Configuração de Conector do Service Graph para AWS usando Central do SGC

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 11 min. de leitura

    • Use o playbook disponível com a aplicação Central do SGC para configurar o Conector do Service Graph para AWS para extrair dados de AWS para o CMDB

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    O Playbook Experience para conectores de integração é ativado com o Central do SGC em Espaço do CMDB. Para obter mais informações sobre como interagir com um playbook, consulte Interagir com playbook.

    Procedimento

    1. Navegar até Espaços > Espaço do CMDB.
    2. No Espaço do CMDB, selecione Central do SGC.
    3. Na página Painel, selecione Criar conexão.
      Dica:
      Outra opção é selecionar Criar conexão na página Todas as conexões.
    4. Na janela "Criar conexão", selecione o tipo de conector AWS e selecione Criar conexão.
    5. Conclua os pré-requisitos iniciais ao configurar uma conexão pela primeira vez usando um conector.
      Nota:
      Esta etapa é necessária somente durante a configuração inicial. Consulte Executar tarefas de configuração inicial ao criar uma conexão no Central do SGC.
    6. Conclua os pré-requisitos de configuração do ambiente AWS.
      1. Defina a configuração básica no ambiente AWS necessário para importar dados usando o conector.
        1. Na fase de Pré-requisitos do playbook, selecione a atividade Baixar scripts básicos.
        2. Execute os scripts para configurar o ambiente AWS.

          Para obter mais informações sobre como executar scripts, consulte Scripts básicos.

        3. Marque a caixa de seleção Li as instruções e executei o script adequadamente para confirmar que você executou os scripts.
        4. Selecione Continuar.
      2. Configure a descoberta profunda em instâncias do Amazon EC2 (Amazon Elastic Compute Cloud).
        Nota:
        Realize essa etapa apenas para executar descobertas profundas em instâncias do EC2. Se preferir outra opção, selecione Ignorar.
        1. Na fase de Pré-requisitos do playbook, selecione a atividade Baixar scripts de descoberta profunda.
        2. Execute os scripts para configurar Amazon instâncias do EC2 para descoberta profunda.

          Para obter mais informações sobre como executar scripts, consulte Scripts de descoberta profunda.

        3. Selecione Continuar.
      3. Configure clusters do Amazon EKS (Elastic Kubernetes Service).
        Nota:
        Realize essa etapa apenas quando o serviço Amazon EKS para clusters Kubernetes for necessário. Se preferir outra opção, selecione Ignorar.
        1. Na fase de Pré-requisitos do playbook, selecione a atividade Baixar scripts do Amazon EKS.
        2. Execute os scripts para configurar clusters do Amazon EKS.

          Para obter mais informações sobre como executar scripts, consulte Scripts do AmazonEKS.

        3. Selecione Continuar.
    7. Conclua a configuração do conector para importar dados.
      1. Crie e teste a conexão.
        1. Na etapa Configuração do playbook, selecione a atividade Criar e testar conexão.
        2. No formulário, preencha os campos.
          Tabela 1. Formulário "Criar e testar conexão"
          Campo
          Nome da conexão Nome para identificar o registro de conexão AWS.

          Por exemplo, SG_AWS_CredentialAlias_Org.

          ID da chave de acesso ID da chave de acesso do usuário do IAM com permissões para interagir com os recursos da AWS.
          Chave secreta de acesso Chave de acesso secreta que corresponde ao ID da chave de acesso necessária para autenticar a conexão com segurança.
          Usar MID Server Opção para usar o MID Server.
          Nota:
          O uso de um MID Server é opcional.
          Seleção de MID Nome do MID Server usado pelo conector.

          Esse campo é exibido apenas quando a caixa de seleção Usar MID Server é marcada.
        3. Selecione Criar e testar conexão.
        4. Depois de concluir o teste de conexão, selecione Continuar.
      2. Defina as propriedades de configuração da conexão para acessar os recursos do AWS.
        1. Na etapa Configuração do playbook, selecione a atividade Definir propriedades de configuração.
        2. Na seção "Detalhes da organização", preencha os detalhes da organização, inclusive o identificador da conta, o nome e a descrição da organização AWS.
        3. Na seção "Detalhes da conta do S3", preencha os detalhes.
          Tabela 2. Detalhes da conta do S3
          Campo Descrição
          ID da conta do S3 Identificador numérico da conta do AWS que hospeda o bucket Amazon S3 (Amazon Simples Storage Service).
          Nome do bucket do S3 Nome do Amazon bucket do S3 que coleta os detalhes de Amazon instâncias do EC2.
          Região do S3 Região onde reside o bucket do Amazon S3 reside.
        4. No campo Regiões da AWS da seção "Regiões da AWS e nome da função presumida do STS", insira as regiões AWS para coletar os dados de IC.

          Por padrão, o Conector do Service Graph para AWS é executado em todas as regiões AWS para coletar os dados de IC.

          Você pode inserir AWS regiões específicas para acelerar o processo de importação de dados de IC. Por exemplo, us-east1, us-east-2.

          Se este campo estiver vazio, o Conector do Service Graph para AWS extrai os recursos de todas as regiões AWS.

          No entanto, para as regiões AWS GovCloud, não deixe o campo Regiões em branco. As regiões AWS GovCloud compatíveis são us-gov-east-1 e us-gov-west-1.

          Se você atualizar o valor do campo Regiões posteriormente, limpe o valor do campo Data/hora da última execução em todas as fontes de dados relacionadas ao Conector do Service Graph do AWS para importar um novo conjunto de dados.

        5. No campo Nome da função presumida do STS na seção "Regiões da AWS e nome da função presumida do STS", insira o nome das funções de IAM (Identity and Access Management) da AWS.
          O nome da função IAM da AWS é obtido pelo usuário ServiceNow por meio da chamada de API AssumeRole oferecida pelo AWS STS (Security Token Service). A API AssumeRole devolve um conjunto de credenciais de segurança temporárias para que o usuário ServiceNow acesse os recursos AWS.
          Nota:
          Insira o nome da função de IAM, mas não use o prefixo arn no nome. Se você deixar este campo em branco, o valor deste campo será definido automaticamente como SnowOrganizationAccountAccessRole, que é o nome da função de IAM padrão para o usuário ServiceNow.
        6. Na seção "Detalhes do documento SSM SendCommand", insira o nome do documento que define as ações executadas pelo SSM (AWS Systems Manager) em uma instância do Amazon EC2 baseada em Linux ou em uma instância do Amazon EC2 baseada em Windows em seus respectivos campos.
        7. No campo ID da conta de gestão da seção "ID da conta de gestão e ID da conta autônoma", insira o ID da conta de gestão na organização AWS.

          Insira um valor para este campo quando o usuário ServiceNow foi criado em uma conta de membro AWS.

          A conta chama a API ListAccounts associada à organização AWS para coletar informações de IC de todas as contas. Para obter mais informações, consulte ListAccounts no site de documentação AWS.

        8. No campo ID da conta autônoma da seção "ID da conta de gestão e ID da conta autônoma", insira o ID de uma conta de membro na organização AWS.
          Nota:
          Ao especificar uma conta autônoma, os dados relacionados à organização AWS, como nome da organização, unidades organizacionais, ID da organização e contas de serviço, não são importados. Para importar os dados completos mais tarde, limpe qualquer valor mencionado no campo ID da conta autônoma. Consulte o artigo Conector do Service Graph para AWS — Configuração autônoma [KB1642159] da Base de conhecimento do Now Support.
        9. Na seção "Detalhes do agregador de configuração da AWS", insira os detalhes da conta AWS referentes ao tipo de recurso do agregador.
          Tabela 3. Detalhes do agregador de configuração da AWS
          Campo Descrição
          Conta do agregador de configuração conta AWS em que o tipo de recurso de agregador no serviço de configuração AWS foi configurado.

          Insira um valor neste campo quando você estiver usando um agregador de configuração AWS.
          Nome do agregador de configuração Nome do tipo de recurso do agregador. Este campo está disponível somente quando você insere um valor no campo Conta do agregador de configuração.
          Região do agregador de configuração Região onde reside o tipo de recurso do agregador. Este campo está disponível somente quando você insere um valor no campo Conta do agregador de configuração.
        10. Na seção "Configuração da rotação de chaves da AWS", insira os detalhes do processo da rotação de chaves.
          Tabela 4. Configuração de rotação de chaves da AWS
          Campo Descrição
          Chaves de rotação da AWS Opção para habilitar o processo de rotação de chaves.
          Data da rotação de chave da AWS Data da rotação de chave. Esse campo é definido automaticamente para a próxima data de rotação. Este campo está disponível somente quando você marca a caixa de seleção Chaves de rotação da AWS.
          Período de rotação de chave da AWS (em dias) Período de rotação de chave em dias. Este campo está disponível somente quando você marca a caixa de seleção Chaves de rotação da AWS.
          Status da rotação de chave da AWS Mensagem de status de uma rotação de chave exibindo se a rotação foi um sucesso ou uma falha. Este campo é definido automaticamente para exibir a mensagem de status de rotação de chaves. Este campo está disponível somente quando você marca a caixa de seleção Chaves de rotação da AWS. Se o status de rotação for falha, uma notificação por e-mail será acionada, se configurada.
          Contas de e-mail para receber notificações de erro Lista separada por vírgulas de endereços de e-mail dos destinatários que recebem notificações sobre os erros de rotação de chave do AWS.
          Grupos de contas de e-mail para receber notificações de erro Lista separada por vírgulas dos grupos ServiceNow que recebem notificações sobre os erros de rotação de chave do AWS.
        11. Marque a caixa de seleção É nuvem do governo na seção "Configuração de nuvem do governo" para indicar que a configuração da conexão se destina ao AWS GovCloud.
        12. Na seção "Detalhes do documento SSM EKS SendCommand", insira os detalhes do documento do AWS SSM.
          Tabela 5. Detalhes do documento SSM EKS SendCommand
          Campo Descrição
          Documento de nomes de clusters do EKS Nome do documento do SSM do AWS para descobrir clusters do EKS associados aos bastion hosts do EC2.
          Documento de scripts shell do EKS Nome do documento do SSM da AWS para buscar ICs relacionados a componentes do Kubernetes, como pods, serviços e implantações, a partir de clusters do EKS.
        13. Selecione Salvar propriedades.
        14. Selecione Continuar.
      3. Configure os recursos do EC2 necessários para o Amazon Elastic Kubernetes Service (EKS) importar dados de clusters do EKS.
        Nota:
        Execute esta etapa somente quando os recursos do EC2 forem necessários. Caso contrário, selecione Ignorar na atividade Configurar recursos do EKS EC2.
        Um recurso do EKS EC2 é um host bastião que tem acesso de rede aos clusters do EKS. Os clusters do EKS não podem ser acessados diretamente pelo conector. Portanto, você deve fornecer os detalhes do recurso EKS EC2. Para importar dados de cluster do EKS, o conector usa o comando de envio do SSM nos recursos do EKS EC2 para executar comandos kubectl remotamente.
        Nota:
        Verifique se você configurou seu ambiente AWS para a integração do EKS. Para obter mais informações, consulte o artigo Conector do Service Graph para AWS – Integração com Amazon EKS [KB1437138] na Base de conhecimento Now Support.
        1. Na fase Configuração do playbook, selecione a atividade Configurar recursos do EKS EC2.
        2. Na página "Configurar recursos do EKS EC2", selecione Novo.
        3. Na janela "Configurar recursos do EKS EC2" que é exibida, preencha os campos.
          Tabela 6. Configurar campos de recursos do EKS EC2
          Campo Descrição
          ID do recurso do EKS EC2 Identificador do recurso EKS EC2.
          Região do EC2 Região da AWS em que o recurso EKS EC2 está localizado.
          Conta EC2 Nome de usuário atribuído à conta de recurso do EKS EC2.
          Alias de conexão Alias de conexão associado à configuração do ambiente AWS e configurado na etapa 7.a.ii.
          Conexão Nome da conexão associada à configuração do ambiente AWS e configurada na etapa 7.a.ii.
          Ativo Opção para ativar o recurso EKS EC2.
        4. Selecione Save (Salvar).
        5. Repita as etapas de 7.c.ii a 7.c.iv para adicionar mais recursos do EKS EC2.
        6. Selecione Continuar.
      4. Execute a ferramenta de diagnóstico AWS antes de iniciar um trabalho de importação programado para identificar problemas na configuração do ambiente AWS.
        1. Na fase Configuração do playbook, selecione a atividade Executar testes de diagnóstico.
        2. Na página "Executar teste de diagnóstico", selecione uma opção para excluir os resultados de testes correspondentes do resumo de diagnóstico.
          Ignorar testes de configuração do SSM
          Exclui os dados de inventário de software dos resultados de resumo ao não chamar a API GetInventory. Selecione esta opção quando tiver recusado ou não definido a configuração do SSM.
          Ignorar testes do SSM Deep Discovery
          Exclui os dados de descoberta profunda dos resultados de resumo. Selecione esta opção quando tiver recusado ou não definido a configuração do SSM Deep Discovery.
          Ignorar testes de configuração do EKS
          Exclui os dados do EKS dos resultados de resumo ao não executar os comandos kubectl.
          Nota:
          Esta caixa de seleção fica visível apenas quando você configura recursos do EC2 na atividade Configurar recursos do EKS EC2.
        3. Selecione Executar teste de diagnóstico e aguarde a conclusão do teste.
        4. Analise o resumo do diagnóstico, os resultados de acesso à API e os logs de validação de permissões do IAM.
        5. Quando obtiver êxito nos resultados do teste, selecione Continuar.
      5. Configure o cronograma de importação para importar dados em intervalos regulares.
        1. Na fase Configuração do playbook, selecione a atividade Configurar cronograma de importação.
        2. Expanda a Importação de dados programada primária na lista Cronogramas de importação para selecionar a programação de importação SG-AWS-Organization.
        3. Na caixa de diálogo Configurar programação de importação, marque a caixa de seleção Ativo e preencha a programação de execução e os detalhes de tempo.

          Para obter mais informações, consulte Schedule a data import.

        4. Selecione Save (Salvar).

          Como alternativa, selecione Executar agora para executar a programação de importação imediatamente.

        5. Selecione Continuar.
      6. Na fase Configuração do playbook, selecione a atividade Confirmar configuração de conexão para verificar se a conexão foi criada.

    O que Fazer Depois

    Selecione Exibir todas as conexões para analisar os detalhes da conexão. A conexão configurada é exibida na lista de Conexões instaladas.