AWS 向けに クラウドコンフィグレーションガバナンス をセットアップ

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:7分

    • クラウドコンフィグレーションガバナンスAmazon Web サービス (AWS) クラウドアカウントへのアクセスを設定し、アプリケーションとクラウドの間のインタラクションを有効にします。アプリケーションでは、クラウドアカウントにアクセスし、クラウドリソースをスキャンして非準拠の構成を探して修正する必要があります。

    始める前に

    必要なロール:sn_itom_ccg.scheduling_admin

    このタスクについて

    AWS アカウントのアクセスを構成する際に、次のような用語を使用します。
    トラスティングアカウント
    トラスティングアカウントには、永続的な AWS 認証情報がありません。これらのアカウントの IAM ロールが他のアカウントに依存してアクセスするための信頼関係を構成します。
    トラステッドアカウント
    トラステッドアカウントは、トラスティングアカウントによってアクセスに使用されます。ServiceNow UI では、トラステッドアカウントが「アクセサーアカウント」という名称になっています。
    AWS アカウントへのアクセス権を設定するには、次のいずれかの方法を使用します。
    • スタンドアロン AWS アカウント (ディスクリートアカウント) に接続するように ServiceNow AI Platform の永続的な認証情報を構成します。クラウドサービスアカウント [cmdb_ci_cloud_service-account] テーブルには、管理アカウントまたはメンバーアカウント、アクセス認証情報などのサービスアカウントのタイプに関する情報が含まれています。
    • 管理アカウントに依存してアクセスするように、メンバーアカウントを構成します。この場合、管理アカウントの永続的な認証情報を ServiceNow AI Platformに設定します。
    • トラステッドアカウントに依存してアクセスするように、アカウントを構成します (同じ AWS 組織内または異なる AWS 組織間のラテラルアクセス)。この場合は、トラステッドアカウントの永続的な認証情報を ServiceNow AI Platform に構成します。
    注:
    クラウドコンフィグレーションガバナンス は、トラスティングアカウントへのアクセスに MID サーバーベースの想定ロールのセットアップを使用しません。

    手順

    1. AWS サービスアカウントの認証情報を作成します。
      1. 移動先 接続と認証情報 > 認証情報.
      2. [新規] を選択し、[AWS 認証情報] を選択します。
      3. フォームのフィールドに入力します。
        表 : 1. AWS 認証情報フォーム
        フィールド 説明
        名前 AWS 認証情報の分かりやすい一意の名前。
        アクティブ 認証情報を使用するオプション。
        アクセスキー ID AWS マネジメントコンソールで生成されたアクセスキー ID を入力します。
        秘密アクセスキー AWS マネジメントコンソールで生成された秘密アクセスキーを入力します。
      4. [保存] を選択します。
    2. sn_itom_cal.Aws_Creds_Alias 認証情報エイリアスを選択するか、新しい認証情報エイリアスを作成します。
      1. 認証情報エイリアスのロックを解除します。
      2. 認証情報エイリアスを検索します。
      3. [新規] を選択します。
      4. フォームのフィールドに入力します。
        表 : 2. [接続および資格情報エイリアス] フォーム
        フィールド 説明
        名前 エイリアスの一意の名前。
        タイプ 認証情報エイリアスタイプ。

        [タイプ] ドロップダウンリストから [認証情報] を選択します。
      5. [送信] を選択します。
    3. [認証アルゴリズム] フィールドを [AWS Authenticator] に設定します。
    4. [送信] を選択します。
    5. AWS サービスアカウントを設定します。
      1. 移動先 クラウドプロビジョニングとガバナンス > サービスアカウント.
      2. [New (新規)] を選択します。
      3. フォームのフィールドに入力します。
        表 : 3. クラウドサービスアカウントフォーム
        フィールド 説明
        名前 サービスアカウントの一意の名前。
        アカウント ID 12 桁のユーザーアカウント番号。番号を表示するには、AWS マネジメントコンソールのアカウント名の下のリストを展開します。
        重要:
        [アカウント ID] フィールドで、数字からハイフン (-) を削除します。
        ディスカバリー認証情報 ServiceNow アプリケーションがクラウドアカウントにアクセスするために必要な認証情報。ディスカバリー認証情報は、後で AWS アカウントへのアクセスを構成するときに構成できます。
        • 独立したサービスアカウントまたは管理アカウントを設定する場合は、その AWS 認証情報を選択します。
        • 他の AWS アカウントを使用してこのアカウントにアクセスする場合は、フィールドを空白のままにします。

          たとえば、Identity and Access Management (IAM) ロールがあるアカウント、またはアクセスに管理アカウントを使用するメンバーアカウントの AWS 認証情報は指定する必要はありません。
        データセンター URL データセンターの URL。

        このフィールドは空のままにします。

        注:
        GovCloud の場合は、URL https://ec2.us-gov-west-1.amazonaws.comを使用します。
        データセンタータイプ アカウントがホストされているデータセンターのタイプ。

        [AWS データセンター] を選択します。
        データセンターディスカバリーステータス 自動生成された値:データセンターで前回実行した ディスカバリーのステータスとタイムスタンプ
        親アカウント このメンバーアカウントが属する AWS の組織を表す管理アカウントの名前を選択します。

        このフィールドは、[AWS データセンター] を選択すると表示されます。アカウントがどの AWS 組織にも属していない場合は、このフィールドを空白のままにします。
        マスターアカウントである 管理アカウントのフラグ

        このチェックボックスは、[データセンタータイプ] ドロップダウンから [AWS データセンター] を選択すると表示されます。チェックボックスをオンにして AWS サービスアカウントをマスターアカウントに関連付けます。このチェックボックスをオンにするアカウントは、以前に管理アカウントとして構成し、何名かのメンバーアカウントがそこに属している場合に限られます。AWS組織の詳細については、次を参照してください。 AWS ドキュメント.
        アクセサーアカウント トラステッドアカウントの名前。

        このフィールドは、永続的な AWS 認証情報を使用せず、アクセスを IAM ロールに依存するアカウントに対してのみ構成します。
      4. [送信] を選択します。
    6. 次のいずれかのアクションを実行します。
      オプション説明
      管理アカウントの想定ロール構成を作成する (Create an assume role configuration for the management account)

      管理アカウントを使用して AWS 組織のメンバーアカウントをスキャンする場合は、管理アカウントの想定ロール構成を作成します。

      1. OrganizationAccountAccessRole を使用してメンバーアカウントにアクセスしない場合は、クラウドコンフィグレーションガバナンス のトラスティングアカウントを構成します。

        詳細については、「クラウドコンフィグレーションガバナンス と クラウドアクションライブラリ にトラスティングアカウントを構成する」を参照してください。

      2. すべてのメンバーアカウントに対してステップ 6.a を繰り返します。このステップでは、OrganizationAccountAccessRole を使用せずに、管理アカウントでスキャンする必要があります。

      3. OrganizationAccountAccessRole を使用してメンバーアカウントにアクセスする場合は、管理アカウントの想定ロール構成を作成します。

        詳細については、「想定ロール構成の作成」を参照してください。
      クラウドコンフィグレーションガバナンス にトラスティングアカウントを構成する (Configure the trusting account for )

      トラステッドアカウントを使用してトラスティングアカウントをスキャンする場合は、クラウドコンフィグレーションガバナンス にトラスティングアカウントを構成します。

      1. クラウドコンフィグレーションガバナンス にトラスティングアカウントを構成します。

        詳細については、「クラウドコンフィグレーションガバナンス と クラウドアクションライブラリ にトラスティングアカウントを構成する」を参照してください。

      2. すべてのトラスティングアカウントに対してステップ 6.a を繰り返します。このステップでは、トラステッドアカウントでスキャンする必要があります。
    7. MID サーバー をインストールして設定します。
      詳細については、「MID サーバーのインストールと構成」を参照してください。
    8. データセンターディスカバリーを実行して、サービスアカウントに関連付けられているデータセンターを特定します。
      詳細については、「データセンターディスカバリーの実行」を参照してください。