Configurer Gouvernance de configuration cloud pour les AWS

Gestion des opérations IT de Zurich

Release

zurich

ft:locale

fr-FR

ft:publication_title

Gestion des opérations IT de Zurich

ft:clusterId

itom

bundleId

itom

workflow

Technology

Configurer Gouvernance de configuration cloud pour les AWS

Rversion finale: Zurich

Mis à jour 31 juil. 2025

5 minutes de lecture

Configurez l'accès aux comptes cloud Amazon Web Services (AWS) dans Gouvernance de configuration cloud pour activer l'interaction entre l'application et le cloud. L'application doit accéder aux comptes cloud pour analyser les ressources cloud, afin de rechercher les configurations non conformes et de les corriger.

Avant de commencer

Rôle requis : sn_itom_ccg.scheduling_admin

Pourquoi et quand exécuter cette tâche

Aux fins de la configuration de l'accès pour les comptes AWS, les termes suivants sont utilisés :

Comptes d'approbation: Les comptes d'approbation n'ont pas d'informations d'identification AWS permanentes. Vous configurez la relation de confiance pour que les rôles IAM de ces comptes s'appuient sur d'autres comptes pour fournir l'accès.
Comptes approuvés: Les comptes d'approbation utilisent les comptes approuvés pour fournir l'accès. Dans l'interface utilisateur ServiceNow, les comptes approuvés sont appelés comptes d'accesseur.

Utilisez l’une des méthodes suivantes pour configurer l’accès AWS aux comptes :

Configurez les informations d’identification permanentes dans le ServiceNow AI Platform pour vous connecter aux comptes autonomes AWS (comptes discrets). La table Compte de service dans le cloud [cmdb_ci_cloud_service-account] contient les informations sur les types de comptes de service, notamment de gestion ou de membre, et leurs informations d'identification d'accès.
Configurez les comptes de membre de façon à ce qu'ils utilisent le compte de gestion pour fournir l'accès. Dans ce cas, configurez les informations d'identification permanentes du compte de gestion dans le ServiceNow AI Platform.
Configurez les comptes pour qu'ils reposent sur un compte approuvé pour l'accès (accès latéral au sein de la même organisation AWS ou entre différentes organisations AWS). Dans ce cas, configurez les informations d'identification permanentes du compte approuvé dans le ServiceNow AI Platform.

Remarque :

Gouvernance de configuration cloud n’utilise pas de configuration de rôle d’endossement basée sur MID Server pour accéder aux comptes d’approbation.

Procédure

Créez des informations d'identification pour les comptes de services AWS.

Accédez à la Connexion et informations d'identification > Informations d'identification.
Sélectionnez Nouveau, puis Informations d'identification AWS.

Renseignez les champs du formulaire.

Tableau 1. Formulaire Informations d'identification AWS
Champ	Description
Nom	Nom unique et descriptif pour les informations d'identification AWS.
Actifs	Option pour utiliser les informations d'identification.
ID de clé d'accès	L'ID de clé d'accès que vous avez généré sur AWS Management Console.
Clé d'accès secrète	La clé d'accès secrète que vous avez générée sur AWS Management Console.

Sélectionnez Enregistrer.

Sélectionnez l'alias d'identification sn_itom_cal.Aws_Creds_Alias ou créez-en un.

Déverrouillez l'alias d'identification.
Recherchez un alias d'identification.
Sélectionnez Nouveau.

Renseignez les champs du formulaire.

Tableau 2. Formulaire Connexion et alias d'identification
Champ	Description
Nom	Nom unique de l'alias.
Type	Type d'alias d'identification. Sélectionnez Informations d'identification dans la liste déroulante Type.

Sélectionnez Envoyer.

Définissez le champ Algorithme d'authentification sur AWS Authenticator.
Sélectionnez Envoyer.

Configurez un compte de services AWS.

Accédez à la Mise en service et gouvernance du cloud > Comptes de services.
Sélectionnez Nouveau.

Renseignez les champs du formulaire.

Tableau 3. Formulaire Compte de services dans le cloud
Champ	Description
Nom	Nom unique du compte de services.
ID de compte	Numéro de compte utilisateur à 12 chiffres. Sur AWS Management Console, développez la liste sous le nom du compte pour afficher le numéro. Important : Dans le champ ID de compte, supprimez les traits d'union (-) du numéro.
Informations d'identification de découverte	Les informations d’identification requises pour que ServiceNow les applications puissent accéder au compte dans le cloud. Vous pouvez configurer les informations d’identification de découverte ultérieurement, lors de la configuration de l’accès AWS aux comptes. Si vous configurez un compte de service indépendant ou un compte de gestion, sélectionnez ses informations d'identification AWS. Pour utiliser d’autres AWS comptes pour accéder à ce compte, laissez le champ vide. Par exemple, vous n’avez pas besoin de spécifier les informations d’identification pour les comptes assumant des rôles IAM (Identity and Access Management) ou les AWS comptes membres utilisant leur compte de gestion pour y accéder.
URL du centre de données	URL du centre de données. Laissez ce champ vide. Remarque : Pour GovCloud, utilisez l’URL https://ec2.us-gov-west-1.amazonaws.com.
Type de centre de données	Type de centre de données sur lequel le compte est hébergé. Sélectionnez Centre de données AWS.
État de détection du centre de données	Valeur générée automatiquement : statut et horodatage de la dernière exécution de Discovery sur le centre de données.
Compte parent	Nom du compte principal qui représente le compte AWS auquel ce compte membre appartient. Ce champ s'affiche lorsque vous sélectionnez Centre de données AWS. Si le compte n’appartient à aucune AWS organisation, laissez ce champ vide.
Est le compte principal	Marqueur de compte de gestion. Cette case à cocher s'affiche lorsque vous sélectionnez Centre de données AWS dans la liste déroulante Type de centre de données. Cochez la case pour associer le compte de services AWS au compte de gestion. Cochez cette case uniquement pour les comptes que vous avez précédemment configurés en tant que comptes de gestion avec des comptes membres qui leur appartiennent. Pour plus d’informations sur AWS l’organisation, voir AWS documentation.
Compte d'accesseur	Nom du compte de confiance. Configurez ce champ uniquement pour les comptes qui n'utilisent pas d'informations d'identification AWS permanentes et qui reposent sur les rôles IAM pour y accéder.

Sélectionnez Soumettre.

Effectuez l'une des actions suivantes.

Option	Description
Créer une configuration de rôle d’endossement pour le compte de gestion	Si vous souhaitez utiliser un compte de gestion pour analyser les comptes membres de l’organisation AWS , créez une configuration de rôle d’endossement pour le compte de gestion. Si vous ne souhaitez pas utiliser le OrganizationAccountAccessRole pour accéder au compte membre, configurez le compte d’approbation pour Gouvernance de configuration cloud. Pour plus d'informations, consultez Configurer le compte d’approbation pour Gouvernance de configuration cloud et Bibliothèque d'actions dans le cloud. Répétez l’étape 6.a pour tous les comptes membres qui doivent être analysés via le compte de gestion sans utiliser OrganizationAccountAccessRole. Si vous souhaitez utiliser OrganizationAccountAccessRole pour accéder au compte membre, créez une configuration d'endossement de rôle pour le compte de gestion. Pour plus d'informations, consultez Créer une configuration d'endossement de rôle.
Configurer le compte d’approbation pour Gouvernance de configuration cloud	Si vous souhaitez utiliser un compte de confiance pour analyser le compte de confiance, configurez le compte de confiance pour Gouvernance de configuration cloud. Configurez le compte d’approbation pour Gouvernance de configuration cloud. Pour plus d'informations, consultez Configurer le compte d’approbation pour Gouvernance de configuration cloud et Bibliothèque d'actions dans le cloud. Répétez l’étape 6.a pour tous les comptes d’approbation qui doivent être analysés via le compte approuvé.

Option

Description

Créer une configuration de rôle d’endossement pour le compte de gestion

Si vous souhaitez utiliser un compte de gestion pour analyser les comptes membres de l’organisation AWS , créez une configuration de rôle d’endossement pour le compte de gestion.

Si vous ne souhaitez pas utiliser le OrganizationAccountAccessRole pour accéder au compte membre, configurez le compte d’approbation pour Gouvernance de configuration cloud.

Pour plus d'informations, consultez Configurer le compte d’approbation pour Gouvernance de configuration cloud et Bibliothèque d'actions dans le cloud.
Répétez l’étape 6.a pour tous les comptes membres qui doivent être analysés via le compte de gestion sans utiliser OrganizationAccountAccessRole.
Si vous souhaitez utiliser OrganizationAccountAccessRole pour accéder au compte membre, créez une configuration d'endossement de rôle pour le compte de gestion.
Pour plus d'informations, consultez Créer une configuration d'endossement de rôle.

Configurer le compte d’approbation pour Gouvernance de configuration cloud

Si vous souhaitez utiliser un compte de confiance pour analyser le compte de confiance, configurez le compte de confiance pour Gouvernance de configuration cloud.

Configurez le compte d’approbation pour Gouvernance de configuration cloud.

Pour plus d'informations, consultez Configurer le compte d’approbation pour Gouvernance de configuration cloud et Bibliothèque d'actions dans le cloud.
Répétez l’étape 6.a pour tous les comptes d’approbation qui doivent être analysés via le compte approuvé.

Installez et configurez les Serveurs MID.
Pour plus d’informations, voir Installation et configuration des serveurs MID.
Exécutez la détection du centre de données pour identifier les centres de données associés aux comptes de services.
Pour plus d'informations, consultez Exécuter la détection du centre de données.