Zugriff für AWS-Servicekonten einrichten

  • Freigeben Version: Zurich
  • Aktualisiert 3. September 2025
  • 5 Minuten Lesedauer

    • Cloud-Discovery und Cloud Provisioning and Governance benötigen Zugriff auf Ressourcen in den AWS-Servicekonten (Amazon Web Services). Informieren Sie sich über verschiedene Methoden zur Konfiguration dieses Zugriffs.

    Cloud-Discovery und Cloud Provisioning and Governance greifen auf Ressourcen in den AWS-Servicekonten über MID Servers zu. Sie müssen eingehenden Datenverkehr an autorisieren Amazon EC2-Instanzen aus dem MID-Server Zum Einrichten der ersten Kommunikation. Weitere Informationen finden Sie unter Konfigurieren Sie eingehende Regeln für Sicherheitsgruppen mit der AWS-Verwaltungskonsole .

    Typen von AWS-Anmeldeinformationen

    Es gibt permanente und temporäre AWS-Anmeldeinformationen, die Sie zur Konfiguration des Zugriffs auf AWS-Servicekonten verwenden können.
    Permanent
    Die permanenten Anmeldeinformationen sind die eigentlichen AWS-Anmeldeinformationen für das Servicekonto, das Sie zum Modul Verbindungen und Anmeldeinformationen von ServiceNow AI Platform hinzufügen. Es kann zwar zeitaufwändig sein, Anmeldeinformationen für zu verwalten ServiceNow AI Platform, Vermeiden Sie die komplexen Konfigurationen, die bei der Verwendung temporärer Anmeldeinformationen erforderlich sind.
    Temporär

    Die temporären Anmeldeinformationen werden vom AWS-Sicherheitstoken-Service (AWS STS) für IAM-Rollen generiert. Nachdem Sie IAM-Rollen für konfiguriert haben AWS Accounts, die MID-Server Zugriffe AWS Ressourcen mit diesen temporären Anmeldeinformationen. Sie können die IAM-Standardrolle OrganizationAccountAccessRole verwenden oder benutzerdefinierte IAM-Rollen erstellen.

    Die Annahme von IAM-Rollen in einer großen AWS-Organisation ist bequemer und bietet mehr Sicherheit als die Verwendung einer hohen Anzahl permanenter Anmeldeinformationen für alle AWS-Konten. Temporäre Anmeldeinformationen werden nur im Namen eines Service-Accounts erworben, wenn für diesen Service-Account keine permanenten Anmeldeinformationen in der Tabelle „Service-Accounts“ [cmdb_ci_Cloud_Service_Account] angegeben sind.

    Die MID-ServerVerwendet AssumeRole Aktion in AWS-Sicherheits-Token-Service-API Um eine Mitgliedsaccount-Rolle zu übernehmen. An diese API übergebene Parameter bestimmen, welche zusätzlichen Sicherheitsbeschränkungen auf die Rolle beim Zugriff auf AWS-Ressourcen angewendet werden.

    Standardmäßig ist der MID-Server so konfiguriert, dass er die Rolle OrganizationAccountAccessRole übernimmt, mit der allen Mitgliedern eines Primärkontos temporäre Anmeldeinformationen gewährt werden. Diese Aktion erfolgt automatisch, wenn keine permanenten Anmeldeinformationen für die Mitgliedskonten vorhanden sind. Durch diese Konfiguration werden keine zusätzlichen Sicherheitseinstellungen angewendet; der Zugriff auf Ressourcen in Mitgliedskonten wird nicht eingeschränkt.

    Standardmäßig werden temporäre Anmeldeinformationen für Mitgliedskonten 60 Minuten lang im Cache der ServiceNow-Instanz gespeichert. Mit diesem Intervall kann der horizontale Discovery-Prozess mehrmals ausgeführt werden, ohne während jeder Discovery neue Anmeldeinformationen zu generieren. Sie können das Caching von Anmeldeinformationen vermeiden oder den Caching-Zeitraum mit ändern MID-Server-Eigenschaften .

    IAM-Rollen und -Berechtigungen

    Dient zur Verbesserung der standardmäßig bereitgestellten Sicherheit AWS OrganizationAccountAccessRole -Rolle können Sie anpassen AWS Rollen, die MID Servers Kann annehmen, dass temporäre Anmeldeinformationen für Mitgliedsaccounts erhalten werden. Sie können zusätzliche Berechtigungen konfigurieren, um die Sicherheit zu verbessern und um anzupassen, wie die Rolle des Mitgliedskontos angenommen wird, wenn Cloud-Ressourcen erkannt werden.

    Methoden zum Gewähren von Zugriff

    Im Zusammenhang mit der Konfiguration des Zugriffs für AWS-Konten werden die folgenden Begriffe verwendet:
    Vertrauende Konten
    Vertrauende Konten haben keine permanenten AWS-Anmeldeinformationen. Sie konfigurieren die Vertrauensstellung für IAM-Rollen in diesen Konten so, dass sie für den Zugriff auf andere Konten zurückgreifen.
    Vertrauenswürdige Konten
    Die vertrauenswürdigen Konten werden von den vertrauenden Konten für den Zugriff verwendet. In der Benutzeroberfläche von ServiceNow werden die vertrauenswürdigen Konten als Accounts des Zugriffsberechtigten bezeichnet.
    Normalerweise richten Sie den Zugriff auf die AWS-Konten in Ihrer Organisation mit den folgenden Methoden ein:
    Konfigurieren des Zugriffs für einen einzelnen Account
    Konfigurieren des Zugriffs für einen Account, der einem Zugriffsberechtigungs-Account mit vertraut AWS Anmeldeinformationen
    Abbildung : 1. AWS-Konten so einrichten, dass sie auf ein vertrauenswürdiges Konto mit AWS-Anmeldeinformationen zurückgreifen

    Richten Sie die IAM-Rolle des vertrauenden AWS-Accounts ein, um dem Anwender des vertrauenswürdigen AWS-Accounts beim Zugriff zu vertrauen
    • Konfigurieren Sie jede Art von Account – diskret (unabhängig), Management oder Mitglied –, um sich auf einen vertrauenswürdigen Account mit zu verlassen AWS Anmeldeinformationen für den Zugriff.
    • Wenn Sie eine IAM-Rolle konfigurieren, die zu den vertrauenden Accounts gehört, um dem Anwender des vertrauenswürdigen Accounts zu vertrauen, können Sie nur einen Satz von verwenden AWS Anmeldeinformationen für die Bereitstellung von Zugriff auf mehrere AWS Accounts.
    Weitere Informationen finden Sie unter Zugriff mit temporären Anmeldeinformationen basierend auf vertrauenswürdigen AWS-Konten mit AWS-Anmeldeinformationen konfigurieren.
    Konfigurieren des Zugriffs für einen Account, der einem Zugriffsberechtigungs-Account ohne vertraut AWS Anmeldeinformationen
    Abbildung : 2. AWS-Konten so einrichten, dass sie auf einem vertrauenswürdigen Konto ohne AWS-Anmeldeinformationen beruhen

    Richten Sie die IAM-Rolle des vertrauenden AWS-Accounts ein, um der IAM-Rolle des vertrauenswürdigen AWS-Accounts für den Zugriff zu vertrauen
    • Konfigurieren Sie jede Art von Account – diskret (unabhängig), Management oder Mitglied – so, dass Sie sich ohne auf einen vertrauenswürdigen Account verlassen können AWS Anmeldeinformationen für den Zugriff.
    • Konfigurieren Sie einen Account ohne AWS Anmeldeinformationen mit einer IAM-Rolle und Berechtigungen für den Zugriff auf den vertrauenden Service-Account.
    • Richten Sie die IAM-Rolle des vertrauenden Accounts ein, um Zugriff auf die IAM-Rolle des vertrauenswürdigen Accounts zu gewähren.
    Weitere Informationen finden Sie unter Zugriff mit temporären Anmeldeinformationen basierend auf vertrauenswürdigen AWS-Konten ohne AWS-Anmeldeinformationen konfigurieren.
    Konfigurieren des Zugriffs für AWS mitglieds-Accounts mithilfe einer Vertrauenskette vom Zugriffsberechtigten über den Verwaltungs-Account.
    Abbildung : 3. Mitgliedskonten so konfigurieren, dass sie für den Zugriff das jeweilige Verwaltungskonto nutzen

    Richten Sie die IAM-Rolle der Accounts vertrauender Mitglieder ein, um ihrem Management-Account zu vertrauen

    Wie Cloud-Discovery die zu verwendenden Anmeldeinformationen bestimmt

    Mitgliedsaccount vertraut dem Verwaltungsaccount
    Cloud-Discovery Verwendet die folgende Logik, um zu bestimmen, welche Anmeldeinformationen für die Erkennung verwendet werden sollen AWS Cloud-Ressourcen in Mitgliedsaccounts:
    1. Wenn für das Mitgliedskonto in der Tabelle „Cloud-Servicekonto“ [cmdb_ci_cloud_service_account] dauerhafte Anmeldeinformationen definiert sind, verwendet Discovery diese Anmeldeinformationen. Die Tabelle „Cloud-Servicekonten“ [cmdb_ci_cloud_service_account] enthält die Informationen zu den Servicekontotypen wie Verwaltungskonto oder Mitgliedskonto und deren Anmeldeinformationen.
    2. Wenn für den Mitgliedsaccount keine permanenten Anmeldeinformationen definiert sind, DiscoveryÜberprüft die Tabelle „AWS-Org-Rollenübernahmeparameter für Cloud-Service-Account“ [Cloud_Service_Account_aws_org_take_role_params] auf spezielle Parameter, die dem Mitgliedsaccount zugeordnet sind. Wenn in dieser Tabelle Parameter vorhanden sind, verwendet Discovery die temporären Anmeldeinformationen, die durch Angabe einer Rolle und deren Parameter in der Aktion „AssumeRole“ der AWS-Sicherheits-Token-Service-API abgerufen wurden.
    3. Wenn dem Mitgliedsaccount in der Tabelle [Cloud_Service_Account_aws_org_take_role_params] keine speziellen Parameter zugeordnet sind, DiscoveryÜberprüft diese Tabelle auf Parameter, die dem Verwaltungs-Account zugeordnet sind. Wenn Parameter vorhanden sind, die eine Rolle für den Verwaltungsaccount definieren, Discovery Verwendet die von dieser Rolle bereitgestellten temporären Anmeldeinformationen.
    4. Wenn in der Tabelle [cloud_service_account_aws_org_assume_role_params] keine speziellen Parameter für Verwaltungs- oder Mitgliedskonten vorhanden sind, verwendet Discovery die Standardeinstellungen, die für die Rolle OrganizationAccountAccessRole definiert sind.
    Mitglieds- oder Verwaltungsaccount vertraut dem Account des Zugreifers
    1. Wenn dauerhafte Anmeldeinformationen für das Mitglied oder den Verwaltungsaccount in der Tabelle „Cloud-Service-Account“ [cmdb_ci_Cloud_Service_Account] definiert sind, Discovery Verwendet diese Anmeldeinformationen. Die Tabelle „Cloud-Servicekonten“ [cmdb_ci_cloud_service_account] enthält die Informationen zu den Servicekontotypen wie Verwaltungskonto oder Mitgliedskonto und deren Anmeldeinformationen.
    2. Wenn für den Account keine permanenten Anmeldeinformationen definiert sind, DiscoveryÜberprüft die Tabelle „AWS-übergreifende Rollenübernahmeparameter für Cloud-Service-Account“ [Cloud_Service_Account_aws_Cross_take_role_params] auf spezielle Parameter, die dem Account zugeordnet sind. Wenn in dieser Tabelle Parameter vorhanden sind, verwendet Discovery die temporären Anmeldeinformationen, die durch Angabe einer Rolle und deren Parameter in der Aktion „AssumeRole“ der AWS-Sicherheits-Token-Service-API abgerufen wurden.