Configurar uma função de membro da AWS personalizada

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Personalize as funções da AWS que um MID Server pode assumir para receber credenciais temporárias para contas de membro. Você pode configurar parâmetros adicionais para melhorar a segurança e personalizar a maneira como a função da conta do membro é assumida ao descobrir recursos de nuvem.

    Antes de Iniciar

    Função necessária: admin

    Por Que e Quando Desempenhar Esta Tarefa

    Os valores inseridos na tabela Conta de serviço em nuvem > Parâmetros de função presumida da organização da AWS [cloud_service_account_aws_org_assume_role_params] são passados como parâmetros para a API AssumeRole da AWS da conta de serviço nomeada.

    Procedimento

    1. Navegar até Todos > Cloud Provisioning and Governance > Parâmetros de Acesso à Organização > Parâmetros de Função Presumidos da Organização AWS.
      Módulo de parâmetros de função presumida da organização da AWS
    2. Clique em Novo e preencha o formulário usando estes parâmetros:
      Campo Descrição
      Nome da função de acesso [access_role_name] Nome da função do AWS na conta do membro que é usada pela conta de gestão para adquirir credenciais temporárias.

      Padrão: OrganizationAccountAccessRole
      Nome da sessão de função [role_session_name] Nome da sessão que usa as credenciais de segurança temporárias que podem ajudar a distinguir o uso de uma função por entidade ou finalidade. Este nome de sessão está visível nos logs de trilha do AWS Cloud. Consulte a Trilha da API da nuvem e a documentação da AWS na Trilha da nuvem da AWS para obter detalhes.

      Padrão: master_account_id__<management account ID number> Um exemplo disso é: master_account_id__321003876149.
      TTL de credencial em segundos [credential_ttl_seconds] Tempo em segundos para as credenciais de segurança temporárias permanecerem ativas.
      Padrão: calculado da seguinte forma:
      1. Recupere o valor na mid.aws.sts.assume_role.credential_ttl_minutes propriedade do MID Server.
      2. Restrinja este valor para estar entre 15 e 720 minutos. Se a configuração na propriedade for inferior a 15 minutos, o sistema inserirá 15 minutos. Se a configuração for maior que 720 minutos, o sistema inserirá 720 minutos.
      3. Converta o valor resultante em segundos.
      ID externo [external_id] Identificador exclusivo exigido pela política de confiança da função que está sendo assumida.

      Padrão: ServiceNow_MID_Server
      Política de sessão [session_policy] Política de IAM no formato JSON que restringe ainda mais as permissões das credenciais de segurança temporárias além da política configurada pela função. (JSON na linguagem de política da AWS.)

      Padrão: em branco
      MFA [autenticação multifator] Número de série do dispositivo de autenticação multifator (MFA) (hardware ou virtual) usado para autenticar a conta de gestão.

      Padrão: em branco
      Código de token de MFA [mfa_token_code] Código de token fornecido pelo dispositivo MFA (hardware ou virtual) usado para autenticar a conta de gestão.

      Padrão: em branco
      Conta de serviço em nuvem [cloud_service_account] Obrigatório. Conta de serviço a ser associada aos parâmetros de acesso que você passa para a API AssumeRole da AWS. Insira um ID de conta, seja uma conta de gestão ou uma conta de membro, da tabela Contas de serviço [cmdb_ci_cloud_service_account].
      Nota:
      Para obter mais detalhes sobre como esses parâmetros são usados e o que eles significam, consulte a documentação da AWS na API do AWS Security Token Service para a ação AssumeRole.