Configure o acesso usando credenciais temporárias com base em contas [ AWS confiáveis com credenciais AWS

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Configure a conta confiável cujos recursos precisam ser acessados para contar com a conta confiável usando a função de IAM (Identity and Access Management, gestão de identidade e acesso).

    Antes de Iniciar

    • Familiarize-se com a documentação da Amazon sobre Como criar uma função para delegar permissões a um usuário de IAM.
    • Decida qual conta do Amazon Web Services (AWS) será a conta confiável. Você usa a conta confiável para configurar as credenciais temporárias do Descoberta na nuvem usando as funções de IAM. A conta confiável que você usa para acessar outras contas usando funções de IAM é chamada de conta de acessador.
    • Configure a conta confiável conforme abordado em Configurar contas de serviço AWS.
    Função necessária:
    • Para Descoberta na nuvem: admin ou discovery_admin
    • Para Cloud Provisioning and Governance: admin ou sn_cmp.cloud_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Durante esta configuração, você cria uma função de IAM para a conta confiável e configura a conta de serviço confiável para a conta confiável em Now Platform. Por fim, você associa a função de IAM criada para a conta confiável à própria conta confiável.

    Figura 1. Como configurar qualquer conta AWS para contar com uma conta confiável com credenciais AWS

    Configure a função de IAM da conta confiável da AWS para confiar o usuário da conta confiável da AWS para acesso

    Procedimento

    1. Crie uma função de IAM para a conta confiável e configure o relacionamento de confiança entre o usuário que assume essa função e a conta confiável (que faz o acesso).
      1. Faça login na conta confiável no AWS Management Console.
      2. Crie e configure a função de IAM especificando o ID da conta confiável (que faz o acesso) no campo ID da conta.
        Para obter mais informações sobre como criar funções do AWS, consulte a Amazon documentação da .
      3. Na página Resumo da função de IAM, selecione a guia Relacionamentos de confiança.
      4. Selecione Editar relacionamento de confiança.
        A página Editar relacionamento de confiança é aberta mostrando o documento da política.
      5. Defina o parâmetro AWS como o ARN completo do usuário da conta confiável (que faz o acesso).

        Editar o relacionamento de confiança da conta confiável.
      6. Verifique se o valor Action está definido como sts:AssumeRole.
      7. Selecione Atualizar política de confiança.
    2. Configure a conta de serviço confiável para a conta confiável na Now Platform.
      1. Navegue até Cloud Provisioning and Governance > Contas de serviço.
      2. Abra a conta confiável.
      3. No formulário Conta de serviço em nuvem, insira o nome da conta confiável no campo Conta do responsável pelo acesso.
      4. Selecione Atualizar.
    3. Atribua a função de IAM criada para a conta de confiança à conta de confiança em Now Platform.
      Importante:
      Execute esta etapa somente se você tiver criado funções de IAM personalizadas. Não há necessidade de atribuir a função OrganizationAccountAccessRole padrão a uma conta de serviço.
      1. Navegue até Todos > Cloud Provisioning and Governance > Parâmetros de acesso à organização > Parâmetros cruzados de assunção de funções do AWS da conta do serviço em nuvem.
      2. Selecione Novo.
      3. No formulário Parâmetros cruzados de assunção de funções do AWS da conta do serviço em nuvem, configure somente os seguintes campos:
        Campo Definição
        Nome da função de acesso Nome da função de IAM criada para a conta de confiança.
        Conta de serviços em nuvem Nome da conta de confiança para a qual você está fornecendo acesso usando a função de IAM.
      4. Selecione Enviar.
        O sistema adiciona esse registro à tabela Parâmetros cruzados de assunção de funções do AWS da Conta de serviço em nuvem [cloud_service_account_aws_cross_assume_role].
      Nota:
      Por padrão, a função OrganizationAccountAccessRole é atribuída à conta de gestão de confiança do membro e o MID usa a mesma se não for adicionada à tabela Parâmetros de função presumida da organização da AWS Conta de serviços em nuvem [cloud_service_account_aws_org_assume_role_params]. Se você removeu o padrão ou criou uma função de IAM personalizada, deverá adicioná-lo manualmente à tabela Conta de serviço em nuvem AWS Parâmetros de função presumida da organização [cloud_service_account_aws_org_assume_role_params] para cada conta de membro confiável. Para isso, navegue até Todos > Cloud Provisioning and Governance > Parâmetros de acesso à organização > Parâmetros de função presumida da organização da AWS da conta do serviço em nuvem e siga as etapas anteriores.

    O que Fazer Depois

    Verifique se ServiceNow aplicações podem acessar a conta de serviço confiável usando a função de IAM:
    1. Navegar até Cloud Provisioning and Governance > Contas de Serviço.
    2. Selecione a conta confiável que você configurou.
    3. Em Links relacionados, clique em Descobrir datacenters.
    4. Navegar até Descoberta > Painel da Descoberta na nuveme clique na guia AWS.
    5. Verifique se o painel mostra recursos descobertos para a conta que você associou às credenciais AWS recém-criadas.