Configuração do Conector do Service Graph para AWS usando a configuração assistida

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 16 min. de leitura

    • Configure o ambiente AWS e os trabalhos agendados para inserir dados de AWS em CMDB.

    Antes de Iniciar

    Importante:
    A menos que haja problemas, use a exibição Central do SGC, pois o método de configuração assistida será descontinuado. Se uma conexão for configurada usando a configuração assistida, a conexão poderá não aparecer na exibição Central do SGC.

    Para usar este Conector do Service Graph, você precisa de uma assinatura para uma Unidade de Assinatura baseada na aplicação Visibilidade IT Operations Management (ITOM) ou na aplicação Descoberta ITOM. Conforme definido na seção intitulada "Tipos de recurso de TI gerenciados" em Visão geral da unidade de assinatura da ServiceNow, para sua assinatura, para recursos de TI gerenciados criados ou modificados em CMDB por este Conector do Service Graph, mas que ainda não são gerenciados pela Visibilidade do ITOM ou pela Descoberta do ITOM, esses recursos aumentarão o consumo da Unidade de Assinatura dessa aplicação. Analise o consumo atual da unidade de assinatura na Visibilidade do ITOM ou no ITOM Discovery para garantir a capacidade disponível.

    Dependências e requisitos:
    • A aplicação da Store Componentes comuns de integração para CMDB, que é instalado automaticamente.
    • O app da Store dos Modelos de classe de IC do CMDB, que é instalado automaticamente. Consulte Modelos de classe de IC do CMDB.
    • Plug-in da Descoberta Core (com.snc.discovery.core), que é instalado automaticamente por Descoberta.
    • O plug-in Licença do ITOM Discovery (com.snc.itom.discovery.license). Você deve ativar este plug-in.
    • Plug-in de licenciamento do ITOM (com.snc.itom.license). Para obter mais informações, consulte Solicitar Descoberta.

    Certifique-se de ter concluído os pré-requisitos para configurar a AWS. Consulte Configurar ambiente da AWS.

    Nota:
    Ao atualizar de uma versão anterior, certifique-se de ter atualizado os documentos do SSM e as permissões do IAM na sua instância da AWS.
    • Para atualizar documentos do SSM, execute os scripts SG-AWS-RunShellScript-Setup.yml, SG-AWS-RunPowerShellScript-Setup.yml e SG-AWS-RunKubeCtlShellScript.yml.
    • Para atualizar as permissões do IAM atribuídas à função SnowOrganizationAccountAccessRole, execute o script CreateSnowOrganizationAccountAccessRoleInMemberAccount.yml.

    Função exigida: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Para mais informações sobre as instruções de configuração do Conector do Service Graph para AWS, consulte os artigos a seguir:

    Se você fizer upgrade do conector, conclua as seguintes tarefas antes do processo de upgrade:
    • Se houver personalizações, exclua os registros associados ao Conector do Service Graph para AWS na tabela Atualizações do cliente [sys_update_xml]. Consulte Customer Updates table.
    • Faça o upgrade de todas as dependências.
    Após instalar a versão mais recente do Conector do Service Graph para AWS:
    • Execute uma importação completa de dados da sua instância do AWS. Verifique se o valor do campo Usar data e hora da última execução está limpo para todas as fontes de dados da AWS na tabela "Fonte de dados" [sys_data_source].
    • Faça o download e execute novamente os scripts do AWS. Consulte Configurar ambiente da AWS.

    Procedimento

    1. Verifique se o escopo da aplicação foi selecionado como o Conector do Service Graph para AWS usando o seletor de aplicações.
      Para obter mais informações, consulte Seletor de aplicações.
    2. Navegar até Tudo > Conectores do Service Graph > AWS > Configuração.
    3. Configurar ambiente da AWS.
      Nota:
      Para a tarefa Baixar scripts, selecione Configurar para baixar os scripts.
      Depois de baixar os scripts e configurar o ambiente da AWS, defina como concluídas a tarefa Baixar scripts e a tarefa Instruções de configuração da AWS.
    4. Configure as credenciais de autenticação a fim de autenticar solicitações enviadas para as APIs AWS.
      1. Configure suas credenciais do AWS.
        1. Na página Conector do Service Graph para AWS, na seção Configurar a conexão, selecione a tarefa Iniciar.
        2. Para a tarefa Configurar as credenciais, selecione Configurar.
        3. No campo Nome, insira um nome para a autenticação.

          SG-AWS-Credentials-Org é o nome do alias de credencial padrão. Você pode adicionar várias instâncias AWS. No entanto, não modifique o alias de conexão padrão.

        4. Insira o ID da chave de acesso e a chave de acesso secreta nos campos ID da chave de acesso e Chave de acesso secreta, respectivamente.

          As chaves de acesso AWS são credenciais de longo prazo para o usuário de IAM e incluem duas partes: um ID de chave de acesso e uma chave de acesso secreta. Você deve usar o ID da chave de acesso e a chave de acesso secreta juntos para autenticar as solicitações.

        5. Retorne à página Configurar a tarefa de conexão selecionando o ícone Voltar (<).
        6. Defina a tarefa Configurar as credenciais como concluída, clicando em Marcar como concluída.
      2. Teste a conexão da API AWS para importar dados da aplicação AWS.
        1. Na seção Configurar conexão, na tarefa Testar conexão, selecione configurar.
        2. Selecione o link relacionado Testar Conexão.
        3. Quando o campo Status estiver definido como Êxito, selecione o ícone retornar (<) para voltar à página de configuração assistida.
        4. Defina a tarefa Testar conexão como concluída clicando em Marcar como Concluída.
      3. Atualize as propriedades de configuração necessárias para uma instância do AWS.
        1. Para a tarefa Atualizar propriedades de configuração da instância, selecione Configurar.
        2. No formulário de Propriedades de configuração SG-AWS que abrir em uma nova guia, revise e modifique os campos.
          Tabela 1. Formulário de Propriedades de configuração SG-AWS
          Campo Descrição
          Detalhes da Conexão
          Alias de conexão Nome para identificar o registro de conexão AWS. Por exemplo, SG_AWS_CredentialAlias_Org.

          Você pode adicionar várias instâncias AWS. No entanto, não modifique o nome do alias de conexão padrão SG_AWS_CredentialAlias_Org.
          Detalhes da organização
          Conta da organização Identificador de conta numérica da organização AWS.
          Nome da Organização Nome da organização AWS.
          Descrição da organização Descrição da organização AWS.
          Regiões da AWS
          Regiões regiões AWS para coletar os dados de IC.

          Por padrão, o Conector do Service Graph para AWS é executado em todas as regiões AWS para coletar os dados de IC.

          Você pode inserir AWS regiões específicas para acelerar o processo de importação de dados de IC. Por exemplo, us-east1, us-east-2.

          Se este campo estiver vazio, o Conector do Service Graph para AWS extrai os recursos de todas as regiões AWS.

          No entanto, para as regiões AWS GovCloud, não deixe o campo Regiões em branco. As regiões AWS GovCloud compatíveis são us-gov-east-1 e us-gov-west-1.

          Se você atualizar o valor do campo Regiões posteriormente, limpe o valor do campo Data/hora da última execução em todas as fontes de dados relacionadas ao Conector do Service Graph do AWS para importar um novo conjunto de dados.
          Nome de função "Assumir STS"
          Função STS Nome da função do AWS Identity and Access Management (IAM) que é obtido pelo usuário ServiceNow ao chamar a API AssumeRole oferecida pelo AWS Security Token Service (STS). A API AssumeRole devolve um conjunto de credenciais de segurança temporárias para que o usuário ServiceNow acesse os recursos AWS.
          Nota:
          Insira o nome da função de IAM, mas não use o prefixo arn no nome. Se você deixar este campo em branco, o valor deste campo será definido automaticamente como SnowOrganizationAccountAccessRole, que é o nome da função de IAM padrão para o usuário ServiceNow.
          Detalhes da conta do S3
          ID da conta do S3 Identificador numérico da conta AWS que hospeda o bucket Amazon Simple Storage Service (Amazon S3).
          Nome do bucket do S3 Nome do Amazon bucket do S3 que coleta os detalhes de Amazon instâncias do EC2.
          Região do S3 Região onde reside o bucket Amazon S3.
          Detalhes do documento SendCommand do SSM
          Nome do Linux do comando de envio do SSM Nome do documento que define as ações executadas pelo AWS Systems Manager (SSM) em uma instância do Amazon EC2 baseada em Linux.
          Nome do Windows do comando de envio do SSM Nome do documento que define as ações executadas pelo AWS SSM em uma instância do Amazon EC2 baseada em Windows.
          ID da conta de gestão
          ID da conta de gestão Conta de gestão na organização AWS. A conta chama a API ListAccounts associada à organização AWS para coletar informações de IC de todas as contas. Para obter mais informações, consulte ListAccounts no site de documentação AWS.

          Insira um valor para este campo quando o usuário ServiceNow foi criado em uma conta de membro AWS.
          Detalhes de ID de conta autônoma
          ID da conta autônoma ID de uma conta de membro na organização AWS.
          Nota:
          Ao especificar uma conta autônoma, os dados relacionados à organização AWS, como nome da organização, unidades organizacionais, ID da organização e contas de serviço, não são importados. Se você deseja importar os dados completos mais tarde, limpe qualquer valor mencionado no campo ID da conta autônoma. Consulte o artigo Conector do Service Graph para AWS — Configuração autônoma [KB1642159] da Base de conhecimento do Now Support.
          Detalhes do agregador do AWS Config
          Conta do agregador de configuração conta AWS em que o tipo de recurso de agregador no serviço de configuração AWS foi configurado.

          Insira um valor neste campo quando você estiver usando um agregador de configuração AWS.
          Nome do agregador de config. Nome do tipo de recurso do agregador. Este campo está disponível somente quando você insere um valor no campo Conta do agregador de configuração.
          Região do agregador de config. Região onde reside o tipo de recurso do agregador. Este campo está disponível somente quando você insere um valor no campo Conta do agregador de configuração.
          Configuração de rotação de chave da AWS
          Chaves de rotação da AWS Opção para habilitar o processo de rotação de chaves.
          Data da rotação de chave da AWS Data da rotação de chave. Esse campo é definido automaticamente para a próxima data de rotação. Este campo está disponível somente quando você marca a caixa de seleção AWS Rotate Keys.
          Período de rotação de chave da AWS (em dias) Período de rotação de chave em dias. Este campo está disponível somente quando você marca a caixa de seleção AWS Rotate Keys.
          Status da rotação de chave da AWS Mensagem de status de uma rotação de chave exibindo se a rotação foi um sucesso ou uma falha. Este campo é definido automaticamente para exibir a mensagem de status de rotação de chaves. Este campo está disponível somente quando você marca a caixa de seleção AWS Rotate Keys. Se o status de rotação for falha, uma notificação por e-mail será acionada, se configurada.
          Contas de e-mail para receber notificações de erro Lista separada por vírgulas de endereços de e-mail dos destinatários que recebem notificações sobre os erros de rotação de chave do AWS.
          Grupos de contas de e-mail para receber notificações de erro Lista separada por vírgulas dos grupos ServiceNow que recebem notificações sobre os erros de rotação de chave do AWS.
          Configuração do Gov Cloud
          É Gov Cloud Opção para indicar que a configuração da conexão é para o AWS GovCloud.
          Detalhes do documento SSM EKS SendCommand
          Documento de nomes de clusters do EKS Nome do documento do SSM do AWS para descobrir clusters do EKS associados aos bastion hosts do EC2.
          Documento de script shell do EKS Nome do documento do SSM da AWS para buscar ICs relacionados a componentes do Kubernetes, como pods, serviços e implantações, a partir de clusters do EKS.
        3. Selecione Salvar e depois Fechar para fechar a guia e voltar à guia de configuração assistida.
        4. Defina a tarefa Atualizar propriedades de configuração para a instância como concluída selecionando Marcar como concluída.
    5. Configure os recursos do EC2 necessários para o Amazon Elastic Kubernetes Service (EKS) importar dados de clusters do EKS.
      Um recurso do EKS EC2 é um host bastião que tem acesso de rede aos clusters do EKS. Os clusters do EKS não podem ser acessados diretamente pelo conector. Portanto, você deve fornecer os detalhes do recurso EKS EC2. Para importar dados de cluster do EKS, o conector usa o comando de envio do SSM nos recursos do EKS EC2 para executar comandos kubectl remotamente.
      Nota:
      Verifique se você configurou seu ambiente AWS para a integração do EKS. Para obter mais informações, consulte o artigo Conector do Service Graph para AWS – integração com Amazon EKS [KB1437138] na Base de conhecimento Now Support.
      1. Na página Conector do Service Graph para AWS, na seção Configurar os Detalhes de Recurso EKS, selecione a tarefa Iniciar.
      2. Para a tarefa Inserir os detalhes do recurso do EKS EC2, selecione Configurar.
      3. No formulário que é aberto em uma nova guia, preencha os campos.
        Tabela 2. SG-AWS-EKS-EC2-Resource form
        Campo Descrição
        ID do recurso do EKS EC2 Identificador do recurso EKS EC2.
        Conta EC2 Nome de usuário atribuído à conta de recurso do EKS EC2.
        Região do EC2 Região da AWS em que o recurso EKS EC2 está localizado.
        Ativo Opção para ativar o recurso EKS EC2.
        Nota:
        Defina como falso se você não estiver usando o recurso de recurso EKS EC2.
        Conexão Alias de conexão associado à configuração do ambiente AWS e configurado na etapa 4.a.
      4. Selecione Enviar para retornar à configuração assistida.
      5. Repita as etapas de 5.b a 5.d para adicionar vários recursos do EKS EC2.
        Todos os recursos do EKS EC2 são adicionados à tabela SG-AWS-EKS-Master [sn_aws_integ_sg_aws_eks_master].
      6. Defina a tarefa Inserir os detalhes de recurso EKS EC2 como concluída selecionando Marcar como concluída.
    6. Execute a ferramenta de diagnóstico AWS antes de iniciar um trabalho de importação programado para identificar problemas na configuração do ambiente AWS.
      1. Na página Conector do Service Graph para AWS, na seção Ferramenta de Diagnóstico do Service Graph AWS, selecione Iniciar.
      2. Para a tarefa da ferramenta de diagnóstico de configuração da AWS, selecione Configurar.
      3. Selecione o ID da organização no campo de texto.
      4. Selecione Executar teste de diagnóstico.
        Dica:
        Selecione uma das seguintes opções para excluir os resultados de teste correspondentes do resumo de diagnóstico:
        Ignorar testes de configuração do SSM
        Exclui os dados de inventário de software dos resultados de resumo ao não chamar a API GetInventory. Selecione esta opção quando tiver recusado ou não definido a configuração do SSM.
        Ignorar testes do SSM Deep Discovery
        Exclui os dados de descoberta profunda dos resultados de resumo. Selecione esta opção quando tiver recusado ou não definido a configuração do SSM Deep Discovery.
        Ignorar testes de configuração do EKS
        Exclui os dados do EKS dos resultados de resumo ao não executar os comandos kubectl. Selecione esta opção quando tiver recusado ou não definido a integração EKS.
      5. Opcional: Exiba somente resultados de teste de cluster do EKS selecionando Exibir detalhes de teste do EKS.
      6. Opcional: Visualize os resultados anteriores da ferramenta de diagnóstico selecionando Carregar resultados de DT, selecionando um ID de diagnóstico e, em seguida, Carregar resultados.
      7. Ao terminar de revisar os resultados do resumo do diagnóstico, selecione o botão Voltar do navegador para retornar à configuração assistida.
      8. Defina a tarefa de Ferramenta diagnóstica de configuração AWS como concluída selecionando Marcar como concluída.
    7. Configure os trabalhos agendados para importar dados da aplicação AWS.
      1. Na página Conector do Service Graph para AWS, na seção Configurar os trabalhos de importação programada, selecione Iniciar.
      2. Para a tarefa Configurar o trabalho agendado, selecione Configurar.
      3. Selecione o trabalho agendado que você deseja ativar.
      4. No formulário Importação de dados agendada, verifique os valores de campos do trabalho agendado.
        Para obter mais informações, consulte Schedule a data import.
      5. Selecione Atualizar.
      6. Repita as etapas de 7.c a 7.e para cada trabalho agendado de importação de dados.
      7. Selecione o ícone Voltar (<) para retornar à página de configuração assistida.
      8. Defina a tarefa Configurar o trabalho agendado como concluída selecionando Marcar como concluída na configuração assistida.
    8. Opcional: Adicione várias instâncias AWS.
      1. Na página Conector do Service Graph para AWS, na seção Adicionar várias instâncias, selecione Iniciar.
      2. Verifique se você tem permissões de edição para a tabela Fonte de dados [sys_data_source] para criar fontes de dados para a nova instância.
        1. Selecione o escopo da aplicação Global usando o seletor de aplicações.
        2. Na tarefa Atualizar acesso à fonte de dados, selecione Configurar.
        3. Na lista relacionada Acesso à aplicação, marque as caixas de seleção Pode criar, Pode atualizar e Pode excluir, caso elas ainda não estejam selecionadas.
        4. Selecione Atualizar para fechar a guia e retornar à configuração assistida.
        5. Modifique o escopo da aplicação para Conector do Service Graph para AWS outra vez usando o seletor de aplicações.
        6. Defina a tarefa Atualizar acesso à fonte de dados como concluída clicando em Marcar como concluída.
      3. Atualize o acesso dos trabalhos de importação programados.
        1. Selecione o escopo da aplicação Global usando o seletor de aplicações.
        2. Na tarefa Atualizar acesso à Importação de dados programada, selecione Configurar.
        3. Na lista relacionada Acesso à aplicação, marque as caixas de seleção Pode criar, Pode atualizar e Pode excluir, caso elas ainda não estejam selecionadas.
        4. Selecione Atualizar para fechar a guia e voltar à guia de configuração assistida.
        5. Defina a tarefa Atualizar acesso de importação de dados programados como concluída selecionando Marcar como concluída.
        6. Modifique o escopo da aplicação para Conector do Service Graph para AWS outra vez usando o seletor de aplicações.
      4. Limpe o cache das tabelas Fonte de Dados [sys_data_source] e Importações Programadas de Dados [scheduled_import_set] para permitir a criação de uma fonte de dados para a nova conexão no Conector do Service Graph para AWS.
        1. Selecione o escopo da aplicação Global usando o seletor de aplicações.
        2. Para a tarefa Limpar cache das tabelas Fontes de dados e Importações de dados programadas, selecione Configurar.
        3. Insira o script a seguir no painel Executar script (JavaScript executado no servidor).
          GlideTableManager.invalidateTable("sys_data_source");
      GlideCacheManager.flushTable("sys_data_source");

      GlideTableManager.invalidateTable("scheduled_import_set");
      GlideCacheManager.flushTable("scheduled_import_set");

      GlideTableManager.invalidateTable("sys_db_object");
      GlideCacheManager.flushTable("sys_db_object");
        4. Selecione Executar script.
        5. Defina a tarefa Limpar cache das tabelas de fontes de dados e importações de dados programadas como completa selecionando Marcar como completa.
        6. Modifique o escopo da aplicação para Conector do Service Graph para AWS outra vez usando o seletor de aplicações.
      5. Crie um alias de credencial para a nova conexão AWS no Conector do Service Graph para AWS
        1. Para a tarefa Criar novo registro de conexão e alias de credenciais, selecione Configurar.
        2. No formulário Aliases de conexão e credencial que é aberto em uma nova guia, preencha os detalhes da conexão.
        3. Selecione Enviar e feche a guia para retornar à guia de configuração assistida.
        4. Defina a tarefa Criar novo registro de conexão e alias de credenciais como concluída clicando em Marcar como concluída.
      6. Crie credenciais para o novo alias de credencial AWS.
        1. Para a tarefa Criar novo registro de conexão e alias de credenciais, selecione Configurar.
        2. Na página "Conexões" do Workflow Studio, selecione Adicionar conexão.
        3. Na janela "Criar conexão", preencha o nome da conexão, a chave de acesso e os detalhes da chave secreta.
        4. Selecione Criar conexão.
        5. Feche o Workflow Studio e volte à guia da configuração assistida.
        6. Defina a tarefa Criar novo registro de conexão e alias de credenciais como concluída clicando em Marcar como concluída.
      7. Atualize propriedades da aplicação para a nova instância do Conector do Service Graph para AWS selecionando Configurar para a tarefa Configurar ambiente da AWS para a nova instância.
        Para mais informações, siga a etapa 4.c discutida anteriormente para configurar as propriedades da conexão do AWS disponível por padrão.

        Quando terminar de atualizar as propriedades, defina o ambiente Configurar AWS para a nova tarefa de instância como concluído selecionando Marcar como concluído.

      8. Insira os detalhes do Recurso de EC2 do EKS selecionando Configurar para a tarefa Atualizar detalhes do recurso do EKS.
        Para mais informações, siga a etapa 5 discutida anteriormente para configurar os detalhes do Recurso de EC2 do EKS para a conexão do AWS disponível por padrão.

        Quando terminar de atualizar as propriedades, defina a tarefa Atualizar detalhes do recurso do EKS como concluída selecionando Marcar como concluída.

      9. Configure as importações programadas para a nova instância do AWS.
        1. Para a tarefaConfigurar importações programadas, selecione Configurar.
        2. Na lista Importações de dados programadas que é aberta em uma nova guia, selecione a organização da instância do AWS que você quer configurar.
        3. Selecione a importação de dados programada que você deseja ativar.
        4. No formulário Importação de dados programada, verifique os valores de campos do trabalho agendado.
        5. Selecione Atualizar.
        6. Repita as etapas de 8.i.iii a 8.i.v para cada trabalho agendado de importação de dados.
        7. Feche a guia da lista de importações de dados programados e retorne à guia de configuração assistida.
        8. Defina a tarefa Configurar as importações programadas como concluída, clicando em Marcar como concluída na configuração assistida.