AWS 認証情報を持つトラステッド AWS アカウントに基づく一時的な認証情報を使用したアクセス構成

  • リリースバージョン: Zurich
  • 更新日 2025年09月03日
  • 所要時間:6分

    • アクセスが必要なリソースを持つトラスティングアカウントを、Identity and Access Management (IAM) ロールを使用してトラステッドアカウントに依存するように構成します。

    始める前に

    • IAM ユーザーに権限を委任するロールの作成に関する Amazon ドキュメントで、しっかりと理解してください。
    • トラステッドアカウントにする AWS アカウントを決定します。トラステッドアカウントを使用して、IAM ロールを使用する クラウドディスカバリー の一時的な認証情報を設定します。IAM ロールを使用して他のアカウントにアクセスできるような信頼できるアカウントを、アクセサーアカウントといいます。
    • メンバーアカウントが管理アカウントを信頼し、その管理アカウントがアクセサーアカウントを信頼するトラストチェーンを設定する場合は、管理アカウントを信頼するようにメンバーアカウントを設定済みであることを確認してください。詳細については、「トラスティング AWS メンバーアカウントの一時認証情報を使用したアクセス構成」を参照してください。
    • ディスカバリーアドミンワークスペース がバージョン 1.10.0 以降を使用していることを確認します。ザ ディスカバリー > クラウドサービスアカウント ナビゲーションモジュールは以前のバージョンでは使用できません。以前のバージョンの クラウドサービスアカウント にアクセスするには、ナビゲーションフィルターに 「cmdb_ci_cloud_service_account.list」と入力します。
    必要なロール:
    • クラウドディスカバリーの場合:discovery_admin
    • クラウドプロビジョニングとガバナンス の場合:admin または sn_cmp.cloud_admin

    このタスクについて

    これを構成する際に、トラスティングアカウントに対して IAM ロールを作成してから、そのトラスティングアカウントに対してトラステッドサービスアカウントを ServiceNow AI Platform で構成します。最後に、トラスティングアカウント用に作成した IAM ロールを、そのトラスティングアカウント自体に関連付けます。

    図 : 1. 任意の AWS アカウントを AWS 認証情報を備えたトラステッドアカウントに依存させる設定

    アクセスのためトラステッド AWS アカウントのユーザーを信頼するようにトラスティング AWS アカウントの IAM ロールを設定

    手順

    1. トラスティングアカウントの IAM ロールを作成し、このロールを担うユーザーとトラステッド (アクセサー) アカウントの間に信頼関係を設定します。
      1. AWS 管理コンソールで、トラスティングアカウントにログインします。
      2. [アカウント ID] フィールドで、トラステッド (アクセサー) アカウント ID を指定する IAM ロールを作成して構成します。
        AWSロールの作成については、以下を参照してください。 Amazon ドキュメント.
      3. IAM ロールの [サマリー] ページで、[信頼関係] タブを選択します。
      4. [信頼関係を編集 (Edit trust relationship)] を選択します。
        [信頼関係の編集 (Edit Trust Relationship)] ページが開き、ポリシードキュメントが表示されます。
      5. AWS パラメーターをトラステッド (アクセサー) アカウントのフルユーザー ARN に設定します。

        トラスティングアカウントの信頼関係を編集しています。
      6. Action 値が sts:AssumeRole に設定されていることを確認します。
      7. [信頼ポリシーの更新] を選択します。
    2. ServiceNow AI Platformで、トラステッドサービスアカウントを構成します。
      1. 移動先 すべて > ディスカバリー > クラウドサービスアカウント.
      2. Selelct New
      3. フォームで、フィールドに入力します。
        フィールド値の説明については、「AWSサービスアカウントの作成」を参照してください。
      4. [Submit (送信)] を選択します。
    3. ServiceNow AI Platformで、トラスティングサービスアカウントを構成します。
      1. 移動先 すべて > ディスカバリー > クラウドサービスアカウント.
      2. [New (新規)] を選択します。
      3. [アクセサーアカウント] フィールドに、トラステッドアカウントの名前を入力します。
      4. フォームの残りのフィールドに入力します。
        フィールド値の説明については、「AWSサービスアカウントの作成」を参照して ください。
      5. [Submit (送信)] を選択します。
    4. ServiceNow AI Platformで、トラステッドアカウントとの関係に基づいて、関連するフォームを使用して、AWS IAM ロールをトラスティングアカウントにアサインします。
      トラステッドアカウントタイプステップ
      管理アカウント
      1. 移動先 すべて > クラウドプロビジョニングとガバナンス > 組織アクセスパラメーター > AWS 組織想定ロールパラメーター.
      2. [New (新規)] を選択します。
      3. フォームで、トラスティングメンバーアカウントの次のフィールドのみを設定します。
        表 : 1. クラウドサービスアカウント AWS 組織想定ロールパラメーターフォーム
        フィールド 定義
        アクセスロール名 信頼するアカウント用に作成された IAM ロールの名前。
        • IAM ロールがすべてのメンバーアカウントで同じ場合:アカウント ID のワイルドカードとしてアスタリスク (*) を使用して、完全な ARN を arn:aws:iam::*:role/MemberRoleName の形式で入力します。

          例: arn:aws:iam::*:role/SN_MEMBER_ACCOUNT_ROLE

        • IAM ロールがメンバーアカウント間で異なる場合: 各メンバーアカウントの特定の IAM ロールの完全な ARN を個別のエントリに入力します。
        クラウドサービスアカウント IAM ロールを使用してアクセスを提供している信頼するアカウントの名前。
        • IAM ロールがすべてのメンバーアカウントで同じ場合: 管理アカウント名を入力します。
        • IAM ロールがメンバーアカウント間で異なる場合:各メンバーアカウントを個別のエントリに入力します。
      4. [Submit (送信)] を選択します。
      メンバーまたは個別アカウント
      1. 移動先 すべて > クラウドプロビジョニングとガバナンス > 組織アクセスパラメーター > AWS クロス想定ロールパラメーター.
      2. [New (新規)] を選択します。
      3. フォームで、トラスティングアカウントに対して次のフィールドのみを設定します。
        表 : 2. クラウドサービスアカウント AWS クロス想定ロールパラメーターフォーム
        フィールド 説明
        アクセスロール名 信頼するアカウント用に作成された IAM ロールの名前。
        クラウドサービスアカウント IAM ロールを使用してアクセスを提供している信頼するアカウントの名前。
      4. [Submit (送信)] を選択します。

    次のタスク

    ServiceNow アプリケーションが IAM ロールを使用してトラスティングサービスアカウントにアクセスできることを確認します。
    1. 移動先 すべて > ディスカバリー > クラウドサービスアカウント.
    2. トラスティング AWS サービスアカウントを選択します。
    3. [関連リンク] の下の [ディスカバリースケジュールを作成] を選択します。
    4. [ディスカバリーマネージャーのクラウドディスカバリー] ページで、[ テストアカウント] を選択します。
      • 接続に成功すると、アカウントの検証が成功したことを示すメッセージが表示されます。
      • 接続に失敗した場合は、失敗の原因を示すエラーメッセージが表示されます。