AWS 管理アカウントディスカバリー、クロスアカウントディスカバリー、およびインスタンスプロファイル - Support and Troubleshooting

AWS 管理アカウントディスカバリー、クロスアカウントディスカバリー、およびインスタンスプロファイル Summary ServiceNow ディスカバリーインフラストラクチャは、AWS STS 想定ロール機能と IAM ロール/IAM インスタンスプロファイル機能を究極化して、AWS ディスカバリー管理タスクを簡素化します。

ServiceNow インスタンスで AWS ディスカバリーを設定する際は、以下のいずれかのオプションの使用を検討してください。

オプション 1 > AWS Organization で 1 つの管理アカウントを使用してすべての子アカウントを入力し、認証情報を 1 つずつ設定することなく子アカウントに対して検出を実行します。

(管理アカウントのディスカバリー認証情報のみを設定する必要があります)

オプション 2 > 1 つの AWS アカウントを使用して、複数の「信頼できる」AWS アカウント (組織間アカウント、メンバー間、メンバーから管理など) を検出します。

認証情報を 1 つずつ設定する必要はありません。

(1 つの AWS アカウントに対してディスカバリー認証情報を構成する必要があるだけです)

オプション 3 > AWS でホストされている MID サーバーで IAM ロール/IAM インスタンスプロファイル機能を使用します。ディスカバリー認証情報を構成する必要はありません。

オプション 1 またはオプション 2 で使用できます

Instructions AWS 側:

管理上、ターゲットアカウントでは、以下を使用してロールが作成されます。

a) ReadOnlyAccess - これは、ソースが想定ロールの後にターゲットアカウントで読み取り専用アクセス権を持つことを意味します

b) ソースアカウントとの信頼関係

ドキュメント参照:

オプション 1 - 管理アカウントのディスカバリーの場合:

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html

オプション 2 - クロスアカウントディスカバリーの場合:

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html

オプション 3 - IAM ロール/インスタンスプロファイルの場合:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html

ServiceNow 側 - Paris リリースに基づく:

ドキュメント参照:

https://docs.servicenow.com/bundle/paris-it-operations-management/page/product/discovery/concept/temp-credentials-generated-by-aws.html

キーノート:

オプション 1> 管理アカウントのディスカバリーを使用している場合は、次の手順を実行します。

-管理サービスアカウントで、認証情報を作成し、[管理アカウントである] にチェックを入れます

-子アカウントのロールがデフォルト名OrganizationAccountAccessRoleを使用している場合は、「AWS組織想定ロールパラメーター」を作成する必要はありません

-子アカウントのロールがカスタム名を使用している場合は、「 AWS 組織想定ロールパラメーター 」を作成します

--のみ アクセスロール名とクラウドサービスアカウントフィールドは必須で、その他のフィールドはオプションです

--クラウドサービスアカウントフィールドは管理アカウントである必要があります

--注意:PRB1431208は Paris リリースに影響します (Paris パッチ 5 で修正済み)。回避策はロール名に ARN を含めることです

-上記がセットアップされたら、管理サービスアカウントで [サブアカウントのリフレッシュ] をクリックして子アカウントをロードすると、すべての子アカウントを取得するためのディスカバリーステータスと起動パターンが作成されます

オプション 2> クロスアカウントディスカバリーを使用している場合 (子から管理など)、次のようになります。

-ソースサービスアカウントで、認証情報を作成します。子アカウントであっても親を選択する必要はありません。すべての設定が完了したら、管理アカウントの [サブアカウントのリフレッシュ] をクリックすると、これが入力されます

-ターゲットサービスアカウント(管理アカウント)で、認証情報を空のままにし、[管理アカウントである]にチェックを入れます。(ターゲットアカウントが管理アカウントでない場合は、チェックを入れる必要はありません)

-ターゲットサービスアカウントの「 アクセサーアカウント 」フィールドでソースサービスアカウントを選択します-非常に重要で、パリの新機能です

-「 AWS クロス想定ロールパラメーター」を作成します - Paris の新機能

--のみ アクセスロール名とクラウドサービスアカウントフィールドは必須、その他のフィールドはオプションです

--クラウドサービスアカウントフィールドは、ターゲットアカウント/管理アカウントにする必要があります (注:これは、フィールドにソースアカウントが必要な AWS 組織想定ロールとは異なります)

-上記をセットアップしたら、ターゲットサービスアカウントで「データセンターを検出」を実行して、機能していることを確認します

・対象のサービスアカウントが管理アカウントの場合、「サブアカウントのリフレッシュ」も機能するはずです

-デモについては、この KB に添付されているドキュメントを参照してください

オプション 3>上記のオプション 1> および 2> と同様に、インスタンスプロファイル/IAM ロールを管理/クロスアカウント検出で使用できます。

:すべてのサービスアカウントの認証情報フィールドを空のままにします

-configure パラメーター mid.aws.instance_profile_name で IAM ロール名を使用する

Related Links トラブルシューティングを行うには、値が debug の mid.log.level MID サーバーパラメーターを追加し、エージェントログを確認します。