FAQ:AWS 管理アカウントと IAM ロール - Support and Troubleshooting

FAQ:AWS 管理アカウントと IAM ロール Summary .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } 他のアカウントにロールを担い、認証情報をプルダウンして、そのすべてのリソースを検出します。

回答:ロンドン、マドリッド、ニューヨーク、オーランドは、管理者からメンバーへのAssumeRoleのみをサポートします。Paris で AssumeRole のクロスアカウント (メンバー間など) アクセスを追加する予定です。

アドミニストレーターレベルのアクセス権を持つ管理アカウントの認証情報を使用せずに、メンバーアカウントをプルします。

管理アカウントに提供される認証情報は、次の権限の*最低*を持つ IAM ユーザーである必要があります。

組織:DescribeOrganization https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeOrganization.html Organizations:ListAccounts https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html

パターンから必要な権限を *すべて* 取得するには

「AWS Organizations」パターンのパターンデバッガをステップ実行します これらのAWSエンドポイントへのREST APIコールが表示されます。 次に、API 呼び出しの名前を Google で検索します。 ServiceNow インスタンスで認証情報を持つ IAM ユーザーにアサインされた権限を設定して、これらの権限を持つように顧客に指示します。 必要に応じて、顧客にこれを証明するために、 MID サーバーホスト (MID サーバーが実行されているマシン) で AWS CLI をセットアップしてもらいます MID サーバーホストで AWS CLI を介して同じコマンドを実行します 403 または権限エラーがなく、すべてのメンバーが返されることを確認してください この構成が完了すると、完全な AdministratorAccess 管理対象ポリシーがなくても、[メンバーアカウントのリフレッシュ] UI アクションを機能させることができます。

管理アカウントとメンバーアカウントのリソースはどうですか?このために追加の構成が必要ですか?

テーブルの永続的な認証情報または一時的な認証情報のいずれかdiscovery_credentials適切な認証情報が構成されている場合は、次のいずれかになります

IAM インスタンスプロファイル経由 (管理 (組織) または Discrete (非組織) の場合は NY でサポート) AssumeRole 経由 (NY では Management=>Member のみサポート)

認証情報 (一時的または永続的) の基になる IAM ロールまたは IAM ユーザーに、これらのリソースを表示する権限がある限り、これらのリソースが検出されます。

以下は、EC2 インスタンスプロファイルを使用してリソースを検出するシナリオです。

たとえば、お客様

AWS に個別アカウントと AWS 組織の両方があります (これが有効かどうかはわかりませんが、これが有効であると仮定しましょう)。 IAM ロールで構成された EC2 インスタンスプロファイルがあり、MID サーバープロパティ「mid.aws.instance_profile_name」が追加されています。 管理アカウントが追加されましたが、インスタンスに認証情報がありません。 このシナリオでは。

個別のアカウント/管理アカウントとそのリソースを検出するには、「IAM ロールで構成された EC2 インスタンスプロファイル」で十分でしょうか。

回答:それはどちらかですか、またはここです。IAM インスタンスプロファイルであるロールは、1 つのアカウントに関連付けられていることになっています (管理アカウントですか、それとも個別アカウントですか?)。管理アカウントに関連付けられている場合は、IAMプロファイルだけで、管理の組織内のすべてのリソース(管理アカウント+すべてのメンバーアカウント)を検出できます。

利用可能な管理アカウント情報(認証情報なし)があるため、「IAMロールで構成されたEC2インスタンスプロファイル」は、メンバーアカウントとそのリソースを検出するのに十分です。

はい。cmdb_ci_cloud_service_accountにメンバーアカウントの適切な構成がある限り (parent_account参照列が管理アカウント行を指し、is_management_account=false/オフ) をポイントします。ここでも、管理、メンバー、個別のいずれであるかに関係なく、アカウントごとに個別のクラウドディスカバリースケジュールが必要になります。 インスタンスに管理アカウントを追加するだけの場合は、メンバーのディスカバリースケジュールを作成する前に、管理アカウントレコードで [メンバーアカウントのリフレッシュ] UI アクションを実行してメンバーアカウントを入力する必要があります。

ディスカバリーは、IAM ロールで構成された EC2 インスタンスプロファイルを使用してメンバーアカウントにロールを引き受けることができますか、それとも管理アカウントに認証情報を追加する必要がありますか?

はい、可能です。管理アカウントのロールで IAM インスタンスプロファイルを使用している場合、管理に認証情報は必要ありません。

想定ロールの構成例はありますか?

回答:各顧客の環境は異なります。すべてのアカウントには、さまざまなカスタムロール、ポリシーなどがあります。ここでは、汎用構成を提供するのは困難な作業です。より具体的な構成については、クラウドエンジニアリングチームに確認することをお勧めします。 Related Links .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } 参照:

一時的なクラウドディスカバリー認証情報のための AWS ロールの想定 AWS API によるメンバーロールの想定