Configuração de acesso para AWS contas de serviço

  • Versão de lançamento: Zurich
  • Atualizado 3 de set. de 2025
  • 6 min. de leitura

    • Descoberta na nuvem e. Cloud Provisioning and Governance precisa de acesso aos recursos no Amazon Web Services( AWS contas de serviço. Saiba mais sobre os diferentes métodos de configurar esse acesso.

    Descoberta na nuvem e. Cloud Provisioning and Governance acessar recursos em AWS contas de serviço por MID Servers. Você deve autorizar o tráfego de entrada para Amazon Instâncias do EC2 do MID Server para configurar a comunicação inicial. Para obter mais informações, consulte Configure regras de entrada do grupo de segurança usando o Console de gestão da AWS .

    Tipos de AWS credenciais

    Há permanentes e temporários AWS credenciais que você pode usar para configurar o acesso ao AWS contas de serviço.
    Permanente
    As credenciais permanentes são reais AWS credenciais da conta de serviço que você adiciona ao Conexões e credenciais módulo de ServiceNow AI Platform. Gerenciar credenciais em pode ser demorado ServiceNow AI Platform você evita as configurações complexas envolvidas no uso de credenciais temporárias.
    Temporário

    As credenciais temporárias são geradas pelo AWS AWS STS (Security Token Service) para funções de IAM. Depois de configurar as funções de IAM para AWS. MID Server acessos AWS recursos com essas credenciais temporárias. Você pode usar a função do IAM padrão, OrganizationAccountAccessRoleOu crie funções de IAM personalizadas.

    Assumir funções de IAM em um grande AWS Organization é mais conveniente e oferece mais segurança do que usar um grande número de credenciais permanentes para todas as contas da AWS. As credenciais temporárias são adquiridas em nome de uma conta de serviço somente quando não há credencial permanente especificada para essa conta de serviço na tabela Contas de serviço [cmdb_ci_cloud_service_account].

    O MID Server usa a ação AssumeRolena API do serviço de token de segurança da AWS para assumir uma função de conta de membro. Os parâmetros passados para esta API determinam quais restrições de segurança adicionais são aplicadas à função quando ela acessa os recursos da AWS.

    Por padrão, o MID Server é configurado para assumir o OrganizationAccountAccessRole, que concede credenciais temporárias a todos os membros de uma conta primária. Esta ação ocorrerá automaticamente se não houver credenciais permanentes para as contas do membro. Esta configuração não aplica qualquer segurança adicional ou restringe o acesso a recursos nas contas de membros.

    Por padrão, o ServiceNow credenciais temporárias de cache da instância para contas de membro por 60 minutos. Este intervalo permite que o processo de descoberta horizontal seja executado várias vezes sem gerar novas credenciais durante cada descoberta. Você pode evitar o cache de credenciais ou modificar o período de cache usando Propriedades do MID Server .

    Funções e permissões do IAM

    Para aprimorar a segurança fornecida por padrão AWS OrganizationAccountAccessRole , você pode personalizar o. AWS funções que MID Servers pode presumir que recebe credenciais temporárias para contas de membro. Você pode configurar permissões adicionais para melhorar a segurança e personalizar a maneira como a função da conta do membro é assumida ao descobrir recursos de nuvem.

    Métodos de concessão de acesso

    Para fins de configuração do acesso para AWS, os seguintes termos são usados:
    Contas confiáveis
    As contas confiáveis não têm permanente AWS credenciais. Você configura o relacionamento de confiança para funções de IAM nessas contas para depender de outras contas para acesso.
    Contas confiáveis
    As contas confiáveis são usadas pelas contas confiáveis para acesso. . ServiceNow A IU se refere às contas confiáveis como contas de acessador.
    Normalmente, você configura o acesso ao AWS contas em sua organização usando os seguintes métodos:
    Configurar o acesso para uma única conta
    Configurar o acesso para uma conta que confia em uma conta de acessador com AWS credenciais
    Figura 1. Configurar qualquer AWS conta com a qual confiar em uma conta confiável AWS credenciais

    Configure a função do IAM da conta da AWS confiável para confiar no usuário da conta da AWS confiável para acesso
    • Configure qualquer tipo de conta (discreta (independente), de gestão ou membro) para confiar em uma conta confiável com AWS credenciais para acesso.
    • Configurar uma função do IAM que pertença às contas confiáveis para confiar no usuário da conta confiável permite o uso de apenas um conjunto de AWS credenciais para fornecer acesso a vários AWS contas.
    Para obter mais informações, consulte Configure o acesso usando credenciais temporárias com base em confiável AWS contas com AWS credenciais.
    Configurar o acesso para uma conta que confia em uma conta do acessador sem AWS credenciais
    Figura 2. Configurar qualquer AWS conta sem a qual confiar em uma conta confiável AWS credenciais

    Configure a função do IAM da conta confiável da AWS para confiar na função do IAM da conta confiável da AWS para acesso
    • Configure qualquer tipo de conta (discreta (independente), de gestão ou membro) para contar com uma conta confiável sem AWS credenciais para acesso.
    • Configure uma conta sem AWS Credenciais que usam uma função do IAM e permissões para acessar a conta de serviço confiável.
    • Configure a função do IAM da conta confiável para conceder acesso à função do IAM da conta confiável.
    Para obter mais informações, consulte Configure o acesso usando credenciais temporárias com base em confiável AWS contas sem AWS credenciais.
    Configurando o acesso para AWS contas de membro usando uma cadeia de confiança do acessador por meio da conta de gestão.
    Figura 3. Configurar contas de membro para usar suas contas de gestão para acesso

    Configure a função do IAM das contas de membros confiáveis para confiar em sua conta de gestão

    Como Descoberta na nuvem determina quais credenciais serão usadas

    Conta de gestão de confiança de conta de membro
    Descoberta na nuvem usa a lógica a seguir para determinar quais credenciais usar para descobrir AWS recursos de nuvem em contas de membro:
    1. Se credenciais permanentes forem definidas para a conta do membro na tabela Conta de serviço em nuvem [cmdb_ci_cloud_service_account], Descoberta usa essas credenciais. A tabela Contas de serviço em nuvem [cmdb_ci_cloud_service_account] contém as informações sobre os tipos de conta de serviço, como gestão ou membro, e suas credenciais.
    2. Se nenhuma credencial permanente for definida para a conta do membro, Descoberta Verifica se há parâmetros especiais associados à conta do membro na tabela Parâmetros de função da organização AWS da conta de serviço em nuvem [cloud_service_account_aws_org_assume_role_params]. Se houver parâmetros nessa tabela, Descoberta Usa as credenciais temporárias adquiridas ao especificar uma função e seus parâmetros na ação AssumeRole da API do AWS Security Token Service.
    3. Se nenhum parâmetro especial estiver associado à conta do membro na tabela [cloud_service_account_aws_org_assume_role_params], Descoberta verifica os parâmetros associados à conta de gestão nessa tabela. Se existirem parâmetros que definem uma função para a conta de gestão, Descoberta usa as credenciais temporárias fornecidas por essa função.
    4. Se nenhum parâmetro especial estiver presente na tabela [cloud_service_account_aws_org_assume_role_params] para contas de gestão ou membro, Descoberta usa os padrões definidos para OrganizationAccountAccessRole função.
    Conta do acessador de confiança da conta de membro ou gestão
    1. Se credenciais permanentes forem definidas para a conta de membro ou de gestão na tabela Conta de serviço em nuvem [cmdb_ci_cloud_service_account], Descoberta usa essas credenciais. A tabela Contas de serviço em nuvem [cmdb_ci_cloud_service_account] contém as informações sobre os tipos de conta de serviço, como gestão ou membro, e suas credenciais.
    2. Se nenhuma credencial permanente for definida para a conta, Descoberta Verifica se há parâmetros especiais associados à conta AWS Cross Assumir Role Params [cloud_service_account_aws_cross_assume_role_params] da conta. Se houver parâmetros nessa tabela, Descoberta Usa as credenciais temporárias adquiridas ao especificar uma função e seus parâmetros na ação AssumeRole da API do AWS Security Token Service.