Conditions préalables à l’exécution des scripts

  • Rversion finale: Xanadu
  • Mis à jour 17 juin 2026
  • 4 minutes de lecture

    • Renseignez les conditions préalables avant d’exécuter les AWS scripts.

    Important :
    Assurez-vous d’avoir téléchargé les scripts disponibles dans le Connecteur du graphe de services pour AWSfichier . Consultez Télécharger les AWS scripts.
    Décidez des détails suivants à utiliser ultérieurement lors de l’exécution AWS des scripts :

    Déterminer le ServiceNow rôle IAM

    Déterminez le rôle IAM (Identity and Access Management) qui effectue des opérations en lecture seule dans les comptes membres pour extraire les éléments de configuration (CI) de l’environnement AWS .

    Par défaut, le script CreateSnowOrganizationAccountAccessRoleInMemberAccount.yml crée le rôle IAM SnowOrganizationAccountAccessRole. Vous pouvez utiliser le nom par défaut créé par le script ou créer un nouveau rôle IAM. Toutefois, lorsque cela est requis comme paramètre d’entrée, vous devez saisir le même rôle IAM dans tous les scripts. Consultez Exécution des scripts requis pour la configuration AWS.

    Déterminer le nom d’utilisateur ServiceNow IAM

    Déterminez le nom de l’utilisateur IAM qui assume le ServiceNow rôle IAM dans les comptes membres.

    Par défaut, le script CreateServiceNowUser.yml crée l’utilisateur IAM NOWSGCUser. Vous pouvez utiliser le nom par défaut créé par le script ou créer un nouvel utilisateur IAM. Toutefois, lorsque cela est requis comme paramètre d’entrée, vous devez saisir le même nom d’utilisateur IAM dans tous les scripts. Consultez Exécution des scripts requis pour la configuration AWS.

    Définir la catégorie S3 pour Deep Discovery

    Configurez une catégorie S3 avec des privilèges de lecture et de suppression pour le rôle IAM afin de stocker et de supprimer les réponses de l’API SendCommand lors de l’importation ServiceNow de AWS données.

    Avant de commencer

    Rôle requis : administrateur d’application

    Pourquoi et quand exécuter cette tâche

    Créez une catégorie S3 pour l’application Connecteur du graphe de services pour AWS et activez le ServiceNow rôle IAM pour accéder à cette catégorie dans l’organisation.
    Remarque :
    Utilisez une catégorie S3 uniquement lorsque vous souhaitez effectuer une découverte approfondie sur les instances EC2.

    Procédure

    1. Créer une catégorie S3 dans une région de AWS compte.
      Reportez-vous à la section Création d’un compartiment sur le site de la AWS documentation.
      Remarque :
      La catégorie S3 doit avoir les paramètres d’autorisation suivants.
      Tableau 1. Autorisations de catégorie S3 et leurs paramètres
      Autorisation Paramètre
      Accès Catégorie et objets non publics
      Accès public du bloc S3 Bloquer l’accès public aux catégories et objets S3

      Pour plus d’informations, reportez-vous à la section Accès public au bloc S3 sur le site de la AWS documentation.

    2. Ajouter une politique de compartiment.

      Reportez-vous à la section Stratégies de compartiment sur le site de documentationAWS.

      Pour accéder à la catégorie S3 que vous avez créée à l’étape 1, sa politique de catégorie doit autoriser le rôle de profil d’instance IAM attaché aux instances EC2 gérées. Vous pouvez soit créer une politique de catégorie, soit accorder l’accès à votre AWS compte membre dans la liste de contrôle d’accès aux catégories (ACL). Le compte membre doit inclure les instances EC2.
      Remarque :
      L’ajout d’un AWS compte de membre à l’ACL de la catégorie permet à tous les utilisateurs et rôles du compte membre d’accéder à la catégorie S3.
      Consultez l’exemple de code suivant lors de l’ajout d’une stratégie de catégorie.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AWS-ACCOUNT:role/INSTANCE-PROFILE-ROLE-NAME"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      • SOURCE-AWS-ACCOUNT est l’ID du AWS compte membre qui inclut les instances EC2.
      • INSTANCE-PROFILE-ROLE-NAME est le profil d’instance IAM attaché aux instances EC2.

        Par défaut, le script AmazonSSMForInstancesRoleSetup.yml crée le rôle de profil d’instance IAM AmazonSSMForInstancesRole et l’attache à la stratégie de catégorie AmazonSSMManagedInstanceCore. Consultez Exécution des scripts requis pour la configuration AWS.

      • DOC-EXAMPLE-BUCKET est le nom de la catégorie S3.
      L’exemple de politique de compartiment suivant présente les éléments d’effet, de principal, d’action et de ressource. La politique autorise AmazonSSMRoleForInstances, un rôle de profil d’instance IAM dans un compte avec des autorisations ID 123456789000, s3 :GetObject, s3 :PutObject et s3 :PutObjectAcl S3 sur le compartiment myS3Bucket .
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789000:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789001:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789002:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789003:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789004:role/AmazonSSMRoleForInstances"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::myS3Bucket/*"
        }
    ]
}
    3. Joignez des autorisations IAM au rôle de profil d’instance pour les instances EC2 afin de publier les réponses de l’API SendCommand dans la catégorie S3 que vous avez créée à l’étape 1.
      Consultez Utilisation de profils d’instance et Joindre un rôle IAM à une instance sur le site de documentation AWS .
      Le rôle de profil d’instance IAM attaché aux instances EC2 gérées doit disposer des autorisations S3 s3 :GetObject, s3 :PutObject et s3 :PutObjectAcl pour autoriser l’accès à la catégorie S3, comme indiqué dans l’exemple de stratégie suivant.
      {
    "Version": "2012-10-17",
    "Statement": [
        {
        "Sid": "PublishTerminalOutputToS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      DOC-EXAMPLE-BUCKET est le nom de la catégorie S3.
      Remarque :
      Assurez-vous d’ajouter le suffixe /* à la fin du nom de la catégorie pour permettre la création de fichiers sous le nom de la catégorie.