Configure uma função de membro da AWS personalizada

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura
  • Personalize as funções da AWS que um MID Server pode assumir para receber credenciais temporárias para contas de membro. Você pode configurar parâmetros adicionais para melhorar a segurança e personalizar a maneira como a função da conta do membro é assumida ao descobrir recursos de nuvem.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Os valores que você insere na tabela Conta de serviço em nuvem > Parâmetros de função da organização da AWS [cloud_service_account_aws_org_assume_role_params] são passados como parâmetros para a API AWS AssumeRole para a conta de serviço nomeada.

    Procedimento

    1. Navegar até Tudo > Cloud Provisioning and Governance > Parâmetros de Acesso à Organização > Parâmetros de Função Presumidos da Organização AWS.
      Módulo Parâmetros de função Assumir da organização da AWS
    2. Clique em Novo e preencha o formulário usando estes parâmetros:
      Campo Descrição
      Nome da função de acesso [access_role_name] Nome da função da AWS na conta do membro que é usada pela conta de gestão para adquirir credenciais temporárias.

      Padrão: OrganizationAccountAccessRole

      Nome da sessão de função [role_session_name] Nome da sessão usando as credenciais de segurança temporárias que podem ajudar a distinguir o uso de uma função por um principal ou finalidade. Este nome de sessão está visível nos logs do AWS Cloud Trail. Consulte Trilha de API em nuvem e o. Documentação da AWS No AWS Cloud Trail para obter detalhes.

      Um exemplo disso é: Master_account_id__ master_account_id__321003876149 .

      TTL de credencial em segundos [credential_tttl_seconds] Tempo em segundos para as credenciais de segurança temporárias ficarem ativas.
      Calculado da seguinte forma:
      1. Recupere o valor em mid.aws.sts.assume_role.credential_ttl_minutes Propriedade do MID Server .
      2. Restrinja este valor a estar entre 15 e 720 minutos. Se a configuração na propriedade for inferior a 15 minutos, o sistema inserirá 15 minutos. Se a definição for superior a 720 minutos, o sistema introduz 720 minutos.
      3. Converta o valor resultante em segundos.
      ID externo [external_id] Identificador exclusivo exigido pela política de confiança da função que está sendo assumida.

      Padrão: ServiceNow_MID_Server

      Política de sessão [session_policy] Política de IAM no formato JSON que restringe ainda mais as permissões das credenciais de segurança temporárias além da política configurada por função. (JSON na linguagem de política da AWS.)

      Padrão: Em branco

      MFA [autenticação multifator] Número de série do dispositivo de autenticação multifator (MFA) (hardware ou virtual) usado para autenticar a conta de gestão.

      Padrão: Em branco

      Código do token de MFA [mfa_token_code] Código de token fornecido pelo dispositivo de MFA (hardware ou virtual) usado para autenticar a conta de gestão.

      Padrão: Em branco

      Conta de serviço em nuvem [cloud_service_account] Obrigatório. Conta de serviço a ser associada aos parâmetros de acesso que você passa para a API AWS AssumeRole. Insira um ID de conta, uma conta de gestão ou uma conta de membro, na tabela Contas de serviço [cmdb_ci_cloud_service_account].
      Nota:
      Para obter mais detalhes sobre como esses parâmetros são usados e o que eles significam, consulte Documentação da AWS Na API do AWS Security Token Service para a ação AssumeRole.