Service Graph Connector für AWS mit SGC Centralkonfigurieren

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 9 Minuten Lesedauer

    • Verwenden Sie das mit der Anwendung SGC Central verfügbare Playbook, um Service Graph Connector für AWS für das Abrufen von AWS -Daten in CMDBeinzurichten.

    Vorbereitungen

    • Installieren Sie Service Graph Connector für AWS Version 2.7.0 oder höher aus ServiceNow Store. Die Schritte zur ServiceNow Store-Installation finden Sie unter ServiceNow Store-Anwendungen installieren.
    • Vergewissern Sie sich, dass die Voraussetzungen für die Einrichtung AWSvon erfüllt sind. Weitere Informationen finden Sie unter AWS-Umgebung konfigurieren.

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Die Playbook-Experience für Onboarding-Connectors wird mit SGC Central in CMDB-Arbeitsbereichaktiviert. Weitere Informationen zur Interaktion mit einem Playbook finden Sie unter Mit Playbook interagieren.

    Prozedur

    1. Navigieren zu Arbeitsbereiche > CMDB-Arbeitsbereich.
    2. Wählen Sie unter CMDB-Arbeitsbereichdie Option SGC Centralaus.
    3. Wählen Sie auf der Seite „Dashboard“ Verbindung erstellen aus.
      Tipp:
      Alternativ können Sie Verbindung herstellen auf der Seite Alle Verbindungen auswählen.
    4. Wählen Sie im Fenster Verbindung erstellen den Connector-Typ AWS und dann Verbindung erstellenaus.
    5. Erfüllen Sie die ersten Voraussetzungen, wenn Sie eine Verbindung zum ersten Mal mit einem Connector einrichten.
      Hinweis:
      Dieser Schritt ist nur während der Ersteinrichtung erforderlich. Weitere Informationen finden Sie unter Führen Sie Ersteinrichtungsaufgaben durch, wenn Sie eine Verbindung in erstellen SGC Central.
    6. Füllen Sie die Voraussetzungen für das Einrichten der Umgebung AWS aus.
      1. Konfigurieren Sie das Basis-Setup in der Umgebung AWS, die für den Import von Daten mit dem Connector erforderlich ist.
        1. Wählen Sie in der Phase „Voraussetzungen“ des Playbooks die Aktivität Grundlegende Skripts herunterladen aus.
        2. Führen Sie die Skripts aus, um die Umgebung AWS zu konfigurieren.

          Weitere Informationen zum Ausführen von Skripts finden Sie unter Standardskripts.

        3. Aktivieren Sie das Kontrollkästchen Ich habe die Anweisungen gelesen und das Skript entsprechend ausgeführt, um zu bestätigen, dass Sie die Skripts ausgeführt haben.
        4. Wählen Sie Fortsetzen.
      2. Richten Sie eine umfassende Erkennung für Amazon Elastic Compute Cloud-Instanzen (Amazon EC2) ein.
        Hinweis:
        Führen Sie diesen Schritt nur aus, um eine umfassende Discovery für EC2-Instanzen durchzuführen. Wählen Sie andernfalls Überspringen.
        1. Wählen Sie in der Phase „Voraussetzungen“ des Playbooks die Aktivität Deep Discovery-Skripts herunterladen aus.
        2. Führen Sie die Skripts aus, um Amazon EC2-Instanzen für eine umfassende Erkennung zu konfigurieren.

          Weitere Informationen zum Ausführen von Skripts finden Sie unter Deep Discovery-Skripts.

        3. Wählen Sie Fortsetzen.
      3. Richten Sie EKS-Cluster (Amazon Elastic Kubernetes Service) ein.
        Hinweis:
        Führen Sie diesen Schritt nur aus, wenn der Amazon EKS-Service für Kubernetes-Cluster erforderlich ist. Wählen Sie andernfalls Überspringen.
        1. Wählen Sie in der Phase Voraussetzungen des Playbooks die Aktivität Amazon EKS-Skripts herunterladen aus.
        2. Führen Sie die Skripts aus, um Amazon EKS-Cluster einzurichten.

          Weitere Informationen zum Ausführen von Skripts finden Sie unter Amazon EKS -Skripts.

        3. Wählen Sie Fortsetzen.
    7. Schließen Sie das Setup ab, um den Connector für den Datenimport zu konfigurieren.
      1. Erstellen und testen Sie die Verbindung.
        1. Wählen Sie in der Phase „Setup“ des Playbooks die Aktivität Verbindung erstellen und testen aus.
        2. Füllen Sie die Felder des Formulars aus.
          Tabelle : 1. Formular zum Erstellen und Testen von Verbindungen
          Feld
          Verbindungsname Name zur Identifizierung des AWS -Verbindungsdatensatzes.

          Beispiel: SG_AWS_CredentialAlias_Org.

          Zugangsschlüssel-ID Zugriffsschlüssel-ID des IAM-Anwenders, der über Berechtigungen für die Interaktion mit den AWS-Ressourcen verfügt.
          Geheimer Zugangsschlüssel Geheimer Zugriffsschlüssel, der der Zugriffsschlüssel-ID entspricht, die für die sichere Authentifizierung der Verbindung erforderlich ist.
          MID-Server verwenden Option zur Verwendung eines MID-Servers.
          Hinweis:
          Die Verwendung eines MID-Servers ist optional.
          MID-Auswahl Name des vom Connector verwendeten MID-Servers.

          Dieses Feld wird nur angezeigt, wenn das Kontrollkästchen MID-Server verwenden aktiviert ist.
        3. Wählen Sie Verbindung erstellen und testen aus.
        4. Wählen Sie nach Abschluss des Verbindungstests Fortsetzen aus.
      2. Legen Sie Konfigurationseigenschaften für die Verbindung fest, um auf die Ressourcen AWS zuzugreifen.
        1. Wählen Sie in der Phase „Setup “ des Playbooks die Aktivität „Konfigurationseigenschaften festlegen“ aus.
        2. Geben Sie im Abschnitt Organisationsdetails die Organisationsdetails ein, einschließlich Account-Bezeichner, Name und Beschreibung der Organisation AWS.
        3. Füllen Sie im Abschnitt „S3-Account-Details“ die Details aus.
          Tabelle : 2. S3-Account-Details
          Feld Beschreibung
          S3-Account-ID Numerischer Bezeichner des Accounts AWS, der den Bucket Amazon „ Simple Storage Service“ (Amazon S3) hostet.
          S3-Bucket-Name Name des Amazon S3-Buckets, der die Details aus Amazon EC2-Instanzen sammelt.
          S3-Region Region, in der sich der S3-Bucket Amazon befindet.
        4. Geben Sie im Feld AWS-Regionen des Abschnitts AWS-Regionen und STS-Rollenübernahme die Regionen AWS ein, um die CI-Daten zu sammeln.

          Standardmäßig durchläuft Service Graph Connector für AWS alle Regionen AWS, um die CI-Daten zu sammeln.

          Sie können AWS bestimmte Regionen eingeben, um den CI-Datenimportvorgang zu beschleunigen. Beispiel: us-east1, us-east-2.

          Wenn dieses Feld leer gelassen wird, ruft der Service Graph Connector für AWS die Ressourcen aus allen Regionen AWS ab.

          Lassen Sie für die AWS GovCloud-Regionen das Feld Regionen jedoch nicht leer. Die unterstützten AWS GovCloud-Regionen sind us-gov-east-1 und us-gov-west-1.

          Wenn Sie den Wert des Felds „Regionen“ später aktualisieren, löschen Sie den Wert des Felds „Letzte Ausführung“ in allen Datenquellen im Zusammenhang mit Service Graph Connector, um AWS einen neuen Datensatz zu importieren.

        5. Geben Sie im Feld „Name der STS-Rollenübernahme“ des Abschnitts „AWS-Regionen und STS-Rollenübernahme“ den Namen der AWS Identity and Access Management-Rolle (IAM) ein.
          Den Namen der AWS IAM-Rolle erhält der Anwender ServiceNow durch Aufrufen der AssumeRole- API, die vom Security Token Service (STS) AWS bereitgestellt wird. Die AssumeRole- API gibt einen Satz temporärer Sicherheitsanmeldeinformationen für den Benutzer ServiceNow für den Zugriff auf die Ressourcen AWS zurück.
          Hinweis:
          Geben Sie den Namen der IAM-Rolle ein, aber stellen Sie ihm nicht das Präfix „arn“ voran. Wenn Sie dieses Feld leer lassen, wird der Wert dieses Felds automatisch auf SnowOrganizationAccountAccessRolefestgelegt. Dies ist der standardmäßige IAM-Rollenname für den Benutzer ServiceNow.
        6. Geben Sie im Abschnitt „SSM SendCommand-Dokumentdetails“ den Namen des Dokuments ein, das die Aktionen definiert, die von AWS Systems Manager (SSM) auf einer Linux-basierten Amazon EC2-Instanz oder einer Windows-basierten Amazon EC2-Instanz in den entsprechenden Feldern ausgeführt werden .
        7. Geben Sie im Feld Verwaltungs-Account-ID des Abschnitts „Verwaltungs-Account-ID und eigenständige Account-ID“ die Verwaltungs-Account-ID in der Organisation AWS ein.

          Geben Sie einen Wert für dieses Feld ein, wenn der Anwender ServiceNow in einem Mitgliedsaccount AWS erstellt wurde.

          Der Account ruft die ListAccounts- API auf, die der Organisation AWS zugeordnet ist, um CI-Informationen von allen Accounts zu sammeln. Weitere Informationen finden Sie unter Listenkonten auf der Dokumentationswebsite AWS.

        8. Geben Sie im Feld „Eigenständige Account-ID“ des Abschnitts „Verwaltungsaccount-ID und eigenständige Account-ID“ die ID eines Mitgliedsaccounts in der Organisation AWS ein.
          Hinweis:
          Wenn Sie ein eigenständiges Konto angeben, werden die organisationsbezogenen Daten AWS, z. B. Organisationsname, Organisationseinheiten, Organisations-ID und Servicekonten, nicht importiert. Um die vollständigen Daten später zu importieren, löschen Sie jeden Wert im Feld „Eigenständige Account-ID“. Weitere Informationen finden Sie im Artikel Service Graph Connector für AWS – Eigenständiges Setup [KB1642159] in der Knowledge Base Now Support.
        9. Geben Sie im Abschnitt „AWS Config-Aggregator-Details“ die Account-Details AWS für den Aggregator-Ressourcentyp ein.
          Tabelle : 3. Details des AWS Config-Aggregators
          Feld Beschreibung
          Konfigurieren Sie den Aggregator-Account AWS Account, in dem der Aggregator-Ressourcentyp im AWS Config-Service konfiguriert wurde.

          Geben Sie in dieses Feld einen Wert ein, wenn Sie einen AWS Config-Aggregator verwenden.
          Konfigurationsaggregator-Name Name des Aggregator-Ressourcentyps Dieses Feld ist nur verfügbar, wenn Sie einen Wert in das Feld „Aggregator-Account konfigurieren“ eingeben.
          Konfigurationsaggregator – Region Region, in der sich der Aggregator-Ressourcentyp befindet. Dieses Feld ist nur verfügbar, wenn Sie einen Wert in das Feld „Aggregator-Account konfigurieren“ eingeben.
        10. Geben Sie im Setup-Abschnitt für die AWS-Schlüsselrotation die Details des Schlüsselrotationsprozesses ein.
          Tabelle : 4. Setup der AWS-Schlüsselrotation
          Feld Beschreibung
          AWS – Schlüssel rotieren Option zum Aktivieren des Schlüsselrotationsprozesses.
          AWS – Schlüsselrotationsdatum Schlüsselrotationsdatum. Dieses Feld wird automatisch auf das nächste Rotationsdatum festgelegt. Dieses Feld ist nur verfügbar, wenn Sie das Kontrollkästchen AWS-Schlüssel rotieren aktivieren.
          AWS – Schlüsselrotationszeitraum (in Tagen) Schlüsselrotationszeitraum in Tagen. Dieses Feld ist nur verfügbar, wenn Sie das Kontrollkästchen AWS-Schlüssel rotieren aktivieren.
          AWS – Schlüsselrotationsstatus Statusmeldung einer Schlüsselrotation, die anzeigt, ob die Rotation erfolgreich war oder fehlgeschlagen ist. Dieses Feld wird automatisch so eingestellt, dass die Statusmeldung zur Schlüsselrotation angezeigt wird. Dieses Feld ist nur verfügbar, wenn Sie das Kontrollkästchen AWS-Schlüssel rotieren aktivieren. Wenn der Rotationsstatus „Fehler“ lautet, wird eine E-Mail-Benachrichtigung ausgelöst, sofern konfiguriert.
          E-Mail-Accounts für den Empfang von Fehlerbenachrichtigungen Kommagetrennte Liste der E-Mail-Adressen von Empfängern, die Benachrichtigungen über die AWS Schlüsselrotationsfehler erhalten.
          E-Mail-Account-Gruppen für den Empfang von Fehlerbenachrichtigungen Kommagetrennte Liste der ServiceNow -Gruppen, die Benachrichtigungen über die AWS -Schlüsselrotationsfehler erhalten.
        11. Aktivieren Sie im Abschnitt „Gov-Cloud-Setup“ das Kontrollkästchen Ist Gov Cloud, um anzugeben, dass das Verbindungs-Setup für die AWS GovCloud gilt.
        12. Geben Sie im Abschnitt SSM EKS SendCommand-Dokumentdetails AWS SSM-Dokumentdetails ein.
          Tabelle : 5. SSM EKS SendCommand-Dokumentdetails
          Feld Beschreibung
          EKS-Clusternamen – Dokument Name des SSM-Dokuments AWS zum Erkennen von EKS-Clustern, die EC2-Bastion-Hosts zugeordnet sind.
          EKS-Shell-Skriptdokument Name des AWS SSM-Dokuments zum Abrufen von CIs im Zusammenhang mit Kubernetes-Komponenten, z. B. Pods, Services und Bereitstellungen, aus EKS-Clustern.
        13. Wählen Sie Eigenschaften speichernaus.
        14. Wählen Sie Fortsetzen.
      3. Konfigurieren Sie die erforderlichen EC2-Ressourcen für Amazon Elastic Kubernetes Service (EKS), um EKS-Clusterdaten zu importieren.
        Hinweis:
        Führen Sie diesen Schritt nur aus, wenn EC2-Ressourcen benötigt werden. Wählen Sie andernfalls Überspringen für die Aktivität EKS-EC2-Ressourcen konfigurieren aus.
        Eine EKS-EC2-Ressource ist ein Bastion-Host, der über Netzwerkzugriff auf EKS-Cluster verfügt. Auf die EKS-Cluster kann der Connector nicht direkt zugreifen. Daher müssen Sie die EKS-EC2-Ressourcendetails angeben. Für den Import von EKS-Clusterdaten verwendet der Connector SSM zum Senden des Befehls für EKS-EC2-Ressourcen, um Kubectl-Befehle remote auszuführen.
        Hinweis:
        Stellen Sie sicher, dass Sie Ihre Umgebung AWS für die EKS-Integration konfiguriert haben. Weitere Informationen finden Sie im Artikel Service Graph Connector für AWS – Amazon EKS-Integration [KB1437138] in der Knowledge Base Now Support.
        1. Wählen Sie in der Phase „Setup“ des Playbooks die Aktivität Konfigurieren von EKS-EC2-Ressourcen aus.
        2. Wählen Sie auf der Seite EKS-EC2-Ressourcen konfigurieren Neuaus.
        3. Füllen Sie im angezeigten Fenster EKS-EC2-Ressourcen konfigurieren die Felder aus.
          Tabelle : 6. Konfigurieren Sie EKS-EC2-Ressourcenfelder
          Feld Beschreibung
          EKS-EC2-Ressourcen-ID Bezeichner der EKS-EC2-Ressource.
          EC2-Region AWS-Region, in der sich die EKS-EC2-Ressource befindet.
          EC2-Account Anwendername, der dem EKS-EC2- Ressourcenkonto zugewiesen ist.
          Verbindungsalias Verbindungsalias, der dem Setup der Umgebung AWS zugeordnet und in Schritt 7.a.iikonfiguriert ist.
          Verbindung Verbindungsname, der dem Setup der Umgebung AWS zugeordnet und in Schritt 7.a.iikonfiguriert ist.
          Aktiv Option zum Aktivieren der EKS-EC2-Ressource.
        4. Wählen Sie Speichern.
        5. Wiederholen Sie die Schritte 7.c.ii bis 7.c.iv, um weitere EKS-EC2-Ressourcen hinzuzufügen.
        6. Wählen Sie Fortsetzen.
      4. Führen Sie das Diagnosetool AWS aus, bevor Sie einen geplanten Importauftrag ausführen, um Probleme im Setup der AWS -Umgebung zu identifizieren.
        1. Wählen Sie in der Phase „Setup“ des Playbooks die Aktivität Diagnosetests ausführen aus.
        2. Wählen Sie auf der Seite Diagnosetest ausführen eine Option aus, um die entsprechenden Testergebnisse aus der Diagnosezusammenfassung auszuschließen.
          SSM-Setuptests überspringen
          Schließt die Softwarebestandsdaten aus den Zusammenfassungsergebnissen aus, indem die GetInventory- API nicht aufgerufen wird. Wählen Sie diese Option aus, wenn Sie die Konfiguration für SSM deaktiviert oder nicht eingerichtet haben.
          Überspringen Sie SSM Deep Discovery-Tests
          Schließt die Deep Discovery-Daten aus den Zusammenfassungsergebnissen aus. Wählen Sie diese Option aus, wenn Sie die Konfiguration für SSM Deep Discovery deaktiviert oder nicht eingerichtet haben.
          EKS-Setuptests überspringen
          Schließt die EKS-Daten aus den Zusammenfassungsergebnissen aus, indem die Kubectl-Befehle nicht ausgeführt werden.
          Hinweis:
          Dieses Kontrollkästchen wird nur angezeigt, wenn Sie EC2-Ressourcen in der Aktivität EKS-EC2-Ressourcen konfigurieren konfiguriert haben.
        3. Wählen Sie Diagnosetest ausführen aus, und warten Sie, bis der Test abgeschlossen ist.
        4. Überprüfen Sie die Diagnosezusammenfassung, die API-Zugriffsergebnisse und die Protokolle der Validierung der IAM-Berechtigung.
        5. Wenn die Testergebnisse erfolgreich sind, wählen Sie Fortfahren.
      5. Konfigurieren Sie den Importzeitplan für den Import von Daten in regelmäßigen Intervallen.
        1. Wählen Sie in der Phase „Setup“ des Playbooks die Aktivität Importzeitplan konfigurieren aus.
        2. Erweitern Sie den übergeordneten geplanten Datenimport in der Liste Importzeitpläne, um den Importzeitplan SG-AWS-Organisation auszuwählen.
        3. Aktivieren Sie im Dialogfeld „Importzeitplan konfigurieren“ das Kontrollkästchen Aktiv, und füllen Sie dann die Ausführungszeitplan- und Zeitdetails aus.

          Weitere Informationen finden Sie unter Schedule a data import.

        4. Wählen Sie Speichern.

          Alternativ können Sie Jetzt ausführen wählen, um den Importzeitplan sofort auszuführen.

        5. Wählen Sie Fortsetzen.
      6. Wählen Sie in der Phase „Setup“ des Playbooks die Aktivität Verbindungseinrichtung bestätigen aus, um zu überprüfen, ob die Verbindung erstellt wurde.

    Nächste Maßnahme

    Wählen Sie Alle Verbindungen anzeigen aus, um die Verbindungsdetails zu überprüfen. Die konfigurierte Verbindung wird in der Liste Installierte Verbindungen angezeigt.