トラスティング AWS メンバーアカウントの一時認証情報を使用したアクセス構成

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:3分

    • IAM ロールを使用して管理アカウントをトラステッドアカウントとして使用し、AWS メンバーアカウントへのアクセスを設定します。

    始める前に

    必要なロール:admin
    • IAM ユーザーに権限を委任するロールの作成に関する Amazon ドキュメントで、しっかりと理解してください。
    • 同じ管理アカウントに割り当てられている AWS メンバーアカウントを確認します。IAM ロールを使用してクラウドディスカバリーの一時的な認証情報を構成するには、管理アカウントを使用します。
    • AWS 管理アカウントとメンバーのアカウントが AWS サービスアカウントの設定 でカバーされるように設定します。
    必要なロール:admin、discovery_admin または sn_cmp.cloud_admin (クラウドプロビジョニングとガバナンス の場合)

    このタスクについて

    メンバーが管理アカウントに依存しているメンバーアカウントへのアクセスを構成できます。管理アカウント自体が永続的な認証情報を使用するか一時的な認証情報を使用するかは関係ありません。

    図 : 1. アクセスに管理アカウントを使用するメンバーアカウントの設定

    トラスティングメンバーアカウントの IAM ロールを設定して管理アカウントを信頼させる

    手順

    1. メンバーアカウントの IAM ロールを作成し、このロールを担うユーザーとトラステッド (アクセサー) アカウントの間に信頼関係を設定します。
      1. アクセスを構成するメンバーアカウントの認証情報を使用して、AWS 管理コンソールにログインします。
      2. [アカウント ID] フィールドで、管理アカウント ID を指定する IAM ロールを作成して構成します。
        AWS ロールの作成に関する運用情報については、Amazon のドキュメントを参照してください。
      3. IAM ロールの [サマリー] ページで、[信頼関係 (Trust Relationships)] タブをクリックします。
      4. [信頼関係を編集 (Edit trust relationship)] をクリックします。
        [信頼関係の編集 (Edit Trust Relationship)] ページが開き、ポリシードキュメントが表示されます。
      5. 信頼関係を次のように編集します。
        • Action パラメーターを sts:AssumeRole に設定します。
        • AWS パラメーターを管理アカウントのフルロール ARN に設定します。

        トラスティングアカウントの信頼関係を編集しています。
      6. [信頼ポリシーの更新] をクリックします。
    2. Now Platform でトラスティングアカウントのトラステッドサービスアカウントを構成します。
      1. 移動先 Cloud Provisioning and Governance > サービスアカウント.
      2. メンバーアカウントを開きます。
      3. クラウドサービスアカウントのフォームで、[親アカウント] フィールドに管理アカウントの名前を入力します。
      4. [更新] をクリックします。
    3. メンバーアカウント用に作成された IAM ロールを、Now Platform でメンバーアカウントに割り当てます。
      重要:
      この手順は、カスタム IAM ロールを作成した場合にのみ実行します。デフォルトの OrganizationAccountAccessRole ロールをサービスアカウントに割り当てる必要はありません。
      1. 移動先 Cloud Provisioning and Governance > 組織アクセスパラメーター > AWS クロス想定ロールパラメーター.
      2. [新規] をクリックします。
      3. [クラウドサービスアカウント AWS クロス想定ロールパラメーター] フォームで、次のフィールドのみを設定します。
        フィールド 定義
        アクセスロール名 信頼するアカウント用に作成された IAM ロールの名前。
        クラウドサービスアカウント IAM ロールを使用してアクセスを提供している信頼するアカウントの名前。
      4. [送信] をクリックします。

    次のタスク

    ServiceNow アプリケーションが IAM ロールを使用してトラスティングサービスアカウントにアクセスできることを確認します。
    1. 移動先 Cloud Provisioning and Governance > サービスアカウントをクリックし、「AWS サービスアカウントの設定」の説明に従って、前に作成したAWSアカウントを選択します。
    2. IAM ロールを構成したトラスティングアカウントを選択します。
    3. [関連リンク][データセンターを検出] をクリックします。
    4. 移動先 ディスカバリー > クラウドディスカバリーダッシュボードをクリックし、[ AWS ] タブをクリックします。
    5. 新しく作成した AWS 認証情報に関連付けたアカウントの検出されたリソースがダッシュボードに表示されていることを確認します。