape 2.b.
        Configurer la relation de confiance pour le compte d'approbation
    4. Configurer le Serveur MID pour les rôles IAM AWS.
    5. Sur , ServiceNow AI Platform configurez le compte de service approuvé.
      1. Accédez à la Tous > Découverte > Comptes de service dans le cloud.
      2. Selelct Nouveau.
      3. Remplissez les champs du formulaire.
        Pour obtenir une description des valeurs de champ, consultez la rubrique Créer des AWS comptes de service.
      4. Sélectionnez Soumettre.
    6. Dans le ServiceNow AI Platform, configurez le compte de service d’approbation.
      1. Accédez à la Tous > Découverte > Comptes de service dans le cloud.
      2. Sélectionnez Nouveau.
      3. Dans le champ Compte d’accesseur , saisissez le nom du compte approuvé.
      4. Renseignez les champs restants du formulaire.
        Pour obtenir une description des valeurs de champ, consultez la rubrique Créer des AWS comptes de service.
      5. Sélectionnez Soumettre.
    7. ServiceNow AI Platform Le , affectez le AWS rôle IAM au compte d’approbation, à l’aide du formulaire approprié, en fonction de la relation avec le compte approuvé.
      Type de compte approuvéÉtapes
      Compte de gestion
      1. Accédez à la Tous > Mise en service et gouvernance du cloud > Paramètres d'accès à l'organisation > Endosser les paramètres de rôle org AWS.
      2. Sélectionnez Nouveau.
      3. Sur le formulaire, configurez uniquement les champs suivants pour le compte de membre d’approbation :
        Tableau 1. Formulaire Endosser les paramètres de rôle org AWS de compte de service dans le cloud
        Champ Définition
        Nom du rôle d'accès Nom du rôle IAM créé pour le compte de confiance.
        • Si les rôles IAM sont les mêmes sur tous les comptes membres : saisissez l’ARN complet à l’aide d’un astérisque (*) comme caractère générique pour l’ID de compte au format : arn :aws :iam ::* :role/MemberRoleName.

          Par exemple : arn :aws :iam ::* :role/SN_MEMBER_ACCOUNT_ROLE.

        • Si les rôles IAM sont différents entre les comptes membres : saisissez l’ARN complet du rôle IAM spécifique pour chaque compte membre dans une entrée distincte.
        Compte de services dans le cloud Nom du compte de confiance pour lequel vous fournissez l'accès à l'aide du rôle IAM.
        • Si les rôles IAM sont les mêmes sur tous les comptes membres : saisissez le nom du compte de gestion.
        • Si les rôles IAM sont différents entre les comptes membres : saisissez chaque compte membre dans une entrée distincte.
      4. Sélectionnez Soumettre.
      Compte de membre ou discret
      1. Accédez à la Tous > Mise en service et gouvernance du cloud > Paramètres d'accès à l'organisation > Endosser les paramètres de rôle Cross AWS.
      2. Sélectionnez Nouveau.
      3. Sur le formulaire, configurez uniquement les champs suivants pour le compte d’approbation :
        Tableau 2. Formulaire Endosser les paramètres de rôle Cross AWS de compte de services dans le cloud
        Champ Description
        Nom du rôle d'accès Nom du rôle IAM créé pour le compte de confiance.
        Compte de services dans le cloud Nom du compte de confiance pour lequel vous fournissez l'accès à l'aide du rôle IAM.
      4. Sélectionnez Soumettre.

    Que faire ensuite

    Vérifiez que les applications ServiceNow peuvent accéder au compte de service d'approbation à l'aide du rôle IAM :
    1. Accédez à la Tous > Découverte > Comptes de service dans le cloud.
    2. Sélectionnez le compte de service d’approbation AWS .
    3. Sous Liens connexes, sélectionnez Créer un calendrier de découverte.
    4. Sur la page Découverte dans le cloud du gestionnaire de découverte, sélectionnez Compte de test.
      • Si la connexion aboutit, un message s’affiche indiquant que la validation du compte est réussie.
      • Si la connexion échoue, un message d’erreur s’affiche indiquant la cause de l’échec.