Como configurar o Conector do Service Graph para AWS

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 15 min. de leitura

    • Configure o ambiente AWS e os trabalhos programados para inserir dados de AWS em CMDB.

    Antes de Iniciar

    Para usar este Conector do Service Graph, você precisa de uma assinatura para uma Unidade de Assinatura baseada na aplicação Visibility IT Operations Management (ITOM) ou na aplicação Discovery ITOM. Conforme definido na seção "Tipos de recursos de TI gerenciados" em Visão geral da unidade de assinatura da ServiceNow para sua assinatura, para recursos de TI gerenciados que são criados ou modificados no CMDB por este Conector do Service Graph, mas que ainda não são gerenciados pela Visibilidade do ITOM ou Descoberta do ITOM, esses recursos aumentarão o consumo da Unidade de assinatura dessa aplicação. Analise o consumo atual da unidade de assinatura no ITOM Visibility ou no ITOM Discovery para garantir a capacidade disponível.

    Dependências e requisitos:
    • A aplicação da Store Integration Commons for CMDB, que é instalado automaticamente.
    • A aplicação da Store Aplicação da Store de CMDB CI Class Models, que é instalada automaticamente.
    • Plug-in do Discovery Core (com.snc.discovery.core), que é instalado automaticamente por Descoberta.
    • O plug-in do ITOM Discovery License (com.snc.itom.discovery.license). Você deve ativar este plug-in.
    • Plug-in de licenciamento do ITOM (com.snc.itom.license). Para obter mais informações, consulte Solicitação do Discovery.

    Certifique-se de ter concluído os pré-requisitos para configurar a AWS. Consulte Configurar ambiente da AWS.

    Nota:
    Ao atualizar de uma versão anterior, certifique-se de ter atualizado os documentos SSM e as permissões de IAM em sua instância AWS.
    • Para atualizar documentos do SSM, execute os scripts SG-AWS-RunShellScript-Setup.yml, SG-AWS-RunPowerShellScript-Setup.ymle SG-AWS-RunKubeCtlShellScript.yml.
    • Para atualizar as permissões do IAM atribuídas à função SnowOrganizationAccountAccessRole, execute o script CreateSnowOrganizationAccountAccessRoleInMemberAccount.yml.

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Para mais informações sobre as instruções de configuração do Service Graph Connector for AWS, consulte os seguintes artigos:

    Procedimento

    1. Verifique se o escopo da aplicação foi selecionado como o Service Graph Connector for AWS usando o seletor de aplicações.
      Para obter mais informações, consulte Selecionador de aplicações.
    2. Navegar até Tudo > Conector do Service Graph para AWS > Configuração.
    3. Configurar ambiente da AWS.
      Nota:
      Para a tarefa Baixar os scripts, selecione Configurar para baixar os scripts.
      Depois de baixar os scripts e configurar o ambiente AWS, defina as tarefas Baixar os scripts e as Instruções de configuração da AWS como concluídas.
    4. Configure as credenciais de autenticação a fim de autenticar solicitações enviadas para as AWS APIs .
      1. Configure suas credenciais do AWS.
        1. Na página Service Graph Connector for AWS, na seção Configurar a conexão, selecione a tarefa Iniciar.
        2. Para a tarefa Configurar as credenciais, selecione Configurar.
        3. No campo Nome, insira um nome para a autenticação.

          SG-AWS-Credentials-Org é o nome do alias de credencial padrão. Você pode adicionar várias instâncias AWS. No entanto, não modifique o alias de conexão padrão.

        4. Insira o ID da chave de acesso e a chave de acesso secreta nos campos ID da chave de acesso e Chave de acesso secreta, respectivamente.

          As chaves de acesso AWS são credenciais de longo prazo para o usuário de IAM e incluem duas partes: um ID de chave de acesso e uma chave de acesso secreta. Você deve usar o ID da chave de acesso e a chave de acesso secreta juntos para autenticar as solicitações.

        5. Retorne à página Configurar a tarefa de conexão selecionando o ícone Voltar (<).
        6. Defina a tarefa Configurar as credenciais como concluída, clicando em Marcar como concluída.
      2. Teste a conexão da API AWS para importar dados da aplicação AWS.
        1. Na seção Configurar conexão, na tarefa Testar conexão, selecione configurar.
        2. Selecione o link relacionado Testar Conexão.
        3. Quando o campo Status estiver definido como Success, selecione o ícone de voltar (<) para retornar à configuração orientada.
        4. Defina a tarefa Testar conexão como concluída clicando em Marcar como Concluída.
      3. Atualize as propriedades de configuração necessárias para uma instância AWS.
        1. Para a tarefa Atualizar propriedades de configuração da instância, selecione Configurar.
        2. No formulário Propriedades de configuração do SG-AWS que é aberto em uma nova guia, revise e modifique os campos.
          Tabela 1. Formulário de propriedades de configuração do SG-AWS
          Campo Descrição
          Detalhes da Conexão
          Alias de conexão Nome para identificar o registro de conexão AWS. Por exemplo, SG_AWS_CredentialAlias_Org.

          Você pode adicionar várias instâncias AWS. No entanto, não modifique o nome do alias de conexão padrão SG_AWS_CredentialAlias_Org.
          Detalhes da organização
          Conta da organização Identificador de conta numérica da organização AWS.
          Nome da Organização Nome da organização AWS.
          Descrição da organização Descrição da organização AWS.
          Regiões da AWS
          Regiões regiões AWS para coletar os dados de IC.

          Por padrão, o Conector do Service Graph para AWS é executado em todas as regiões AWS para coletar os dados de IC.

          Você pode inserir AWS regiões específicas para acelerar o processo de importação de dados de IC. Por exemplo, us-east1, us-east-2.

          Se este campo estiver vazio, o Conector do Service Graph para AWS extrai os recursos de todas as regiões AWS.

          No entanto, para as regiões AWS GovCloud, não deixe o campo Regiões em branco. As regiões AWS GovCloud compatíveis são us-gov-east-1 e us-gov-west-1.

          Se você atualizar o valor do campo Regiões posteriormente, limpe o valor do campo Data e hora da última execução em todas as fontes de dados relacionadas ao Conector do Service Graph para AWS importar um novo conjunto de dados.
          Nome de função "Assumir STS"
          Função STS Nome da função do AWS Identity and Access Management (IAM) que é obtido pelo usuário ServiceNow ao chamar a API AssumeRole oferecida pelo AWS Security Token Service (STS). A API AssumeRole devolve um conjunto de credenciais de segurança temporárias para que o usuário ServiceNow acesse os recursos AWS.
          Nota:
          Insira o nome da função de IAM, mas não use o prefixo arn no nome. Se você deixar este campo em branco, o valor deste campo será definido automaticamente como SnowOrganizationAccountAccessRole, que é o nome da função de IAM padrão para o usuário ServiceNow.
          Detalhes da conta do S3
          ID da conta do S3 Identificador numérico da conta AWS que hospeda o bucket Amazon Simple Storage Service (Amazon S3).
          Nome do bucket do S3 Nome do Amazon bucket do S3 que coleta os detalhes de Amazon instâncias do EC2.
          Região do S3 Região onde reside o bucket Amazon S3.
          Detalhes do documento SendCommand do SSM
          Nome do Linux do comando de envio do SSM Nome do documento que define as ações executadas pelo AWS Systems Manager (SSM) em uma instância do Amazon EC2 baseada em Linux.
          Nome do Windows do comando de envio do SSM Nome do documento que define as ações executadas pelo AWS SSM em uma instância do Amazon EC2 baseada em Windows.
          ID da conta de gestão
          ID da conta de gestão Conta de gestão na organização AWS. A conta chama a API ListAccounts associada à organização AWS para coletar informações de IC de todas as contas. Para obter mais informações, consulte ListAccounts no site de documentação AWS.

          Insira um valor para este campo quando o usuário ServiceNow foi criado em uma conta de membro AWS.
          Detalhes de ID de conta autônoma
          ID da conta autônoma ID de uma conta de membro na organização AWS.
          Detalhes do agregador do AWS Config
          Conta do agregador de configuração conta AWS em que o tipo de recurso de agregador no serviço de configuração AWS foi configurado.

          Insira um valor neste campo quando você estiver usando um agregador de configuração AWS.
          Nome do agregador de config. Nome do tipo de recurso do agregador. Este campo está disponível somente quando você insere um valor no campo Conta do agregador de configuração.
          Região do agregador de config. Região onde reside o tipo de recurso do agregador. Este campo está disponível somente quando você insere um valor no campo Conta do agregador de configuração.
          Configuração de rotação de chave da AWS
          Chaves de rotação da AWS Opção para habilitar o processo de rotação de chaves.
          Data da rotação de chave da AWS Data da rotação de chave. Esse campo é definido automaticamente para a próxima data de rotação. Este campo está disponível somente quando você marca a caixa de seleção AWS Rotate Keys.
          Período de rotação de chave da AWS (em dias) Período de rotação de chave em dias. Este campo está disponível somente quando você marca a caixa de seleção AWS Rotate Keys.
          Status da rotação de chave da AWS Mensagem de status de uma rotação de chave exibindo se a rotação foi um sucesso ou uma falha. Este campo é definido automaticamente para exibir a mensagem de status de rotação de chaves. Este campo está disponível somente quando você marca a caixa de seleção AWS Rotate Keys. Se o status de rotação for falha, uma notificação por e-mail será acionada, se configurada.
          Contas de e-mail para receber notificações de erro Lista separada por vírgulas dos endereços de e-mail dos destinatários que recebem notificações sobre os erros de rotação de chave AWS.
          Grupos de contas de e-mail para receber notificações de erro Lista separada por vírgulas dos grupos ServiceNow que recebem notificações sobre os erros de rotação da chave AWS.
          Configuração do Gov Cloud
          É Gov Cloud Opção para indicar que a configuração da conexão é para o AWS GovCloud.
          Detalhes do documento SSM EKS SendCommand
          Documento de nomes de clusters EKS Nome do documento AWS do SSM para descobrir clusters do EKS associados aos hosts EC2 Bastion.
          Documento de script shell do EKS Nome do documento do AWS SSM para buscar ICs relacionados a componentes do Kubernetes, como pods, serviços e implantações, de clusters do EKS.
        3. Selecione Salvar e Fechar para fechar a guia e retornar à guia de configuração orientada.
        4. Defina Atualizar propriedades de configuração da tarefa de instância como concluída selecionando Marcar como concluída.
    5. Configure os recursos do EC2 necessários para Amazon Elastic Kubernetes Service (EKS) importar dados de cluster do EKS.
      Um recurso do EKS EC2 é um host bastião que tem acesso de rede aos clusters do EKS. Os clusters do EKS não podem ser acessados diretamente pelo conector. Portanto, você deve fornecer os detalhes do recurso EKS EC2. Para importar dados de cluster do EKS, o conector usa o comando de envio do SSM nos recursos do EKS EC2 para executar comandos kubectl remotamente.
      Nota:
      Verifique se você configurou seu ambiente AWS para a integração do EKS. Para obter mais informações, consulte o artigo Service Graph Connector for AWS – integração com Amazon EKS [KB1437138] na Base de conhecimento Now Support.
      1. Na página Service Graph Connector for AWS, na seção Configurar os Detalhes de Recurso EKS, selecione a tarefa Iniciar.
      2. Para a tarefa Inserir os detalhes do recurso do EKS EC2, selecione Configurar.
      3. No formulário que é aberto em uma nova guia, preencha os campos.
        Tabela 2. SG-AWS-EKS-EC2-Resource form
        Campo Descrição
        ID do recurso do EKS EC2 Identificador do recurso EKS EC2.
        Conta EC2 Nome de usuário atribuído à conta de recurso do EKS EC2.
        Região do EC2 Região da AWS em que o recurso EKS EC2 está localizado.
        Ativo Opção para ativar o recurso EKS EC2.
        Nota:
        Defina como falso se você não estiver usando o recurso de recurso EKS EC2.
        Conexão Alias de conexão associado à configuração do ambiente AWS e configurado na etapa 4.a.
      4. Selecione Enviar para retornar à configuração assistida.
      5. Repita as etapas de 5.b a 5.d para adicionar vários recursos do EKS EC2.
        Todos os recursos do EKS EC2 são adicionados à tabela SG-AWS-EKS-Master [sn_aws_integ_sg_aws_eks_master].
      6. Defina a tarefa Inserir os detalhes de recurso EKS EC2 como concluída selecionando Marcar como concluída.
    6. Execute a ferramenta de diagnóstico AWS antes de iniciar um trabalho de importação programado para identificar problemas na configuração do ambiente AWS.
      1. Na página Service Graph Connector for AWS, na seção Ferramenta de Diagnóstico do Service Graph AWS, selecione Iniciar.
      2. Para a tarefa da ferramenta de diagnóstico de configuração da AWS, selecione Configurar.
      3. Selecione o ID da organização no campo de texto.
      4. Selecione Executar teste de diagnóstico.
        Dica:
        Selecione uma das seguintes opções para excluir os resultados de teste correspondentes do resumo de diagnóstico:
        Ignorar testes de configuração do SSM
        Exclui os dados de inventário de software dos resultados de resumo ao não chamar a API GetInventory. Selecione esta opção quando tiver recusado ou não definido a configuração do SSM.
        Ignorar testes do SSM Deep Discovery
        Exclui os dados de descoberta profunda dos resultados de resumo. Selecione esta opção quando tiver recusado ou não definido a configuração do SSM Deep Discovery.
        Ignorar testes de configuração do EKS
        Exclui os dados do EKS dos resultados de resumo ao não executar os comandos kubectl. Selecione esta opção quando tiver recusado ou não definido a integração EKS.
      5. Opcional: Exiba somente resultados de teste de cluster do EKS selecionando Exibir detalhes de teste do EKS.
      6. Opcional: Visualize os resultados anteriores da ferramenta de diagnóstico selecionando Carregar resultados de DT, selecionando um ID de diagnóstico e, em seguida, Carregar resultados.
      7. Ao terminar de revisar os resultados do resumo do diagnóstico, selecione o botão Voltar do navegador para retornar à configuração assistida.
      8. Defina a tarefa de Ferramenta diagnóstica de configuração AWS como concluída selecionando Marcar como concluída.
    7. Configure os trabalhos programados para importar dados da aplicação AWS.
      1. Na página Service Graph Connector for AWS, na seção Configurar os trabalhos de importação programada, selecione Iniciar.
      2. Para a tarefa Configurar o trabalho programado, selecione Configurar.
      3. Selecione o trabalho programado que você deseja ativar.
      4. No formulário Importação Programada de Dados, verifique os valores de campos do trabalho programado.
        Para obter mais informações, consulte Schedule a data import.
      5. Selecione Executar agora.
      6. Repita as etapas de 7.c a 7.e para cada trabalho programado para importação de dados.
      7. Selecione o ícone Voltar (<) para retornar à página de configuração assistida.
      8. Defina a tarefa Configurar o trabalho programado como concluída selecionando Marcar como concluída na configuração assistida.
    8. Opcional: Adicione várias instâncias AWS.
      1. Na página Service Graph Connector for AWS, na seção Adicionar várias instâncias, selecione Iniciar.
      2. Certifique-se de ter permissões de edição para a tabela Fonte de dados [sys_data_source] para criar fontes de dados para a nova instância.
        1. Selecione o escopo da aplicação Global usando o seletor de aplicações.
        2. Na tarefa Atualizar acesso à fonte de dados, selecione Configurar.
        3. Na lista relacionada Acesso à aplicação, marque as caixas de seleção Pode criar, Pode atualizare Pode excluir, se ainda não estiver marcada.
        4. Selecione Atualizar para fechar a guia e retornar à guia de configuração orientada.
        5. Defina a tarefa Atualizar acesso de fontes de dados como concluída selecionando Marcar como concluída.
        6. Modifique o escopo da aplicação novamente para o Conector do Service Graph para AWS usando o seletor de aplicações.
      3. Atualize o acesso para trabalhos de importação programada.
        1. Selecione o escopo da aplicação Global usando o seletor de aplicações.
        2. Na tarefa Atualizar acesso à Importação de dados programada, selecione Configurar.
        3. Na lista relacionada Acesso à aplicação, marque as caixas de seleção Pode criar, Pode atualizare Pode excluir, se ainda não estiver marcada.
        4. Selecione Atualizar para fechar a guia e retornar à guia de configuração orientada.
        5. Defina a tarefa Atualizar acesso à importação de dados programada como concluída selecionando Marcar como concluída.
        6. Modifique o escopo da aplicação novamente para o Conector do Service Graph para AWS usando o seletor de aplicações.
      4. Limpe o cache das tabelas Fonte de dados [sys_data_source] e Importações de dados programadas [scheduled_import_set] para permitir a criação de uma fonte de dados para a nova conexão no Conector do Service Graph para AWS.
        1. Selecione o escopo da aplicação Global usando o seletor de aplicações.
        2. Para a tarefa Limpar cache das tabelas Fontes de dados e Importações de dados programadas, selecione Configurar.
        3. Insira o script a seguir no painel Executar script (JavaScript executado no servidor).
          GlideTableManager.invalidateTable("sys_data_source");
      GlideCacheManager.flushTable("sys_data_source");

      GlideTableManager.invalidateTable("scheduled_import_set");
      GlideCacheManager.flushTable("scheduled_import_set");

      GlideTableManager.invalidateTable("sys_db_object");
      GlideCacheManager.flushTable("sys_db_object");
        4. Selecione Executar script.
        5. Defina a tarefa Limpar cache das tabelas de fontes de dados e importações de dados programadas como completa selecionando Marcar como completa.
        6. Modifique o escopo da aplicação novamente para o Conector do Service Graph para AWS usando o seletor de aplicações.
      5. Crie um alias de credencial para a nova conexão AWS no Service Graph Connector for AWS.
        1. Para a tarefa Criar novo registro de conexão e alias de credenciais, selecione Configurar.
        2. No formulário Aliases de conexão e credencial que é aberto em uma nova guia, preencha os detalhes da conexão.
        3. Selecione Enviar e feche a guia para retornar à guia de configuração assistida.
        4. Defina a tarefa Criar novo registro de conexão e alias de credenciais como concluída clicando em Marcar como concluída.
      6. Crie credenciais para o novo alias de credencial AWS.
        1. Para a tarefa Criar novo registro de conexão e alias de credenciais, selecione Configurar.
        2. Na página Conexões do Flow Designer, selecione Adicionar conexão.
        3. Na janela Criar conexão, preencha o nome da conexão, a chave de acesso e os detalhes da chave secreta.
        4. Selecione Criar conexão.
        5. Feche o Flow Designer e retorne à guia de configuração orientada.
        6. Defina a tarefa Criar novo registro de conexão e alias de credenciais como concluída clicando em Marcar como concluída.
      7. Atualize as propriedades da nova instância para o Conector do Service Graph para AWS selecionando Configurar para a tarefa Configurar ambiente do AWS para a nova instância.
        Para obter mais informações, siga a etapa 4.c discutida anteriormente para configurar as propriedades da conexão AWS disponíveis por padrão.

        Quando terminar de atualizar as propriedades, defina a tarefa Configurar ambiente do AWS para a nova instância como concluída selecionando Marcar como concluído.

      8. Insira os detalhes do recurso do EKS EC2 selecionando Configurar para a tarefa Atualizar detalhes do recurso do EKS.
        Para obter mais informações, siga a etapa 5 discutida anteriormente para configurar os detalhes do recurso EKS EC2 para a conexão AWS disponível por padrão.

        Quando terminar de atualizar as propriedades, defina a tarefa Atualizar detalhes do recurso de EKS como concluída selecionando Marcar como concluída.

      9. Configure as importações programadas para a nova instância do AWS.
        1. Para a tarefaConfigurar importações programadas, selecione Configurar.
        2. Na lista Importações de dados programadas que é aberta em uma nova guia, selecione a organização da instância AWS que você deseja configurar.
        3. Selecione o trabalho programado que você deseja ativar.
        4. No formulário Importação de dados programada, verifique os valores de campos do trabalho programado.
        5. Selecione Executar agora.
        6. Repita as etapas de 8.i.iii a 8.i.v para cada trabalho programado para importação de dados.
        7. Feche a guia da lista Importações de dados programadas e retorne à guia de configuração orientada.
        8. Defina a tarefa Configurar as importações programadas como concluída, clicando em Marcar como concluída na configuração assistida.