Zugriff mithilfe temporärer Anmeldeinformationen für vertrauende AWS-Mitgliederkonten konfigurieren

  • Freigeben Version: Zurich
  • Aktualisiert 3. September 2025
  • 3 Minuten Lesedauer

    • Konfigurieren Sie den Zugriff für AWS mitglieds-Accounts mithilfe einer Vertrauenskette vom Zugriffsberechtigten über den Verwaltungs-Account.

    Vorbereitungen

    • Machen Sie sich mit der Amazon-Dokumentation zum Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer vertraut.
    • Vergewissern Sie sich, dass Sie wissen, welche AWS-Mitgliedskonten demselben Verwaltungskonto zugewiesen sind. Sie verwenden das Verwaltungskonto zur Konfiguration temporärer Anmeldeinformationen für die Cloud-Erkennung mithilfe von IAM-Rollen.
    • Bestätigen Sie das Discovery-Administratorarbeitsbereich Verwendet mindestens Version 1.10.0. Die Discovery > Cloud-Service-Accounts Das Navigationsmodul ist mit früheren Versionen nicht verfügbar. Um auf zuzugreifen Cloud-Service-Accounts Geben Sie bei einer früheren Version im Navigationsfilter Folgendes ein: cmdb_ci_Cloud_Service_Account.list .
    Erforderliche Rolle:
    • Für Cloud-Discovery: Discovery_admin
    • Für Cloud Provisioning and Governance: admin oder sn_cmp.cloud_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können den Zugriff für konfigurieren AWS mitglieds-Accounts mithilfe einer Vertrauenskette vom Zugriffsberechtigten über den Verwaltungs-Account. Der Account des Zugriffsberechtigten hat entweder AWS Anmeldeinformationen oder verwendet eine Methode ohne Anmeldeinformationen.

    Abbildung : 1. Mitgliedskonten so konfigurieren, dass sie für den Zugriff das jeweilige Verwaltungskonto nutzen

    Richten Sie die IAM-Rolle der Accounts vertrauender Mitglieder so ein, dass sie ihrem Verwaltungsaccount vertrauen, der wiederum einem Account eines Zugriffsberechtigten vertraut

    Prozedur

    1. Erstellen Sie eine IAM-Rolle für den Mitgliedsaccount, und konfigurieren Sie die Vertrauensbeziehung zwischen dem Anwender, der diese Rolle übernimmt, und dem vertrauenswürdigen Verwaltungs-Account.
      1. Melden Sie sich bei der AWS-Managementkonsole mit den Anmeldeinformationen des Mitgliedskontos an, für das Sie den Zugriff konfigurieren.
      2. Erstellen und konfigurieren Sie die IAM-Rolle, indem Sie im Feld Account ID die ID des Verwaltungskontos angeben.
        Bedienungsinformationen zum Erstellen von AWS-Rollen finden Sie in der Amazon-Dokumentation.
      3. Klicken Sie auf der Seite Summary (Zusammenfassung) für die IAM-Rolle auf die Registerkarte Trust Relationships (Vertrauensstellungen).
      4. Klicken Sie auf Edit trust relationship (Vertrauensstellung bearbeiten).
        Die Seite zum Bearbeiten der Vertrauensstellung wird geöffnet und zeigt das Richtliniendokument an.
      5. Bearbeiten Sie die Vertrauensstellung wie folgt:
        • Legen Sie den Parameter Action auf sts:AssumeRole fest.
        • Legen Sie den Parameter AWS auf den vollständigen ARN der Rolle des Verwaltungskontos fest.

        Vertrauensstellung für das vertrauende Konto bearbeiten
      6. Klicken Sie auf Update Trust Policy (Vertrauensrichtlinie aktualisieren).
    2. Auf der ServiceNow AI Platform, Konfigurieren Sie den Service-Account des vertrauenden Mitglieds.
      1. Navigieren zu Alle > Discovery > Cloud-Service-Accountsan.
      2. Wählen Sie Neu.
      3. In Übergeordneter Account Geben Sie den Namen des Verwaltungs-Accounts ein.
      4. Füllen Sie die verbleibenden Felder im Formular aus.
        Eine Beschreibung der Feldwerte finden Sie unter Erstellen AWS Service-Accounts.
      5. Wählen Sie Absenden.
    3. Auf der ServiceNow AI Platform, Weisen Sie zu AWS IAM-Rolle für den Mitgliedsaccount.
      Wichtig:
      Führen Sie diesen Schritt nur aus, wenn Sie anwenderdefinierte IAM-Rollen erstellt haben. Standardmäßig ist die Rolle OrganizationAccountAccessRole dem vertrauenden Verwaltungsaccount des Mitglieds zugewiesen, und Sie müssen die Rolle OrganizationAccountAccessRole keinem Service-Account zuweisen.
      1. Navigieren zu Alle > Cloud Provisioning and Governance > Zugriffsparameter der Organisation > AWS-Org. – Parameter für Rollenübernahmean.
      2. Wählen Sie Neu.
      3. Konfigurieren Sie im Formular nur die folgenden Felder für den Account des vertrauenden Mitglieds:
        Tabelle : 1. Formular „AWS-Organisation für Cloud-Service-Account – Rollenparameter übernehmen“
        Feld Definition
        Name der Zugriffsrolle Name der IAM-Rolle, die für den vertrauende Account erstellt wurde.
        • Wenn IAM-Rollen für alle Mitgliedsaccounts identisch sind: Geben Sie den vollständigen ARN mit einem Sternchen (*) als Platzhalter für die Account-ID im folgenden Format ein: arn:aws:iam::*:role/MemberRoleName .

          Beispiel: arn:aws:iam::*:role/SN_MEMBER_ACCOUNT_ROLE .

        • Wenn sich die IAM-Rollen in den Mitgliedsaccounts unterscheiden: Geben Sie den vollständigen ARN der spezifischen IAM-Rolle für jeden Mitgliedsaccount in einem separaten Eintrag ein.
        Cloud-Servicekonto Name des vertrauenden Accounts, für den Sie mit der IAM-Rolle Zugriff bereitstellen.
        • Wenn IAM-Rollen für alle Mitgliedsaccounts identisch sind: Geben Sie den Namen des Verwaltungsaccounts ein.
        • Wenn sich die IAM-Rollen in den Mitgliedsaccounts unterscheiden: Geben Sie jeden Mitgliedsaccount in einem separaten Eintrag ein.
      4. Wählen Sie Absenden.

    Nächste Maßnahme

    Konfigurieren Sie den vertrauenden Verwaltungsaccount und den vertrauenswürdigen Zugriffsberechtigungsaccount.