Configuração de acesso para AWS contas de serviço

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 5 min. de leitura

    • Descoberta na nuvem e Cloud Provisioning and Governance precisam de acesso a recursos nas contas de serviço Amazon Web Services (AWS). Conheça os diferentes métodos de configuração desse acesso.

    Descoberta na nuvem e Cloud Provisioning and Governance acessam recursos em AWS contas de serviço por meio de MID Servers. Você deve autorizar o tráfego de entrada para instâncias do Amazon EC2 do MID Server para configurar a comunicação inicial. Para obter mais informações, consulte Configurar regras de entrada do grupo de segurança usando o console de gestão da AWS.

    Tipos de AWS credenciais

    Existem credenciais AWS permanentes e temporárias que você pode usar para configurar o acesso a contas de serviço AWS.
    Permanente
    As credenciais permanentes são as credenciais AWS reais da conta de serviço que você adiciona ao módulo [ Conexões e credenciais de Now Platform. Embora possa ser demorado gerenciar credenciais em Now Platform, você evita as configurações complexas envolvidas no uso de credenciais temporárias.
    Temporário

    As credenciais temporárias são geradas pelo AWS Security Token Service (AWS STS) para funções de IAM. Depois de configurar funções de IAM para contas AWS, o MID Server acessa recursos AWS com essas credenciais temporárias. Você pode usar a função de IAM padrão, OrganizationAccountAccessRoleou criar funções de IAM personalizadas.

    Assumir funções de IAM em um grande AWS Organization é mais conveniente e oferece mais segurança do que usar um grande número de credenciais permanentes para todas as contas da AWS. As credenciais temporárias são adquiridas em nome de uma conta de serviço somente quando não há credencial permanente especificada para essa conta de serviço na tabela Contas de serviço [cmdb_ci_cloud_service_account].

    O MID Server usa a ação AssumeRolena API do serviço de token de segurança da AWS para assumir uma função de conta de membro. Os parâmetros passados para esta API determinam quais restrições de segurança adicionais são aplicadas à função quando ela acessa os recursos da AWS.

    Por padrão, o MID Server é configurado para assumir o OrganizationAccountAccessRole, que concede credenciais temporárias a todos os membros de uma conta primária. Esta ação ocorrerá automaticamente se não houver credenciais permanentes para as contas do membro. Esta configuração não aplica qualquer segurança adicional ou restringe o acesso a recursos nas contas de membros.

    Por padrão, a instância ServiceNow armazena em cache credenciais temporárias para contas de membro por 60 minutos. Esse intervalo permite que o processo de descoberta horizontal seja executado várias vezes sem gerar novas credenciais durante cada descoberta. Você pode impedir o cache de credenciais ou modificar o período de cache usando as propriedades do MID Server.

    Funções e permissões de IAM

    Para aprimorar a segurança fornecida pela função AWS OrganizationAccountAccessRole padrão, você pode personalizar as funções do AWS que os MID Servers podem assumir para receber credenciais temporárias para contas de membro. Você pode configurar permissões adicionais para melhorar a segurança e personalizar a maneira como a função da conta do membro é assumida ao descobrir recursos de nuvem.

    Métodos de concessão de acesso

    Para fins de configuração do acesso para AWS contas, os seguintes termos são usados:
    Contas de confiança
    As contas de confiança não têm credenciais AWS permanentes. Você configura o relacionamento de confiança das funções de IAM nessas contas para contar com outras contas para acesso.
    Contas confiáveis
    As contas confiáveis são usadas pelas contas confiáveis para acesso. A IU ServiceNow se refere às contas confiáveis como contas de acessador.
    Normalmente, você configura o acesso às contas AWS em sua organização usando os seguintes métodos:
    • Configure o acesso às contas AWS usando credenciais AWS permanentes

      Configure as credenciais AWS reais em Now Platform para evitar a complexidade de criar e configurar funções de IAM.

    • Configure o acesso usando credenciais temporárias com base em contas confiáveis AWS com credenciais AWS

      Configure as contas AWS para contar com a conta confiável para acesso. Esta configuração funciona para qualquer tipo de conta: individual (independente), de gestão ou de membro. Se você configurar a conta confiável com as AWS credenciais no Now Platform, poderá configurar uma função de IAM pertencente às contas de confiança para confiar no usuário da conta confiável. Dessa forma, você pode usar apenas um conjunto de credenciais AWS para fornecer acesso a várias contas da AWS.

      Figura 1. Configuração de qualquer conta AWS para contar com uma conta confiável com credenciais AWS

      Configure a função de IAM da conta de AWS confiável para confiar no usuário da conta de AWS confiável para acesso
    • Configure o acesso usando credenciais temporárias com base em contas confiáveis AWS sem credenciais AWS

      Para usar uma conta sem AWS credenciais (conta sem credencial), você deve primeiro configurar essa conta com uma função de IAM e permissões para acessar a conta de serviço de confiança. Em seguida, configure a função de IAM da conta de confiança para conceder acesso à função de IAM da conta confiável.

      Figura 2. Configuração de qualquer conta AWS para contar com uma conta confiável sem credenciais AWS

      Configure a função de IAM da conta de AWS confiável para confiar na função de IAM da conta de AWS confiável para acesso
    • Configurar o acesso usando credenciais temporárias para contas de membro confiáveis AWS

      Se houver AWS Organizações, você poderá configurar AWS contas de membro para contar com sua conta de gestão para acesso. Nesse caso, você configura as funções de IAM das contas de membro como confiáveis para confiar na função de IAM de sua conta de gestão. Não importa se a conta de gestão depende de uma conta com ou sem AWS credenciais.

      Figura 3. Configuração de contas de membro para usar sua conta de gestão para acesso

      Configurar a função de IAM das contas de membro de confiança para confiar em sua conta de gestão

    Como Descoberta na nuvem determina quais credenciais usar

    Descoberta na nuvem usa a seguinte lógica para determinar quais credenciais usar para descobrir recursos de nuvem da AWS em contas de membro:
    1. Se credenciais permanentes forem definidas para a conta do membro na tabela Conta de serviço em nuvem [cmdb_ci_cloud_service_account], Descoberta usará essas credenciais. A tabela Contas de serviço em nuvem [cmdb_ci_cloud_service_account] contém as informações sobre os tipos de conta de serviço, como gestão ou membro, e suas credenciais.
    2. Se nenhuma credencial permanente for definida para a conta do membro, Descoberta verificará a tabela Parâmetros de função presumida da organização da AWS da Conta de serviço em nuvem [cloud_service_account_aws_org_assume_role_params] em busca de parâmetros especiais associados à conta do membro. Se houver parâmetros nessa tabela, Descoberta usará as credenciais temporárias adquiridas ao especificar uma função e seus parâmetros na ação AssumeRole da API do AWS Security Token Service.
    3. Se nenhum parâmetro especial estiver associado à conta do membro na tabela [cloud_service_account_aws_org_assume_role_params], Descoberta verificará a tabela em busca de parâmetros associados à conta de gestão. Se houver parâmetros que definam uma função para a conta de gestão, Descoberta usará as credenciais temporárias fornecidas por essa função.
    4. Se nenhum parâmetro especial estiver presente na tabela [cloud_service_account_aws_org_assume_role_params] para as contas de gestão ou de membro, Descoberta usará os padrões definidos para a função OrganizationAccountAccessRole.