Configurer un rôle de membre AWS personnalisé

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Personnalisez les rôles AWS qu’un serveur MID peut endosser pour recevoir des informations d’identification temporaires pour les comptes des membres. Vous pouvez configurer des paramètres supplémentaires pour améliorer la sécurité et personnaliser la façon dont le rôle du compte membre est assumé lors de la détection des ressources dans le cloud.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Les valeurs que vous saisissez dans la table Endosser les paramètres de rôle org AWS > de compte de service dans le cloud [cloud_service_account_aws_org_assume_role_params] sont transmises en tant que paramètres à l’API AWS AssumeRole pour le compte de service nommé.

    Procédure

    1. Accédez à la Tous > Mise en service et gouvernance du cloud > Paramètres d’accès à l’organisation > Endosser les paramètres de rôle org AWS.
      Endosser le module des paramètres de rôle org AWS
    2. Cliquez sur Nouveau , puis remplissez le formulaire à l’aide des paramètres suivants :
      Champ Description
      Nom du rôle d’accès [access_role_name] Nom du rôle AWS dans le compte membre utilisé par le compte de gestion pour acquérir des informations d’identification temporaires.

      Par défaut : OrganizationAccountAccessRole
      Nom de la session de rôle [role_session_name] Nom de la session utilisant les identifiants de sécurité temporaires qui peuvent aider à distinguer l’utilisation d’un rôle par un principal ou un but. Ce nom de session est visible dans les journaux de piste dans le cloud AWS. Consultez Cloud API Trail et la documentation AWS sur AWS Cloud Trail pour plus d’informations.

      Par défaut : master_account_id__<numéro d’ID de compte de gestion> Voici un exemple : master_account_id__321003876149.
      Durée de vie des informations d’identification en quelques secondes [credential_ttl_seconds] Durée de vie en secondes des identifiants de sécurité temporaires.
      Par défaut : calculé comme suit :
      1. Récupérez la valeur dans la mid.aws.sts.assume_role.credential_ttl_minutes propriété du serveur MID.
      2. Limitez cette valeur à une valeur comprise entre 15 et 720 minutes. Si le paramètre de la propriété est inférieur à 15 minutes, le système entre dans 15 minutes. Si le paramètre est supérieur à 720 minutes, le système entre dans 720 minutes.
      3. Convertissez la valeur résultante en secondes.
      ID externe [external_id] Identificateur unique requis par la politique d’approbation du rôle assumé.

      Par défaut : ServiceNow_MID_Server
      Stratégie de session [session_policy] Politique IAM au format JSON qui restreint davantage les autorisations des informations d’identification de sécurité temporaires au-delà de la stratégie configurée pour le rôle. (JSON dans le langage de politique AWS.)

      Valeur par défaut : vide
      MFA [authentification multifacteur] Numéro de série de l’appareil d’authentification multifacteur (MFA) (matériel ou virtuel) utilisé pour authentifier le compte de gestion.

      Valeur par défaut : vide
      Code de jeton MFA [mfa_token_code] Code de jeton fourni par l’appareil MFA (matériel ou virtuel) utilisé pour authentifier le compte de gestion.

      Valeur par défaut : vide
      Compte de services dans le cloud [cloud_service_account] Requis. Compte de service à associer aux paramètres d’accès que vous transmettez à l’API AWS AssumeRole. Entrez un ID de compte, soit un compte de gestion soit un compte membre, à partir de la table Comptes de services [cmdb_ci_cloud_service_account].
      Remarque :
      Pour plus de détails sur la façon dont ces paramètres sont utilisés et ce qu’ils signifient, consultez la documentation AWS sur l’API AWS Security Token Service pour l’action AssumeRole.