Configure o acesso usando credenciais temporárias com base em contas confiáveis AWS com credenciais AWS

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Configure a conta confiável cujos recursos precisam ser acessados para contar com a conta confiável usando a função de IAM (Identity and Access Management, gestão de identidade e acesso).

    Antes de Iniciar

    • Familiarize-se com a documentação da Amazon sobre Como criar uma função para delegar permissões a um usuário de IAM.
    • Decida qual conta do Amazon Web Services (AWS) será a conta confiável. Você usa a conta confiável para configurar as credenciais temporárias do Descoberta na nuvem usando as funções de IAM. A conta confiável que você usa para acessar outras contas usando funções de IAM é chamada de conta de acessador.
    • Configure a conta confiável conforme abordado em Configurar contas de serviço AWS.
    Função necessária:
    • Para Descoberta na nuvem: admin ou discovery_admin
    • Para Cloud Provisioning and Governance: admin ou sn_cmp.cloud_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Durante esta configuração, você cria uma função de IAM para a conta de confiança e configura a conta de serviço confiável para a conta de confiança em Now Platform. Por fim, você associa a função de IAM criada para a conta de confiança à própria conta de confiança.

    Figura 1. Configuração de qualquer conta AWS para contar com uma conta confiável com credenciais AWS

    Configure a função de IAM da conta de AWS confiável para confiar no usuário da conta de AWS confiável para acesso

    Procedimento

    1. Crie uma função de IAM para a conta confiável e configure o relacionamento de confiança entre o usuário que assume essa função e a conta confiável (que faz o acesso).
      1. Faça login na conta confiável no AWS Management Console.
      2. Crie e configure a função de IAM especificando o ID da conta confiável (que faz o acesso) no campo ID da conta.
        Para obter informações sobre como criar funções AWS, consulte o Amazon documentação.
      3. Na página Resumo da função de IAM, selecione a guia Relacionamentos de confiança.
      4. Selecione Editar relacionamento de confiança.
        A página Editar relacionamento de confiança é aberta mostrando o documento da política.
      5. Defina o parâmetro AWS como o ARN completo do usuário da conta confiável (que faz o acesso).

        Editar o relacionamento de confiança da conta confiável.
      6. Verifique se o valor Action está definido como sts:AssumeRole.
      7. Selecione Atualizar política de confiança.
    2. Configure a conta de serviço confiável para a conta confiável na Now Platform.
      1. Navegar até Cloud Provisioning and Governance > Contas de serviço.
      2. Abra a conta confiável.
      3. No formulário Conta de serviço em nuvem, insira o nome da conta confiável no campo Conta do responsável pelo acesso.
      4. Selecione Atualizar.
    3. Atribua a função de IAM criada para a conta de confiança à conta de confiança em Now Platform.
      Importante:
      Execute esta etapa somente se você tiver criado funções de IAM personalizadas. Não há necessidade de atribuir a função OrganizationAccountAccessRole padrão a uma conta de serviço.
      1. Navegar até Todos > Cloud Provisioning and Governance > Parâmetros de Acesso à Organização > Parâmetros de função presumida cruzada da AWS da conta de serviço em nuvem.
      2. Selecione Novo.
      3. No formulário Parâmetros cruzados de assunção de funções do AWS da conta do serviço em nuvem, configure somente os seguintes campos:
        Campo Definição
        Nome da função de acesso Nome da função de IAM criada para a conta de confiança.
        Conta de serviços em nuvem Nome da conta de confiança para a qual você está fornecendo acesso usando a função de IAM.
      4. Selecione Enviar.
        O sistema adiciona esse registro à tabela Parâmetros cruzados de assunção de funções do AWS da Conta de serviço em nuvem [cloud_service_account_aws_cross_assume_role].

    O que Fazer Depois

    Verifique se ServiceNow aplicações podem acessar a conta de serviço de confiança usando a função de IAM:
    1. Navegar até Cloud Provisioning and Governance > Contas de Serviço.
    2. Selecione a conta de confiança que você configurou.
    3. Em Links relacionados, clique em Descobrir Datacenters.
    4. Navegar até Discovery > Painel da Descoberta na nuveme, em seguida, clique na guia AWS.
    5. Verifique se o painel mostra os recursos descobertos para a conta que você associou às credenciais AWS recém-criadas.