Benutzerdefinierte AWS-Mitgliedsrolle konfigurieren

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Passen Sie die AWS-Rollen an, die ein MID Server annehmen kann, um temporäre Anmeldeinformationen für Mitgliedskonten zu erhalten. Sie können zusätzliche Parameter konfigurieren, um die Sicherheit zu verbessern und um anzupassen, wie die Rolle des Mitgliedskontos angenommen wird, wenn Cloud-Ressourcen erkannt werden.

    Vorbereitungen

    Erforderliche Rolle: admin

    Warum und wann dieser Vorgang ausgeführt wird

    Werte, die Sie in der Tabelle „Cloud-Servicekonto > AWS-Org. - Parameter für Rollenübernahme“ [cloud_service_account_aws_org_assume_role_params] eingeben, werden als Parameter für das Konto des benannten Services an die AWS AssumeRole API weitergegeben.

    Prozedur

    1. Navigieren zu Alle > Cloud Provisioning and Governance > Zugriffsparameter der Organisation > AWS-Org. - Parameter für Rollenübernahme.
      Modul „AWS Org – Parameter für Rollenübernahme“
    2. Klicken Sie auf Neu, und füllen Sie dann das Formular mit diesen Parametern aus:
      Feld Beschreibung
      Zugriffsrollenname [access_role_name] Name der AWS-Rolle im Mitgliedskonto, die vom Verwaltungskonto zum Abrufen temporärer Anmeldeinformationen verwendet wird.

      Standard: OrganizationAccountAccessRole
      Rollensitzungsname [role_session_name] Name für die Sitzung unter Verwendung der temporären Sicherheitsanmeldeinformationen, der dazu beitragen kann, die Verwendung einer Rolle nach einem Prinzipal oder Zweck zu unterscheiden. Dieser Sitzungsname ist in den AWS Cloud Trail-Protokollen sichtbar. Weitere Informationen finden Sie unter Cloud-API-Pfad und in der AWS-Dokumentation zu AWS Cloud Trail.

      Standard: master_account_id__<management account ID number> Ein Beispiel hierfür ist: master_account_id__321003876149.
      Anmeldeinformations-TTL in Sekunden [credential_ttl_seconds] Gültigkeitsdauer der temporären Sicherheitsanmeldeinformationen in Sekunden.
      Standard: Wird wie folgt berechnet:
      1. Rufen Sie den Wert in der mid.aws.sts.assume_role.credential_ttl_minutes MID Server-Eigenschaftab.
      2. Beschränken Sie diesen Wert auf einen Wert zwischen 15 und 720 Minuten. Wenn die Einstellung in der Eigenschaft weniger als 15 Minuten beträgt, werden vom System 15 Minuten eingegeben. Wenn die Einstellung größer als 720 Minuten ist, werden vom System 720 Minuten eingegeben.
      3. Konvertieren Sie den resultierenden Wert in Sekunden.
      Externe ID [external_id] Ein eindeutiger Bezeichner, der für die Vertrauensrichtlinie der angenommenen Rolle erforderlich ist.

      Standard: ServiceNow_MID_Server
      Sitzungsrichtlinie [session_policy] IAM-Richtlinie im JSON-Format, die die Berechtigungen der temporären Sicherheitsanmeldeinformationen über die von der Rolle konfigurierte Richtlinie hinaus weiter einschränkt. (JSON in der AWS-Richtliniensprache.)

      Standard: leer
      MFA [multifactor authentication] Seriennummer des MFA-Geräts (Multifaktor-Authentifizierung) (Hardware oder virtuell), das zur Authentifizierung des Verwaltungskontos verwendet wird.

      Standard: leer
      MFA-Tokencode [mfa_token_code] Vom MFA-Gerät (Hardware oder virtuell), das zur Authentifizierung des Verwaltungskontos verwendet wird, bereitgestellter Tokencode.

      Standard: leer
      Cloud-Servicekonto [cloud_service_account] Erforderlich. Servicekonto, der den Zugriffsparametern zugeordnet werden soll, die Sie an die AWS AssumeRole API übergeben. Geben Sie eine Konto-ID (entweder ein Verwaltungskonto oder ein Mitgliedskonto) aus der Tabelle „Servicekonten“ [cmdb_ci_cloud_service_account] ein.
      Hinweis:
      Weitere Informationen zur Verwendung dieser Parameter und zu ihrer Bedeutung finden Sie in der AWS-Dokumentation zur AWS Security Token Service API für die Aktion „AssumeRole“.