스크립트 실행을 위한 필요 조건

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2026년 01월 10일
  • 읽기6분

    • 스크립트를 실행하기 전에 필수 구성요소를 AWS 완료합니다.

    중요사항:
    에서 AWS용 서비스 그래프 커넥터사용할 수 있는 스크립트를 다운로드했는지 확인하십시오. AWS 스크립트 다운로드 문서를 참조하십시오.
    스크립트를 실행하는 동안 나중에 사용할 다음 세부 사항을 AWS 결정합니다.

    IAM 역할 결정 ServiceNow

    구성원 계정에서 읽기 전용 작업을 수행하여 환경에서 CI( AWS 구성 항목)를 가져오는 IAM(ID 및 액세스 관리) 역할을 결정합니다.

    기본적으로 CreateSnowOrganizationAccountAccessRoleInMemberAccount.yml 스크립트는 SnowOrganizationAccountAccessRole IAM 역할을 생성합니다. 스크립트에서 생성한 기본 이름을 사용하거나 새 IAM 역할을 생성할 수 있습니다. 그러나 입력 파라미터로 필요한 경우 스크립트 간에 동일한 IAM 역할을 입력해야 합니다. 설정에 필요한 스크립트 실행 AWS 문서를 참조하십시오.

    IAM 사용자 이름 확인 ServiceNow

    구성원 계정에서 IAM 역할을 수임 ServiceNow 하는 IAM 사용자의 이름을 결정합니다.

    기본적으로 CreateServiceNowUser.yml 스크립트는 NOWSGCUser IAM 사용자를 생성합니다. 스크립트에서 생성한 기본 이름을 사용하거나 새 IAM 사용자를 생성할 수 있습니다. 그러나 입력 파라미터로 필요한 경우 스크립트 간에 동일한 IAM 사용자 이름을 입력해야 합니다. 설정에 필요한 스크립트 실행 AWS 문서를 참조하십시오.

    심층 검색을 위한 S3 버킷 정의

    IAM 역할에 대한 ServiceNow 읽기 및 삭제 권한이 있는 S3 버킷을 설정하여 데이터를 가져올 AWSSendCommand API 응답을 저장하고 삭제합니다.

    시작하기 전에

    필요한 역할: 애플리케이션 관리자

    이 태스크 정보

    애플리케이션에 대한 AWS용 서비스 그래프 커넥터 S3 버킷을 생성하고 ServiceNow IAM 역할 이 조직의 이 버킷에 액세스할 수 있도록 합니다.
    주:
    EC2 인스턴스에서 심층 검색을 수행하려는 경우에만 S3 버킷을 사용합니다.

    프로시저

    1. 계정 리전에 S3 버킷을 AWS 생성합니다.
      설명서 사이트에서 Creating a bucket AWS참조하십시오.
      주:
      S3 버킷에는 다음과 같은 권한 설정이 있어야 합니다.
      표 1. S3 버킷 권한 및 해당 설정
      권한 설정
      접근 공용이 아닌 버킷 및 객체
      S3 퍼블릭 액세스 차단 S3 버킷 및 객체에 대한 퍼블릭 액세스 차단

      자세한 내용은 설명서 사이트에서 S3 퍼블릭 액세스 차단 AWS참조하세요.

    2. 버킷 정책을 추가합니다.

      설명서 사이트에서 버킷 정책을 AWS참조하세요.

      1단계에서 생성한 S3 버킷에 액세스하려면 해당 버킷 정책에서 관리형 EC2 인스턴스에 연결된 IAM 인스턴스 프로파일 역할을 허용해야 합니다. 버킷 정책을 생성하거나 버킷 ACL(액세스 제어 목록)에서 AWS 멤버 계정에 대한 액세스 권한을 부여할 수 있습니다. 구성원 계정에는 EC2 인스턴스가 포함되어야 합니다.
      주:
      버킷 ACL에 AWS 멤버 계정을 추가하면 멤버 계정의 모든 사용자와 역할이 S3 버킷에 액세스할 수 있습니다.
      버킷 정책을 추가할 때 다음 샘플 코드를 참조하십시오.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AWS-ACCOUNT:role/INSTANCE-PROFILE-ROLE-NAME"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      위치
      • SOURCE-AWS-ACCOUNT 는 EC2 인스턴스를 포함하는 멤버 계정의 AWS 계정 ID입니다.
      • INSTANCE-PROFILE-ROLE-NAME 은 EC2 인스턴스에 연결된 IAM 인스턴스 프로파일입니다.

        기본적으로 AmazonSSMForInstancesRoleSetup.yml 스크립트는 AmazonSSMForInstancesRole IAM 인스턴스 프로파일 역할을 생성하고 이 역할을 AmazonSSMManagedInstanceCore 버킷 정책에 연결합니다. 설정에 필요한 스크립트 실행 AWS 문서를 참조하십시오.

      • DOC-EXAMPLE-BUCKET 은 S3 버킷 이름입니다.
      다음 예제 버킷 정책은 effect, principal, action 및 resource 요소를 보여줍니다. 이 정책은 myS3Bucket 버킷에 대한 ID 123456789000, s3:GetObject, s3:PutObjects3:PutObjectAcl S3 권한이 있는 계정의 IAM 인스턴스 프로파일 역할인 AmazonSSMRoleForInstances를 허용합니다.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789000:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789001:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789002:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789003:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789004:role/AmazonSSMRoleForInstances"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::myS3Bucket/*"
        }
    ]
}
    3. EC2 인스턴스의 인스턴스 프로파일 역할에 IAM 권한을 연결하여 1단계에서 생성한 S3 버킷에 SendCommand API 응답을 게시합니다.
      설명서 사이트의 Using instance profilesAttach an IAM role to an instanceAWS 참조하십시오.
      다음 샘플 정책과 같이 관리형 EC2 인스턴스에 연결된 IAM 인스턴스 프로파일 역할에는 S3 버킷에 대한 액세스를 허용하기 위해 s3:GetObject, s3:PutObjects3:PutObjectAcl S3 권한이 있어야 합니다.
      {
    "Version": "2012-10-17",
    "Statement": [
        {
        "Sid": "PublishTerminalOutputToS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      여기서 DOC-EXAMPLE-BUCKET 은 S3 버킷 이름입니다.
      주:
      버킷 이름 끝에 접미사 /* 를 추가하여 버킷 이름 아래에 파일을 만들 수 있도록 해야 합니다.