AWS 向けに クラウドアクションライブラリ をセットアップ

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:6分

    • クラウドアクションライブラリAmazon Web サービス (AWS) クラウドアカウントへのアクセスを設定し、アプリケーションとクラウドの間のインタラクションを有効にします。

    始める前に

    必要なロール:admin

    このタスクについて

    AWS アカウントのアクセスを構成する際に、次のような用語を使用します。
    トラスティングアカウント
    トラスティングアカウントには、永続的な AWS 認証情報がありません。これらのアカウントの IAM ロールが他のアカウントに依存してアクセスするための信頼関係を構成します。
    トラステッドアカウント
    トラステッドアカウントは、トラスティングアカウントによってアクセスに使用されます。ServiceNow UI では、トラステッドアカウントが「アクセサーアカウント」という名称になっています。
    AWS アカウントへのアクセス権を設定するには、次のいずれかの方法を使用します。
    • スタンドアロン AWS アカウント (ディスクリートアカウント) に接続するように Now Platform の永続的な認証情報を構成します。クラウドサービスアカウント [cmdb_ci_cloud_service-account] テーブルには、管理アカウントまたはメンバーアカウント、アクセス認証情報などのサービスアカウントのタイプに関する情報が含まれています。
    • 管理アカウントに依存してアクセスするように、メンバーアカウントを構成します。この場合、管理アカウントの永続的な認証情報を Now Platformに設定します。
    • トラステッドアカウントに依存してアクセスするように、アカウントを構成します (同じ AWS 組織内または異なる AWS 組織間のラテラルアクセス)。この場合は、トラステッドアカウントの永続的な認証情報を Now Platform に構成します。
    注:
    クラウドアクションライブラリ は、トラスティングアカウントへのアクセスに MID サーバーベースの想定ロールのセットアップを使用しません。

    手順

    1. AWS サービスアカウントの認証情報を作成します。
      1. 次のように移動する。 接続と認証情報 > 認証情報.
      2. [新規] を選択し、[AWS 認証情報] を選択します。
      3. フォームのフィールドに入力します。
        表 : 1. AWS 認証情報フォーム
        フィールド 説明
        名前 AWS 認証情報の分かりやすい一意の名前。
        アクティブ 認証情報を使用するオプション。
        アクセスキー ID AWS マネジメントコンソールで生成されたアクセスキー ID を入力します。
        秘密アクセスキー AWS マネジメントコンソールで生成された秘密アクセスキーを入力します。
      4. [保存] を選択します。
    2. sn_itom_cal.Aws_Creds_Alias 認証情報エイリアスを選択するか、新しい認証情報エイリアスを作成します。
      1. 認証情報エイリアスのロックを解除します。
      2. 認証情報エイリアスを検索します。
      3. [新規] を選択します。
      4. フォームのフィールドに入力します。
        表 : 2. [接続および資格情報エイリアス] フォーム
        フィールド 説明
        名前 エイリアスの一意の名前。
        タイプ 認証情報エイリアスタイプ。

        [タイプ] ドロップダウンリストから [認証情報] を選択します。
      5. [送信] を選択します。
    3. [認証アルゴリズム] フィールドを [AWS Authenticator] に設定します。
    4. [送信] を選択します。
    5. AWS サービスアカウントを設定します。
      1. 次のように移動する。 Cloud Provisioning and Governance > サービスアカウント.
      2. [New (新規)] を選択します。
      3. フォームのフィールドに入力します。
        表 : 3. クラウドサービスアカウントフォーム
        フィールド 説明
        名前 サービスアカウントの一意の名前。
        アカウント ID 12 桁のユーザーアカウント番号。番号を表示するには、AWS マネジメントコンソールのアカウント名の下のリストを展開します。
        重要:
        [アカウント ID] フィールドで、数字からハイフン (-) を削除します。
        ディスカバリー認証情報 ServiceNow アプリケーションがクラウドアカウントにアクセスするために必要な認証情報。ディスカバリー認証情報は、後で AWS アカウントへのアクセスを構成するときに構成できます。
        • 独立したサービスアカウントまたは管理アカウントを設定する場合は、その AWS 認証情報を選択します。
        • 他の AWS アカウントを使用してこのアカウントにアクセスする場合は、フィールドを空白のままにします。

          たとえば、Identity and Access Management (IAM) ロールがあるアカウント、またはアクセスに管理アカウントを使用するメンバーアカウントの AWS 認証情報は指定する必要はありません。
        データセンター URL データセンターの URL。

        このフィールドは空のままにします。
        データセンタータイプ アカウントがホストされているデータセンターのタイプ。

        [AWS データセンター] を選択します。
        データセンターディスカバリーステータス 自動生成された値:データセンターで前回実行した ディスカバリーのステータスとタイムスタンプ
        親アカウント このメンバーアカウントが属する AWS の組織を表す管理アカウントの名前を選択します。

        このフィールドは、[AWS データセンター] を選択すると表示されます。アカウントがどの AWS 組織にも属していない場合は、このフィールドを空白のままにします。
        マスターアカウントである 管理アカウントのフラグ

        このチェックボックスは、[データセンタータイプ] ドロップダウンから [AWS データセンター] を選択すると表示されます。チェックボックスをオンにして AWS サービスアカウントをマスターアカウントに関連付けます。このチェックボックスをオンにするアカウントは、以前に管理アカウントとして構成し、何名かのメンバーアカウントがそこに属している場合に限られます。AWS組織の詳細については、次を参照してください。 AWS ドキュメント.
        アクセサーアカウント トラステッドアカウントの名前。

        このフィールドは、永続的な AWS 認証情報を使用せず、アクセスを IAM ロールに依存するアカウントに対してのみ構成します。
      4. [送信] を選択します。
    6. オプション: 管理アカウントを使用して AWS 組織のメンバーアカウントをスキャンするには、メンバーアカウントの想定ロール構成を作成します。
      1. オプション: OrganizationAccountAccessRole を使用してメンバーアカウントにアクセスしない場合は、クラウドアクションライブラリ のトラスティングアカウントを構成します。
        詳細については、「クラウドコンフィグレーションガバナンス と クラウドアクションライブラリ にトラスティングアカウントを構成する」を参照してください。
      2. オプション: メンバーアカウントごとに手順 6.a を繰り返します。この手順では、OrganizationAccountAccessRole を使用せずに、管理アカウントでスキャンする必要があります。
      3. オプション: OrganizationAccountAccessRole を使用してメンバーアカウントにアクセスする場合は、管理アカウントの想定ロール構成を作成します。
        詳細については、「想定ロール構成の作成」を参照してください。
    7. オプション: トラステッドアカウントを使用してトラスティングアカウントをスキャンするには、クラウドアクションライブラリ にトラスティングアカウントを構成します。
      トラステッドアカウントとトラスティングアカウントは、異なる AWS 組織にあることも、同じ AWS 組織にあることもあります。
      1. クラウドコンフィグレーションガバナンス にトラスティングアカウントを構成します。
        詳細については、「クラウドコンフィグレーションガバナンス と クラウドアクションライブラリ にトラスティングアカウントを構成する」を参照してください。
      2. トラスティングアカウントごとに手順 7.a を繰り返します。この手順は、トラステッドアカウントでスキャンする必要があります。