管理アクセサートラストチェーン内の AWS メンバーアカウントを信頼するための一時的な認証情報を使用したアクセス構成

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:4分

    • アクセサーから管理アカウントを介してトラストチェーンを使用して、 AWS メンバーアカウントのアクセス権を構成します。

    始める前に

    • IAM ユーザーに権限を委任するロールの作成に関する Amazon ドキュメントで、しっかりと理解してください。
    • 同じ管理アカウントに割り当てられている AWS メンバーアカウントを確認します。IAM ロールを使用してクラウドディスカバリーの一時的な認証情報を構成するには、管理アカウントを使用します。
    • ディスカバリーアドミンワークスペースバージョン 1.10.0 以降を使用していることを確認してください。この ディスカバリー > クラウドサービスアカウント ナビゲーションモジュールは、以前のバージョンでは使用できません。以前のバージョンの クラウドサービスアカウント にアクセスするには、ナビゲーションフィルターに「 cmdb_ci_cloud_service_account.list」と入力します。
    必要なロール:
    • クラウドディスカバリーの場合:discovery_admin
    • クラウドプロビジョニングとガバナンス の場合:admin または sn_cmp.cloud_admin

    このタスクについて

    AWSメンバーアカウントのアクセスを設定するには、アクセサーから管理アカウントを介してトラストチェーンを使用します。アクセサーアカウントは、 AWS 認証情報を持っているか、認証情報のない方法を使用しています。

    図 : 1. アクセスに管理アカウントを使用するメンバーアカウントの設定

    トラスティングメンバーアカウントの IAM ロールを設定して、管理アカウントを信頼し、次にアクセサーアカウントを信頼します

    手順

    1. メンバーアカウントの IAM ロールを作成し、このロールを担うユーザーとトラステッド管理アカウントの間に信頼関係を構成します。
      1. アクセスを構成するメンバーアカウントの認証情報を使用して、AWS 管理コンソールにログインします。
      2. [アカウント ID] フィールドで、管理アカウント ID を指定する IAM ロールを作成して構成します。
        AWS ロールの作成に関する運用情報については、Amazon のドキュメントを参照してください。
      3. IAM ロールの [サマリー] ページで、[信頼関係 (Trust Relationships)] タブをクリックします。
      4. [信頼関係を編集 (Edit trust relationship)] をクリックします。
        [信頼関係の編集 (Edit Trust Relationship)] ページが開き、ポリシードキュメントが表示されます。
      5. 信頼関係を次のように編集します。
        • Action パラメーターを sts:AssumeRole に設定します。
        • AWS パラメーターを管理アカウントのフルロール ARN に設定します。

        トラスティングアカウントの信頼関係を編集しています。
      6. [信頼ポリシーの更新] をクリックします。
    2. ServiceNow AI Platformで、トラスティングメンバーのサービスアカウントを構成します。
      1. 移動先 すべて > ディスカバリー > クラウドサービスアカウント.
      2. [New (新規)] を選択します。
      3. [親アカウント] フィールドに、管理アカウントの名前を入力します。
      4. フォームの残りのフィールドに入力します。
        フィールド値の説明については、「AWSサービスアカウントの作成」を参照して ください。
      5. [Submit (送信)] を選択します。
    3. ServiceNow AI Platformで、AWS IAM ロールをメンバーアカウントに割り当てます。
      重要:
      この手順は、カスタム IAM ロールを作成した場合にのみ実行します。デフォルトでは、OrganizationAccountAccessRole ロールはメンバーのトラスティング管理アカウントにアサインされ、OrganizationAccountAccessRole ロールをサービスアカウントにアサインする必要はありません。
      1. 移動先 すべて > クラウドプロビジョニングとガバナンス > 組織アクセスパラメーター > AWS 組織想定ロールパラメーター.
      2. [新規] を選択します。
      3. フォームで、トラスティングメンバーアカウントの次のフィールドのみを設定します。
        表 : 1. クラウドサービスアカウント AWS 組織想定ロールパラメーターフォーム
        フィールド 定義
        アクセスロール名 信頼するアカウント用に作成された IAM ロールの名前。
        • IAM ロールがすべてのメンバーアカウントで同じ場合:アカウント ID のワイルドカードとしてアスタリスク (*) を使用して、 arn:aws:iam::*:role/MemberRoleName の形式で完全な ARN を入力します。

          例: arn:aws:iam::*:role/SN_MEMBER_ACCOUNT_ROLE

        • IAM ロールがメンバーアカウント間で異なる場合:各メンバーアカウントの特定の IAM ロールの完全な ARN を個別のエントリに入力します。
        クラウドサービスアカウント IAM ロールを使用してアクセスを提供している信頼するアカウントの名前。
        • IAM ロールがすべてのメンバーアカウントで同じ場合:管理アカウント名を入力します。
        • IAM ロールがメンバーアカウント間で異なる場合:各メンバーアカウントを個別のエントリに入力します。
      4. [Submit (送信)] を選択します。

    次のタスク

    トラスティング管理アカウントとトラステッドアクセサーアカウントを構成します。