Configuration de l’accès pour AWS les comptes de services

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 7 minutes de lecture

    • Découverte dans le cloud et Mise en service et gouvernance du cloud ont besoin d’accéder aux ressources des comptes de Amazon Web Services services (AWS). Découvrez les différentes méthodes de configuration de cet accès.

    Découverte dans le cloud et Mise en service et gouvernance du cloud accèdent aux ressources dans les comptes de service AWS via les Serveurs MID. Vous devez autoriser le trafic entrant vers les Amazon instances EC2 à partir de pour configurer la Serveur MID communication initiale. Pour plus d’informations, consultez Configurer des règles entrantes de groupe de sécurité à l’aide d’AWS Management Console.

    Types d’informations d’identification AWS

    Il existe des informations d’identification permanentes et temporaires AWS que vous pouvez utiliser pour configurer l’accès aux comptes de AWS services.
    Permanentes
    Les informations d'identification permanentes correspondent aux informations d'identification AWS actives pour le compte de service que vous ajoutez au module Connexions et informations d'identification de ServiceNow AI Platform. Bien que la gestion des informations d’identification le , la gestion des informations d’identification le ServiceNow AI Platform, vous évite les configurations complexes liées à l’utilisation d’informations d’identification temporaires.
    Temporaire

    Les informations d’identification temporaires sont générées par le service de jeton de sécurité (AWS STS) pour les AWS rôles IAM. Une fois que vous avez configuré les rôles IAM pour AWS les comptes, l’accède aux AWS ressources avec ces informations d’identification Serveur MID temporaires. Vous pouvez utiliser le rôle OrganizationAccountAccessRoleIAM par défaut ou créer des rôles IAM personnalisés.

    Assumer des rôles IAM dans une grande AWS organisation est plus pratique et offre une meilleure sécurité que l’utilisation d’un grand nombre d’informations d’identification permanentes pour tous les AWS comptes. Les informations d’identification temporaires ne sont acquises au nom d’un compte de service que lorsqu’il n’y a pas d’informations d’identification permanentes spécifiées pour ce compte de service dans la table Comptes de services [cmdb_ci_cloud_service_account].

    Utilise Serveur MID l’action AssumeRole dans l’API AWS Security Token Service pour assumer un rôle de compte membre. Les paramètres transmis à cette API déterminent les restrictions de sécurité supplémentaires appliquées au rôle lorsqu’il accède aux AWS ressources.

    Par défaut, le Serveur MID est configuré pour endosser le OrganizationAccountAccessRole, qui accorde des informations d’identification temporaires à tous les membres d’un compte primaire. Cette action se produit automatiquement s’il n’existe aucune information d’identification permanente pour les comptes des membres. Cette configuration n’applique aucune sécurité supplémentaire et ne restreint pas l’accès aux ressources des comptes membres.

    Par défaut, l'instance ServiceNow met en cache les informations d'identification temporaires pour les comptes de membre pendant 60 minutes. Cet intervalle permet au processus de découverte horizontale de s’exécuter plusieurs fois sans générer de nouvelles informations d’identification lors de chaque découverte. Vous pouvez éviter la mise en cache des informations d’identification ou modifier la période de mise en cache à l’aide des propriétés de Serveur MID.

    Rôles et autorisations IAM

    Pour renforcer la sécurité fournie par le rôle AWS OrganizationAccountAccessRole par défaut, vous pouvez personnaliser les AWS rôles que Serveurs MID vous pouvez endosser pour recevoir des informations d’identification temporaires pour les comptes de membre. Vous pouvez configurer des autorisations supplémentaires pour améliorer la sécurité et personnaliser la façon dont le rôle du compte de membre est assumé lors de la détection des ressources dans le cloud.

    Méthodes d’octroi de l’accès

    Pour configurer l’accès AWS aux comptes, les termes suivants sont utilisés :
    Comptes d’approbation
    Les comptes d’approbation n’ont pas d’informations d’identification permanentes AWS . Vous configurez la relation de confiance pour les rôles IAM dans ces comptes afin de dépendre d’autres comptes pour l’accès.
    Comptes approuvés
    Les comptes approuvés sont utilisés par les comptes de confiance pour y accéder. L’interface ServiceNow utilisateur fait référence aux comptes approuvés en tant que comptes d’accesseur.
    En règle générale, vous configurez l'accès aux comptes AWS de votre organisation à l'aide des méthodes suivantes :
    Configuration de l’accès pour un compte unique
    Configuration de l’accès pour un compte qui approuve un compte d’accesseur avec AWS des informations d’identification
    Figure 1. Configurer n'importe quel compte AWS de façon à utiliser un compte approuvé avec des informations d'identification AWS

    Configurez le rôle IAM du compte AWS d’approbation pour faire confiance à l’utilisateur du compte AWS approuvé pour l’accès
    • Configurez n’importe quel type de compte (discret (indépendant), de gestion ou membre) pour vous appuyer sur un compte approuvé avec AWS des informations d’identification pour l’accès.
    • La configuration d’un rôle IAM appartenant aux comptes d’approbation pour approuver l’utilisateur du compte approuvé permet d’utiliser un seul ensemble d’informations d’identification AWS pour fournir un accès à plusieurs AWS comptes.
    Pour plus d'informations, consultez Configurer l’accès à l’aide d’informations d’identification temporaires basées sur des comptes de confiance AWS avec AWS informations d’identification.
    Configuration de l’accès pour un compte qui approuve un compte d’accesseur sans AWS informations d’identification
    Figure 2. Configurer n'importe quel compte AWS pour l'utiliser comme compte approuvé sans informations d'identification AWS

    Configurez le rôle IAM du compte AWS d’approbation pour approuver le rôle IAM du compte AWS approuvé pour l’accès
    • Configurez n’importe quel type de compte (discret (indépendant), de gestion ou membre) pour vous appuyer sur un compte approuvé sans AWS informations d’identification pour l’accès.
    • Configurez un compte sans AWS informations d’identification à l’aide d’un rôle IAM et des autorisations pour accéder au compte de service d’approbation.
    • Configurez le rôle IAM du compte de confiance pour accorder l’accès au rôle IAM du compte de confiance.
    Pour plus d'informations, consultez Configurer l’accès à l’aide d’informations d’identification temporaires basées sur des comptes de confiance AWS sans AWS informations d’identification.
    Configurer l’accès pour AWS les comptes membres à l’aide d’une chaîne de confiance de l’accesseur via le compte de gestion.
    Figure 3. Configurer des comptes de membre pour utiliser leur compte de gestion pour fournir l'accès

    Configurer le rôle IAM des comptes des membres d’approbation pour approuver leur compte de gestion

    Comment Découverte dans le cloud détermine les informations d'identification à utiliser

    Compte membre fait confiance compte de gestion
    Découverte dans le cloud utilise la logique suivante pour déterminer les informations d’identification à utiliser pour détecter AWS les ressources dans le cloud dans les comptes membres :
    1. Si des informations d'identification permanentes sont définies pour le compte de membre dans la table Compte de service dans le cloud [cmdb_ci_cloud_service_account], Découverte utilise ces informations d'identification. La table Comptes de services dans le cloud [cmdb_ci_cloud_service_account] contient les informations sur les types de comptes de service, notamment de gestion ou de membre, et leurs informations d'identification.
    2. Si aucune information d’identification permanente n’est définie pour le compte membre, Découverte vérifie la table Endosser les paramètres de rôle org AWS [cloud_service_account_aws_org_assume_role_params] de compte de service dans le cloud pour tous les paramètres spéciaux associés au compte membre. S'il existe des paramètres dans cette table, Découverte utilise les informations d'identification temporaires acquises auprès de la spécification d'un rôle et de ses paramètres dans l'action AssumeRole de l'API de service de jeton AWS Security.
    3. Si aucun paramètre spécial n’est associé au compte membre dans la table Découverte [cloud_service_account_aws_org_assume_role_params], vérifie les paramètres associés au compte de gestion dans cette table. S’il existe des paramètres qui définissent un rôle pour le compte de gestion, Découverte utilise les informations d’identification temporaires fournies par ce rôle.
    4. Si aucun paramètre spécial n'est présent dans la table [cloud_service_account_aws_org_assume_role_params] pour les comptes de gestion ou de membre, Découverte utilise les valeurs par défaut définies pour le rôle OrganizationAccountAccessRole.
    Compte de membre ou de gestion faisant confiance au compte d’accesseur
    1. Si des informations d’identification permanentes sont définies pour le compte de membre ou de gestion dans la table Compte de services dans le cloud [cmdb_ci_cloud_service_account], ces Découverte informations d’identification sont utilisées. La table Comptes de services dans le cloud [cmdb_ci_cloud_service_account] contient les informations sur les types de comptes de service, notamment de gestion ou de membre, et leurs informations d'identification.
    2. Si aucune information d’identification permanente n’est définie pour le compte, Découverte vérifie tous les paramètres spéciaux associés au compte de services dans le cloud [cloud_service_account_aws_cross_assume_role_params] dans la table Endosser les paramètres de rôle Cross AWS de compte de services dans le cloud. S'il existe des paramètres dans cette table, Découverte utilise les informations d'identification temporaires acquises auprès de la spécification d'un rôle et de ses paramètres dans l'action AssumeRole de l'API de service de jeton AWS Security.