AWS 에서 사용자에 대한 ServiceNowIdentity Access Manager 계정 설정
AWS CloudFormation CloudFormation 템플릿(CFT)을 사용하여 관리 계정에서 IAM(Identity Access Manager) 사용자를 생성하면 중앙 집중식 IAM 사용자로 여러 AWS 계정을 관리할 수 있습니다.
시작하기 전에
- 필요한 역할: AWS 관리자
-
ServiceNow IAM 사용자 계정에는 기본 작업을 수행하기 위한 특정 AWS IAM 권한이 필요합니다. 권한에 대한 자세한 내용은 다음 문서를 참조하십시오 API 권한 정보 Amazon Web Services.
프로시저
- 관리 콘솔에 로그인하고 AWS 검색 창에 CloudFormation 을 입력한 다음 선택합니다.
-
CloudFormation 콘솔에서 스택 작성을 선택합니다.
스택은 단일 단위로 관리할 수 있는 자원의 AWS 모음입니다.
-
CloudFormation 템플릿(CFT) 코드를 파일에 복사하고 해당 파일을 저장합니다.
파일 확장자는
.yml여야 합니다. 예:CreateServiceNowUser.ymlAWSTemplateFormatVersion: '2010-09-09' Description: This script is executed in Management Account where the ServiceNow user is created. Metadata: AWS::CloudFormation::Interface: ParameterGroups: - Label: default: User Credentials Parameters: - SNUserName ParameterLabels: SNUserName: default: User Name Parameters: SNUserName: Type: String Description: User name for CW Service Account user MinLength: '6' MaxLength: '15' ConstraintDescription: The username must be between 6 and 15 characters Resources: SnowCWMemberAccountAccessGroup: Type: 'AWS::IAM::Group' Properties: GroupName: SnowCWMemberAccountAccessGroup SnowCWAccountAccessPolicy: Type: 'AWS::IAM::Policy' Properties: PolicyName: SnowCWAccountAccessPolicy PolicyDocument: Statement: - Sid: ServiceNowCWUserAccess Effect: Allow Action: - 'organizations:ListRoots' - 'organizations:ListTagsForResource' - 'organizations:DescribeAccount' - 'organizations:CreateAccount' - 'organizations:ListAWSServiceAccessForOrganization' - 'organizations:TagResource' - 'organizations:ListAccounts' - 'organizations:ListRoots' - 'organizations:ListTagsForResource' - 'organizations:DescribeAccount' - 'organizations:CreateAccount' - 'organizations:ListAWSServiceAccessForOrganization' - 'organizations:TagResource' - 'organizations:ListAccounts' - 'organizations:CloseAccount' - 'organizations:DescribeOrganization' - 'organizations:DescribeOrganizationalUnit' - 'organizations:ListParents' - 'organizations:ListOrganizationalUnitsForParent' - 'organizations:MoveAccount' - 'organizations:DescribeCreateAccountStatus' - 'organizations:AttachPolicy' - 'organizations:DescribePolicy' - 'organizations:ListAccounts' - 'budgets:CreateBudgetAction' - 'budgets:ModifyBudget' - 'budgets:ViewBudget' - 'budgets:ListTagsForResource' - 'iam:GetAccountSummary' - 'iam:GetAccountPasswordPolicy' - 'budgets:DescribeBudgetAction' - 'iam:ListAccountAliases' - 'sts:AssumeRole' - 'iam:GetRole' - 'iam:ListAccountAliases' - 'iam:GetAccountPasswordPolicy' - 'organizations:DetachPolicy' - 'iam:GetAccountAuthorizationDetails' Resource: '*' Groups: - !Ref SnowCWMemberAccountAccessGroup CreateServicenowUser: Type: 'AWS::IAM::User' Properties: Path: / UserName: !Ref SNUserName AddSnowUserToSnowCWMemberAccountAccessGroup: Type: 'AWS::IAM::UserToGroupAddition' Properties: GroupName: SnowCWMemberAccountAccessGroup Users: - !Ref SNUserName DependsOn: CreateServicenowUser Outputs: ServiceNowUserARN: Description: ARN of ServiceNow user Value: !GetAtt - CreateServicenowUser - Arn ServiceNowUser: Description: ServiceNow user Value: !Ref SNUserName - 스택 생성 페이지에서 기존 템플릿 선택 > 템플릿 파일 업로드 > 파일 선택 을 클릭하여 로컬 컴퓨터에서 템플릿 파일을 선택합니다.
- 다음을 선택하여 계속하고 템플릿의 유효성을 검사합니다.
-
스택 세부 정보 지정 페이지의 스택 이름 필드에 CloudFormation 스택 이름을 입력합니다.
스택 이름은 스택 목록에서 특정 스택을 찾는 데 도움이 되는 식별자입니다. 스택 이름에는 영숫자 문자(대/소문자 구분)와 하이픈만 사용할 수 있습니다. 알파벳 문자로 시작해야 하며 128자를 초과할 수 없습니다.
- 사용자 이름 필드에 서비스 계정 사용자 이름을 입력합니다클라우드 계정 관리.
- 다음을 선택하여 계속합니다.
- 스택 옵션 구성(Configure stack options) 페이지에서 AWS CloudFormation에서 사용자 지정 이름을 사용하여 IAM 리소스를 생성할 수 있음을 확인함 확인란을 선택하고 다음(Next)을 선택합니다.
-
[Review and create] 페이지에서 [Submit]을 선택하여 스택을 시작합니다.
IAM 계정이 생성됩니다.
-
보안 자격 증명을 추가하려면:
- 리소스를 선택합니다.
- 사용자 이름 링크를 선택합니다.
- 접근 키 섹션에서 접근 키 만들기를 선택합니다.
-
접근 키 베스트 프랙티스 및 대안 페이지에서 외부 공급업체 서비스 옵션을 선택합니다.
이 접근 키를 사용하여 자원을 모니터링하거나 관리하는 AWS 외부 공급업체 애플리케이션 또는 서비스에 대한 액세스를 활성화하려고 합니다.
- 위의 권장 사항을 이해하고 액세스 키를 만들려고 합니다 확인란을 선택하고 다음을 선택합니다.
- 접근 키 만들기를 선택합니다.
-
접근 키 검토 페이지에서 접근 키 파일을 다운로드하고 완료를 선택합니다.
주:접근 키와 비밀 키를 관리자 및 ServiceNow AI Platform 관리자와 Terraform 공유합니다.