Pré-requisitos para executar scripts

  • Versão de lançamento: Zurich
  • Atualizado 13 de mar. de 2026
  • 4 min. de leitura

    • Conclua os pré-requisitos antes de executar os scripts do AWS.

    Importante:
    Certifique-se de ter baixado os scripts disponíveis em Conector do Service Graph para AWS. Consulte Download dos scripts AWS.
    Decida os detalhes a seguir que serão usados depois na execução dos scripts AWS:

    Determinar o papel do IAM ServiceNow

    Determine o papel de gestão de identidade e acesso (IAM) que executa operações apenas de leitura em contas de membros para buscar os itens de configuração (ICs) do ambiente da AWS.

    Por padrão, o script CreateSnowOrganizationAccountAccessRoleInMemberAccount.yml cria o papel do IAM SnowOrganizationAccountAccessRole. Você pode usar o nome padrão criado pelo script ou criar um novo papel do IAM. No entanto, quando necessário como um parâmetro de entrada, você deve inserir a mesma função de IAM em todos os scripts. Consulte Execução de scripts necessários para configurar a AWS.

    Determinar o nome de usuário do IAM ServiceNow

    Determine o nome do usuário do IAM que vai assumir o papel do IAM ServiceNow nas contas dos membros.

    Por padrão, o script CreateServiceNowUser.yml cria o usuário do IAM NOWSGCUser. Você pode usar o nome padrão criado pelo script ou criar um novo usuário do IAM. No entanto, quando necessário como um parâmetro de entrada, você deve inserir o mesmo nome de usuário do IAM em todos os scripts. Consulte Execução de scripts necessários para configurar a AWS.

    Definir o bucket do S3 para descoberta profunda

    Configure um bucket do S3 com privilégios de leitura e exclusão para o papel do IAM ServiceNow para armazenar e excluir as respostas da API SendCommand ao importar dados da AWS.

    Antes de Iniciar

    Função exigida: administrador da aplicação

    Por Que e Quando Desempenhar Esta Tarefa

    Crie um bucket do S3 para a aplicação Conector do Service Graph para AWS e habilite o ServiceNow papel do IAM para ter acesso ao bucket na organização.
    Nota:
    Só use um bucket do S3 quando quiser executar uma descoberta profunda nas instâncias do EC2.

    Procedimento

    1. Crie um bucket do S3 em uma região de conta AWS.
      Consulte Como criar um bucket no site de documentação da AWS.
      Nota:
      O bucket do S3 precisa ter as seguintes configurações de permissão.
      Tabela 1. Permissões e configurações do bucket do S3
      Permissão Configuração
      Acesso Bucket e objetos não públicos
      Bloquear o acesso público ao S3 Bloquear o acesso público a buckets e objetos do S3

      Para obter mais informações, consulte Bloquear o acesso público ao S3 no site de documentação da AWS.

    2. Adicione uma política de bucket.

      Consulte Políticas do bucket no site de documentação da AWS.

      Para acessar o bucket do S3 criado na etapa 1, sua política de bucket precisa permitir o papel de perfil de instância do IAM anexado às instâncias gerenciadas do EC2. Você pode criar uma política de bucket ou conceder acesso à sua AWS conta de membro na lista de controle de acesso (ACL) a buckets. A conta do membro precisa incluir as instâncias do EC2.
      Nota:
      Adicionar uma AWS conta de membro à ACL do bucket permite que todos os usuários e funções na conta do membro acessem o bucket do S3.
      Consulte o código de amostra a seguir ao adicionar uma política de bucket.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AWS-ACCOUNT:role/INSTANCE-PROFILE-ROLE-NAME"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      Em que
      • SOURCE-AWS-ACCOUNT é o ID daAWS conta do membro que inclui as instâncias do EC2.
      • INSTANCE-PROFILE-ROLE-NAME é o perfil de instância do IAM anexado às instâncias do EC2.

        Por padrão, o script AmazonSSMForInstancesRoleSetup.yml cria o papel de perfil da instância do IAM AmazonSSMForInstancesRole e anexa a função à política de bucket AmazonSSMManagedInstanceCore. Consulte Execução de scripts necessários para configurar a AWS.

      • DOC-EXAMPLE-BUCKET é o nome do bucket do S3.
      O exemplo de política de bucket a seguir mostra os elementos efeito, principal, ação e recurso. A política permite o AmazonSSMRoleForInstances, um papel de perfil de instância do IAM em uma conta com as permissões ID 123456789000, s3:GetObject, s3:PutObjecte s3:PutObjectAcl do S3 no bucket myS3Bucket.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789000:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789001:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789002:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789003:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789004:role/AmazonSSMRoleForInstances"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::myS3Bucket/*"
        }
    ]
}
    3. Anexe permissões de IAM ao papel de perfil de instância das instâncias do EC2 para publicar as respostas da API SendCommand no bucket do S3 criado na etapa 1.
      Consulte Como usar perfis de instância e Anexar um papel do IAM a uma instância no site de documentação da AWS.
      A função de perfil de instância do IAM anexada às instâncias gerenciadas do EC2 precisa ter as permissões s3:GetObject, s3:PutObjecte s3:PutObjectAcl do S3 para permitir o acesso ao bucket do S3, como mostrado na política de exemplo a seguir.
      {
    "Version": "2012-10-17",
    "Statement": [
        {
        "Sid": "PublishTerminalOutputToS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      Em que DOC-EXAMPLE-BUCKET é o nome do bucket do S3.
      Nota:
      Certifique-se de adicionar o sufixo /* ao final do nome do bucket para habilitar a criação de arquivos com o nome do bucket.