스크립트 실행을 위한 필수 구성요소

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 06월 17일
  • 소요 시간: 6분

    • 스크립트를 실행하기 전 필수 구성요소를 완료합니다.AWS

    중요사항:
    내에서 사용할 수 있는 스크립트를 다운로드했는지 확인합니다.AWS용 서비스 그래프 커넥터 스크립트 다운로드 AWS 문서를 참조하십시오.
    나중에 스크립트를 실행하는 동안 사용할 다음 상세 정보를 결정합니다.AWS

    IAM 역할 결정 ServiceNow

    구성원 계정에서 읽기 전용 작업을 수행하여 환경에서 구성 항목(CI)을 가져오는 IAM(ID 및 액세스 관리) AWS 역할을 결정합니다.

    기본적으로 CreateSnowOrganizationAccountAccessRoleInMemberAccount.yml 스크립트는 SnowOrganizationAccountAccessRole IAM 역할을 생성합니다. 스크립트에서 만든 기본 이름을 사용하거나 새 IAM 역할을 만들 수 있습니다. 그러나 입력 매개변수로 필요한 경우에는 여러 스크립트에 동일한 IAM 역할을 입력해야 합니다. 설정에 필요한 스크립트 실행 AWS 문서를 참조하십시오.

    IAM 사용자 이름 결정 ServiceNow

    구성원 계정에서 IAM 역할을 담당 ServiceNow 하는 IAM 사용자의 이름을 결정합니다.

    기본적으로 CreateServiceNowUser.yml 스크립트는 NOWSGCUser IAM 사용자를 생성합니다. 스크립트에서 생성한 기본 이름을 사용하거나 새 IAM 사용자를 생성할 수 있습니다. 그러나 입력 매개변수로 필요한 경우에는 여러 스크립트에서 동일한 IAM 사용자 이름을 입력해야 합니다. 설정에 필요한 스크립트 실행 AWS 문서를 참조하십시오.

    심층 검색을 위한 S3 버킷 정의

    데이터를 임포트할 때 SendCommand API 응답을 저장하고 삭제할 IAM 역할에 대한 ServiceNow 읽기 및 삭제 권한이 있는 S3 버킷을 설정합니다.AWS

    시작하기 전에

    필요한 역할: 애플리케이션 관리자

    이 태스크 정보

    애플리케이션에 대한 AWS용 서비스 그래프 커넥터 S3 버킷을 생성하고 조직에서 이 버킷에 액세스할 수 있도록 ServiceNow IAM 역할을 활성화합니다.
    주:
    EC2 인스턴스에서 심층 검색을 수행하려는 경우에만 S3 버킷을 사용하십시오.

    프로시저

    1. 계정 지역에 S3 버킷 AWS 을 생성합니다.
      설명서 사이트의 AWS버킷 생성을 참조하십시오.
      주:
      S3 버킷에는 다음과 같은 권한 설정이 있어야 합니다.
      표 1. S3 버킷 권한 및 해당 설정
      권한 설정
      접근 버킷 및 객체가 공개되지 않음
      S3 공용 액세스 차단 S3 버킷 및 객체에 대한 공개 액세스 차단

      자세한 내용은 설명서 사이트의 AWSS3 공개 액세스 차단을 참조하십시오.

    2. 버킷 정책을 추가합니다.

      설명서 사이트의 AWS버킷 정책을 참조하십시오.

      1단계에서 생성한 S3 버킷에 액세스하려면 해당 버킷 정책에서 관리형 EC2 인스턴스에 연결된 IAM 인스턴스 프로파일 역할을 허용해야 합니다. 버킷 정책을 생성하거나 버킷 액세스 제어 목록(ACL)의 AWS 구성원 계정에 대한 액세스 권한을 부여할 수 있습니다. 구성원 계정에는 EC2 인스턴스가 포함되어야 합니다.
      주:
      버킷 ACL에 AWS 구성원 계정을 추가하면 구성원 계정의 모든 사용자와 역할이 S3 버킷에 액세스할 수 있습니다.
      버킷 정책을 추가할 때 다음 샘플 코드를 참조하십시오.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AWS-ACCOUNT:role/INSTANCE-PROFILE-ROLE-NAME"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      위치
      • SOURCE-AWS-ACCOUNT 는 EC2 인스턴스를 포함하는 구성원 계정의 AWS 계정 ID입니다.
      • INSTANCE-PROFILE-ROLE-NAME 은 EC2 인스턴스에 연결된 IAM 인스턴스 프로파일입니다.

        기본적으로 AmazonSSMForInstancesRoleSetup.yml 스크립트는 AmazonSSMForInstancesRole IAM 인스턴스 프로파일 역할을 생성하고 해당 역할을 AmazonSSMManagedInstanceCore 버킷 정책에 연결합니다. 설정에 필요한 스크립트 실행 AWS 문서를 참조하십시오.

      • DOC-EXAMPLE-BUCKET 은 S3 버킷 이름입니다.
      다음 예제 버킷 정책은 효과, 주체, 작업 및 자원 요소를 보여줍니다. 이 정책은 myS3Bucket 버킷에 대한 ID 123456789000, s3:GetObject, s3:PutObjects3:PutObjectAcl S3 권한이 있는 계정의 IAM 인스턴스 프로파일 역할인 AmazonSSMRoleForInstances를 허용합니다.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789000:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789001:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789002:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789003:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789004:role/AmazonSSMRoleForInstances"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::myS3Bucket/*"
        }
    ]
}
    3. EC2 인스턴스의 인스턴스 프로파일 역할에 IAM 권한을 연결하여 1단계에서 생성한 S3 버킷에 SendCommand API 응답을 게시합니다.
      설명서 사이트의 AWS인스턴스 프로파일 사용 및 인스턴스에 IAM 역할 연결을 참조하십시오.
      다음 샘플 정책과 같이 관리형 EC2 인스턴스에 연결된 IAM 인스턴스 프로파일 역할에는 s3:GetObject, s3:PutObjects3:PutObjectAcl S3 권한이 있어야 S3 버킷에 대한 액세스를 허용할 수 있습니다.
      {
    "Version": "2012-10-17",
    "Statement": [
        {
        "Sid": "PublishTerminalOutputToS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      여기서 DOC-EXAMPLE-BUCKET 은 S3 버킷 이름입니다.
      주:
      버킷 이름 아래에 파일을 생성할 수 있도록 버킷 이름 끝에 접미사 /* 를 추가해야 합니다.