AWS클라우드 구성 거버넌스 설정

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 5분

    • 애플리케이션과 클라우드 간의 상호작용을 활성화하도록 클라우드 구성 거버넌스에서 Amazon Web Services(AWS) 클라우드 계정에 대한 액세스를 설정합니다. 애플리케이션을 사용하려면 클라우드 계정에 액세스하여 클라우드 자원에서 미준수 구성을 스캔하고 정정할 수 있어야 합니다.

    시작하기 전에

    필요한 역할: sn_itom_ccg.scheduling_admin

    이 태스크 정보

    AWS 계정에 대한 액세스를 구성하기 위해 다음 용어가 사용됩니다.
    신뢰 계정
    신뢰 계정에는 AWS 영구 자격 증명이 없습니다. 이러한 계정의 IAM 역할에 대한 신뢰 관계를 구성하여 액세스 시에 다른 계정을 사용하도록 합니다.
    신뢰할 수 있는 계정
    신뢰할 수 있는 계정은 신뢰 계정에서 액세스를 위해 사용됩니다. ServiceNow UI는 신뢰할 수 있는 계정을 접근자 계정으로 참조합니다.
    다음 방법 중 하나를 사용하여 AWS 계정에 대한 액세스를 구성합니다.
    • 독립 실행형 AWS 계정(개별 계정)과 연결하도록 Now Platform의 영구 자격 증명을 구성합니다. 클라우드 서비스 계정 [cmdb_ci_cloud_service-account] 테이블에는 관리 또는 구성원 계정 및 액세스 자격 증명과 같은 서비스 계정 유형에 대한 정보가 포함되어 있습니다.
    • 액세스에 관리 계정을 사용하도록 구성원 계정을 구성합니다. 이 경우 Now Platform에서 관리 계정의 영구 자격 증명을 구성합니다.
    • 액세스(동일한 AWS 조직 내 또는 여러 AWS 조직에서 수평 액세스)에 신뢰할 수 있는 계정을 사용하도록 계정을 구성합니다. 이 경우 Now Platform에서 신뢰할 수 있는 계정의 영구 자격 증명을 구성합니다.
    주:
    클라우드 구성 거버넌스 는 신뢰 계정에 액세스하기 위해 MID 서버 기반 역할 위임 설정을 사용하지 않습니다.

    프로시저

    1. AWS 서비스 계정에 대한 자격 증명을 생성합니다.
      1. 다음으로 이동 연결 및 자격 증명 > 자격 증명.
      2. 새로 만들기를 선택한 다음 AWS 자격 증명을 선택합니다.
      3. 양식의 필드에 내용을 입력합니다.
        표 1. AWS 자격 증명 양식
        필드 설명
        이름 AWS 자격 증명에 대한 고유하고 설명적인 이름입니다.
        활성 자격 증명을 사용하는 옵션입니다.
        접근 키 ID AWS 관리 콘솔에서 생성한 접근 키 ID입니다.
        비밀 접근 키 AWS 관리 콘솔에서 생성한 비밀 접근 키 ID입니다.
      4. 저장을 선택합니다.
    2. sn_itom_cal.Aws_Creds_Alias 자격 증명 별칭을 선택하거나 자격 증명 별칭을 생성합니다.
      1. 자격 증명 별칭의 잠금을 해제합니다.
      2. 자격 증명 별칭을 검색합니다.
      3. 새로 만들기를 선택합니다.
      4. 양식의 필드에 내용을 입력합니다.
        표 2. 연결 및 자격 증명 별칭 양식
        필드 설명
        이름 별칭의 고유 이름입니다.
        유형 자격 증명 별칭 유형입니다.

        유형 드롭다운에서 자격 증명을 선택합니다.
      5. 제출을 선택합니다.
    3. 인증 알고리즘 필드를 AWS 인증자로 설정합니다.
    4. 제출을 선택합니다.
    5. AWS 서비스 계정을 설정합니다.
      1. 다음으로 이동 Cloud Provisioning and Governance > 서비스 계정.
      2. 새로 만들기를 선택합니다.
      3. 양식의 필드에 내용을 입력합니다.
        표 3. 클라우드 서비스 계정 양식
        필드 설명
        이름 서비스 계정의 고유한 이름입니다.
        계정 ID 12자리의 사용자 계정 번호입니다. 번호를 확인하려면 AWS 관리 콘솔의 계정 이름 아래에 있는 목록을 확장합니다.
        중요사항:
        계정 ID 필드의 숫자에서 하이픈(-) 문자를 제거합니다.
        검색 자격 증명 ServiceNow 애플리케이션이 클라우드 계정에 액세스하는 데 필요한 자격 증명입니다. 검색 자격 증명은 나중 단계에서 AWS 계정에 대한 액세스를 구성할 때 구성할 수 있습니다.
        • 독립적인 서비스 계정 또는 관리 계정을 설정하는 경우 해당 AWS 자격 증명을 선택합니다.
        • 다른 AWS 계정을 사용하여 이 계정에 액세스하려면 필드를 비워 두십시오.

          예를 들어, IAM(ID 및 액세스 관리) 역할 또는 구성원 계정이 액세스에 자신의 관리 계정을 사용한다고 가정하고 계정에 AWS 자격 증명을 지정할 필요가 없습니다.
        데이터센터 URL 데이터센터의 URL입니다.

        이 필드를 비워 둡니다.
        데이터센터 유형 계정이 호스팅되는 데이터센터의 유형입니다.

        AWS 데이터센터를 선택합니다.
        데이터센터 검색 상태 자동 생성 값: 데이터센터에서 마지막으로 수행한 검색에 대한 상태 및 타임스탬프
        상위 계정 이 구성원 계정이 속한 AWS 조직을 나타내는 관리 계정의 이름입니다.

        이 필드는 AWS 데이터센터를 선택할 때 나타납니다. 계정이 AWS 조직에 속하지 않으면 이 필드를 비워 둡니다.
        마스터 계정 관리 계정 플래그입니다.

        이 확인란은 데이터센터 유형 드롭다운에서 AWS 데이터센터를 선택할 때 나타납니다. AWS 서비스 계정을 관리 계정과 연결하려면 확인란을 선택합니다. 이 확인란은 이전에 일부 구성원 계정이 속해 있는 관리 계정으로 구성한 계정에 대해서만 선택하십시오. 조직에 대한 AWS 자세한 내용은 다음을 참조하십시오. AWS 문서.
        접근자 계정 신뢰할 수 있는 계정의 이름입니다.

        액세스에 AWS 영구 자격 증명을 사용하지 않으며 IAM 역할을 사용하는 계정에 대해서만 이 필드를 구성하십시오.
      4. 제출을 선택합니다.
    6. 다음 작업 중 하나를 수행합니다.
      옵션설명
      관리 계정에 대한 역할 위임 구성 생성

      관리 계정을 사용하여 AWS 조직의 구성원 계정을 스캔하려면 관리 계정에 대한 역할 위임 구성을 생성합니다.

      1. OrganizationAccountAccessRole을 사용하여 구성원 계정에 액세스하지 않으려면 클라우드 구성 거버넌스에 대한 신뢰 계정을 구성합니다.

        자세한 내용은 클라우드 구성 거버넌스 및 클라우드 동작 라이브러리에 대한 신뢰 계정 구성 문서를 참조하십시오.

      2. OrganizationAccountAccessRole을 사용하지 않고 관리 계정을 통해 스캔해야 하는 모든 구성원 계정에 대해 6.a 단계를 반복합니다.

      3. OrganizationAccountAccessRole을 사용하여 구성원 계정에 액세스하려면 관리 계정에 대한 역할 위임 구성을 생성합니다.

        자세한 내용은 역할 위임 구성 생성 문서를 참조하십시오.
      클라우드 구성 거버넌스에 대한 신뢰 계정 구성

      신뢰할 수 있는 계정을 사용하여 신뢰 계정을 스캔하려면 클라우드 구성 거버넌스에 대한 신뢰 계정을 구성합니다.

      1. 클라우드 구성 거버넌스에 대한 신뢰 계정을 구성합니다.

        자세한 내용은 클라우드 구성 거버넌스 및 클라우드 동작 라이브러리에 대한 신뢰 계정 구성 문서를 참조하십시오.

      2. 신뢰할 수 있는 계정을 통해 스캔해야 하는 모든 신뢰 계정에 대해 6.a 단계를 반복합니다.
    7. MID 서버를 설치하고 구성합니다.
      자세한 내용은 MID Server 설치 및 구성을 참조하십시오.
    8. 데이터센터 검색을 실행하여 서비스 계정과 연결된 데이터센터를 식별합니다.
      자세한 내용은 데이터센터 검색 실행을 참조하십시오.