Zugriff mit temporären Anmeldeinformationen basierend auf vertrauenswürdigen AWS-Konten mit AWS-Anmeldeinformationen konfigurieren

  • Freigeben Version: Zurich
  • Aktualisiert 3. September 2025
  • 4 Minuten Lesedauer

    • Konfigurieren Sie das vertrauende Konto, auf dessen Ressourcen zugegriffen werden muss, so, dass es über die Identity and Access Management (IAM)-Rolle auf das vertrauenswürdige Konto zurückgreift.

    Vorbereitungen

    • Machen Sie sich mit der Amazon-Dokumentation zum Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer vertraut.
    • Entscheiden Sie, welches AWS-Konto das vertrauenswürdige Konto sein soll. Sie verwenden den vertrauenswürdigen Account, um temporäre Anmeldeinformationen für zu konfigurieren Cloud-Discovery Mit IAM-Rollen. Der vertrauenswürdige Account, den Sie für den Zugriff auf andere Accounts mit IAM-Rollen verwenden, wird als Account eines Zugriffsberechtigten bezeichnet.
    • Wenn Sie eine Vertrauenskette einrichten, bei der ein Mitgliedsaccount einem Verwaltungs-Account vertraut und der Verwaltungsaccount einem Zugriffsberechtigungs-Account vertraut, überprüfen Sie, ob Sie den Mitgliedsaccount so konfiguriert haben, dass er dem Verwaltungs-Account vertraut. Weitere Informationen finden Sie unter Zugriff mithilfe temporärer Anmeldeinformationen für vertrauende AWS-Mitgliederkonten konfigurieren.
    • Bestätigen Sie das Discovery-Administratorarbeitsbereich Verwendet mindestens Version 1.10.0. Die Discovery > Cloud-Service-Accounts Das Navigationsmodul ist mit früheren Versionen nicht verfügbar. Um auf zuzugreifen Cloud-Service-Accounts Geben Sie bei einer früheren Version im Navigationsfilter Folgendes ein: cmdb_ci_Cloud_Service_Account.list .
    Erforderliche Rolle:
    • Für Cloud-Discovery: Discovery_admin
    • Für Cloud Provisioning and Governance: admin oder sn_cmp.cloud_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Während dieser Konfiguration erstellen Sie eine IAM-Rolle für das vertrauende Konto und konfigurieren dann das vertrauenswürdige Servicekonto für das vertrauende Konto in ServiceNow AI Platform. Schließlich ordnen Sie die IAM-Rolle, die Sie für das vertrauende Konto erstellt haben, dem vertrauenden Konto selbst zu.

    Abbildung : 1. AWS-Konten so einrichten, dass sie auf ein vertrauenswürdiges Konto mit AWS-Anmeldeinformationen zurückgreifen

    Richten Sie die IAM-Rolle des vertrauenden AWS-Accounts ein, um dem Anwender des vertrauenswürdigen AWS-Accounts beim Zugriff zu vertrauen

    Prozedur

    1. Erstellen Sie eine IAM-Rolle für das vertrauende Konto, und konfigurieren Sie die Vertrauensstellung zwischen dem Benutzer, der diese Rolle übernimmt, und dem vertrauenswürdigen Konto (Account des Zugriffsberechtigten).
      1. Melden Sie sich in der AWS-Managementkonsole bei dem vertrauenden Account an.
      2. Erstellen und konfigurieren Sie die IAM-Rolle, indem Sie im Feld Account ID die ID des vertrauenswürdigen Kontos (des Accounts des Zugriffsberechtigten) angeben.
        Für Informationen zum Erstellen AWS-Rollen finden Sie unter Amazon Dokumentationan.
      3. Wählen Sie auf der Seite „Zusammenfassung“ für die IAM-Rolle die Registerkarte Trust Relationships (Vertrauensstellungen).
      4. Klicken Sie auf Edit trust relationship (Vertrauensstellung bearbeiten).
        Die Seite zum Bearbeiten der Vertrauensstellung wird geöffnet und zeigt das Richtliniendokument an.
      5. Legen Sie den Parameter AWS auf den vollständigen Benutzer-ARN des vertrauenswürdigen Accounts (des Zugriffsberechtigten) fest.

        Vertrauensstellung für das vertrauende Konto bearbeiten.
      6. Verifizieren Sie, ob der Action-Wert auf sts:AssumeRole festgelegt ist.
      7. Klicken Sie auf Update Trust Policy (Vertrauensrichtlinie aktualisieren).
    2. Auf der ServiceNow AI Platform, Konfigurieren Sie den vertrauenswürdigen Service-Account.
      1. Navigieren zu Alle > Discovery > Cloud-Service-Accountsan.
      2. Auswählen Neu .
      3. Füllen Sie im Formular die Felder aus.
        Eine Beschreibung der Feldwerte finden Sie unter Erstellen AWS Service-Accounts.
      4. Wählen Sie Absenden.
    3. Auf der ServiceNow AI Platform, Konfigurieren Sie den vertrauenden Service-Account.
      1. Navigieren zu Alle > Discovery > Cloud-Service-Accountsan.
      2. Wählen Sie Neu.
      3. In Zugriffsberechtigter-Account Geben Sie den Namen des vertrauenswürdigen Accounts ein.
      4. Füllen Sie die verbleibenden Felder im Formular aus.
        Eine Beschreibung der Feldwerte finden Sie unter Erstellen AWS Service-Accounts.
      5. Wählen Sie Absenden.
    4. Auf der ServiceNow AI Platform, Weisen Sie zu AWS IAM-Rolle für den vertrauenden Account mithilfe des entsprechenden Formulars basierend auf der Beziehung zum vertrauenswürdigen Account.
      Vertrauenswürdiger Account-TypSchritte
      Verwaltungsaccount
      1. Navigieren zu Alle > Cloud Provisioning and Governance > Zugriffsparameter der Organisation > AWS-Org. – Parameter für Rollenübernahmean.
      2. Wählen Sie Neu.
      3. Konfigurieren Sie im Formular nur die folgenden Felder für den Account des vertrauenden Mitglieds:
        Tabelle : 1. Formular „AWS-Organisation für Cloud-Service-Account – Rollenparameter übernehmen“
        Feld Definition
        Name der Zugriffsrolle Name der IAM-Rolle, die für den vertrauende Account erstellt wurde.
        • Wenn IAM-Rollen für alle Mitgliedsaccounts identisch sind: Geben Sie den vollständigen ARN mit einem Sternchen (*) als Platzhalter für die Account-ID im folgenden Format ein: arn:aws:iam::*:role/MemberRoleName .

          Beispiel: arn:aws:iam::*:role/SN_MEMBER_ACCOUNT_ROLE .

        • Wenn sich die IAM-Rollen in den Mitgliedsaccounts unterscheiden: Geben Sie den vollständigen ARN der spezifischen IAM-Rolle für jeden Mitgliedsaccount in einem separaten Eintrag ein.
        Cloud-Servicekonto Name des vertrauenden Accounts, für den Sie mit der IAM-Rolle Zugriff bereitstellen.
        • Wenn IAM-Rollen für alle Mitgliedsaccounts identisch sind: Geben Sie den Namen des Verwaltungsaccounts ein.
        • Wenn sich die IAM-Rollen in den Mitgliedsaccounts unterscheiden: Geben Sie jeden Mitgliedsaccount in einem separaten Eintrag ein.
      4. Wählen Sie Absenden.
      Mitglieds- oder diskreter Account
      1. Navigieren zu Alle > Cloud Provisioning and Governance > Zugriffsparameter der Organisation > AWS – Parameter für übergreifende Rollenübernahmean.
      2. Wählen Sie Neu.
      3. Konfigurieren Sie im Formular nur die folgenden Felder für den vertrauenden Account:
        Tabelle : 2. Formular „AWS-übergreifende Rollenübernahmeparameter für Cloud-Service-Account“
        Feld Beschreibung
        Name der Zugriffsrolle Name der IAM-Rolle, die für den vertrauende Account erstellt wurde.
        Cloud-Servicekonto Name des vertrauenden Accounts, für den Sie mit der IAM-Rolle Zugriff bereitstellen.
      4. Wählen Sie Absenden.

    Nächste Maßnahme

    Stellen Sie sicher, dass ServiceNow-Anwendungen mithilfe der IAM-Rolle auf das vertrauende Servicekonto zugreifen können:
    1. Navigieren zu Alle > Discovery > Cloud-Service-Accountsan.
    2. Wählen Sie das Vertrauen aus AWS Service-Account.
    3. Unter Zugehörige Links , Wählen Sie aus Erstellen Sie Einen Discovery-Zeitplan .
    4. Wählen Sie auf der Seite Discovery Manager Cloud Discovery die Option aus Test-Account .
      • Wenn die Verbindung erfolgreich ist, wird eine Meldung angezeigt, die angibt, dass die Accountvalidierung erfolgreich war.
      • Wenn die Verbindung nicht erfolgreich ist, wird eine Fehlermeldung angezeigt, die die Fehlerursache angibt.