AWS 認証情報を持たないトラステッド AWS アカウントに基づく一時的な認証情報を使用したアクセス構成

  • リリースバージョン: Zurich
  • 更新日 2025年09月03日
  • 所要時間:6分

    • 他の AWS アカウントがアクセスのために依存できるような、認証情報を持たないトラステッドアカウントを設定します。

    始める前に

    • IAM ユーザーに権限を委任するロールの作成に関する Amazon ドキュメントで、しっかりと理解してください。
    • トラステッドアカウントにする AWS アカウントを決定します。トラステッドアカウントを使用して、IAM ロールを使用する クラウドディスカバリー の一時的な認証情報を設定します。IAM ロールを使用して他のアカウントにアクセスできるような信頼できるアカウントを、アクセサーアカウントといいます。
    • メンバーアカウントが管理アカウントを信頼し、その管理アカウントがアクセサーアカウントを信頼するトラストチェーンを設定する場合は、管理アカウントを信頼するようにメンバーアカウントを設定済みであることを確認してください。詳細については、「トラスティング AWS メンバーアカウントの一時認証情報を使用したアクセス構成」を参照してください。
    • ディスカバリーアドミンワークスペース がバージョン 1.10.0 以降を使用していることを確認します。ザ ディスカバリー > クラウドサービスアカウント ナビゲーションモジュールは以前のバージョンでは使用できません。以前のバージョンの クラウドサービスアカウント にアクセスするには、ナビゲーションフィルターに 「cmdb_ci_cloud_service_account.list」と入力します。
    必要なロール:
    • クラウドディスカバリーの場合:discovery_admin
    • クラウドプロビジョニングとガバナンス の場合:admin または sn_cmp.cloud_admin

    このタスクについて

    AWS認証情報なしでアカウントを使用するには、まず、そのアカウントに IAM ロールと、信頼するサービスアカウントにアクセスするためのアクセス許可を設定する必要があります。次に、トラスティングアカウントの IAM ロールを設定して、トラステッドアカウントの IAM ロールへのアクセスを許可します。

    図 : 1. 任意の AWS アカウントを AWS 認証情報のないトラステッドアカウントに依存させる設定

    アクセスのためトラステッド AWS アカウントの IAM ロールを信頼するようにトラスティング AWS アカウントの IAM ロールを設定

    手順

    1. トラスティングアカウントの IAM ロールを構成します。
      1. AWS 管理コンソールで、トラスティングアカウントにログインします。
      2. このアカウントの IAM ロールを作成します。
        この IAM ロールを作成する際には、トラステッドアカウントのアカウント ID を使用します。AWS ロールの作成に関する運用情報については、Amazon のドキュメントを参照してください。
      3. ReadOnlyAccess ポリシーを作成し、新しく作成した IAM ロールにアタッチします。
    2. トラステッドアカウントの IAM ロールを構成します。
      1. トラステッドアカウントとして設定するアカウントの認証情報を使用して、AWS の管理コンソールにログインします。
      2. AWS サービスオプションを選択して IAM ロールを作成します。

        トラステッドアカウントの IAM ロールを作成するための AWS サービスオプションを選択します
      3. トラステッドアカウントの IAM ロールに ReadOnlyAccess ポリシーを作成します。
      4. 追加のポリシーを作成し、この IAM ロールに対して、トラスティングアカウントのリソースへのアクセスを許可します。
        • Action パラメーターを sts:AssumeRole に設定します。
        • Resource パラメーターを、「1.b」で作成したトラスティングアカウントロールの ARN に設定します。

        トラステッドアカウントのロールとトラスティングアカウントのロールの間でポリシーを設定します。

      5. 新しく作成されたロールを関連する Amazon EC2 インスタンスにアタッチします。
        デフォルトでは、IAM ロールを EC2 インスタンスにアタッチすると、このロールと EC2 インスタンスの間に信頼関係が作成されます。
        IAM ロールと EC2 インスタンスの間の信頼関係を確認します。
    3. トラステッドアカウントに属する IAM ロールへのアクセス権を付与するように、トラスティングサービスアカウントを構成します。
      1. AWS 管理コンソールで、トラスティングアカウントにログインします。
      2. 1.b」の説明に従って、このアカウントに対して作成した IAM ロールに移動します。
      3. この IAM ロールの信頼関係を次のように編集します。
        • Action パラメーターを sts:AssumeRole に設定します。
        • AWS パラメーターを、2.b で作成したトラステッドアカウントロールの ARN に設定します。
        トラスティングアカウントの信頼関係を構成します
    4. AWS IAM ロール用の MID サーバー 構成
    5. ServiceNow AI Platformで、トラステッドサービスアカウントを構成します。
      1. 移動先 すべて > ディスカバリー > クラウドサービスアカウント.
      2. Selelct New
      3. フォームで、フィールドに入力します。
        フィールド値の説明については、「AWSサービスアカウントの作成」を参照してください。
      4. [Submit (送信)] を選択します。
    6. ServiceNow AI Platformで、トラスティングサービスアカウントを構成します。
      1. 移動先 すべて > ディスカバリー > クラウドサービスアカウント.
      2. [New (新規)] を選択します。
      3. [アクセサーアカウント] フィールドに、トラステッドアカウントの名前を入力します。
      4. フォームの残りのフィールドに入力します。
        フィールド値の説明については、「AWSサービスアカウントの作成」を参照して ください。
      5. [Submit (送信)] を選択します。
    7. ServiceNow AI Platformで、トラステッドアカウントとの関係に基づいて、関連するフォームを使用して、AWS IAM ロールをトラスティングアカウントにアサインします。
      トラステッドアカウントタイプステップ
      管理アカウント
      1. 移動先 すべて > クラウドプロビジョニングとガバナンス > 組織アクセスパラメーター > AWS 組織想定ロールパラメーター.
      2. [New (新規)] を選択します。
      3. フォームで、トラスティングメンバーアカウントの次のフィールドのみを設定します。
        表 : 1. クラウドサービスアカウント AWS 組織想定ロールパラメーターフォーム
        フィールド 定義
        アクセスロール名 信頼するアカウント用に作成された IAM ロールの名前。
        • IAM ロールがすべてのメンバーアカウントで同じ場合:アカウント ID のワイルドカードとしてアスタリスク (*) を使用して、完全な ARN を arn:aws:iam::*:role/MemberRoleName の形式で入力します。

          例: arn:aws:iam::*:role/SN_MEMBER_ACCOUNT_ROLE

        • IAM ロールがメンバーアカウント間で異なる場合: 各メンバーアカウントの特定の IAM ロールの完全な ARN を個別のエントリに入力します。
        クラウドサービスアカウント IAM ロールを使用してアクセスを提供している信頼するアカウントの名前。
        • IAM ロールがすべてのメンバーアカウントで同じ場合: 管理アカウント名を入力します。
        • IAM ロールがメンバーアカウント間で異なる場合:各メンバーアカウントを個別のエントリに入力します。
      4. [Submit (送信)] を選択します。
      メンバーまたは個別アカウント
      1. 移動先 すべて > クラウドプロビジョニングとガバナンス > 組織アクセスパラメーター > AWS クロス想定ロールパラメーター.
      2. [New (新規)] を選択します。
      3. フォームで、トラスティングアカウントに対して次のフィールドのみを設定します。
        表 : 2. クラウドサービスアカウント AWS クロス想定ロールパラメーターフォーム
        フィールド 説明
        アクセスロール名 信頼するアカウント用に作成された IAM ロールの名前。
        クラウドサービスアカウント IAM ロールを使用してアクセスを提供している信頼するアカウントの名前。
      4. [Submit (送信)] を選択します。

    次のタスク

    ServiceNow アプリケーションが IAM ロールを使用してトラスティングサービスアカウントにアクセスできることを確認します。
    1. 移動先 すべて > ディスカバリー > クラウドサービスアカウント.
    2. トラスティング AWS サービスアカウントを選択します。
    3. [関連リンク] の下の [ディスカバリースケジュールを作成] を選択します。
    4. [ディスカバリーマネージャーのクラウドディスカバリー] ページで、[ テストアカウント] を選択します。
      • 接続に成功すると、アカウントの検証が成功したことを示すメッセージが表示されます。
      • 接続に失敗した場合は、失敗の原因を示すエラーメッセージが表示されます。