Configurer un rôle de membre AWS personnalisé

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Personnalisez les rôles AWS qu'un MID Server peut endosser pour recevoir des informations d'identification temporaires pour les comptes membres. Vous pouvez configurer des paramètres supplémentaires pour améliorer la sécurité et personnaliser la façon dont le rôle du compte membre est endossé lors de la détection des ressources dans le cloud.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Les valeurs que vous saisissez dans la table Compte de services dans le cloud > Endosser les paramètres de rôle org AWS [cloud_service_account_aws_org_assume_role_params] sont transmises en tant que paramètres à l'API AWS AssumeRole pour le compte de services nommé.

    Procédure

    1. Accédez à la Tout > Mise en service et gouvernance du cloud > Paramètres d'accès à l'organisation > Endosser les paramètres de rôle org AWS.
      Module Endosser les paramètres de rôle org AWS
    2. Cliquez sur Nouveau, puis remplissez le formulaire à l'aide de ces paramètres :
      Champ Description
      Nom du rôle d'accès [access_role_name] Nom du rôle AWS dans le compte membre utilisé par le compte de gestion pour acquérir des informations d'identification temporaires.

      Par défaut : OrganizationAccountAccessRole
      Nom de session de rôle [role_session_name] Nom de la session utilisant les identifiants de sécurité temporaires qui peuvent aider à distinguer l'utilisation d'un rôle par un principal ou un but Ce nom de session est visible dans les journaux AWS Cloud Trail. Consultez la piste d'API dans le cloud et la documentation AWS sur AWS Cloud Trail pour plus d'informations.

      Par défaut : master_account_id__<numéro d’ID de compte de gestion> Par exemple : master_account_id__321003876149.
      Durée de vie des informations d'identification en quelques secondes [credential_ttl_seconds] Durée de vie en secondes des identifiants de sécurité temporaires.
      Par défaut : calculé comme suit :
      1. Récupérez la valeur dans la mid.aws.sts.assume_role.credential_ttl_minutes propriété de Serveur MID.
      2. Limitez cette valeur pour qu'elle soit comprise entre 15 et 720 minutes. Si le paramètre dans la propriété est inférieur à 15 minutes, le système est accessible 15 minutes. Si le paramètre est supérieur à 720 minutes, le système est accessible 720 minutes.
      3. Convertissez la valeur résultante en secondes.
      ID externe [external_id] Identificateur unique exigé par la stratégie d'approbation du rôle endossé.

      Par défaut : ServiceNow_MID_Server
      Politique de session [session_policy] Stratégie IAM au format JSON qui restreint davantage les autorisations des informations d'identification de sécurité temporaires au-delà de la stratégie configurée pour le rôle. (JSON dans la langue de la politique AWS.)

      Valeur par défaut : vide
      MFA [multifactor authentication] Numéro de série de l’appareil d’authentification multifacteur (MFA) (matériel ou virtuel) utilisé pour authentifier le compte de gestion.

      Valeur par défaut : vide
      Code de jeton MFA [mfa_token_code] Code de jeton fourni par l'appareil MFA (matériel ou virtuel) utilisé pour authentifier le compte de gestion.

      Valeur par défaut : vide
      Compte de services dans le cloud [cloud_service_account] Requis. Compte de services à associer aux paramètres d'accès que vous transmettez à l'API AWS AssumeRole. Entrez un ID de compte, soit un compte de gestion, soit un compte de membre, à partir de la table Comptes de services [cmdb_ci_cloud_service_account].
      Remarque :
      Pour plus de détails sur la façon dont ces paramètres sont utilisés et ce qu'ils signifient, consultez la documentation AWS sur l'API de service de jeton AWS Security pour l'action AssumeRole.