Configurar uma função de membro da AWS personalizada

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Personalize as funções da AWS que um MID Server pode assumir para receber credenciais temporárias para contas de membros. Você pode configurar parâmetros adicionais para melhorar a segurança e personalizar a maneira como a função da conta do membro é assumida ao descobrir recursos de nuvem.

    Antes de Iniciar

    Função necessária: admin

    Por Que e Quando Desempenhar Esta Tarefa

    Os valores que você insere na tabela Conta de serviço em nuvem > Parâmetros de função presumida da organização da AWS [cloud_service_account_aws_org_assume_role_params] são passados como parâmetros para a API AssumeRole da AWS para a conta de serviço nomeada.

    Procedimento

    1. Navegar até Todos > Cloud Provisioning and Governance > Parâmetros de Acesso à Organização > Parâmetros de Função Presumidos da Organização AWS.
      Módulo de parâmetros de função presumida da organização da AWS
    2. Clique em Novo e preencha o formulário usando estes parâmetros:
      Campo Descrição
      Nome da função de acesso [access_role_name] Nome da função da AWS na conta do membro que é usada pela conta de gestão para adquirir credenciais temporárias.

      Padrão: OrganizationAccountAccessRole
      Nome da sessão de função [role_session_name] Nome da sessão que usa as credenciais de segurança temporárias que podem ajudar a distinguir o uso de uma função por uma entidade ou finalidade. Este nome de sessão está visível nos logs de Trilha na nuvem da AWS. Consulte Trilha de API de nuvem e a documentação da AWS na Trilha de nuvem da AWS para obter detalhes.

      Padrão: master_account_id__<management account ID number> Um exemplo disso é: master_account_id__321003876149.
      TTL de credencial em segundos [credential_ttl_seconds] Tempo em segundos para as credenciais de segurança temporárias permanecerem ativas.
      Padrão: calculado da seguinte forma:
      1. Recupere o valor na mid.aws.sts.assume_role.credential_ttl_minutes propriedade do MID Server.
      2. Restrinja este valor para estar entre 15 e 720 minutos. Se a configuração na propriedade for inferior a 15 minutos, o sistema inserirá 15 minutos. Se a configuração for maior que 720 minutos, o sistema inserirá 720 minutos.
      3. Converta o valor resultante em segundos.
      ID externo [external_id] Identificador exclusivo exigido pela política de confiança da função assumida.

      Padrão: ServiceNow_MID_Server
      Política de sessão [session_policy] Política de IAM no formato JSON que restringe ainda mais as permissões das credenciais de segurança temporárias além da política configurada para a função. (JSON na linguagem de políticas da AWS.)

      Padrão: em branco
      MFA [autenticação multifator] Número de série do dispositivo de autenticação multifator (MFA) (hardware ou virtual) usado para autenticar a conta de gestão.

      Padrão: em branco
      Código de token de MFA [mfa_token_code] Código de token fornecido pelo dispositivo de MFA (hardware ou virtual) usado para autenticar a conta de gestão.

      Padrão: em branco
      Conta de serviço em nuvem [cloud_service_account] Obrigatório. Conta de serviço a ser associada aos parâmetros de acesso que você passa para a API AssumeRole da AWS. Insira um ID de conta, seja uma conta de gestão ou uma conta de membro, na tabela Contas de serviço [cmdb_ci_cloud_service_account].
      Nota:
      Para obter mais detalhes sobre como esses parâmetros são usados e o que eles significam, consulte a documentação da AWS na API de serviço de token de segurança da AWS para a ação AssumeRole.