Zugriff mit temporären Anmeldeinformationen basierend auf vertrauenswürdigen AWS-Konten mit AWS-Anmeldeinformationen konfigurieren

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Konfigurieren Sie das vertrauende Konto, auf dessen Ressourcen zugegriffen werden muss, so, dass es über die Identity and Access Management (IAM)-Rolle auf das vertrauenswürdige Konto zurückgreift.

    Vorbereitungen

    • Machen Sie sich mit der Amazon-Dokumentation zum Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer vertraut.
    • Entscheiden Sie, welcher Amazon Web Services (AWS)-Account der vertrauenswürdige Account sein soll. Sie verwenden den vertrauenswürdigen Account zur Konfiguration temporärer Anmeldeinformationen für Cloud-Discovery mithilfe von IAM-Rollen. Der vertrauenswürdige Account, den Sie für den Zugriff auf andere Accounts mit IAM-Rollen verwenden, wird als Account eines Zugriffsberechtigten bezeichnet.
    • Richten Sie das vertrauenswürdige und das vertrauende Konto wie in AWS-Servicekonten einrichten beschrieben ein.
    Erforderliche Rolle:
    • Für Cloud-Discovery: admin oder discovery_admin
    • Für Cloud Provisioning and Governance: admin oder sn_cmp.cloud_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Während dieser Konfiguration erstellen Sie eine IAM-Rolle für das vertrauende Konto und konfigurieren dann das vertrauenswürdige Servicekonto für das vertrauende Konto in Now Platform. Schließlich ordnen Sie die IAM-Rolle, die Sie für das vertrauende Konto erstellt haben, dem vertrauenden Konto selbst zu.

    Abbildung : 1. AWS-Konten so einrichten, dass sie auf ein vertrauenswürdiges Konto mit AWS-Anmeldeinformationen zurückgreifen

    Richten Sie die IAM-Rolle des vertrauenden AWS-Accounts ein, um dem Benutzer des vertrauenswürdigen AWS-Accounts für den Zugriff zu vertrauen

    Prozedur

    1. Erstellen Sie eine IAM-Rolle für das vertrauende Konto, und konfigurieren Sie die Vertrauensstellung zwischen dem Benutzer, der diese Rolle übernimmt, und dem vertrauenswürdigen Konto (Account des Zugriffsberechtigten).
      1. Melden Sie sich in der AWS-Managementkonsole bei dem vertrauenden Account an.
      2. Erstellen und konfigurieren Sie die IAM-Rolle, indem Sie im Feld Account ID die ID des vertrauenswürdigen Kontos (des Accounts des Zugriffsberechtigten) angeben.
        Weitere Informationen zum Erstellen von AWS-Rollen finden Sie in der Amazon Dokumentation.
      3. Wählen Sie auf der Seite „Zusammenfassung“ für die IAM-Rolle die Registerkarte Trust Relationships (Vertrauensstellungen).
      4. Klicken Sie auf Edit trust relationship (Vertrauensstellung bearbeiten).
        Die Seite zum Bearbeiten der Vertrauensstellung wird geöffnet und zeigt das Richtliniendokument an.
      5. Legen Sie den Parameter AWS auf den vollständigen Benutzer-ARN des vertrauenswürdigen Accounts (des Zugriffsberechtigten) fest.

        Vertrauensstellung für das vertrauende Konto bearbeiten.
      6. Verifizieren Sie, ob der Action-Wert auf sts:AssumeRole festgelegt ist.
      7. Klicken Sie auf Update Trust Policy (Vertrauensrichtlinie aktualisieren).
    2. Konfigurieren Sie den vertrauenswürdigen Serviceaccount für das vertrauende Konto auf der Now Platform.
      1. Navigieren Sie zu Cloud Provisioning and Governance > Serviceaccounts.
      2. Öffnen Sie das vertrauende Konto.
      3. Geben Sie im Formular „Cloud-Servicekonto“ den Namen des vertrauenswürdigen Kontos im Feld Account des Zugriffsberechtigten ein.
      4. Wählen Sie Aktualisieren.
    3. Weisen Sie die für den vertrauenden Account erstellte IAM-Rolle dem vertrauenden Account unter Now Platform zu.
      Wichtig:
      Führen Sie diesen Schritt nur aus, wenn Sie anwenderdefinierte IAM-Rollen erstellt haben. Es ist nicht erforderlich, die Standardrolle OrganizationAccountAccessRole einem Serviceaccount zuzuweisen.
      1. Navigieren Sie zu Alle > Cloud Provisioning and Governance > Zugriffsparameter der Organisation > Cloud-Servicekonto AWS-Parameter für übergreifende Rollenübernahme.
      2. Wählen Sie Neu.
      3. Konfigurieren Sie im Formular „Cloud-Service-Account: AWS-Parameter für übergreifende Rollenübernahme“ nur die folgenden Felder:
        Feld Definition
        Name der Zugriffsrolle Name der IAM-Rolle, die für den vertrauende Account erstellt wurde.
        Cloud-Servicekonto Name des vertrauenden Accounts, für den Sie mit der IAM-Rolle Zugriff bereitstellen.
      4. Wählen Sie Absenden.
        Das System fügt diesen Datensatz der Tabelle „Cloud-Serviceaccount AWS – Parameter für übergreifende Rollenübernahme“ [cloud_service_account_aws_cross_assume_role] hinzu.
      Hinweis:
      Standardmäßig wird die Rolle OrganizationAccountAccessRole dem vertrauenswürdigen Verwaltungskonto des Mitglieds zugewiesen und von MID verwendet, wenn sie nicht der Tabelle „Cloud-Serviceaccount AWS-Org. – Parameter für Rollenübernahme“ [cloud_service_account_aws_org_assume_role_params] hinzugefügt wird. Wenn Sie die Standardrolle entfernt oder eine anwenderdefinierte IAM-Rolle erstellt haben, müssen Sie sie für jedes vertrauenswürdige Mitgliedskonto manuell der Tabelle „Cloud-Serviceaccount AWS-Org. – Parameter für Rollenübernahme“ [cloud_service_account_aws_org_assume_role_params] hinzufügen. Navigieren Sie dazu zu Alle > Cloud Provisioning and Governance > Zugriffsparameter der Organisation > AWS-Org. – Parameter für Rollenübernahme, und führen Sie die vorherigen Schritte aus.

    Nächste Maßnahme

    Stellen Sie sicher, dass ServiceNow-Anwendungen mithilfe der IAM-Rolle auf das vertrauende Servicekonto zugreifen können:
    1. Navigieren zu Cloud Provisioning and Governance > Servicekonten.
    2. Wählen Sie das vertrauende Konto aus, das Sie konfiguriert haben.
    3. Klicken Sie unter Zugehörige Links auf Rechenzentren erkennen.
    4. Navigieren zu Discovery > Cloud-Discovery-Dashboard, und klicken Sie dann auf die Registerkarte AWS.
    5. Prüfen Sie, ob das Dashboard erkannte Ressourcen für das Konto zeigt, das Sie den neu erstellten AWS-Anmeldeinformationen zugeordnet haben.