Cloud Configuration Governance for AWS einrichten

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Richten Sie in Cloud Configuration Governance Zugriff auf die AWS-Cloud-Konten (Amazon Web Services) ein, um die Interaktion zwischen der Anwendung und der Cloud zu ermöglichen. Die Anwendung erfordert Zugriff auf die Cloud-Konten, damit die Cloud-Ressourcen auf nicht konforme Konfigurationen gescannt und nicht konforme Konfigurationen korrigiert werden können.

    Vorbereitungen

    Erforderliche Rolle: sn_itom_ccg.scheduling_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Im Zusammenhang mit der Konfiguration des Zugriffs für AWS-Konten werden die folgenden Begriffe verwendet:
    Vertrauende Konten
    Vertrauende Konten haben keine permanenten AWS-Anmeldeinformationen. Sie konfigurieren die Vertrauensstellung für IAM-Rollen in diesen Konten so, dass sie für den Zugriff auf andere Konten zurückgreifen.
    Vertrauenswürdige Konten
    Die vertrauenswürdigen Konten werden von den vertrauenden Konten für den Zugriff verwendet. In der Benutzeroberfläche von ServiceNow werden die vertrauenswürdigen Konten als Accounts des Zugriffsberechtigten bezeichnet.
    Verwenden Sie eine der folgenden Methoden, um den Zugriff auf die Konten AWS zu konfigurieren:
    • Konfigurieren Sie die permanenten Anmeldeinformationen in Now Platform für die Verbindung mit den eigenständigen AWS -Konten (diskrete Konten). Die Tabelle „Cloud-Servicekonto“ [cmdb_ci_cloud_service-account] enthält die Informationen zum Servicekontotyp wie Verwaltungskonto oder Mitgliedskonto und deren Anmeldeinformationen.
    • Konfigurieren Sie die Mitgliedskonten so, dass sie für den Zugriff auf das Verwaltungskonto zurückgreifen. Konfigurieren Sie die permanenten Anmeldeinformationen des Verwaltungskontos in diesem Fall auf der Now Platform.
    • Konfigurieren Sie die Konten so, dass für den Zugriff ein vertrauenswürdiges Konto verwendet wird (lateraler Zugriff innerhalb derselben AWS-Organisation oder über verschiedene AWS-Organisationen hinweg). Konfigurieren Sie die permanenten Anmeldeinformationen des vertrauenswürdigen Kontos in diesem Fall auf der Now Platform.
    Hinweis:
    Cloud Configuration Governance verwendet kein MID Server-basiertes Setup für die Übernahme von Rollen für den Zugriff auf die vertrauenden Konten.

    Prozedur

    1. Erstellen Sie Anmeldeinformationen für die AWS-Servicekonten.
      1. Navigieren zu Verbindung und Anmeldeinformationen > Berechtigungen.
      2. Wählen Sie Neu und dann AWS-Anmeldeinformationen aus.
      3. Füllen Sie die Felder des Formulars aus.
        Tabelle : 1. Formular für AWS-Anmeldeinformationen
        Feld Beschreibung
        Name Eindeutiger und beschreibender Name für die AWS-Anmeldeinformationen
        Aktiv Option zur Verwendung dieser Anmeldeinformationen.
        Zugangsschlüssel-ID Die Zugriffsschlüssel-ID, die Sie in der AWS-Verwaltungskonsole erstellt haben
        Geheimer Zugangsschlüssel Der geheime Zugriffsschlüssel, den Sie in der AWS-Verwaltungskonsole erstellt haben
      4. Wählen Sie Speichern.
    2. Wählen Sie den Anmeldeinformationsalias sn_itom_cal.Aws_Creds_Alias aus, oder erstellen Sie einen Anmeldeinformationsalias.
      1. Entsperren Sie den Anmeldeinformationsalias.
      2. Suchen Sie nach einem Anmeldeinformationsalias.
      3. Wählen Sie Neu.
      4. Füllen Sie die Felder des Formulars aus.
        Tabelle : 2. Formular „Verbindungs- und Anmeldeinformationsalias“
        Feld Beschreibung
        Name Eindeutiger Name des Alias
        Typ Typ des Anmeldeinformationsalias.

        Wählen Sie in der Dropdown-Liste „Typ“ die Option Anmeldeinformationen aus.
      5. Wählen Sie Absenden aus.
    3. Legen Sie das Feld Authentifizierungsalgorithmus auf AWS Authenticator fest.
    4. Wählen Sie Absenden aus.
    5. Richten Sie ein AWS-Servicekonto ein.
      1. Navigieren zu Cloud Provisioning and Governance > Servicekonto.
      2. Wählen Sie Neu.
      3. Füllen Sie die Felder des Formulars aus.
        Tabelle : 3. Formular für Cloud-Servicekonto
        Feld Beschreibung
        Name Eindeutiger Name des Servicekontos
        Account-ID 12-stellige Nummer des Benutzerkontos. Erweitern Sie die Liste unter dem Kontonamen in der AWS-Verwaltungskonsole, um die Nummer anzuzeigen.
        Wichtig:
        Entfernen Sie im Feld Konto-ID die Bindestriche (-) aus der Nummer.
        Discovery-Anmeldeinformationen Die Anmeldeinformationen, die für Anwendungen von ServiceNow für den Zugriff auf das Cloud-Konto erforderlich sind. Sie können die Discovery-Anmeldeinformationen zu einem späteren Zeitpunkt konfigurieren, während Sie den Zugriff auf die Konten AWS konfigurieren.
        • Wenn Sie ein unabhängiges Servicekonto oder ein Verwaltungskonto einrichten, wählen Sie die zugehörigen AWS-Anmeldeinformationen aus.
        • Um andere AWS Accounts für den Zugriff auf diesen Account zu verwenden, lassen Sie das Feld leer.

          Beispielsweise müssen Sie die Anmeldeinformationen AWS nicht für Konten angeben, die IAM-Rollen (Identity and Access Management) übernehmen, oder Mitgliedskonten, die ihr Verwaltungskonto für den Zugriff verwenden.
        Rechenzentrums-URL URL des Rechenzentrums.

        Lassen Sie dieses Feld leer.
        Rechenzentrumstyp Typ des Rechenzentrums, in dem das Konto gehostet wird.

        Wählen Sie AWS-Rechenzentrum aus.
        Status der Rechenzentrumserkennung Automatisch generierter Wert: Status und Zeitstempel der letzten Ausführung von Discovery im Rechenzentrum.
        Übergeordneter Account Name des Verwaltungskontos, das die AWS-Organisation darstellt, zu der dieses Mitgliedskonto gehört.

        Dieses Feld wird angezeigt, wenn Sie „AWS-Rechenzentrum“ auswählen. Wenn der Account zu keiner AWS -Organisation gehört, lassen Sie dieses Feld leer.
        Ist Master-Konto Kennzeichnung des Verwaltungskontos.

        Dieses Kontrollkästchen wird angezeigt, wenn Sie in der Dropdown-Liste „Rechenzentrumstyp“ die Option „AWS-Rechenzentrum“ auswählen. Aktivieren Sie das Kontrollkästchen, um das AWS-Servicekonto dem Verwaltungskonto zuzuordnen. Aktivieren Sie dieses Kontrollkästchen nur für Konten, die Sie zuvor als Verwaltungskonten konfiguriert haben und zu denen einige Mitgliedskonten gehören. Weitere Informationen zu AWS Organization finden Sie unter AWS Dokumentation.
        Account des Zugriffsberechtigten Name des vertrauenswürdigen Kontos.

        Konfigurieren Sie dieses Feld nur für Konten, bei denen keine permanenten AWS-Anmeldeinformationen verwendet werden und bei denen IAM-Rollen für den Zugriff genutzt werden.
      4. Wählen Sie Absenden aus.
    6. Führen Sie eine der folgenden Aktionen aus.
      OptionBeschreibung
      Erstellen Sie eine Konfiguration für die Übernahme von Rollen für das Verwaltungskonto

      Wenn Sie ein Verwaltungskonto zum Scannen der Mitgliedskonten der Organisation AWS verwenden möchten, erstellen Sie eine Konfiguration für die Übernahme von Rollen für das Verwaltungskonto.

      1. Wenn Sie die OrganizationAccountAccessRole nicht für den Zugriff auf das Mitgliedskonto verwenden möchten, konfigurieren Sie das vertrauende Konto für Cloud Configuration Governance.

        Weitere Informationen finden Sie unter Vertrauendes Konto für Cloud Configuration Governance und Bibliothek von Cloud-Aktionenkonfigurieren.

      2. Wiederholen Sie Schritt 6.a für alle Mitgliedskonten, die über das Verwaltungskonto gescannt werden müssen, ohne die OrganizationAccountAccessRole zu verwenden.

      3. Wenn Sie die OrganizationAccountAccessRole verwenden möchten, um auf das Mitgliedskonto zuzugreifen, erstellen Sie eine Konfiguration für die Übernahme von Rollen für das Verwaltungskonto.

        Weitere Informationen finden Sie unter Konfiguration für die Übernahme von Rollen erstellen.
      Konfigurieren Sie das vertrauende Konto für Cloud Configuration Governance

      Wenn Sie ein vertrauenswürdiges Konto zum Scannen des vertrauenden Kontos verwenden möchten, konfigurieren Sie das vertrauende Konto für Cloud Configuration Governance.

      1. Konfigurieren Sie das vertrauende Konto für Cloud Configuration Governance.

        Weitere Informationen finden Sie unter Vertrauendes Konto für Cloud Configuration Governance und Bibliothek von Cloud-Aktionenkonfigurieren.

      2. Wiederholen Sie Schritt 6.a für alle vertrauenden Konten, die über das vertrauenswürdige Konto gescannt werden müssen.
    7. Installieren und konfigurieren Sie die MID Servers.
      Weitere Informationen finden Sie unter MID Server installieren und konfigurieren.
    8. Führen Sie die Rechenzentrumserkennung aus, um die mit den Servicekonten verbundenen Rechenzentren zu identifizieren.
      Weitere Informationen finden Sie unter Rechenzentrumserkennung ausführen.