Configuração do Cloud Configuration Governance para AWS

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 5 min. de leitura

    • Configure o acesso às contas de nuvem Amazon Web Services (AWS) em Cloud Configuration Governance para permitir a interação entre a aplicação e a nuvem. A aplicação requer acesso às contas de nuvem para verificar os recursos de nuvem em busca de configurações fora de conformidade e corrigi-las.

    Antes de Iniciar

    Função necessária: sn_itom_ccg.scheduling_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Para fins de configuração do acesso para AWS contas, os seguintes termos são usados:
    Contas de confiança
    As contas de confiança não têm credenciais AWS permanentes. Você configura o relacionamento de confiança das funções de IAM nessas contas para contar com outras contas para acesso.
    Contas confiáveis
    As contas confiáveis são usadas pelas contas confiáveis para acesso. A IU ServiceNow se refere às contas confiáveis como contas de acessador.
    Use qualquer um dos seguintes métodos para configurar o acesso às contas AWS :
    • Configure as credenciais permanentes no Now Platform para se conectar com as contas AWS autônomas (contas discretas). A tabela Conta de serviço em nuvem [cmdb_ci_cloud_service-account] contém informações sobre o tipo de conta de serviço, como gestão ou conta de membro e credenciais de acesso.
    • Configure as contas de membro para contar com a conta de gestão para acesso. Nesse caso, configure as credenciais permanentes da conta de gestão no Now Platform.
    • Configure as contas para contar com uma conta confiável para acesso (acesso lateral na mesma organização AWS ou em diferentes organizações AWS ). Nesse caso, configure as credenciais permanentes da conta confiável no Now Platform.
    Nota:
    Cloud Configuration Governance não usa uma configuração de função presumida baseada em MID Server para acessar as contas de confiança.

    Procedimento

    1. Crie credenciais para as contas de serviço AWS.
      1. Navegar até Conexões e Credenciais > Credenciais.
      2. Selecione Novoe Credenciais da AWS.
      3. No formulário, preencha os campos.
        Tabela 1. AWS Formulário de credenciais
        Campo Descrição
        Nome Nome exclusivo e descritivo das credenciais AWS.
        Ativo Opção para usar a credencial.
        ID da chave de acesso O ID da chave de acesso que você gerou no console de gestão AWS.
        Chave secreta de acesso A chave de acesso secreta que você gerou no console de gestão AWS.
      4. Selecione Salvar.
    2. Selecione o alias de credencial sn_itom_cal.Aws_Creds_Alias ou crie um alias de credencial.
      1. Desbloqueie o alias de credencial.
      2. Pesquise um alias de credencial.
      3. Selecione Novo.
      4. No formulário, preencha os campos.
        Tabela 2. Formulário Alias de conexão e credencial
        Campo Descrição
        Nome Nome exclusivo do alias.
        Tipo Tipo de alias de credencial.

        Selecione Credencial na lista suspensa Tipo.
      5. Selecione Enviar.
    3. Defina o campo Algoritmo de autenticação como AWS Authenticator.
    4. Selecione Enviar.
    5. Configure uma conta de serviço AWS.
      1. Navegar até Cloud Provisioning and Governance > Contas de serviço.
      2. Selecione Novo.
      3. No formulário, preencha os campos.
        Tabela 3. Formulário Conta de serviço em nuvem
        Campo Descrição
        Nome Nome exclusivo da conta de serviço.
        ID da conta Número da conta do usuário de 12 dígitos. Expanda a lista sob o nome da conta no Console de gestão AWS para exibir o número.
        Importante:
        No campo ID da conta, remova os caracteres de hífen (-) do número.
        Credenciais da Descoberta As credenciais necessárias para que as aplicações ServiceNow acessem a conta de nuvem. Você pode configurar as credenciais de descoberta posteriormente, ao configurar o acesso às contas AWS.
        • Se você estiver configurando uma conta de serviço independente ou uma conta de gestão, selecione sua credencial AWS.
        • Para usar outras contas AWS para acessar esta conta, deixe o campo em branco.

          Por exemplo, você não precisa especificar as credenciais AWS para contas que assumem funções de Identity and Access Management (IAM) ou contas de membro que usam sua conta de gestão para acesso.
        URL de datacenter URL do datacenter.

        Deixe este campo em branco.
        Tipo de datacenter Tipo de datacenter em que a conta está hospedada.

        Selecione AWS Datacenter.
        Status da descoberta de datacenter Valor gerado automaticamente: status e carimbo de data/hora da última execução do Discovery no datacenter.
        Conta primária Nome da conta de gestão que representa a organização AWS à qual esta conta de membro pertence.

        Este campo aparece quando você seleciona AWS Datacenter. Se a conta não pertencer a nenhuma organização AWS, deixe este campo em branco.
        É a conta principal Sinalizador de conta de gestão.

        Esta caixa de seleção aparece quando você seleciona AWS Centro de dados no menu suspenso Tipo de centro de dados. Marque a caixa de seleção para associar a conta de serviço AWS à conta de gestão. Marque esta caixa de seleção somente para contas que você configurou anteriormente como contas de gestão com algumas contas de membro pertencentes a elas. Para obter mais informações sobre a Organização AWS, consulte AWS documentação.
        Conta do acessador Nome da conta confiável.

        Configure este campo somente para contas que não usam credenciais permanentes da AWS e dependem de funções de IAM para acesso.
      4. Selecione Enviar.
    6. Realize qualquer uma das ações a seguir.
      OpçãoDescrição
      Criar uma configuração de função presumida para a conta de gestão

      Se você quiser usar uma conta de gestão para verificar as contas de membro da organização AWS, crie uma configuração de função presumida para a conta de gestão.

      1. Se você não quiser usar OrganizationAccountAccessRole para acessar a conta do membro, configure a conta de confiança para Cloud Configuration Governance.

        Para obter mais informações, consulte Configurar a conta de confiança para Cloud Configuration Governance e Biblioteca de ações na nuvem.

      2. Repita a etapa 6.a para todas as contas de membro que devem ser verificadas por meio da conta de gestão sem usar o OrganizationAccountAccessRole.

      3. Se você quiser usar OrganizationAccountAccessRole para acessar a conta do membro, crie uma configuração de função presumida para a conta de gestão.

        Para obter mais informações, consulte Criar uma configuração de função presumida.
      Configurar a conta de confiança para Cloud Configuration Governance

      Se você quiser usar uma conta confiável para verificar a conta confiável, configure a conta confiável para Cloud Configuration Governance.

      1. Configure a conta de confiança para Cloud Configuration Governance.

        Para obter mais informações, consulte Configurar a conta de confiança para Cloud Configuration Governance e Biblioteca de ações na nuvem.

      2. Repita a etapa 6.a para todas as contas de confiança que devem ser verificadas por meio da conta confiável.
    7. Instale e configure o MID Servers.
      Para obter mais informações, consulte Instalar e configurar MID Servers.
    8. Execute a descoberta de datacenter para identificar os datacenters associados às contas de serviço.
      Para obter mais informações, consulte Executar descoberta de datacenter.