Configure uma conta do Identity Access Manager para um ServiceNow usuário em AWS

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Crie um AWS CloudFormation Usuário do IAM (Identity Access Manager) na conta de gestão usando o modelo do CloudFormation (CFT) para que você possa gerenciar vários AWS Contas com um usuário de IAM centralizado.

    Antes de Iniciar

    • Função necessária: administrador do AWS

    • . ServiceNow A conta de usuário do IAM requer específico AWS Permissões de IAM para executar operações básicas. Para saber mais sobre as permissões, consulte Sobre Amazon Web Services Permissões de API.

    Procedimento

    1. Faça login no AWS Console de gestão e insira CloudFormation na barra de pesquisa e selecione-a.
    2. No console do CloudFormation, selecione Criar pilha .

      Uma pilha é uma coleção de AWS recursos que você pode gerenciar como uma única unidade.

    3. Copie o código do modelo do CloudFormation (CFT) em um arquivo e salve o arquivo.

      A extensão do arquivo deve ser .yml . Por exemplo, CreateServiceNowUser.yml .

      AWSTemplateFormatVersion: '2010-09-09'
Description: This script is executed in Management Account where the  ServiceNow user is created.

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
      - Label:
          default: User Credentials
        Parameters:
          - SNUserName
    ParameterLabels:
      SNUserName:
        default: User Name

Parameters:
  SNUserName:
    Type: String
    Description: User name for CW Service Account user
    MinLength: '6'
    MaxLength: '15'
    ConstraintDescription: The username must be between 6 and 15 characters

Resources:
  SnowCWMemberAccountAccessGroup:
    Type: 'AWS::IAM::Group'
    Properties:
      GroupName: SnowCWMemberAccountAccessGroup

  SnowCWAccountAccessPolicy:
    Type: 'AWS::IAM::Policy'
    Properties:
      PolicyName: SnowCWAccountAccessPolicy
      PolicyDocument:
        Statement:
          - Sid: ServiceNowCWUserAccess
            Effect: Allow
            Action:
              - 'organizations:ListRoots'
              - 'organizations:ListTagsForResource'
              - 'organizations:DescribeAccount'
              - 'organizations:CreateAccount'
              - 'organizations:ListAWSServiceAccessForOrganization'
              - 'organizations:TagResource'
              - 'organizations:ListAccounts'
              - 'organizations:ListRoots'
              - 'organizations:ListTagsForResource'
              - 'organizations:DescribeAccount'
              - 'organizations:CreateAccount'
              - 'organizations:ListAWSServiceAccessForOrganization'
              - 'organizations:TagResource'
              - 'organizations:ListAccounts'
              - 'organizations:CloseAccount'
              - 'organizations:DescribeOrganization'
              - 'organizations:DescribeOrganizationalUnit'
              - 'organizations:ListParents'
              - 'organizations:ListOrganizationalUnitsForParent'
              - 'organizations:MoveAccount'
              - 'organizations:DescribeCreateAccountStatus'
              - 'organizations:AttachPolicy'
              - 'organizations:DescribePolicy'
              - 'organizations:ListAccounts'
              - 'budgets:CreateBudgetAction'
              - 'budgets:ModifyBudget'
              - 'budgets:ViewBudget'
              - 'budgets:ListTagsForResource'
              - 'iam:GetAccountSummary'
              - 'iam:GetAccountPasswordPolicy'
              - 'budgets:DescribeBudgetAction'
              - 'iam:ListAccountAliases'
              - 'sts:AssumeRole'
              - 'iam:GetRole'
              - 'iam:ListAccountAliases'
              - 'iam:GetAccountPasswordPolicy'
              - 'organizations:DetachPolicy'
              - 'iam:GetAccountAuthorizationDetails'              
            Resource: '*'
      Groups:
        - !Ref SnowCWMemberAccountAccessGroup

  CreateServicenowUser:
    Type: 'AWS::IAM::User'
    Properties:
      Path: /
      UserName: !Ref SNUserName
  AddSnowUserToSnowCWMemberAccountAccessGroup:
    Type: 'AWS::IAM::UserToGroupAddition'
    Properties:
      GroupName: SnowCWMemberAccountAccessGroup
      Users:
        - !Ref SNUserName
    DependsOn: CreateServicenowUser

Outputs:
  ServiceNowUserARN:
    Description: ARN of ServiceNow user
    Value: !GetAtt 
      - CreateServicenowUser
      - Arn

  ServiceNowUser:
    Description: ServiceNow user
    Value: !Ref SNUserName
    4. Em Criar pilha , selecione Escolha um modelo existente > Carregue um arquivo de modelo > Escolher arquivo para escolher um arquivo de modelo do seu computador local.
    5. Selecione Próximo para continuar e validar o modelo.
    6. Em Especifique os detalhes da pilha , insira um Nome da pilha do CloudFormation em Nome da pilha campo.

      O nome da pilha é um identificador que ajuda você a encontrar uma pilha específica em uma lista de pilhas. Um nome de pilha pode conter somente caracteres alfanuméricos (diferencia maiúsculas de minúsculas) e hifens. Ele deve começar com um caractere alfabético e não pode ter mais de 128 caracteres.

    7. Em Nome de usuário , insira um Gestão de contas de nuvem nome de usuário da conta de serviço.
    8. Selecione Próximo para continuar.
    9. Em Configurar opções de pilha , selecione Reconheço que o AWS CloudFormation pode criar recursos de IAM com nomes personalizados marque e selecione Próximo .
    10. Em Revise e crie , selecione Enviar para iniciar sua pilha.
      A conta do IAM é criada.
    11. Para adicionar credenciais de segurança:
      1. Selecione Recursos .
      2. Selecione o link do nome de usuário.
      3. Na seção Chaves de acesso, selecione Criar chave de acesso .
      4. Em Acesse as principais práticas recomendadas e alternativas , escolha Serviço de terceiros opção.

        Você planeja usar esta chave de acesso para habilitar o acesso a uma aplicação ou serviço de terceiros que monitora ou gerencia seu AWS recursos.

      5. Selecione Entendo a recomendação acima e quero prosseguir para criar uma chave de acesso marque e selecione Próximo .
      6. Selecione Criar chave de acesso .
      7. Em Revise as chaves de acesso , baixe o arquivo de chave de acesso e selecione Concluído .
        Nota:
        Compartilhe a chave de acesso e a chave secreta com Terraform administrador e. ServiceNow AI Platform administrador.

    O que Fazer Depois

    Configurar a suspensão de um AWS conta usando política de controle de serviço