Configure o acesso usando credenciais temporárias com base em contas AWS confiáveis sem credenciais AWS

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Configure uma conta confiável sem credenciais na qual outras contas AWS possam contar para acesso.

    Antes de Iniciar

    Crie e configure a conta confiável AWS.

    Função necessária: admin, discovery_admin ou sn_cmp.cloud_admin (para Cloud Provisioning and Governance)

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Para usar uma conta sem AWS credenciais (conta sem credenciais), você deve primeiro configurar essa conta com uma função de IAM e permissões para acessar a conta de serviço confiável. Em seguida, você configura a função de IAM da conta confiável para conceder acesso à função de IAM da conta confiável.

    Figura 1. Como configurar qualquer conta AWS para contar com uma conta confiável sem credenciais AWS

    Configure a função de IAM da conta confiável da AWS para confiar na função IAM da conta confiável da AWS para acesso

    Procedimento

    1. Configure uma função de IAM para a conta de confiança.
      1. Faça login na conta confiável no AWS Management Console.
      2. Crie uma função de IAM para esta conta.
        Use o ID da conta confiável ao criar esta função de IAM. Para obter informações operacionais sobre como trabalhar com funções AWS, consulte a documentação Amazon.
      3. Crie uma política ReadOnlyAccess e anexe-a à função de IAM recém-criada.
    2. Configure a função de IAM para a conta confiável.
      1. Faça login no AWS Management Console usando as credenciais da conta que você deseja configurar como uma conta confiável.
      2. Crie uma função de IAM escolhendo a opção de serviço da AWS.

        Selecione a opção de serviço da AWS para criar uma função de IAM da conta confiável
      3. Crie uma política ReadOnlyAccess para a função de IAM de conta confiável.
      4. Crie uma política adicional para conceder a esta função de IAM acesso a recursos em contas confiáveis:
        • Defina o parâmetro Action como sts:AssumeRole
        • Defina o parâmetro Resource como o ARN da função de conta confiável que você criou em 1.b.

        Configure a política entre a função na conta confiável e a função na conta confiável.

      5. Anexe a função recém-criada à instância Amazon do EC2 relevante.
        Por padrão, quando você anexa uma função do IAM a uma instância do EC2, ela cria um relacionamento de confiança entre essa função e a instância do EC2.
        Verificar o relacionamento de confiança entre a função do IAM e a instância do EC2.
    3. Configure a conta de serviço confiável para conceder acesso à função de IAM pertencente à conta confiável.
      1. Faça login na conta confiável no AWS Management Console.
      2. Navegue até a função de IAM que você criou para esta conta conforme descrito em 1.b.
      3. Edite o relacionamento de confiança para esta função de IAM da seguinte forma:
        • Defina o parâmetro Action como sts:AssumeRole.
        • Defina o parâmetro AWS como o ARN da função de conta confiável que você criou em 2.b.
        Configurar o relacionamento de confiança da conta de confiança
    4. Configure MID Server para AWS funções de IAM.
    5. Configure a conta de serviço confiável sem credenciais para a conta confiável em Now Platform.
      1. Navegar até Cloud Provisioning and Governance > Contas de Serviço.
      2. Abra a conta confiável.
      3. No formulário Conta de serviço em nuvem, insira o nome da conta confiável no campo Conta do responsável pelo acesso.
      4. Clique em Atualizar.
    6. Atribua a função de IAM criada para a conta de confiança à conta de confiança em Now Platform.
      Importante:
      Execute esta etapa somente se você tiver criado funções de IAM personalizadas. Não há necessidade de atribuir a função OrganizationAccountAccessRole padrão a uma conta de serviço.
      1. Navegar até Tudo > Cloud Provisioning and Governance > Parâmetros de Acesso à Organização > Parâmetros cruzados de assunção de função da AWS da conta de serviço em nuvem.
      2. Selecione Novo.
      3. No formulário Parâmetros cruzados de assunção de funções do AWS da conta do serviço em nuvem, configure somente os seguintes campos:
        Campo Definição
        Nome da função de acesso Nome da função de IAM criada para a conta de confiança.
        Conta de serviços em nuvem Nome da conta de confiança para a qual você está fornecendo acesso usando a função de IAM.
      4. Selecione Enviar.
        O sistema adiciona esse registro à tabela Parâmetros cruzados de assunção de funções do AWS da Conta de serviço em nuvem [cloud_service_account_aws_cross_assume_role].
      Nota:
      Por padrão, a função OrganizationAccountAccessRole é atribuída à conta de gestão de confiança do membro e o MID usa a mesma se não for adicionada à tabela Parâmetros de função presumida da organização da AWS Conta de serviços em nuvem [cloud_service_account_aws_org_assume_role_params]. Se você removeu o padrão ou criou uma função de IAM personalizada, deverá adicioná-lo manualmente à tabela Conta de serviço em nuvem AWS Parâmetros de função presumida da organização [cloud_service_account_aws_org_assume_role_params] para cada conta de membro confiável. Para fazer isso, navegue até Tudo > Cloud Provisioning and Governance > Parâmetros de Acesso à Organização > Parâmetros de função presumida da organização da AWS da conta de serviço em nuvem e siga as etapas anteriores.

    O que Fazer Depois

    Verifique se ServiceNow aplicações podem acessar a conta de serviço confiável usando a função de IAM:
    1. Navegar até Cloud Provisioning and Governance > Contas de Serviço.
    2. Selecione a conta confiável que você configurou.
    3. Em Links relacionados, clique em Descobrir datacenters.
    4. Navegar até Descoberta > Painel da Descoberta na nuveme clique na guia AWS.
    5. Verifique se o painel mostra recursos descobertos para a conta que você associou às credenciais AWS recém-criadas.