ガイド付きセットアップを使用した AWS のサービスグラフコネクタの構成

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:21分

    • AWS 環境とスケジュール済みジョブを設定し、AWS データを CMDB にプルします。

    始める前に

    重要:
    ガイド付きセットアップ方法は廃止されるため、問題がない限り、 SGC セントラル ビューを使用してください。ガイド付きセットアップを使用して接続を構成すると、接続が SGC セントラル ビューに表示されないことがあります。

    この サービスグラフコネクタを使用するには、IT Operations Management (ITOM) (ITOM) 可視化アプリケーションまたは ITOM ディスカバリーアプリケーションをベースにしたサブスクリプションユニットへのサブスクリプションが必要です。ご利用のサブスクリプションの「ServiceNow サブスクリプションユニットの概要」の「管理対象の IT リソースタイプ」というタイトルのセクションで定義されているとおり、CMDB でこの サービスグラフコネクタ によって作成または変更されていても、ITOM ヴィジビリティまたは ITOM ディスカバリーによってまだ管理されていない管理対象の IT リソースの場合、これらのリソースにより、そのアプリケーションからのサブスクリプションユニットの消費量が増加します。ITOM ヴィジビリティまたは ITOM ディスカバリー内の現在のサブスクリプションユニットの消費量を確認し、利用可能なキャパシティを確認してください。

    依存関係と要件:
    • 自動的にインストールされる CMDB 共通統合ストアアプリ。
    • 自動的にインストールされる CMDB CI クラスモデルストアアプリ。「CMDB CI クラスモデル」を参照してください。
    • ディスカバリー によって自動的にインストールされるディスカバリー Core プラグイン (com.snc.discovery.core)。
    • ITOM ディスカバリーライセンスプラグイン (com.snc.itom.discovery.license)。このプラグインを有効にする必要があります。
    • ITOM Licensing プラグイン (com.snc.itom.license)。詳細については、「ディスカバリーの要求」を参照してください。

    AWS をセットアップするための前提条件を満たしていることを確認します。「AWS 環境の構成」を参照してください。

    注:
    以前のバージョンからアップグレードする場合は、AWS インスタンスの SSM ドキュメントと IAM 権限が更新されていることを確認してください。
    • SSM ドキュメントを更新するには、SG-AWS-RunShellScript-Setup.ymlSG-AWS-RunPowerShellScript-Setup.yml、および SG-AWS-RunKubeCtlShellScript.yml スクリプトを実行します。
    • SnowOrganizationAccountAccessRole ロールにアサインされた IAM 権限を更新するには、 CreateSnowOrganizationAccountAccessRoleInMemberAccount.yml スクリプトを実行します。

    必要なロール:admin

    このタスクについて

    AWS のサービスグラフコネクタ のセットアップの手順の詳細については、次の記事を参照してください。

    コネクタをアップグレードする場合は、アップグレードプロセスの前に次のタスクを完了してください。
    • なんらかのカスタマイズがある場合は、顧客アップデート [sys_update_xml] テーブルから、AWS のサービスグラフコネクタ に関連づけられたレコードを削除します。「Customer Updates table」を参照してください。
    • 依存関係をアップグレードします。
    AWS のサービスグラフコネクタ の最新バージョンをインストールしたら、次の操作を行います。
    • AWS インスタンスからデータの完全インポートを実行します。データソース [sys_data_source] テーブルのすべての AWS データソースの [前回実行日時を使用] フィールドの値がクリアされていることを確認します。
    • AWS スクリプトをダウンロードして再実行します。「AWS 環境の構成」を参照してください。

    手順

    1. アプリケーションピッカーを使用して、AWS のサービスグラフコネクタ アプリケーションスコープを選択したことを確認します。
      詳細については、「アプリケーションピッカー」を参照してください。
    2. 次のように移動する。 All (すべて) > Service Graph Connector > AWS > セットアップ.
    3. AWS 環境の構成.
      注:
      [スクリプトのダウンロード] タスクで、[構成] を選択してスクリプトをダウンロードします。
      スクリプトをダウンロードして AWS 環境を設定したら、[スクリプトのダウンロード] タスクと [AWS のセットアップ手順] タスクを設定して完了します。
    4. AWS API に認証要求を送信するための認証情報を構成します。
      1. AWS の認証情報を設定します。
        1. [AWS のサービスグラフコネクタ] ページの [接続の構成] セクションで、[はじめに] を選択します。
        2. [認証情報の設定] タスクで、[構成] を選択します。
        3. [名前] フィールドに、認証の名前を入力します。

          SG-AWS-Credentials-Org は、デフォルトの認証情報エイリアス名です。複数の AWS インスタンスを追加できます。ただし、デフォルトの接続エイリアスは変更しないでください。

        4. [アクセスキー ID] フィールドと [秘密アクセスキー] フィールドに、それぞれアクセスキー ID と秘密アクセスキーを入力します。

          AWS アクセスキーは IAM ユーザーの長期的な認証情報であり、アクセスキー ID と秘密アクセスキーの 2 つの部分で構成されています。要求を認証するには、アクセスキー ID と秘密アクセスキーの両方を一緒に使用する必要があります。

        5. [戻る] アイコン (<) を選択して、[接続の構成] タスクページに戻ります。
        6. [完了としてマーク] を選択して、[認証情報の設定] タスクを完了に設定します。
      2. AWS アプリケーションからデータをインポートする AWS API 接続をテストします。
        1. [接続の構成] セクションの [接続のテスト] タスクで、[構成] を選択します。
        2. [テスト接続] 関連リンクを選択します。
        3. [ステータス] フィールドが [成功] に設定されている場合は、戻るアイコン (<) を選択してガイド付きセットアップに戻ります。
        4. [完了としてマーク] を選択して、[接続のテスト] タスクを完了に設定します。
      3. AWS インスタンスで必要な構成プロパティを更新します。
        1. [インスタンスの構成プロパティを更新] タスクで、[構成] を選択します。
        2. 新しいタブで開く [SG-AWS 構成プロパティ] フォームで、フィールドをレビューして変更します。
          表 : 1. [SG-AWS 構成プロパティ] フォーム
          フィールド 説明
          接続の詳細
          接続エイリアス AWS接続レコードを識別する名前です。例: SG_AWS_CredentialAlias_Org

          複数の AWS インスタンスを追加できます。ただし、デフォルトの接続エイリアス SG_AWS_CredentialAlias_Orgの名前は変更しないでください。
          組織の詳細
          組織アカウント AWS 組織の数値アカウント識別子。
          組織名 AWS 組織の名前。
          組織の説明 AWS 組織の説明。
          AWS リージョン
          地域 CI データを収集する AWS リージョン。

          デフォルトでは、 AWS のサービスグラフコネクタはすべての AWS リージョン内で動作して、 CI データを収集します。

          AWS 特定のリージョンを入力すると、CI データのインポートプロセスを高速化できます。たとえば、us-east1、us-east-2 などです。

          このフィールドが空の場合、AWS のサービスグラフコネクタはすべての AWS リージョンからリソースをプルします。

          ただし、AWS GovCloud リージョンの場合は、[リージョン] フィールドを空のままにしないでください。サポートされている AWS GovCloud リージョンは、 us-gov-east-1us-gov-west-1です。

          後で [リージョン] フィールドの値を更新する場合は、サービスグラフコネクタ - AWS に関連するすべてのデータソースの [最終実行日時] フィールドの値をクリアして、新しいデータセットをインポートします。
          STS 想定ロール名
          STS ロール AWS セキュリティトークンサービス (STS) によって提供される AssumeRole API を呼び出すことによって ServiceNow ユーザーが取得する AWS の ID およびアクセス管理 (IAM) ロール名。AssumeRole API は、 ServiceNow ユーザーが AWS リソースにアクセスするための一時的なセキュリティ認証情報のセットを返します。
          注:
          IAM ロール名を入力しますが、名前のプリフィックス arn は付けません。このフィールドを空のままにすると、このフィールドの値は自動的に SnowOrganizationAccountAccessRole に設定されます。これは、 ServiceNow ユーザーのデフォルトの IAM ロール名です。
          S3 アカウントの詳細
          S3 アカウント ID Amazon Simple Storage Service (Amazon S3) バケットをホストする AWS アカウントの数値識別子。
          S3 バケット名 Amazon EC2 インスタンスから詳細を収集する Amazon S3 バケットの名前。
          S3 リージョン Amazon S3 バケットが存在するリージョン。
          SSM SendCommand ドキュメントの詳細
          SSM 送信コマンド Linux 名 Linux ベースの Amazon EC2 インスタンスで AWS Systems Manager (SSM) によって実行されるアクションを定義するドキュメントの名前。
          SSM 送信コマンド Windows 名 Windows ベースの Amazon EC2 インスタンスで AWS SSM によって実行されるアクションを定義するドキュメントの名前。
          管理アカウント ID
          管理アカウント ID AWS 組織の管理アカウント。アカウントは、 AWS 組織に関連付けられた ListAccounts API を呼び出して、すべてのアカウントから CI 情報を収集します。詳細については、 AWS ドキュメントサイトの「ListAccounts」を参照してください。

          ServiceNow ユーザーが AWS メンバーアカウントで作成されたときに、このフィールドに値を入力します。
          スタンドアロンアカウント ID の詳細
          スタンドアロンアカウント ID AWS 組織のメンバーアカウントの ID。
          注:
          スタンドアロンアカウントを指定すると、組織名、組織単位、組織 ID、サービスアカウントなどの AWS の組織関連データはインポートされません。後で完全なデータをインポートする場合は、[スタンドアロンアカウント ID] フィールドに表示されている値をすべてクリアします。Now Support ナレッジベースの「Service Graph Connector for AWS - Standalone Setup (AWS のサービスグラフコネクタ - スタンドアロンセットアップ) [KB1642159]」の記事を参照してください。
          AWS Config アグリゲーターの詳細
          Config アグリゲーターアカウント AWS 構成サービスのアグリゲーターリソースタイプが構成されているAWS アカウント。

          AWS 構成アグリゲーターを使用している場合は、このフィールドに値を入力します。
          Config アグリゲーター名 アグリゲーターリソースタイプの名前。このフィールドは、[Config アグリゲーターアカウント] フィールドに値を入力した場合にのみ使用できます。
          Config アグリゲーターリージョン アグリゲーターリソースタイプが存在するリージョン。このフィールドは、[Config アグリゲーターアカウント] フィールドに値を入力した場合にのみ使用できます。
          AWS キーローテーションセットアップ
          AWS ローテーションキー キーローテーションプロセスを有効にするオプション。
          AWS キーローテーション日 キーローテーションの日付。このフィールドは自動的に次のローテーションの日付に設定されます。このフィールドは、[AWS ローテーション] チェックボックスをオンにした場合にのみ使用できます。
          AWS キーローテーション期間 (日数) キーローテーション期間の日数。このフィールドは、[AWS ローテーション] チェックボックスをオンにした場合にのみ使用できます。
          AWS キーローテーションステータス ローテーションが成功したか失敗したかを示すキーローテーションのステータスメッセージ。このフィールドは、キーローテーションのステータスメッセージを表示するように自動的に設定されます。このフィールドは、[AWS ローテーション] チェックボックスをオンにした場合にのみ使用できます。ローテーションステータスが失敗の場合、メール通知がトリガーされます (設定されている場合)。
          エラー通知を受信するためのメールアカウント AWS のキーローテーションエラーに関する通知を受信する受信者のメールアドレスのカンマ区切りリスト。
          エラー通知を受信するためのメールアカウントグループ AWS のキーローテーションエラーに関する通知を受信する ServiceNow グループのカンマ区切りリスト。
          Gov クラウドセットアップ
          Gov クラウドである 接続セットアップが AWS GovCloud 用であることを示すオプション。
          SSM EKS SendCommand ドキュメントの詳細
          EKS クラスター名ドキュメント EC2 要塞ホストに関連付けられた EKS クラスターを検出するための AWS SSM ドキュメントの名前。
          EKS シェルスクリプトドキュメント ポッド、サービス、展開などの Kubernetes コンポーネントに関連する CI を EKS クラスターから取得するための AWS SSM ドキュメントの名前。
        3. [保存] を選択し、[閉じる] を選択してタブを閉じ、ガイド付きセットアップタブに戻ります。
        4. [完了としてマーク] を選択して、[インスタンスの構成プロパティを追加] タスクを完了に設定します。
    5. Amazon Elastic Kubernetes Service (EKS) に必要な EC2 リソースを構成して、EKS クラスターデータをインポートします。
      EKS EC2 リソース は、EKS クラスターへのネットワークアクセスを持つ踏み台ホストです。コネクタから EKS クラスターへは直接アクセスできません。したがって、 EKS EC2 リソース の詳細を指定する必要があります。EKS クラスターデータをインポートするために、コネクタは EKS EC2 リソース で SSM Send Command を使用して kubectl コマンドをリモートで実行します。
      注:
      EKS 統合用に AWS 環境が構成されていることを確認してください。詳細については、Now Support ナレッジベースの「AWS のサービスグラフコネクタ - Amazon EKS 統合 [KB1437138]」 の記事を参照してください。
      1. [AWS のサービスグラフコネクタ] ページの [EKS リソースの詳細の構成] セクションで、[はじめに] を選択します。
      2. [EKS EC2 リソースの詳細を入力] タスクで、[構成] を選択します。
      3. 新しいタブで開くフォームで、フィールドに入力します。
        表 : 2. SG-AWS-EKS-EC2-Resource フォーム
        フィールド 説明
        EKS EC2 リソース ID EKS EC2 リソースの識別子。
        EC2 アカウント EKS EC2 リソース アカウントにアサインされたユーザー名。
        EC2 リージョン EKS EC2 リソース が配置されている AWS リージョン。
        アクティブ EKS EC2 リソースを有効にするオプション。
        注:
        EKS EC2 リソース リソースを使用しない場合は、false に設定します。
        接続 AWS 環境セットアップに関連付けられ、ステップ 4.aで構成された接続エイリアス。
      4. [送信] を選択して、ガイド付きセットアップに戻ります。
      5. 5.b から 5.d までの手順を繰り返して、複数の EKS EC2 リソースを追加します。
        すべての EKS EC2 リソース が SG-AWS-EKS-Master [sn_aws_integ_sg_aws_eks_master] テーブルに追加されます。
      6. [完了としてマーク] を選択して、[EKS EC2 リソースの詳細を入力] タスクを完了に設定します。
    6. スケジュール済みインポートジョブを起動する前に AWS 診断ツールを実行し、AWS 環境セットアップの問題があれば特定します。
      1. [AWS のサービスグラフコネクタ] ページの [サービスグラフ AWS 診断グラフツール] セクションで、[はじめに] を選択します。
      2. [AWS セットアップ診断ツール] タスクで、[構成] を選択します。
      3. テキストフィールドから組織 ID を選択します。
      4. [診断テストの実行] を選択します。
        ヒント:
        対応するテスト結果を診断サマリーから除外するには、次のいずれかのオプションを選択します。
        SSM セットアップテストをスキップ
        GetInventory API を呼び出さずに、サマリー結果からソフトウェアインベントリデータを除外します。SSM の構成をオプトアウトした場合、または設定していない場合は、このオプションを選択します。
        SSM 詳細ディスカバリーテストをスキップ
        サマリー結果から詳細ディスカバリーデータを除外します。SSM 詳細ディスカバリーの構成をオプトアウトした場合、または設定していない場合は、このオプションを選択します。
        SSM セットアップテストをスキップ
        kubectl コマンドを実行しないことで、サマリー結果から EKS データを除外します。EKS 統合をオプトアウトした場合、または設定していない場合は、このオプションを選択します。
      5. オプション: [EKS テストの詳細を表示]を選択して、EKS クラスターテスト結果のみを表示します。
      6. オプション: [DT 結果をロード]を選択し、診断 ID を選択し、[結果を ロード] を選択して、以前の診断ツールの結果をプレビューします。
      7. 診断サマリー結果の確認が完了したら、ブラウザーの [戻る] ボタンを選択して、ガイド付きセットアップに戻ります。
      8. [完了としてマーク] を選択して、[AWS セットアップ診断ツール] タスクを完了に設定します。
    7. AWS アプリケーションからデータをインポートするようにスケジュール済みジョブを構成します。
      1. [AWS のサービスグラフコネクタ] ページの [スケジュール済みインポートジョブを構成します] セクションで、[はじめに] を選択します。
      2. [スケジュール済みジョブの構成] タスクの [構成] をクリックします。
      3. アクティブ化するスケジュール済みジョブを選択します。
      4. [予定されているデータインポート] フォームで、スケジュール済みジョブのフィールド値を確認します。
        詳細については、「Schedule a data import」を参照してください。
      5. [更新] を選択します。
      6. データインポートのスケジュール済みジョブそれぞれについて、ステップ 7.c7.e を繰り返します。
      7. 戻るアイコン (<) を選択して、ガイド付きセットアップページに戻ります。
      8. ガイド付きセットアップで [完了としてマーク] を選択して、[スケジュール済みジョブの構成] タスクを完了に設定します。
    8. オプション: 複数のAWSインスタンスを追加します。
      1. [AWS のサービスグラフコネクタ] ページの [複数のインスタンスを追加] セクションで、[はじめに] を選択します。
      2. 新しいインスタンス用のデータソースを作成するための、データソース [sys_data_source] テーブルの編集権限があることを確認してください。
        1. アプリケーションピッカーを使用して、[グローバル] アプリケーションスコープを選択します。
        2. [データソースアクセスを更新] タスクの、[構成] を選択します。
        3. [アプリケーションのアクセス] 関連リストで、[作成可能][更新可能]、および [削除可能] チェックボックスがオンでない場合はオンにします。
        4. [ 更新 ] を選択してタブを閉じ、ガイド付きセットアップに戻ります。
        5. アプリケーションピッカーを使用して、アプリケーションスコープを再度 AWS のサービスグラフコネクタに変更します。
        6. [完了としてマーク] を選択して、[データソースアクセスを更新] タスクを完了に設定します。
      3. スケジュール済みインポートジョブのアクセスを更新します。
        1. アプリケーションピッカーを使用して、[グローバル] アプリケーションスコープを選択します。
        2. [予定されているデータインポートアクセスを更新] タスクで、[構成] を選択します。
        3. [アプリケーションのアクセス] 関連リストで、[作成可能][更新可能]、および [削除可能] チェックボックスがオンでない場合はオンにします。
        4. [更新] を選択してタブを閉じ、ガイド付きセットアップタブに戻ります。
        5. [完了としてマーク] を選択して、[予定されているデータインポートアクセスを更新] タスクを完了に設定します。
        6. アプリケーションピッカーを使用して、アプリケーションスコープを再度 AWS のサービスグラフコネクタに変更します。
      4. AWS のサービスグラフコネクタで新しい接続のデータソースを作成可能にするため、データソース [sys_data_source] テーブルと予定されているデータインポート [scheduled_import_set] テーブルのキャッシュをクリアします。
        1. アプリケーションピッカーを使用して、[グローバル] アプリケーションスコープを選択します。
        2. [データソースおよび予定されているデータインポートテーブルのキャッシュをクリア] で、[構成] を選択します。
        3. [スクリプトを実行 (サーバー上で実行される JavaScript)] ペインで、次のスクリプトを入力します。
          GlideTableManager.invalidateTable("sys_data_source");
      GlideCacheManager.flushTable("sys_data_source");

      GlideTableManager.invalidateTable("scheduled_import_set");
      GlideCacheManager.flushTable("scheduled_import_set");

      GlideTableManager.invalidateTable("sys_db_object");
      GlideCacheManager.flushTable("sys_db_object");
        4. [スクリプトの実行] を選択します。
        5. [データソースおよび予定されているデータインポートテーブルのキャッシュをクリア] タスクで、[完了としてマーク] を選択して、完了します。
        6. アプリケーションピッカーを使用して、アプリケーションスコープを再度 AWS のサービスグラフコネクタに変更します。
      5. AWS のサービスグラフコネクタ の新しい AWS 接続用に認証情報エイリアスを作成します。
        1. [新しい接続および資格情報エイリアスレコードを作成] タスクで、[構成] を選択します。
        2. 新しいタブで開く [接続および資格情報エイリアス] フォームで、接続の詳細を入力します。
        3. [送信] を選択してタブを閉じ、[ガイド付きセットアップ] タブに戻ります。
        4. [完了としてマーク] を選択して、[新しい接続および資格情報エイリアスレコードを作成] タスクを完了に設定します。]
      6. 新しい AWS 認証情報の新しい認証情報エイリアスを作成します。
        1. [新しい接続および資格情報エイリアスレコードを作成] タスクで、[構成] を選択します。
        2. ワークフロースタジオの [接続] ページで、[接続を追加] を選択します。
        3. [接続を作成] ウィンドウで、接続名、アクセスキー、および秘密キーの詳細を入力します。
        4. [接続を作成] を選択します。
        5. ワークフロースタジオを閉じて、ガイド付きセットアップタブに戻ります。
        6. [完了としてマーク] を選択して、[新しい接続および資格情報エイリアスレコードを作成] タスクを完了に設定します。
      7. AWS のサービスグラフコネクタ の新しいインスタンスのプロパティを更新するには、[新しいインスタンスの AWS 環境を構成] タスクの [構成] を選択します。
        詳細については、デフォルトで利用可能な AWS 接続のプロパティを構成するための前述のステップ 4.c に従ってください。

        プロパティの更新が完了したら、[完了としてマーク] を選択して、[新しいインスタンスの AWS 環境を構成] タスクを完了に設定します。

      8. [EKS リソースの詳細を更新] タスクで [構成] を選択して、EKS EC2 リソースの詳細を入力します。
        詳細については、デフォルトで利用可能な AWS 接続の EKS EC2 リソースの詳細を構成するための前述のステップ 5 に従ってください。

        プロパティの更新が完了したら、[完了としてマーク] を選択して、[EKS リソースの詳細を更新] タスクを完了に設定します。

      9. 新しい AWS インスタンスのスケジュール済みインポートを設定します。
        1. [スケジュール済みインポートの構成] タスクの [構成] をクリックします。
        2. 新しいタブで開く [予定されているデータインポート] リストで、構成する AWS インスタンスの組織を選択します。
        3. アクティブにするスケジュール済みデータインポートを選択します。
        4. [予定されているデータインポート] フォームで、スケジュール済みジョブのフィールド値を修正します。
        5. [更新] を選択します。
        6. データインポートのスケジュール済みジョブそれぞれについて、ステップ 8.i.iii8.i.v を繰り返します。
        7. [予定されているデータインポート] リストを閉じ、ガイド付きセットアップタブに戻ります。
        8. ガイド付きセットアップで [完了としてマーク] を選択して、[スケジュール済みインポートの構成] タスクを完了に設定します。