Pré-requisitos para executar scripts

  • Versão de lançamento: Washingtondc
  • Atualizado 10 de jan. de 2026
  • 4 min. de leitura

    • Conclua os pré-requisitos antes de executar os scripts AWS.

    Importante:
    Certifique-se de ter baixado os scripts disponíveis no Conector do Service Graph para AWS. Consulte Baixar os scripts AWS.
    Decida os seguintes detalhes a serem usados posteriormente durante a execução dos scripts AWS :

    Determinar a ServiceNow função de IAM

    Determine a função de gestão de identidade e acesso (IAM) que executa operações somente leitura em contas de membro para buscar os itens de configuração (ICs) do ambiente AWS.

    Por padrão, o script CreateSnowOrganizationAccountAccessRoleInMemberAccount.yml cria a função do IAM SnowOrganizationAccountAccessRole. Você pode usar o nome padrão criado pelo script ou criar uma nova função de IAM. No entanto, quando necessário como um parâmetro de entrada, você deve inserir a mesma função de IAM em todos os scripts. Consulte Scripts de execução necessários para configurar o AWS.

    Determine o ServiceNow nome de usuário do IAM

    Determine o nome do usuário do IAM que assume a função ServiceNow do IAM nas contas dos membros.

    Por padrão, o script CreateServiceNowUser.yml cria o usuário de IAM NOWSGCUser. Você pode usar o nome padrão criado pelo script ou criar um novo usuário IAM. No entanto, quando necessário como um parâmetro de entrada, você deve inserir o mesmo nome de usuário do IAM em todos os scripts. Consulte Scripts de execução necessários para configurar o AWS.

    Como definir o bucket do S3 para descoberta profunda

    Configure um bucket S3 com privilégios de leitura e exclusão para a função do IAM ServiceNow para armazenar e excluir as respostas da API SendCommand ao importar dados AWS.

    Antes de Iniciar

    Função necessária: administrador de aplicações

    Por Que e Quando Desempenhar Esta Tarefa

    Crie um bucket S3 para a aplicação Conector do Service Graph para AWS e habilite a ServiceNow função de IAM para ter acesso a esse bucket na organização.
    Nota:
    Use um bucket do S3 somente quando quiser executar uma descoberta profunda em instâncias do EC2.

    Procedimento

    1. Crie um bucket S3 em uma região de conta AWS.
      Consulte Como criar um bucket no site de documentação AWS.
      Nota:
      O bucket do S3 deve ter as seguintes configurações de permissão.
      Tabela 1. Permissões de bucket do S3 e suas configurações
      Permissão Configuração
      Access Bucket e objetos não públicos
      Bloquear acesso público do S3 Bloquear o acesso público a buckets e objetos do S3

      Para obter mais informações, consulte S3 Block Public Access no site de documentação do AWS.

    2. Adicione uma política de bucket.

      Consulte Políticas de bucket no AWS site de documentação.

      Para acessar o bucket do S3 criado na etapa 1, sua política de bucket deve permitir a função de perfil de instância do IAM anexada às instâncias gerenciadas do EC2. Você pode criar uma política de bucket ou conceder acesso à sua AWS conta de membro na lista de controle de acesso (ACL) do bucket. A conta do membro deve incluir as instâncias do EC2.
      Nota:
      Adicionar uma AWS conta de membro à ACL do bucket permite que todos os usuários e funções na conta do membro acessem o bucket do S3.
      Consulte o código de amostra a seguir ao adicionar uma política de bucket.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AWS-ACCOUNT:role/INSTANCE-PROFILE-ROLE-NAME"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      Onde
      • SOURCE-AWS-ACCOUNT é o ID da AWS conta do membro que inclui as instâncias do EC2.
      • INSTANCE-PROFILE-ROLE-NAME é o perfil de instância do IAM anexado às instâncias do EC2.

        Por padrão, o script AmazonSSMForInstancesRoleSetup.yml cria a função de perfil de instância do IAM AmazonSSMForInstancesRole e anexa a função à política de bucket AmazonSSMManagedInstanceCore. Consulte Scripts de execução necessários para configurar o AWS.

      • DOC-EXAMPLE-BUCKET é o nome do bucket do S3.
      O exemplo de política de bucket a seguir mostra os elementos efeito, princípio, ação e recurso. A política permite AmazonSSMRoleForInstances, uma função de perfil de instância do IAM em uma conta com o ID 123456789000, permissões s3:GetObject, s3:PutObjecte s3:PutObjectAcl S3 no bucket myS3Bucket.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789000:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789001:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789002:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789003:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789004:role/AmazonSSMRoleForInstances"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::myS3Bucket/*"
        }
    ]
}
    3. Anexe permissões do IAM à função de perfil da instância para que as instâncias do EC2 publiquem as respostas da API SendCommand no bucket do S3 criado na etapa 1.
      Consulte Como usar perfis de instância e Anexar uma função de IAM a uma instância no site de documentação AWS.
      A função de perfil de instância do IAM anexada às instâncias do EC2 gerenciadas deve ter as permissões s3:GetObject, s3:PutObjecte s3:PutObjectAcl S3 para permitir o acesso ao bucket do S3, conforme mostrado na política de exemplo a seguir.
      {
    "Version": "2012-10-17",
    "Statement": [
        {
        "Sid": "PublishTerminalOutputToS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      Em que, DOC-EXAMPLE-BUCKET é o nome do bucket do S3.
      Nota:
      Certifique-se de adicionar o sufixo /* no final do nome do bucket para permitir a criação de arquivos com o nome do bucket.