스크립트 실행을 위한 필수 구성요소

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2026년 01월 09일
  • 읽기6분

    • 스크립트를 실행하기 AWS 전 필요 조건을 완료합니다.

    중요사항:
    내에서 AWS용 서비스 그래프 커넥터사용할 수 있는 스크립트를 다운로드했는지 확인합니다. AWS 스크립트 다운로드 문서를 참조하십시오.
    나중에 스크립트를 실행하는 AWS 동안 사용할 다음 상세 정보를 결정합니다.

    ServiceNow IAM 역할 결정

    환경에서 구성 항목(CI) AWS 을 가져오기 위해 구성원 계정에서 읽기 전용 작업을 수행하는 IAM(ID 및 액세스 관리) 역할을 결정합니다.

    기본적으로 CreateSnowOrganizationAccountAccessRoleInMemberAccount.yml 스크립트는 SnowOrganizationAccountAccessRole IAM 역할을 생성합니다. 스크립트에서 생성한 기본 이름을 사용하거나 새 IAM 역할을 생성할 수 있습니다. 그러나 입력 매개변수로 필요한 경우 스크립트 간에 동일한 IAM 역할을 입력해야 합니다. 설정에 필요한 스크립트 실행 AWS 문서를 참조하십시오.

    ServiceNow IAM 사용자 이름 확인

    구성원 계정에서 IAM 역할을 수임 ServiceNow 하는 IAM 사용자의 이름을 결정합니다.

    기본적으로 CreateServiceNowUser.yml 스크립트는 NOWSGCUser IAM 사용자를 생성합니다. 스크립트에서 생성한 기본 이름을 사용하거나 새 IAM 사용자를 생성할 수 있습니다. 그러나 입력 매개변수로 필요한 경우 스크립트 간에 동일한 IAM 사용자 이름을 입력해야 합니다. 설정에 필요한 스크립트 실행 AWS 문서를 참조하십시오.

    심층 디스커버리를 위한 S3 버킷 정의

    데이터를 가져올 AWSSendCommand API 응답을 저장하고 삭제할 IAM 역할에 대한 ServiceNow 읽기 및 삭제 권한이 있는 S3 버킷을 설정합니다.

    시작하기 전에

    필요한 역할: 애플리케이션 관리자

    이 태스크 정보

    애플리케이션에 대한 S3 버킷을 AWS용 서비스 그래프 커넥터 생성하고 ServiceNow IAM 역할이 조직에서 이 버킷에 액세스할 수 있도록 합니다.
    주:
    EC2 인스턴스에서 심층 디스커버리를 수행하려는 경우에만 S3 버킷을 사용합니다.

    프로시저

    1. 계정 지역에 S3 버킷을 AWS 생성합니다.
      설명서 사이트에서 AWS버킷 생성을 참조하세요.
      주:
      S3 버킷에는 다음과 같은 권한 설정이 있어야 합니다.
      표 1. S3 버킷 권한 및 해당 설정
      권한 설정
      접근 퍼블릭이 아닌 버킷 및 객체
      S3 퍼블릭 액세스 차단 S3 버킷 및 객체에 대한 퍼블릭 액세스 차단

      자세한 내용은 설명서 사이트의 S3 퍼블릭 액세스 차단 AWS참조하세요.

    2. 버킷 정책을 추가합니다.

      설명서 사이트의 버킷 정책을 AWS참조하세요.

      1단계에서 생성한 S3 버킷에 액세스하려면 해당 버킷 정책에서 관리형 EC2 인스턴스에 연결된 IAM 인스턴스 프로파일 역할을 허용해야 합니다. 버킷 정책을 생성하거나 버킷 ACL(액세스 제어 목록)에서 AWS 멤버 계정에 대한 액세스 권한을 부여할 수 있습니다. 구성원 계정에는 EC2 인스턴스가 포함되어야 합니다.
      주:
      버킷 ACL에 AWS 멤버 계정을 추가하면 멤버 계정의 모든 사용자 및 역할이 S3 버킷에 액세스할 수 있습니다.
      버킷 정책을 추가할 때 다음 샘플 코드를 참조하십시오.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AWS-ACCOUNT:role/INSTANCE-PROFILE-ROLE-NAME"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      위치
      • SOURCE-AWS-ACCOUNT 는 EC2 인스턴스를 포함하는 구성원 계정의 AWS 계정 ID입니다.
      • INSTANCE-PROFILE-ROLE-NAME 은 EC2 인스턴스에 연결된 IAM 인스턴스 프로파일입니다.

        기본적으로 AmazonSSMForInstancesRoleSetup.yml 스크립트는 AmazonSSMForInstancesRole IAM 인스턴스 프로파일 역할을 생성하고 이 역할을 AmazonSSMManagedInstanceCore 버킷 정책에 연결합니다. 설정에 필요한 스크립트 실행 AWS 문서를 참조하십시오.

      • DOC-EXAMPLE-BUCKET 은 S3 버킷 이름입니다.
      다음 예제 버킷 정책은 effect, principal, action 및 resource 요소를 보여줍니다. 이 정책은 myS3Bucket 버킷에 대한 ID 123456789000, s3:GetObject, s3:PutObjects3:PutObjectAcl S3 권한이 있는 계정의 IAM 인스턴스 프로파일 역할인 AmazonSSMRoleForInstances를 허용합니다.
      {
    "Version": "2012-10-17",
    "Id": "S3PolicyforServiceNowIAMrole",
    "Statement": [
        {
            "Sid": "EC2S3Access",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789000:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789001:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789002:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789003:role/AmazonSSMRoleForInstances",
                    "arn:aws:iam::123456789004:role/AmazonSSMRoleForInstances"
                ]
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::myS3Bucket/*"
        }
    ]
}
    3. EC2 인스턴스에 대한 인스턴스 프로파일 역할에 IAM 권한을 연결하여 SendCommand API 응답을 1단계에서 생성한 S3 버킷에 게시합니다.
      설명서 사이트의 인스턴스 프로파일 사용 및 인스턴스에 AWSIAM 역할 연결을 참조하세요.
      관리형 EC2 인스턴스에 연결된 IAM 인스턴스 프로파일 역할에는 다음 샘플 정책에 표시된 대로 S3 버킷에 대한 액세스를 허용할 수 있는 s3:GetObject, s3:PutObjects3:PutObjectAcl S3 권한이 있어야 합니다.
      {
    "Version": "2012-10-17",
    "Statement": [
        {
        "Sid": "PublishTerminalOutputToS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        }
    ]
}
      여기서, DOC-EXAMPLE-BUCKET 은 S3 버킷 이름입니다.
      주:
      버킷 이름 끝에 접미사 /* 를 추가하여 버킷 이름 아래에 파일을 생성할 수 있도록 해야 합니다.