Configurer Connecteur du graphe de services pour AWS à l’aide de la configuration guidée

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 17 minutes de lecture

    • Configurez l’environnement et les travaux planifiés pour extraire AWS les AWS données dans le CMDB.

    Avant de commencer

    Important :
    À moins de problèmes, utilisez la vue, car la méthode de configuration guidée va être déconseillée SGC Central . Si une connexion est configurée à l’aide de la configuration guidée, la connexion peut ne pas apparaître dans la SGC Central vue.

    Pour utiliser cette optionConnecteur du graphe de services, vous avez besoin d’un abonnement à une unité d’abonnement basée sur l’application Gestion des opérations ITITOM() Visibility ou sur l’application ITOM Découverte. Comme défini dans la section intitulée « Types de ressources informatiques gérées » dans la vue d’ensemble de l’unité d’abonnement ServiceNow pour votre abonnement, pour les CMDBConnecteur du graphe de servicesressources informatiques gérées qui sont créées ou modifiées par cet abonnement, mais qui ne sont pas encore gérées par Visibilité ITOM ou Découverte ITOM, ces ressources augmenteront la consommation d’unités d’abonnement de cette application. Vérifiez votre consommation actuelle d’unités d’abonnement dans Visibilité ITOM ou Découverte ITOM pour vous assurer de la capacité disponible.

    Dépendances et exigences :
    • L’application du magasin Integration Commons for CMDB , qui est automatiquement installée.
    • L’application de stockage des modèles de classe CI CMDB, qui est automatiquement installée. Consultez Modèles de classe CI CMDB.
    • Le module d’extension Découverte Core (com.snc.discovery.core), qui est automatiquement installé par Découverte.
    • Le module d’extension ITOM Découverte License (com.snc.itom.discovery.license). Vous devez activer ce module d’extension.
    • Module d’extension Gestion des licences ITOM (com.snc.itom.license). Pour plus d’informations, consultez Demander la découverte.

    Assurez-vous d’avoir rempli les conditions préalables à la configuration d’AWS. Consultez Configurer l'environnement AWS.

    Remarque :
    Lors de la mise à niveau à partir d’une version antérieure, assurez-vous d’avoir mis à jour les documents SSM et les autorisations IAM dans votre AWS instance.
    • Pour mettre à jour les documents SSM, exécutez les scripts SG-AWS-RunShellScript-Setup.yml, SG-AWS-RunPowerShellScript-Setup.yml et SG-AWS-RunKubeCtlShellScript.yml .
    • Pour mettre à jour les autorisations IAM affectées au rôle SnowOrganizationAccountAccessRole, exécutez le script CreateSnowOrganizationAccountAccessRoleInMemberAccount.yml .

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Pour en savoir plus sur les instructions de configuration de Connecteur du graphe de services pour AWS , consultez les articles suivants :

    Si vous mettez à niveau le connecteur, effectuez les tâches suivantes avant le processus de mise à niveau :
    • S’il existe des personnalisations, supprimez les enregistrements associés à la Connecteur du graphe de services pour AWS table Mises à jour du client [sys_update_xml]. Consultez Customer Updates table.
    • Mettez à niveau toutes les dépendances.
    Une fois que vous avez installé la dernière version du :Connecteur du graphe de services pour AWS
    • Effectuez une importation complète des données à partir de votre AWS instance. Vérifiez que la valeur du champ Utiliser la date et l’heure de la dernière exécution est désactivée pour toutes les sources de AWS données de la table Source de données [sys_data_source].
    • Téléchargez et réexécutez les AWS scripts. Consultez Configurer l'environnement AWS.

    Procédure

    1. Assurez-vous d’avoir sélectionné le périmètre de l’application Connecteur du graphe de services pour AWS à l’aide du sélecteur d’application.
      Pour plus d’informations, voir Sélecteur d’application.
    2. Accédez à la Tout > Connecteurs du graphe de services > AWS > Configuration.
    3. Configurer l'environnement AWS.
      Remarque :
      Pour la tâche Télécharger les scripts, sélectionnez Configurer pour télécharger les scripts.
      Une fois que vous avez téléchargé les scripts et configuré l’environnement AWS , définissez les tâches Télécharger les scripts et Instructions de configuration AWS comme terminées.
    4. Configurez les informations d’identification de l’authentification pour authentifier les demandes envoyées aux AWS API.
      1. Configurez vos AWS informations d’identification.
        1. Pour la section Configurer la connexion de la page Connecteur du graphe de services pour AWS , sélectionnez Démarrer.
        2. Pour la tâche Configurer les informations d’identification , sélectionnez Configurer.
        3. Dans le champ Nom , entrez un nom pour l’authentification.

          SG-AWS-Credentials-Org est le nom de l’alias d’informations d’identification par défaut. Vous pouvez ajouter plusieurs AWS instances. Toutefois, ne modifiez pas l’alias de connexion par défaut.

        4. Entrez l’ID de clé d’accès et la clé d’accès secrète dans les champs ID de clé d’accès et Clé d’accès secrète respectivement.

          Les AWS clés d’accès sont des informations d’identification à long terme pour l’utilisateur IAM et comprennent deux parties : un ID de clé d’accès et une clé d’accès secrète. Vous devez utiliser ensemble l’ID de clé d’accès et la clé d’accès secrète pour authentifier les demandes.

        5. Revenez à la page Configurer la tâche de connexion en sélectionnant l’icône de retour (<).
        6. Définissez la tâche Configurer les informations d’identification comme terminée en sélectionnant Marquer comme terminé.
      2. Testez la connexion d’API AWS pour importer des données à partir de l’application AWS .
        1. Pour la tâche Tester la connexion dans la section Configurer la connexion , sélectionnez Configurer.
        2. Sélectionnez le lien connexe Test de la connexion .
        3. Lorsque le champ État est défini sur Réussite, sélectionnez l’icône de retour (<) pour revenir à la configuration guidée.
        4. Définissez la tâche Tester la connexion comme terminée en sélectionnant Marquer comme terminé.
      3. Mettez à jour les propriétés de configuration requises pour une AWS instance.
        1. Pour la tâche Mettre à jour les propriétés de configuration de l’instance , sélectionnez Configurer.
        2. Dans le formulaire Propriétés de configuration SG-AWS qui s’ouvre dans un nouvel onglet, examinez et modifiez les champs.
          Tableau 1. Formulaire Propriétés de configuration SG-AWS
          Champ Description
          Détails de la connexion
          Alias de connexion Nom permettant d’identifier l’enregistrement de AWS connexion. Par exemple, SG_AWS_CredentialAlias_Org.

          Vous pouvez ajouter plusieurs AWS instances. Cependant, ne modifiez pas le nom de l’alias de connexion par défaut SG_AWS_CredentialAlias_Org.
          Détails de l'organisation
          Compte d'organisation Identificateur numérique de compte de l’organisation AWS .
          Nom de l'organisation Nom de l’organisation AWS .
          Description de l'organisation Description de l’organisation AWS .
          Régions AWS
          Régions AWS Régions dans lesquelles collecter les données CI.

          Par défaut, Connecteur du graphe de services pour AWS s’exécute dans toutes les AWS régions pour collecter les données CI.

          Vous pouvez entrer AWS des régions spécifiques pour accélérer le processus d’importation de données CI. Par exemple, us-east1, us-east-2.

          Si ce champ est laissé vide, le Connecteur du graphe de services pour AWS extrait les ressources de toutes les AWS régions.

          Toutefois, pour les régions AWS GovCloud, ne laissez pas le champ Régions vide. Les régions AWS GovCloud prises en charge sont us-gov-east-1 et us-gov-west-1.

          Si vous mettez à jour la valeur du champ Régions ultérieurement, effacez la valeur du champ Date/heure de la dernière exécution dans toutes les sources de données associées au Connecteur du graphe de services pour AWS importer un nouvel ensemble de données.
          STS Supposer le nom de rôle
          Rôle STS Nom du rôle AWS Identity and Access Management (IAM) obtenu par l’utilisateur ServiceNow en appelant l’API AssumeRole proposée par le AWS service de jeton de sécurité (STS). L’API AssumeRole renvoie un ensemble d’informations d’identification de sécurité temporaires permettant à l’utilisateur ServiceNow d’accéder aux AWS ressources.
          Remarque :
          Saisissez le nom du rôle IAM, mais ne fixez pas de préfixe ARN dans le nom. Si vous laissez ce champ vide, la valeur de ce champ est automatiquement définie sur SnowOrganizationAccountAccessRole, qui est le nom de rôle IAM par défaut pour l’utilisateur ServiceNow .
          Détails du compte S3
          ID du compte S3 Identificateur numérique du AWS compte qui héberge la catégorie Service de Amazon stockage simple (Amazon S3).
          Nom de la catégorie S3 Nom de la Amazon catégorie S3 qui collecte les détails à partir des Amazon instances EC2.
          Région S3 Région où se trouve la Amazon catégorie S3.
          Détails du document SSM SendCommand
          Nom Linux de la commande SSM Send Nom du document qui définit les actions exécutées par AWS Systems Manager (SSM) sur une instance EC2 basée sur Amazon Linux.
          Nom Windows de la commande SSM Send Nom du document qui définit les actions exécutées par le AWS SSM sur une instance EC2 basée sur Amazon Windows.
          ID du compte de gestion
          ID du compte de gestion Compte de gestion dans l’organisation AWS . Le compte appelle l’API ListAccounts associée à l’organisation AWS pour collecter des informations de CI à partir de tous les comptes. Pour plus d’informations, consultez ListAccounts sur le site de documentation AWS .

          Saisissez une valeur pour ce champ lorsque l’utilisateur ServiceNow a été créé dans un AWS compte membre.
          Détails de l'ID de compte autonome
          ID de compte autonome ID d’un compte membre dans l’organisation AWS .
          Remarque :
          Lors de la spécification d’un compte autonome, les données liées à l’organisation AWS, telles que le nom de l’organisation, les unités d’organisation, l’ID d’organisation et les comptes de service, ne sont pas importées. Si vous souhaitez importer les données complètes ultérieurement, effacez toute valeur mentionnée dans le champ ID de compte autonome . Consultez l’article Connecteur du graphe de services pour AWS : configuration autonome [KB1642159] dans la base de Now Support connaissances.
          Détails de l'agrégateur AWS Config
          Compte d'agrégateur Config AWS compte dans lequel le type de ressource d’agrégateur dans le AWS service de configuration a été configuré.

          Saisissez une valeur dans ce champ lorsque vous utilisez un AWS agrégateur Config.
          Nom de l'agrégateur Config Nom du type de ressource d’agrégateur. Ce champ n’est disponible que lorsque vous saisissez une valeur dans le champ Compte d’agrégateur de configuration .
          Région de l'agrégateur Config Région où réside le type de ressource d’agrégateur. Ce champ n’est disponible que lorsque vous saisissez une valeur dans le champ Compte d’agrégateur de configuration .
          Configuration de la rotation de clé AWS
          Lancer la rotation des clés AWS Option permettant d’activer le processus de rotation des clés.
          Date de rotation de la clé AWS Date de rotation des clés. Ce champ est automatiquement défini sur la date de rotation suivante. Ce champ n’est disponible que lorsque vous cochez la case Rotation des clés AWS .
          Période de rotation de la clé AWS (en jours) Période de rotation de clés en jours. Ce champ n’est disponible que lorsque vous cochez la case Rotation des clés AWS .
          État de rotation de la clé AWS Message d’état d’une rotation de clés indiquant si la rotation a été réussie ou échouée. Ce champ est automatiquement défini pour afficher le message d’état de rotation des clés. Ce champ n’est disponible que lorsque vous cochez la case Rotation des clés AWS . Si l’état de rotation est un échec, une notification par e-mail est déclenchée, si elle est configurée.
          Comptes de messagerie pour la réception des notifications d'erreur Liste séparée par des virgules des adresses de destinataires qui reçoivent des notifications concernant les erreurs de rotation de AWS clés.
          Groupes de comptes de messagerie pour la réception des notifications d'erreur Liste séparée par des virgules ServiceNow des groupes qui reçoivent des notifications concernant les AWS erreurs de rotation de clés.
          Configuration de Gov Cloud
          Est Gov Cloud Option permettant d’indiquer que la configuration de la connexion est pour AWS GovCloud.
          Détails du document SSM EKS SendCommand
          Document de noms de grappes EKS Nom du AWS document SSM pour détecter les grappes EKS associées aux hôtes bastions EC2.
          Document de script du shell EKS Nom du document SSM permettant d’extraire AWS les CI liés aux composants Kubernetes, tels que les pods, les services et les déploiements, à partir des grappes EKS.
        3. Sélectionnez Enregistrer , puis Fermer pour fermer l’onglet et revenir à l’onglet Configuration guidée.
        4. Définissez les propriétés de configuration de mise à jour de la tâche d’instance comme terminée en sélectionnant Marquer comme terminé.
    5. Configurez les ressources EC2 requises pour Amazon Elastic Kubernetes Service (EKS) importer des données de grappe EKS.
      Une ressource EC2 EKS est un hôte bastion qui dispose d’un accès réseau aux grappes EKS. Les clusters EKS ne sont pas directement accessibles au connecteur. Par conséquent, vous devez fournir les détails de la ressource EC2 EKS . Pour l’importation de données de grappe EKS, le connecteur utilise la commande SSM Send sur les ressources EC2 EKS pour exécuter les commandes kubectl à distance.
      Remarque :
      Assurez-vous d’avoir configuré votre AWS environnement pour l’intégration EKS. Pour plus d’informations, consultez l’article Connecteur du graphe de services pour AWS - Intégration Amazon EKS [KB1437138] dans la base de Now Support connaissances.
      1. Pour la section Configurer les détails des ressources EKS de la page Connecteur du graphe de services pour AWS , sélectionnez Démarrer.
      2. Pour la tâche Saisir les détails des ressources EC2 EKS , sélectionnez Configurer.
      3. Renseignez les champs du formulaire qui s’ouvre dans un nouvel onglet.
        Tableau 2. SG-AWS-EKS-EC2-Formulaire de ressource
        Champ Description
        ID de ressource EC2 EKS Identificateur de la ressource EC2 EKS.
        Compte EC2 Nom d’utilisateur affecté au compte de ressource EC2 EKS .
        Région EC2 Région AWS où se trouve la ressource EC2 EKS .
        Actif Option permettant d’activer la ressource EC2 EKS.
        Remarque :
        Définissez la valeur sur faux, si vous n’utilisez pas la ressource de ressource EC2 EKS .
        Connexion Alias de connexion associé à l’environnement installé et configuré à l’étape AWS4.a.
      4. Sélectionnez Soumettre pour revenir à la configuration guidée.
      5. Répétez les étapes de 5.b à 5.d pour ajouter plusieurs ressources EC2 EKS.
        Toutes les ressources EC2 EKS sont ajoutées à la table SG-AWS-EKS-Master [sn_aws_integ_sg_aws_eks_master].
      6. Définissez la tâche Saisir les détails des ressources EC2 EKS à terminer en sélectionnant Marquer comme terminé.
    6. Exécutez l’outil de AWS diagnostic avant d’exécuter une tâche d’importation planifiée pour identifier tous les problèmes dans la configuration de l’environnement AWS .
      1. Pour la section Outil de diagnostic AWS du graphe de services de la page Connecteur du graphe de services pour AWS , sélectionnez Démarrer.
      2. Pour la tâche Outil de diagnostic AWS Setup , sélectionnez Configurer.
      3. Sélectionnez l’ID d’organisation dans le champ de texte.
      4. Sélectionnez Exécuter le test de diagnostic.
        Conseil :
        Sélectionnez l’une des options suivantes pour exclure les résultats des tests correspondants du résumé du diagnostic :
        Ignorer les tests de configuration SSM
        Exclut les données d’inventaire de logiciels des résultats récapitulatifs en n’appelant pas l’API GetInventory . Sélectionnez cette option lorsque vous avez choisi de désabonner ou de ne pas avoir configuré la configuration pour SSM.
        Ignorer les tests de découverte approfondie SSM
        Exclut les données de découverte approfondie des résultats récapitulatifs. Sélectionnez cette option lorsque vous avez choisi d’annuler ou de configurer la configuration de la découverte approfondie SSM.
        Ignorer les tests de configuration EKS
        Exclut les données EKS des résultats récapitulatifs en n’exécutant pas les commandes kubectl. Sélectionnez cette option lorsque vous vous êtes désabonné ou que vous n’avez pas configuré l’intégration EKS.
      5. Facultatif : Affichez uniquement les résultats des tests de grappe EKS en sélectionnant Afficher les détails du test EKS.
      6. Facultatif : Prévisualisez les résultats de l’outil de diagnostic précédent en sélectionnant Charger les résultats DT, en sélectionnant un ID de diagnostic, puis en sélectionnant Charger les résultats.
      7. Lorsque vous avez terminé d’examiner les résultats du résumé du diagnostic, sélectionnez le bouton de retour de votre navigateur pour revenir à la configuration guidée.
      8. Définissez la tâche de l’outil de diagnostic de configuration AWS comme terminée en sélectionnant Marquer comme terminé.
    7. Configurez les travaux planifiés pour importer des données à partir de l’application AWS .
      1. Dans la section Configurer les tâches d’importation planifiée de la page Connecteur du graphe de services pour AWS , sélectionnez Démarrer.
      2. Pour la tâche Configurer la tâche planifiée , sélectionnez Configurer.
      3. Sélectionnez la tâche planifiée que vous souhaitez activer.
      4. Sur le formulaire Importation de données planifiée, vérifiez les valeurs de champ de la tâche planifiée.
        Pour plus d'informations, consultez Schedule a data import.
      5. Sélectionnez Mettre à jour.
      6. Répétez les étapes 7.c pour chaque tâche planifiée d’importation 7.e de données.
      7. Sélectionnez l’icône de retour (<) pour revenir à la page de configuration guidée.
      8. Configurez la tâche de tâche planifiée à terminer en sélectionnant Marquer comme terminé dans la configuration guidée.
    8. Facultatif : Ajouter plusieurs AWS instances.
      1. Dans la section Ajouter plusieurs instances de la page Connecteur du graphe de services pour AWS , sélectionnez Démarrer.
      2. Assurez-vous de disposer des autorisations de modification pour la table Source de données [sys_data_source] afin de créer des sources de données pour la nouvelle instance.
        1. Sélectionnez le périmètre de l’application global à l’aide du sélecteur d’application.
        2. Pour la tâche Mettre à jour l’accès à la source de données , sélectionnez Configurer.
        3. Dans la liste connexe Accès à l’application, cochez les cases Peut créer, Peut mettre à jour et Peut supprimer , si ce n’est pas déjà fait.
        4. Sélectionnez Mettre à jour pour fermer l’onglet et revenir à la configuration guidée.
        5. Modifiez à nouveau le périmètre de l’application en Connecteur du graphe de services pour AWS à l’aide du sélecteur d’application.
        6. Définissez la tâche Mettre à jour l’accès à la source de données comme terminée en sélectionnant Marquer comme terminé.
      3. Mettez à jour l’accès aux tâches d’importation planifiées.
        1. Sélectionnez le périmètre de l’application global à l’aide du sélecteur d’application.
        2. Pour la tâche Mettre à jour l’accès à Importation de données planifiée , sélectionnez Configurer.
        3. Dans la liste connexe Accès à l’application, cochez les cases Peut créer, Peut mettre à jour et Peut supprimer , si ce n’est pas déjà fait.
        4. Sélectionnez Mettre à jour pour fermer l’onglet et revenir à l’onglet Configuration guidée.
        5. Définissez la tâche Mettre à jour l’accès à Importation de données planifiée sur terminée en sélectionnant Marquer comme terminé.
        6. Modifiez à nouveau le périmètre de l’application en Connecteur du graphe de services pour AWS à l’aide du sélecteur d’application.
      4. Effacez le cache des tables Source de données [sys_data_source] et Importations de données planifiées [scheduled_import_set] pour activer la création d’une source de données pour la nouvelle connexion dans le Connecteur du graphe de services pour AWS.
        1. Sélectionnez le périmètre de l’application global à l’aide du sélecteur d’application.
        2. Pour la tâche Effacer le cache des tables de source de données et d’importations de données planifiées , sélectionnez Configurer.
        3. Entrez le script suivant dans le volet Script exécuté (JavaScript exécuté sur le serveur).
          GlideTableManager.invalidateTable("sys_data_source");
      GlideCacheManager.flushTable("sys_data_source");

      GlideTableManager.invalidateTable("scheduled_import_set");
      GlideCacheManager.flushTable("scheduled_import_set");

      GlideTableManager.invalidateTable("sys_db_object");
      GlideCacheManager.flushTable("sys_db_object");
        4. Sélectionnez Exécuter le script.
        5. Définissez la tâche des tables Effacer le cache de la source de données et Importations de données planifiées sur terminer en sélectionnant Marquer comme terminé.
        6. Modifiez à nouveau le périmètre de l’application en Connecteur du graphe de services pour AWS à l’aide du sélecteur d’application.
      5. Créez un alias d’informations d’identification pour la nouvelle AWS connexion dans Connecteur du graphe de services pour AWS.
        1. Pour la tâche Créer un enregistrement d’alias de connexion et d’informations d’identification , sélectionnez Configurer.
        2. Dans le formulaire Alias de connexion et d’informations d’identification qui s’ouvre dans un nouvel onglet, renseignez les détails de la connexion.
        3. Sélectionnez Soumettre , fermez l’onglet et revenez à l’onglet Configuration guidée.
        4. Définissez la tâche Créer un enregistrement d’alias de connexion et d’informations d’identification comme terminée en sélectionnant Marquer comme terminé.
      6. Créez des informations d’identification pour le nouvel AWS alias d’informations d’identification.
        1. Pour la tâche Créer un enregistrement d’alias de connexion et d’informations d’identification , sélectionnez Configurer.
        2. Sur la page Connexions du Studio de workflow, sélectionnez Ajouter une connexion.
        3. Dans la fenêtre Créer une connexion, renseignez le nom de connexion, la clé d’accès et les détails de la clé secrète.
        4. Sélectionnez Créer une connexion.
        5. Fermez le Studio de workflow et revenez à l’onglet Configuration guidée.
        6. Définissez la tâche Créer un enregistrement d’alias de connexion et d’informations d’identification comme terminée en sélectionnant Marquer comme terminé.
      7. Mettez à jour les propriétés de la nouvelle instance en Connecteur du graphe de services pour AWS sélectionnant Configurer pour l’environnement Configurer AWS pour la nouvelle tâche d’instance .
        Pour plus d’informations, suivez l’étape 4.c décrite précédemment pour configurer les propriétés de la AWS connexion disponible par défaut.

        Lorsque vous avez terminé de mettre à jour les propriétés, définissez l’environnement Configurer AWS pour que la nouvelle tâche d’instance se termine en sélectionnant Marquer comme terminé.

      8. Saisissez les détails des ressources EC2 EKS en sélectionnant Configurer pour la tâche Mettre à jour les détails des ressources EKS .
        Pour plus d’informations, suivez l’étape 5 décrite précédemment pour configurer les détails des ressources EC2 EKS pour la AWS connexion disponible par défaut.

        Lorsque vous avez terminé de mettre à jour les propriétés, définissez la tâche Mettre à jour les détails des ressources EKS comme terminée en sélectionnant Marquer comme terminé.

      9. Configurez les importations planifiées pour la nouvelle instance AWS.
        1. Pour la tâche Configurer les importations planifiées , sélectionnez Configurer.
        2. Dans la liste Importations de données planifiées qui s’ouvre dans un nouvel onglet, sélectionnez l’organisation de l’instance AWS que vous souhaitez configurer.
        3. Sélectionnez l’importation de données planifiée que vous souhaitez activer.
        4. Dans le formulaire Importation de données planifiée, modifiez les valeurs de champ de la tâche planifiée.
        5. Sélectionnez Mettre à jour.
        6. Répétez les étapes 8.i.iii pour chaque tâche planifiée d’importation 8.i.v de données.
        7. Fermez l’onglet de la liste d’importations de données planifiées et revenez à l’onglet Configuration guidée.
        8. Définissez la tâche Configurer les importations planifiées comme terminée en sélectionnant Marquer comme terminé dans la configuration guidée.