Governance für Cloud-Konfigurationen for AWS einrichten

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Richten Sie in Governance für Cloud-Konfigurationen Zugriff auf die AWS-Cloud-Konten (Amazon Web Services) ein, um die Interaktion zwischen der Anwendung und der Cloud zu ermöglichen. Die Anwendung erfordert Zugriff auf die Cloud-Konten, damit die Cloud-Ressourcen auf nicht konforme Konfigurationen gescannt und nicht konforme Konfigurationen korrigiert werden können.

    Vorbereitungen

    Erforderliche Rolle: sn_itom_ccg.scheduling_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Im Zusammenhang mit der Konfiguration des Zugriffs für AWS-Konten werden die folgenden Begriffe verwendet:
    Vertrauende Konten
    Vertrauende Konten haben keine permanenten AWS-Anmeldeinformationen. Sie konfigurieren die Vertrauensstellung für IAM-Rollen in diesen Konten so, dass sie für den Zugriff auf andere Konten zurückgreifen.
    Vertrauenswürdige Konten
    Die vertrauenswürdigen Konten werden von den vertrauenden Konten für den Zugriff verwendet. In der Benutzeroberfläche von ServiceNow werden die vertrauenswürdigen Konten als Accounts des Zugriffsberechtigten bezeichnet.
    Verwenden Sie eine der folgenden Methoden, um den Zugriff auf zu konfigurieren AWS Accounts:
    • Konfigurieren Sie die permanenten Anmeldeinformationen in ServiceNow AI Platform Um eine Verbindung mit dem eigenständigen herzustellen AWS Accounts (diskrete Accounts). Die Tabelle „Cloud-Servicekonto“ [cmdb_ci_cloud_service-account] enthält die Informationen zum Servicekontotyp wie Verwaltungskonto oder Mitgliedskonto und deren Anmeldeinformationen.
    • Konfigurieren Sie die Mitgliedskonten so, dass sie für den Zugriff auf das Verwaltungskonto zurückgreifen. Konfigurieren Sie die permanenten Anmeldeinformationen des Verwaltungskontos in diesem Fall auf der ServiceNow AI Platform.
    • Konfigurieren Sie die Konten so, dass für den Zugriff ein vertrauenswürdiges Konto verwendet wird (lateraler Zugriff innerhalb derselben AWS-Organisation oder über verschiedene AWS-Organisationen hinweg). Konfigurieren Sie die permanenten Anmeldeinformationen des vertrauenswürdigen Kontos in diesem Fall auf der ServiceNow AI Platform.
    Hinweis:
    Governance für Cloud-Konfigurationen Verwendet kein MID-serverbasiertes Übernahmerollen-Setup für den Zugriff auf die vertrauenden Accounts.

    Prozedur

    1. Erstellen Sie Anmeldeinformationen für die AWS-Servicekonten.
      1. Navigieren zu Verbindung und Anmeldeinformationen > Anmeldeinformationenan.
      2. Wählen Sie Neu und dann AWS-Anmeldeinformationen aus.
      3. Füllen Sie die Felder des Formulars aus.
        Tabelle : 1. Formular für AWS-Anmeldeinformationen
        Feld Beschreibung
        Name Eindeutiger und beschreibender Name für die AWS-Anmeldeinformationen
        Aktiv Option zur Verwendung dieser Anmeldeinformationen.
        Zugangsschlüssel-ID Die Zugriffsschlüssel-ID, die Sie in der AWS-Verwaltungskonsole erstellt haben
        Geheimer Zugangsschlüssel Der geheime Zugriffsschlüssel, den Sie in der AWS-Verwaltungskonsole erstellt haben
      4. Wählen Sie Speichern.
    2. Wählen Sie den Anmeldeinformationsalias sn_itom_cal.Aws_Creds_Alias aus, oder erstellen Sie einen Anmeldeinformationsalias.
      1. Entsperren Sie den Anmeldeinformationsalias.
      2. Suchen Sie nach einem Anmeldeinformationsalias.
      3. Wählen Sie Neu.
      4. Füllen Sie die Felder des Formulars aus.
        Tabelle : 2. Formular „Verbindungs- und Anmeldeinformationsalias“
        Feld Beschreibung
        Name Eindeutiger Name des Alias
        Typ Typ des Anmeldeinformationsalias.

        Wählen Sie in der Dropdown-Liste „Typ“ die Option Anmeldeinformationen aus.
      5. Wählen Sie Absenden aus.
    3. Legen Sie das Feld Authentifizierungsalgorithmus auf AWS Authenticator fest.
    4. Wählen Sie Absenden aus.
    5. Richten Sie ein AWS-Servicekonto ein.
      1. Navigieren zu Cloud Provisioning and Governance > Service-Accountsan.
      2. Wählen Sie Neu.
      3. Füllen Sie die Felder des Formulars aus.
        Tabelle : 3. Formular für Cloud-Servicekonto
        Feld Beschreibung
        Name Eindeutiger Name des Servicekontos
        Account-ID 12-stellige Nummer des Benutzerkontos. Erweitern Sie die Liste unter dem Kontonamen in der AWS-Verwaltungskonsole, um die Nummer anzuzeigen.
        Wichtig:
        Entfernen Sie im Feld Konto-ID die Bindestriche (-) aus der Nummer.
        Discovery-Anmeldeinformationen Die für erforderlichen Anmeldeinformationen ServiceNow Anwendungen für den Zugriff auf den Cloud-Account. Sie können die Discovery-Anmeldeinformationen zu einem späteren Zeitpunkt konfigurieren, während Sie den Zugriff auf konfigurieren AWS Accounts.
        • Wenn Sie ein unabhängiges Servicekonto oder ein Verwaltungskonto einrichten, wählen Sie die zugehörigen AWS-Anmeldeinformationen aus.
        • Um andere zu verwenden AWS Accounts um auf diesen Account zuzugreifen, lassen Sie das Feld leer.

          Sie müssen beispielsweise nicht angeben AWS Anmeldeinformationen für Accounts, die IAM-Rollen (Identity and Access Management) annehmen, oder Mitgliedsaccounts, die ihren Verwaltungsaccount für den Zugriff verwenden.
        Rechenzentrums-URL URL des Rechenzentrums.

        Lassen Sie dieses Feld leer.

        Hinweis:
        Verwenden Sie für GovCloud die URL https://ec2.us-gov-west-1.amazonaws.com.
        Rechenzentrumstyp Typ des Rechenzentrums, in dem das Konto gehostet wird.

        Wählen Sie AWS-Rechenzentrum aus.
        Rechenzentrums-Discovery-Status Automatisch generierter Wert: Status und Zeitstempel der letzten Ausführung von Discovery im Rechenzentrum.
        Übergeordneter Account Name des Verwaltungskontos, das die AWS-Organisation darstellt, zu der dieses Mitgliedskonto gehört.

        Dieses Feld wird angezeigt, wenn Sie „AWS-Rechenzentrum“ auswählen. Wenn der Account zu keinem gehört AWS Organisation, lassen Sie dieses Feld leer.
        Ist Master-Konto Kennzeichnung des Verwaltungskontos.

        Dieses Kontrollkästchen wird angezeigt, wenn Sie in der Dropdown-Liste „Rechenzentrumstyp“ die Option „AWS-Rechenzentrum“ auswählen. Aktivieren Sie das Kontrollkästchen, um das AWS-Servicekonto dem Verwaltungskonto zuzuordnen. Aktivieren Sie dieses Kontrollkästchen nur für Konten, die Sie zuvor als Verwaltungskonten konfiguriert haben und zu denen einige Mitgliedskonten gehören. Weitere Informationen zu finden AWS Organisation, siehe AWS Dokumentationan.
        Account des Zugriffsberechtigten Name des vertrauenswürdigen Kontos.

        Konfigurieren Sie dieses Feld nur für Konten, bei denen keine permanenten AWS-Anmeldeinformationen verwendet werden und bei denen IAM-Rollen für den Zugriff genutzt werden.
      4. Wählen Sie Absenden aus.
    6. Führen Sie eine der folgenden Aktionen aus.
      OptionBeschreibung
      Erstellen Sie eine Rollenübernahmekonfiguration für den Verwaltungsaccount

      Wenn Sie einen Verwaltungsaccount verwenden möchten, um die Mitgliedsaccounts des zu scannen AWS Organisation: Erstellen Sie eine Rollenübernahmekonfiguration für den Verwaltungsaccount.

      1. Wenn Sie die OrganizationAccountAccessRole nicht für den Zugriff auf den Mitgliedsaccount verwenden möchten, konfigurieren Sie den vertrauenden Account für Governance für Cloud-Konfigurationen.

        Weitere Informationen finden Sie unter Konfigurieren Sie den vertrauenden Account für Governance für Cloud-Konfigurationen Und Bibliothek von Cloud-Aktionen.

      2. Wiederholen Sie den Schritt 6.aFür alle Mitgliedsaccounts, die ohne Verwendung der OrganizationAccountAccessRole über den Verwaltungsaccount gescannt werden müssen.

      3. Wenn Sie die OrganizationAccountAccessRole verwenden möchten, um auf das Mitgliedskonto zuzugreifen, erstellen Sie eine Konfiguration für die Übernahme von Rollen für das Verwaltungskonto.

        Weitere Informationen finden Sie unter Konfiguration für die Übernahme von Rollen erstellen.
      Konfigurieren Sie den vertrauenden Account für Governance für Cloud-Konfigurationen

      Wenn Sie einen vertrauenswürdigen Account zum Scannen des vertrauenden Accounts verwenden möchten, konfigurieren Sie den vertrauenden Account für Governance für Cloud-Konfigurationen.

      1. Konfigurieren Sie den vertrauenden Account für Governance für Cloud-Konfigurationen.

        Weitere Informationen finden Sie unter Konfigurieren Sie den vertrauenden Account für Governance für Cloud-Konfigurationen Und Bibliothek von Cloud-Aktionen.

      2. Wiederholen Sie den Schritt 6.aFür alle vertrauenden Accounts, die über den vertrauenswürdigen Account gescannt werden müssen.
    7. Installieren und konfigurieren Sie die MID Servers.
      Weitere Informationen finden Sie unter Installieren und konfigurieren Sie MID-Server .
    8. Führen Sie die Rechenzentrumserkennung aus, um die mit den Servicekonten verbundenen Rechenzentren zu identifizieren.
      Weitere Informationen finden Sie unter Rechenzentrumserkennung ausführen.