Amazon Web サービスに対する クラウドプロビジョニングとガバナンス の 1 日目のセットアップガイド
クラウドプロビジョニングとガバナンス を初めて設定する場合、この「1 日目」のセットアップガイドの手順を実行します。手順は順番に実行してください。1 日目のセットアップを実行した後、必要に応じて、任意の順序でオプションの 2 日目のセットアップおよび構成手順を実行できます。各手順の詳細な説明については、この概要に従ってください。
クラウドプロビジョニングとガバナンス アプリケーションの要求
クラウドプロビジョニングとガバナンス アプリケーションは個別のサブスクリプションとして使用できますが、クラウドプロビジョニングとガバナンス プラグイン (com.snc.cloud.mgmt) が必要です。 「クラウドプロビジョニングとガバナンス のアプリケーションの要求」を参照してください。
クラウドプロビジョニングとガバナンス のセットアップに必要なロール
- AWS 管理コンソールの操作には、アドミニストレーターロールが必要です。
- クラウドプロビジョニングとガバナンス の操作には、sn_cmp.cloud_admin ロールが必要です。
クラウドプロビジョニングとガバナンス が使用する用語について
多くの場合、クラウドプロバイダーはアカウント、地域、認証情報の設定に異なる名前を使用します。ServiceNow アプリケーションは複数のクラウドプロバイダーをサポートしているため、アプリは設定に汎用的な名前を使用します。 AWS では、仮想リソースの地域固有のコンテナは「リージョン」と呼ばれます。クラウドプロビジョニング では、地域はデータセンターまたは論理データセンター (LDC) と呼ばれます。 論理という用語は、クラウドプロビジョニング がプロバイダーに依存しないというアイデアを強調するために使用されます。クラウドプロビジョニング を使用して展開されているすべてのインフラストラクチャまたはアプリケーションは、データセンターに関連付けられています。
セットアッププロセスの簡単な概要
セットアッププロセスには、次のタスクが含まれています。
- 必要な場合:クラウドプロビジョニングとガバナンス のアプリケーションの要求。
- クラウドユーザーに適切なロールをアサインします。
- プロバイダーの API エンドポイントとのセキュリティ保護された通信を処理する MID サーバー を設定します。
- プロバイダーポータルで、ディスカバリー プロセスでプロバイダーアカウントにプログラムによりアクセスするために使用するアカウント設定と認証情報を (MID サーバー を通じて) 収集します。アカウント設定と認証情報を クラウドプロビジョニングとガバナンス の サービスアカウント に安全に関連付けます。
- 管理対象のクラウドインフラストラクチャ全体を表すように クラウドアカウント を設定し、いずれかのプロバイダーアカウントを使用して機能するように サービスアカウント を設定します。サービスアカウント で クラウドアカウント に含めるデータセンターを指定します(後で、「2 日目」に追加の クラウドアカウント と サービスアカウント を同じまたは他のプロバイダーから設定できます)。
- クラウドプロビジョニング で CMDB データを使用し、ユーザーによるクラウドリソースの要求と管理、およびクラウドインフラストラクチャの管理に役立てることができます。すべてのデータセンターに対するリソースデータを CMDB に入力するには、サービスアカウント でデータセンターごとに ディスカバリー プロセスを手動で実行します。次に、データが継続的に更新されるように、定期的なスケジュールで実行するよう ディスカバリー を設定します。クラウドアカウント は次のようになります。
図 : 1. 1 日目のクラウドアカウントの構造 - プロバイダーは、リソースに対する作成/変更/終了のライフサイクル変更または構成の更新が発生するたびに CMDB を自動更新できるサービスを提供します。クラウドプロビジョニングとガバナンス と直接統合するようにサービスを構成することができます。
クラウドプロビジョニングとガバナンス を AWS アカウントとデータ連携するために行うこと
各手順の詳細な説明については、この概要に従ってください。- 1. AWS ユーザーへのロールの割り当て:クラウドプロビジョニングとガバナンス
- ユーザーのアクティビティと責任に基づいて、ユーザーグループと個々のユーザーに クラウドプロビジョニングとガバナンス ロールをアサインします。
- 2. クラウド環境にアクセスするための MID サーバーのインストールと構成
- 安全で信頼性の高い通信を確保するために、ディスカバリー プロセスは 1 つ以上の MID サーバー を介してクラウドプロバイダーアカウントおよびクラウドリソースと通信します。ネットワークまたはクラウドネットワークのいずれかに MID サーバー を設定できます。
クラウドプロビジョニングとガバナンス でプロキシサーバーを使用するように MID サーバー を設定できます。プロキシサーバーを使用すると、ディスカバリー の実行、請求処理ダウンロード、仮想マシンのプロビジョニング、仮想マシンでのライフサイクル運用の実行など、クラウドベースのすべてのアクティビティがサポートされます。
注:データは MID サーバー および MID サーバー と API エンドポイントの間で暗号化されます。高いパフォーマンスとセキュリティを確保するには、管理対象の各データセンターに対して MID サーバー を 1 つ以上設定する必要があります。他のクラウドプロバイダーに対して クラウドプロビジョニングとガバナンス を設定している際に、その他の MID サーバー に対して既に構成している場合でも、MID サーバー を設定します。
- 3. 永続的な AWS 認証情報を使用した AWS アカウントへのアクセス構成
- プロバイダーアカウントのデータに安全にアクセスするために、ディスカバリー プロセスで適切な認証情報を提供する必要があります。ディスカバリー と クラウドプロビジョニングとガバナンス で認証情報を利用できるようにするには、最初に AWS マネジメントコンソール でプログラムによるアクセス権を持つユーザーを作成します。次に、ServiceNow AI Platform でサービスアカウントに認証情報を安全に保存します。
- 4. AWS GovCloud 認証情報の作成:クラウドプロビジョニングとガバナンス
- 注:プロバイダーアカウントのデータに安全にアクセスするために、ディスカバリー プロセスで適切な認証情報を提供する必要があります。AWS GovCloud (米国) リージョンは、機密性の高いワークロードをホストするための、米国政府による厳格なセキュリティおよびコンプライアンス要件を満たす独立した AWS リージョンです。クラウドプロビジョニングとガバナンス ではすべての AWS GovCloud (米国) サービスをサポートしています。組織で AWS GovCloud (米国) を使用しない場合は、この手順を省略します。
- 5. AWS GovCloud のサービスアカウントを作成
- 注:組織で AWS GovCloud (米国) リージョンを使用している場合は、リソースをプロビジョニングするリージョンに サービスアカウント を作成する必要があります。作成したこのような認証情報は、クラウドディスカバリー、クラウドプロビジョニングとガバナンス、および クラウドコスト管理 に使用されます。組織で AWS GovCloud (米国) を使用しない場合は、この手順を省略します。
- 6. クラウドアカウント および サービスアカウント のセットアップ:AWS
- サービスアカウント はプロバイダーアカウントの認証情報およびアクセス情報を保存するインスタンスの安全なレコードです。ディスカバリー は、指定された各データセンター内の各リソースのデータを取得するために、その情報を使用してプロバイダーアカウントにアクセスします。 クラウドアカウント は、管理対象のクラウドインフラストラクチャのすべてまたは一部の クラウドプロビジョニングとガバナンス における論理的な表現です。クラウドアカウント には、異なるプロバイダーからの サービスアカウント であっても複数の サービスアカウント を含めることができます。サービスアカウント ごとに、クラウドアカウント に含めるデータセンターを指定します。
- 8. AWS 請求処理データをダウンロードするスケジュールの定義
- MID サーバー を定期的に使用して請求処理データをプロバイダーからダウンロードするスケジュール済みジョブを定義します。クラウドプロビジョニングとガバナンス でデータがコストテーブルに保存され、その情報を使用してレポートが生成されます。
次のステップ
このセットアップガイドにある 1 日目と 2 日目の手順を完了したら、組織で クラウドプロビジョニングとガバナンス アプリケーションを使用する方法について「クラウドプロビジョニングとガバナンス 管理ガイド」を参照してください。