AWS 証明書マネージャーの検出
クラウドディスカバリーは、パターンを使用して、Amazon AWS クラウド 証明書マネージャー (ACM) が管理する証明書データを検出します。このデータを検出するには、ディスカバリーとサービスマッピングパターンおよび証明書インベントリと管理をインストールして更新する必要があります。
ストアでアプリを要求する
ServiceNow Store Web サイトにアクセスして利用可能なすべてのアプリを表示し、ストアにリクエストを送信する方法について確認してください。リリースされたすべてのアプリのリリースノート情報については、「ServiceNow Storeバージョン履歴のリリースノート」を参照してください。
前提条件
- AWS アカウントの構成を確認する
- 詳細については、「クラウドディスカバリーの詳細」を参照してください。
- プラグインのインストールを確認する
- 証明書インベントリと管理 (sn_disco_certmgmt) 3.4.0 以降
- クラウドディスカバリー に AWS を検出する権限があることを確認する
- AWS CLI で次のコマンドを実行して、アクティブな IAM ロールに関連付けられている権限とポリシーを確認します。
- 証明書をリスト
AWS_PAGER='' aws acm list-certificates --region <region> - 証明書を説明
AWS_PAGER='' awsacm describe-certificate --certificate-arnarn:aws:acm:<region>:<accout_id>:certificate/<certificate_id> - 証明書を取得
AWS_PAGER='' awsacm get-certificate --certificate-arnarn:aws:acm:<region>:<account_id>:certificate/<certificate_id> - タグを取得
AWS_PAGER='' awsresourcegroupstaggingapi get-resources --tags-per-page 100 --resource-type-filters 'acm:certificate'
- 証明書をリスト
- システムプロパティの構成を設定する
- システムプロパティ sn_itom_pattern.issuer_certificate_search_by_idn が false に設定されている場合、ディスカバリーは、証明書フィンガープリントを使用して、発行者とルート発行者を検索します。
- MID サーバー要件を確認する
- MID サーバーには、ALL 機能または AWS 機能のいずれかが必要です。
- クラウドディスカバリースケジュールの構成を確認する
- 詳細については、「クラウドディスカバリーワークスペース でのディスカバリースケジュールの作成」を参照してください。
REST API 権限を確認する
をダウンロードする クラウドディスカバリー パターンスプレッドシート そのため、 ディスカバリー パターンの実行に必要なユーザー権限を付与できます。スプレッドシートには、権限に加えて、パターン名、タイプ、CI クラス、ベンダードキュメントへのリンクなどの有用な情報も含まれています。新しいパターンは四半期ごとに提供されるため、定期的にチェックして、スプレッドシートが最新バージョンであることを確認してください。
水平ディスカバリー中にディスカバリーによって収集されるデータ
| フィールド | 説明 |
|---|---|
| 一意の証明書 [cmdb_ci_certificate] | |
| Name (名前) |
証明書に関連付けられているホスト名/ドメイン。 例:*.service-now.com |
| 指紋 |
証明書のハッシュ値。 例:d708c8583c78c176d5df1a4f01aac746294 e390a03038f280b0d8f5efbc8a0f |
| 指紋アルゴリズム |
証明書のハッシュ値計算に使用するアルゴリズム。例えば、ディスカバリー は SHA-256 アルゴリズムによって指紋を計算するので、入力される値は SHA-256 です。 |
| シリアル番号 | 証明書のシリアル番号。例:70 d8 c9 52 77 1c 2d 54 97 00 0e 21 05 84 dd 76 b5 e8 c1 73 |
| サブジェクトの共通名 |
証明書に関連付けられているホスト名/ドメイン。例:*.service-now.com |
| サブジェクトの識別名 |
証明書の発行先となるエンティティの識別名。 サブジェクトの識別名は、次で構成されます。
|
| 発行者の共通名 |
証明書発行者の共通名。例えば、Entrust Certification Authority。 |
| 発行者の識別名 |
証明書発行者の識別名。 発行者の識別名は、次で構成されます。
|
| 更新追跡 |
期限切れ間近の証明書に対して優先度 1 または優先度 3 のタスクを作成するかどうかを示します。 ディスカバリー は、システムプロパティ glide.discovery.certs.enable_renewal_task_creation_for_discovered_certificates が true に設定されている場合、[更新追跡 (Renewal tracking)] を priority3 に設定します。 |
| 有効期限開始 | 証明書はこの日付 (UTC) から有効です。例えば、2023-09-25 10:43:03 |
| 有効期限 |
証明書の有効期限 (UTC)。例えば、2024-09-24 10:43:03 |
| サブジェクトの組織 |
証明書の発行先となる組織 (O)。 |
| サブジェクトの組織単位 | 証明書の発行先となる組織単位 (OU)。 |
| サブジェクトの国 | 証明書の発行先となる組織の国 (C)。2 文字の国コードで入力されます。 |
| サブジェクトの都道府県 | 証明書の発行先となる組織の地域、都道府県 (ST)、または州。2 文字のコードで入力されます。 |
| サブジェクトの地域 | 証明書の発行先となる組織の市または地域 (L)。 |
| サブジェクトのメール | 証明書の発行先となる組織のメールアドレス。 |
| 発行者 | 証明書を署名して発行したエンティティへの参照。発行された証明書が同じペイロードの一部である場合、参照を使用できます。 |
| ルート発行者 | ルート証明書への参照。発行された証明書が同じペイロードの一部である場合、参照を使用できます。 |
| サブジェクトの代替名 | 証明書ドメインレコードの名前。 |
CI 関係
[Amazon AWS - 証明書マネージャー (Amazon AWS - Certificate Manager)] パターンと [Amazon AWS - 証明書タグの収集 (Amazon AWS - Collect Certificates Tags)] 共有ライブラリは、次の関係の検出をサポートしています。
| CI | 関係 | CI |
|---|---|---|
| 一意の証明書 [cmdb_ci_certificate] | Hosts::Hosted on | AWS データセンター [cmdb_ci_aws_datacenter] |
| 一意の証明書 [cmdb_ci_certificate] | Hosts::Hosted on | クラウドサービスアカウント [cmdb_ci_cloud_service_account] |
| キー値 [cmdb_key_value] | 参照 | 一意の証明書 [cmdb_ci_certificate] |