AWS 認証情報を持たないトラステッド AWS アカウントに基づく一時的な認証情報を使用したアクセス構成

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • 他の AWS アカウントがアクセスのために依存できるような、認証情報を持たないトラステッドアカウントを設定します。

    始める前に

    トラステッド AWS アカウントを作成して構成します。

    必要なロール:admin、discovery_admin または sn_cmp.cloud_admin (クラウドプロビジョニングとガバナンス の場合)

    必要なロール:admin

    このタスクについて

    AWS 認証情報を持たないアカウント (認証情報なしアカウント) を使用するには、最初に IAM ロールを持つアカウントとトラスティングサービスアカウントにアクセスするための権限を設定する必要があります。次に、トラスティングアカウント IAM ロールを構成して、トラステッドアカウントの IAM ロールへのアクセス権を付与します。

    図 : 1. 任意の AWS アカウントを AWS 認証情報のないトラステッドアカウントに依存させる設定

    アクセスのためトラステッド AWS アカウントの IAM ロールを信頼するようにトラスティング AWS アカウントの IAM ロールを設定

    手順

    1. トラスティングアカウントの IAM ロールを構成します。
      1. AWS 管理コンソールで、トラスティングアカウントにログインします。
      2. このアカウントの IAM ロールを作成します。
        この IAM ロールを作成する際には、トラステッドアカウントのアカウント ID を使用します。AWS ロールの作成に関する運用情報については、Amazon のドキュメントを参照してください。
      3. ReadOnlyAccess ポリシーを作成し、新しく作成した IAM ロールにアタッチします。
    2. トラステッドアカウントの IAM ロールを構成します。
      1. トラステッドアカウントとして設定するアカウントの認証情報を使用して、AWS の管理コンソールにログインします。
      2. AWS サービスオプションを選択して IAM ロールを作成します。

        トラステッドアカウントの IAM ロールを作成するための AWS サービスオプションを選択します
      3. トラステッドアカウントの IAM ロールに ReadOnlyAccess ポリシーを作成します。
      4. 追加のポリシーを作成し、この IAM ロールに対して、トラスティングアカウントのリソースへのアクセスを許可します。
        • Action パラメーターを sts:AssumeRole に設定します。
        • Resource パラメーターを、「1.b」で作成したトラスティングアカウントロールの ARN に設定します。

        トラステッドアカウントのロールとトラスティングアカウントのロールの間でポリシーを設定します。

      5. 新しく作成されたロールを関連する Amazon EC2 インスタンスにアタッチします。
        デフォルトでは、IAM ロールを EC2 インスタンスにアタッチすると、このロールと EC2 インスタンスの間に信頼関係が作成されます。
        IAM ロールと EC2 インスタンスの間の信頼関係を確認します。
    3. トラステッドアカウントに属する IAM ロールへのアクセス権を付与するように、トラスティングサービスアカウントを構成します。
      1. AWS 管理コンソールで、トラスティングアカウントにログインします。
      2. 1.b」の説明に従って、このアカウントに対して作成した IAM ロールに移動します。
      3. この IAM ロールの信頼関係を次のように編集します。
        • Action パラメーターを sts:AssumeRole に設定します。
        • AWS パラメーターを、2.b で作成したトラステッドアカウントロールの ARN に設定します。
        トラスティングアカウントの信頼関係を構成します
    4. AWS IAM ロール用の MID サーバー 構成
    5. Now Platform でトラスティングアカウントに対し、認証情報のないトラステッドサービスアカウントを構成します。
      1. 移動先 Cloud Provisioning and Governance > サービスアカウント.
      2. トラスティングアカウントを開きます。
      3. クラウドサービスアカウントのフォームで、[アクセサーアカウント] フィールドにトラステッドアカウントの名前を入力します。
      4. [更新] をクリックします。
    6. 信頼するアカウント用に作成された IAM ロールを、Now Platform の信頼するアカウントに割り当てます。
      重要:
      この手順は、カスタム IAM ロールを作成した場合にのみ実行します。デフォルトの OrganizationAccountAccessRole ロールをサービスアカウントに割り当てる必要はありません。
      1. [すべて] > [Cloud Provisioning and Governance] > [組織アクセスパラメーター] > [クラウドサービスアカウント AWS クロス想定ロールパラメーター]に移動します。
      2. [新規] を選択します。
      3. [クラウドサービスアカウント AWS クロス想定ロールパラメーター] フォームで、次のフィールドのみを設定します。
        フィールド 定義
        アクセスロール名 信頼するアカウント用に作成された IAM ロールの名前。
        クラウドサービスアカウント IAM ロールを使用してアクセスを提供している信頼するアカウントの名前。
      4. [送信] を選択します。
        このレコードは、システムによりクラウドサービスアカウント AWS クロス想定ロールパラメーター [cloud_service_account_aws_cross_assume_role] テーブルに追加されます。
      注:
      デフォルトでは、OrganizationAccountAccessRole ロールはメンバーのトラスティング管理アカウントにアサインされ、クラウドサービスアカウント AWS 組織想定ロールパラメーター [cloud_service_account_aws_org_assume_role_params] テーブルに追加されていない場合、MID は同じロールを使用します。デフォルトを削除した場合、またはカスタム IAM ロールを作成した場合は、トラスティングメンバーアカウントごとに、クラウドサービスアカウント AWS 組織想定ロールパラメーター [cloud_service_account_aws_org_assume_role_params] テーブルに手動で追加する必要があります。これを行うには、[すべて] > [Cloud Provisioning and Governance] > [組織アクセスパラメーター] > [クラウドサービスアカウント AWS クロス想定ロールパラメーター]に移動し、上の手順を実行します。

    次のタスク

    ServiceNow アプリケーションが IAM ロールを使用してトラスティングサービスアカウントにアクセスできることを確認します。
    1. 移動先 Cloud Provisioning and Governance > サービスアカウント.
    2. 構成したトラスティングアカウントを選択します。
    3. [関連リンク][データセンターを検出] をクリックします。
    4. 移動先 ディスカバリー > クラウドディスカバリーダッシュボードをクリックし、[ AWS ] タブをクリックします。
    5. 新しく作成した AWS 認証情報に関連付けたアカウントの検出されたリソースがダッシュボードに表示されていることを確認します。