Configurer un compte Identity Access Manager pour un ServiceNow utilisateur dans AWS

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Créez un AWS CloudFormation utilisateur Identity Access Manager (IAM) dans le compte de gestion à l’aide du modèle CloudFormation (CFT) afin de pouvoir gérer plusieurs AWS comptes avec un utilisateur IAM centralisé.

    Avant de commencer

    • Rôle requis : AWS admin

    • Le ServiceNow compte d’utilisateur IAM nécessite des autorisations IAM spécifiques AWS pour effectuer des opérations de base. Pour en savoir plus sur les autorisations, reportez-vous à la section À propos des Amazon Web Services autorisations d’API.

    Procédure

    1. Connectez-vous à la AWS console de gestion et saisissez CloudFormation dans la barre de recherche, puis sélectionnez-le.
    2. Sur la console CloudFormation, sélectionnez Créer une pile.

      Une pile est un ensemble de AWS ressources que vous pouvez gérer comme une seule unité.

    3. Copiez le code du modèle CloudFormation (CFT) dans un fichier et enregistrez le fichier.

      L’extension du fichier doit être .yml. Par exemple, CreateServiceNowUser.yml.

      AWSTemplateFormatVersion: '2010-09-09'
Description: This script is executed in Management Account where the  ServiceNow user is created.

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
      - Label:
          default: User Credentials
        Parameters:
          - SNUserName
    ParameterLabels:
      SNUserName:
        default: User Name

Parameters:
  SNUserName:
    Type: String
    Description: User name for CW Service Account user
    MinLength: '6'
    MaxLength: '15'
    ConstraintDescription: The username must be between 6 and 15 characters

Resources:
  SnowCWMemberAccountAccessGroup:
    Type: 'AWS::IAM::Group'
    Properties:
      GroupName: SnowCWMemberAccountAccessGroup

  SnowCWAccountAccessPolicy:
    Type: 'AWS::IAM::Policy'
    Properties:
      PolicyName: SnowCWAccountAccessPolicy
      PolicyDocument:
        Statement:
          - Sid: ServiceNowCWUserAccess
            Effect: Allow
            Action:
              - 'organizations:ListRoots'
              - 'organizations:ListTagsForResource'
              - 'organizations:DescribeAccount'
              - 'organizations:CreateAccount'
              - 'organizations:ListAWSServiceAccessForOrganization'
              - 'organizations:TagResource'
              - 'organizations:ListAccounts'
              - 'organizations:ListRoots'
              - 'organizations:ListTagsForResource'
              - 'organizations:DescribeAccount'
              - 'organizations:CreateAccount'
              - 'organizations:ListAWSServiceAccessForOrganization'
              - 'organizations:TagResource'
              - 'organizations:ListAccounts'
              - 'organizations:CloseAccount'
              - 'organizations:DescribeOrganization'
              - 'organizations:DescribeOrganizationalUnit'
              - 'organizations:ListParents'
              - 'organizations:ListOrganizationalUnitsForParent'
              - 'organizations:MoveAccount'
              - 'organizations:DescribeCreateAccountStatus'
              - 'organizations:AttachPolicy'
              - 'organizations:DescribePolicy'
              - 'organizations:ListAccounts'
              - 'budgets:CreateBudgetAction'
              - 'budgets:ModifyBudget'
              - 'budgets:ViewBudget'
              - 'budgets:ListTagsForResource'
              - 'iam:GetAccountSummary'
              - 'iam:GetAccountPasswordPolicy'
              - 'budgets:DescribeBudgetAction'
              - 'iam:ListAccountAliases'
              - 'sts:AssumeRole'
              - 'iam:GetRole'
              - 'iam:ListAccountAliases'
              - 'iam:GetAccountPasswordPolicy'
              - 'organizations:DetachPolicy'
              - 'iam:GetAccountAuthorizationDetails'              
            Resource: '*'
      Groups:
        - !Ref SnowCWMemberAccountAccessGroup

  CreateServicenowUser:
    Type: 'AWS::IAM::User'
    Properties:
      Path: /
      UserName: !Ref SNUserName
  AddSnowUserToSnowCWMemberAccountAccessGroup:
    Type: 'AWS::IAM::UserToGroupAddition'
    Properties:
      GroupName: SnowCWMemberAccountAccessGroup
      Users:
        - !Ref SNUserName
    DependsOn: CreateServicenowUser

Outputs:
  ServiceNowUserARN:
    Description: ARN of ServiceNow user
    Value: !GetAtt 
      - CreateServicenowUser
      - Arn

  ServiceNowUser:
    Description: ServiceNow user
    Value: !Ref SNUserName
    4. Sur la page Créer une pile , sélectionnez Choisir un modèle existant > Charger un fichier de modèle > Choisir un fichier pour choisir un fichier de modèle sur votre ordinateur local.
    5. Sélectionnez Suivant pour continuer et valider le modèle.
    6. Sur la page Spécifier les détails de la pile , saisissez un nom de pile CloudFormation dans le champ Nom de la pile .

      Le nom de pile est un identificateur qui vous aide à trouver une pile particulière dans une liste de piles. Un nom de pile ne peut contenir que des caractères alphanumériques (sensibles à la casse) et des traits d’union. Il doit commencer par un caractère alphabétique et ne peut pas dépasser 128 caractères.

    7. Dans le champ Nom d’utilisateur , saisissez un nom d’utilisateur Gestion des comptes cloud de compte de service.
    8. Sélectionnez Suivant pour continuer.
    9. Sur la page Configurer les options de pile , cochez la case Je reconnais qu’AWS CloudFormation peut créer des ressources IAM avec des noms personnalisés et sélectionnez Suivant.
    10. Sur la page Examiner et créer , sélectionnez Soumettre pour lancer votre pile.
      Le compte IAM est créé.
    11. Pour ajouter des informations d’identification de sécurité :
      1. Sélectionnez des ressources.
      2. Sélectionnez le lien du nom d’utilisateur.
      3. Dans la section Clés d’accès, sélectionnez Créer une clé d’accès.
      4. Sur la page Bonnes pratiques et alternatives clés d’accès , choisissez l’option de service tiers .

        Vous prévoyez d’utiliser cette clé d’accès pour activer l’accès à une application ou à un service tiers qui surveille ou gère vos AWS ressources.

      5. Cochez la case Je comprends la recommandation ci-dessus et souhaitez créer une clé d’accès , puis sélectionnez Suivant.
      6. Sélectionnez Créer une clé d’accès.
      7. Sur la page Examiner les clés d’accès , téléchargez le fichier de clé d’accès et sélectionnez Terminé.
        Remarque :
        Partagez la clé d’accès et la clé secrète avec l’administrateur et ServiceNow AI Platform l’administrateurTerraform.

    Que faire ensuite

    Configurer la suspension d’un AWS compte à l’aide de la politique de contrôle de service