Détection d'Amazon Simple Storage Service (AWS S3)

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • L'application ServiceNow Découverte utilise le modèle Amazon AWS S3 pour rechercher des catégories de stockage publiques et non publiques d'Amazon Simple Storage Service. Le modèle utilise un ensemble d'appels d'API REST pour rechercher ces ressources. La détection de ces ressources nécessite l'installation de l'application Modèles de détection et de mappage des services à partir du ServiceNow Store.

    En plus du calendrier de détection, l'instance ServiceNow déclenche le modèle Amazon AWS S3 quand AWS Config envoie un événement à l'instance ServiceNow. Config est un service qui surveille en continu les ressources AWS et envoie des événements à ServiceNow chaque fois qu'il sent qu'une configuration de ressource a changé.

    Le modèle Amazon AWS S3 peut également détecter les catégories AWS S3 situées dans la région AWS GovCloud (États-Unis). Pour AWS S3 situé dans AWS GovCloud (SU), le modèle ne peut pas détecter les connexions sortantes AWS S3 vers d'autres ressources dans le cloud telles que la fonction Lambda. La détection des connexions sortantes pour AWS S3 sera prise en charge dans les versions futures.

    Vous pouvez utiliser ce modèle sur la plateforme ServiceNow utilisant Jakarta correctif 10, Kingston correctif 8 ou London correctif 1.

    Demander des applications dans l'App Store

    Visitez le site Web ServiceNow Store pour découvrir toutes les applications disponibles et pour obtenir des informations sur la procédure à suivre pour soumettre des demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Storenotes de publication relatives à l'historique des versions.

    Prérequis

    • Si vous utilisez Identity and Access Management (IAM) pour gérer les utilisateurs dans la plateforme Amazon Web Services (AWS), assurez-vous d'avoir créé une politique d'utilisateur pour l'utilisateur AWS. Pour plus d'informations, reportez-vous à Créer une politique d'utilisateur IAM pour Cloud Provisioning and Governance dans la documentation ServiceNow Cloud Provisioning and Governance.
    • Configurez le compte de services AWS.
    • Configurez les informations d'identification AWS à l'aide d'une clé secrète et d'une clé d'accès.
    • Autorisations utilisateur de la politique AmazonS3ReadOnlyAccess.
    • Détectez les centres de données logiques hébergeant des catégories S3, comme décrit dans Exécuter Discovery sur un compte de services dans le cloud AWS dans la documentation ServiceNow Cloud Provisioning and Governance.
    • Créez un calendrier pour le compte de service AWS pertinent, comme décrit dans Planifier Discovery sur un compte de service dans la documentation ServiceNow Cloud Provisioning and Governance.
    • Pour activer la détection basée sur les alertes, configurez le service d'événements AWS tel que décrit dans Configurer le traitement des événements AWS pour Découverte et Mappage des services dans la documentation ServiceNow Cloud Provisioning and Governance.
    • Pour Détection dans le cloud, téléchargez le modèle Discovery and Service Mapping depuis ServiceNow Store.
    • Lors de l’installation du Serveur MID, assurez-vous que l’ordinateur hôte respecte ou dépasse la configuration système requise pour le serveur MID publiée sur le site de documentation ServiceNow .

    Données collectées par Découverte lors d'une détection horizontale

    Table et champ Description
    Stockage d'objets dans le cloud [cmdb_ci_cloud_object_storage]
    Nom de catégorie [bucket_name] Le nom de la catégorie AWS S3. Vous pouvez détecter toutes les catégories hébergées sur un centre de données logique au cours d'un processus de détection.
    Date de création [creation date] Date de création de la catégorie AWS S3.
    Fournisseur dans le cloud [cloud_provider] Amazon AWS
    ID d'objet [object_id] Le nom de ressource Amazon (ARN), exprimé au format suivant : arn:aws:s3:::<bucket name>
    Nom de service [service_name] Défini sur S3 par défaut.
    Propriétaire [owner] Nom du propriétaire de la catégorie AWS S3.
    Type de chiffrement [encryption_type] Type de chiffrement pour cette catégorie. Les choix possibles sont les suivants :
    • Aucun
    • AES-256
    • AWS-KMS
    Type d'accès ACL [acl_access_type] Les choix pour les types de contrôles d'accès sont les suivants :
    • Public
    • Non public
    Type d'accès à la politique [policy_access_type] Les choix pour les types d'accès à la politique sont les suivants :
    • Public
    • Non public
    Destination de réplication [replication_destination] ARN de la catégorie Destination de réplication.
    Sur la carte Vue des dépendances, vous pouvez voir toutes les catégories S3 détectées dans votre organisation, y compris les catégories S3 que vous avez configurées en tant que répliques. Dans cet exemple, Cloud Object Storage 1, Cloud Object Storage 2 et Cloud Object Storage 3 répliquent Cloud Object Storage 2. À son tour, Cloud Object Storage 2 réplique Cloud Object Storage 1.
    Figure 1. Dependency Views affichant les composants AWS S3
    Résultat de la détection horizontale d’AWS S3 tel qu’il apparaît dans Vue des dépendances

    Relations CI

    Ces relations sont créées pour prendre en charge la détection d'AWS S3 :
    CI Relation CI
    cmdb_ci_cloud_object_storage Replicates to::Replicated By cmdb_ci_cloud_object_storage
    cmdb_ci_cloud_object_storage Hébergé sur : Hôtes cmdb_ci_logical_datacenter

    Données détectées par Mappage des services lors de la détection de haut en bas

    Mappage des services peut détecter les connexions sortantes AWS S3 aux ressources dans le cloud, par exemple la fonction Lambda.

    Figure 2. Carte de services d'application montrant un CI de catégorie S3

    Mappage des services Carte affichant un service avec des catégories S3 détectées.

    Dépannage

    Si le processus de mappage ne se déroule pas comme prévu, suivez les suggestions ci-après.
    Symptôme Cause Solution
    Échec de la détection. Le message de détection fait état d'une erreur liée au délai d'expiration de REST. De nombreux CI envoient la réponse d'appel REST dans le déploiement. Le Serveur MID ne peut pas traiter la réponse d'appel REST sans dépasser la limite de temps contrôlée par le paramètre mid.sa.cloud.request_timeout. Par défaut, le paramètre mid.sa.cloud.request_timeout est défini sur 30 000 millisecondes.
    Augmentez la valeur de ce paramètre sur le Serveur MID pertinent et relancez la détection.
    Remarque :
    Si la liste connexe Paramètres de configuration pour le Serveur MID pertinent n'affiche pas ce paramètre, vous devrez peut-être l'ajouter.
    Concepteur de modèle échoue lors d'une session de débogage. Le message de Concepteur de modèle fait état d'une erreur liée au délai d'expiration. Concepteur de modèle échoue en raison d'un délai d'expiration pendant le débogage du modèle (et non pendant la détection). Par défaut, le paramètre sa.debugger.max_timeout est défini sur 240 secondes.

    Augmentez la valeur de ce paramètre sur le Serveur MID pertinent.