Configuração de acesso para AWS contas de serviço

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 5 min. de leitura

    • Descoberta na nuvem e Cloud Provisioning and Governance precisam de acesso a recursos nas contas de serviço Amazon Web Services (AWS). Saiba mais sobre os diferentes métodos de configuração desse acesso.

    Descoberta na nuvem e Cloud Provisioning and Governance acessam recursos em AWS contas de serviço por meio de MID Servers. Você deve autorizar o tráfego de entrada para instâncias do Amazon EC2 do MID Server para configurar a comunicação inicial. Para obter mais informações, consulte Configuração de regras de entrada do grupo de segurança usando o Console de gestão da AWS.

    Tipos de AWS credenciais

    Há credenciais AWS permanentes e temporárias que você pode usar para configurar o acesso a contas de serviço AWS.
    Permanente
    As credenciais permanentes são as AWS credenciais reais da conta de serviço que você adiciona ao módulo [ Conexões e credenciais de Now Platform. Embora possa ser demorado gerenciar credenciais em Now Platform, você evita as configurações complexas envolvidas no uso de credenciais temporárias.
    Temporário

    As credenciais temporárias são geradas pelo AWS Security Token Service (AWS STS) para funções de IAM. Depois de configurar funções de IAM para AWS contas, o MID Server acessa AWS recursos com essas credenciais temporárias. Você pode usar a função de IAM padrão, OrganizationAccountAccessRoleou criar funções de IAM personalizadas.

    Assumir funções de IAM em um grande AWS Organization é mais conveniente e oferece mais segurança do que usar um grande número de credenciais permanentes para todas as contas da AWS. As credenciais temporárias são adquiridas em nome de uma conta de serviço somente quando não há credencial permanente especificada para essa conta de serviço na tabela Contas de serviço [cmdb_ci_cloud_service_account].

    O MID Server usa a ação AssumeRolena API do serviço de token de segurança da AWS para assumir uma função de conta de membro. Os parâmetros passados para esta API determinam quais restrições de segurança adicionais são aplicadas à função quando ela acessa os recursos da AWS.

    Por padrão, o MID Server é configurado para assumir o OrganizationAccountAccessRole, que concede credenciais temporárias a todos os membros de uma conta primária. Esta ação ocorrerá automaticamente se não houver credenciais permanentes para as contas do membro. Esta configuração não aplica qualquer segurança adicional ou restringe o acesso a recursos nas contas de membros.

    Por padrão, a instância ServiceNow armazena em cache credenciais temporárias para contas de membros por 60 minutos. Este intervalo permite que o processo de descoberta horizontal seja executado várias vezes sem gerar novas credenciais durante cada descoberta. Você pode impedir o cache de credenciais ou modificar o período de cache usando as propriedades do MID Server.

    Funções e permissões de IAM

    Para aprimorar a segurança fornecida pela função OrganizationAccountAccessRole padrão da AWS, você pode personalizar as funções da AWS que os MID Servers podem assumir para receber credenciais temporárias para contas de membros. Você pode configurar permissões adicionais para melhorar a segurança e personalizar a maneira como a função da conta do membro é assumida ao descobrir recursos de nuvem.

    Métodos de concessão de acesso

    Para fins de configuração do acesso a contas AWS, os seguintes termos são usados:
    Contas confiáveis
    As contas confiáveis não têm credenciais AWS permanentes. Você configura o relacionamento de confiança para funções de IAM nessas contas para depender de outras contas para acesso.
    Contas confiáveis
    As contas confiáveis são usadas pelas contas confiáveis para acesso. A IU ServiceNow se refere às contas confiáveis como contas de acessador.
    Normalmente, você configura o acesso às contas AWS em sua organização usando os seguintes métodos:
    • Configure o acesso às contas AWS usando credenciais AWS permanentes

      Configure as AWS credenciais reais no Now Platform para evitar a complexidade de criar e configurar funções de IAM.

    • Configure o acesso usando credenciais temporárias com base em contas [ AWS confiáveis com credenciais AWS

      Configure as contas AWS para contar com a conta confiável para acesso. Esta configuração funciona para qualquer tipo de conta: discreta (independente), de gestão ou de membro. Se você configurar a conta confiável com as credenciais AWS no Now Platform, poderá configurar uma função de IAM pertencente às contas confiáveis para confiar no usuário da conta confiável. Dessa forma, você pode usar apenas um conjunto de AWS credenciais para fornecer acesso a várias contas da AWS.

      Figura 1. Como configurar qualquer conta AWS para contar com uma conta confiável com credenciais AWS

      Configure a função de IAM da conta confiável da AWS para confiar o usuário da conta confiável da AWS para acesso
    • Configure o acesso usando credenciais temporárias com base em contas [ AWS confiáveis sem credenciais AWS

      Para usar uma conta sem AWS credenciais (conta sem credenciais), você deve primeiro configurar essa conta com uma função de IAM e permissões para acessar a conta de serviço confiável. Em seguida, você configura a função de IAM da conta confiável para conceder acesso à função de IAM da conta confiável.

      Figura 2. Como configurar qualquer conta AWS para contar com uma conta confiável sem credenciais AWS

      Configure a função de IAM da conta confiável da AWS para confiar na função IAM da conta confiável da AWS para acesso
    • Configure o acesso usando credenciais temporárias para contas de membro AWS confiáveis

      Se houver AWS organizações, você poderá configurar AWS contas de membro para contar com a conta de gestão para acesso. Nesse caso, você configura as funções de IAM das contas de membro como confiáveis para confiar na função de IAM de sua conta de gestão. Não importa se a conta de gestão depende de uma conta com ou sem AWS credenciais.

      Figura 3. Configuração de contas de membro para usar sua conta de gestão para acesso

      Configurar a função de IAM das contas de membros confiáveis para confiar em suas contas de gestão

    Como Descoberta na nuvem determina quais credenciais usar

    Descoberta na nuvem usa a seguinte lógica para determinar quais credenciais usar para descobrir recursos de nuvem da AWS em contas de membro:
    1. Se credenciais permanentes forem definidas para a conta do membro na tabela Conta de serviço em nuvem [cmdb_ci_cloud_service_account], Descoberta usará essas credenciais. A tabela Contas de serviço em nuvem [cmdb_ci_cloud_service_account] contém as informações sobre os tipos de conta de serviço, como gestão ou membro, e suas credenciais.
    2. Se não houver credenciais permanentes definidas para a conta do membro, Descoberta verificará a tabela Parâmetros de função presumida da organização da AWS da conta de serviço em nuvem [cloud_service_account_aws_org_assume_role_params] em busca de parâmetros especiais associados à conta do membro. Se houver parâmetros nessa tabela, Descoberta usará as credenciais temporárias adquiridas ao especificar uma função e seus parâmetros na ação AssumeRole da API do serviço de token de segurança da AWS.
    3. Se nenhum parâmetro especial estiver associado à conta do membro na tabela [cloud_service_account_aws_org_assume_role_params], Descoberta verificará essa tabela em busca de parâmetros associados à conta de gestão. Se houver parâmetros que definam uma função para a conta de gestão, Descoberta usará as credenciais temporárias fornecidas por essa função.
    4. Se nenhum parâmetro especial estiver presente na tabela [cloud_service_account_aws_org_assume_role_params] para contas de gerenciamento ou de membro, Descoberta usará os padrões definidos para a função OrganizationAccountAccessRole.