AWS 資格情報を持たないトラステッド AWS アカウントに基づく一時的な資格情報を使用したアクセス構成

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む4読むのに数分

    • 他の AWS アカウントがアクセスのために依存できるような、資格情報を持たないトラステッドアカウントを設定します。

    始める前に

    トラステッド AWS アカウントを作成して構成します。

    必要なロール:admin、discovery_admin または sn_cmp.cloud_admin (Cloud Provisioning and Governance の場合)

    必要なロール:admin

    このタスクについて

    AWS 資格情報を持たないアカウント (資格情報なしアカウント) を使用するには、最初に IAM ロールを持つアカウントとトラスティングサービスアカウントにアクセスするための権限を設定する必要があります。次に、トラスティングアカウント IAM ロールを構成して、トラステッドアカウントの IAM ロールへのアクセス権を付与します。

    図 : 1. 任意の AWS アカウントを AWS 資格情報のないトラステッドアカウントに依存させる設定

    アクセスのためトラステッド AWS アカウントの IAM ロールを信頼するようにトラスティング AWS アカウントの IAM ロールを設定

    手順

    1. トラスティングアカウントの IAM ロールを構成します。
      1. AWS 管理コンソールで、トラスティングアカウントにログインします。
      2. このアカウントの IAM ロールを作成します。
        この IAM ロールを作成する際には、トラステッドアカウントのアカウント ID を使用します。AWS ロールの作成に関する運用情報については、Amazon のドキュメントを参照してください。
      3. ReadOnlyAccess ポリシーを作成し、新しく作成した IAM ロールにアタッチします。
    2. トラステッドアカウントの IAM ロールを構成します。
      1. トラステッドアカウントとして設定するアカウントの資格情報を使用して、AWS の管理コンソールにログインします。
      2. AWS サービスオプションを選択して IAM ロールを作成します。

        トラステッドアカウントの IAM ロールを作成するための AWS サービスオプションを選択します
      3. トラステッドアカウントの IAM ロールに ReadOnlyAccess ポリシーを作成します。
      4. 追加のポリシーを作成し、この IAM ロールに対して、トラスティングアカウントのリソースへのアクセスを許可します。
        • Action パラメーターを sts:AssumeRole に設定します。
        • Resource パラメーターを、「1.b」で作成したトラスティングアカウントロールの ARN に設定します。

        トラステッドアカウントのロールとトラスティングアカウントのロールの間でポリシーを設定します。

      5. 新しく作成されたロールを関連する Amazon EC2 インスタンスにアタッチします。
        デフォルトでは、IAM ロールを EC2 インスタンスにアタッチすると、このロールと EC2 インスタンスの間に信頼関係が作成されます。
        IAM ロールと EC2 インスタンスの間の信頼関係を確認します。
    3. トラステッドアカウントに属する IAM ロールへのアクセス権を付与するように、トラスティングサービスアカウントを構成します。
      1. AWS 管理コンソールで、トラスティングアカウントにログインします。
      2. 1.b」の説明に従って、このアカウントに対して作成した IAM ロールに移動します。
      3. この IAM ロールの信頼関係を次のように編集します。
        • Action パラメーターを sts:AssumeRole に設定します。
        • AWS パラメーターを、2.b で作成したトラステッドアカウントロールの ARN に設定します。
        トラスティングアカウントの信頼関係を構成します
    4. AWS IAM ロール用の MID サーバー 構成
    5. Now Platform でトラスティングアカウントに対し、資格情報のないトラステッドサービスアカウントを構成します。
      1. 移動先 Cloud Provisioning and Governance > サービスアカウント.
      2. トラスティングアカウントを開きます。
      3. クラウドサービスアカウントのフォームで、[アクセサーアカウント] フィールドにトラステッドアカウントの名前を入力します。
      4. [更新] をクリックします。
    6. 信頼するアカウント用に作成された IAM ロールを、Now Platform の信頼するアカウントに割り当てます。
      重要:
      この手順は、カスタム IAM ロールを作成した場合にのみ実行します。デフォルトの OrganizationAccountAccessRole ロールをサービスアカウントに割り当てる必要はありません。
      1. 移動先 すべて > Cloud Provisioning and Governance > 組織アクセスパラメーター > クラウドサービスアカウント AWS クロス想定ロールパラメーター
      2. [新規] を選択します。
      3. [クラウドサービスアカウント AWS クロス想定ロールパラメーター] フォームで、次のフィールドのみを設定します。
        フィールド 定義
        アクセスロール名 信頼するアカウント用に作成された IAM ロールの名前。
        クラウドサービスアカウント IAM ロールを使用してアクセスを提供している信頼するアカウントの名前。
      4. [送信] を選択します。
        このレコードは、システムによりクラウドサービスアカウント AWS クロス想定ロールパラメーター [cloud_service_account_aws_cross_assume_role] テーブルに追加されます。

    次のタスク

    ServiceNow アプリケーションが IAM ロールを使用してトラスティングサービスアカウントにアクセスできることを確認します。
    1. 移動先 Cloud Provisioning and Governance > サービスアカウント.
    2. 構成したトラスティングアカウントを選択します。
    3. [関連リンク][データセンターを検出] をクリックします。
    4. 移動先 ディスカバリー > クラウド検出ダッシュボードをクリックし、[ AWS ] タブをクリックします。
    5. 新しく作成した AWS 資格情報に関連付けたアカウントの検出されたリソースがダッシュボードに表示されていることを確認します。