ベースラインアクセス許可 - AWS Service Catalog

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ベースラインアクセス許可

このセクションでは、AWS Service Management Connector for ServiceNow に必要なベースライン AWS ユーザーとアクセス許可を設定する方法について説明します。

ベースラインのアクセス許可に使用できるテンプレート

を使用するにはAWS CloudFormationをセットアップするためのテンプレートAWSConnector for ServiceNow の設定については、「」を参照してください。AWSコネクタの構成 ServiceNow 4.0.1AWS コマーシャルリージョンそしてAWS GovCloud 地域。

注記

コネクタを以下に使用する場合 ServiceNow 4.0.1 _AWS 設定テンプレート、スキップしてAWS Service Catalog の設定

For EarAWSアカウント、のコネクタ ServiceNow には 2 つの IAM ユーザーが必要です。

  • AWS同期ユーザー: 同期する IAM ユーザーAWSリソース (ポートフォリオ、製品、オートメーションドキュメント (ランブック)、変更テンプレートとリクエスト、設定項目、セキュリティ検出結果など)、AWS サポートケースを ServiceNow と同期します。

  • AWSエンドユーザー: エンドユーザーとして製品をプロビジョニングし、リクエストを実行し、以下のリソースを表示できる IAM ユーザー。 ServiceNow 公開する。このロールには、プロビジョニングおよび実行に必要なロールが含まれます。

AWS Service Management Connector 同期ユーザーの作成

このセクションでは、AWSユーザーを同期し、適切な IAM アクセス許可を関連付けます。このタスクを実行するには、新しいユーザーを作成するために IAM アクセス許可が必要です。

AWS Service Management Connector の同期ユーザーを作成するには

  1. AWS アカウントでの IAM ユーザーの作成」の手順に従って同期ユーザー (SCSyncUser) を作成します。Connector for Connector for をフォローするには、ユーザーにプログラムおよび AWS マネジメントコンソールへのアクセス権が必要です。 ServiceNow のインストール手順。

  2. 同期ユーザー (SMSyncUser) にアクセス許可を設定します。[既存のポリシーを直接アタッチ] を選択し、以下を選択します。

    • AWSServiceCatalogAdminReadOnlyAccess (AWS 管理ポリシー)

    • AmazonSSMReadOnlyAccess (AWS 管理ポリシー)

    • AWSConfigUserAccess (AWS 管理ポリシー)

  3. このポリシーを作成します。ConfigBidirectionalSecurityHubSQSBaseline。 次に、「」の手順に従ってください。IAM ポリシーの作成をクリックし、次のコードを JSON エディタに追加します。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "cloudformation:RegisterType", "cloudformation:DescribeTypeRegistration", "cloudformation:DeregisterType", "sqs:ReceiveMessage", "sqs:DeleteMessage", "config:PutResourceConfig", "securityhub:BatchUpdateFindings" ], "Resource": "*" } ] }

    提供される AWS 設定テンプレートは、ConfigBiDirectionalPolicy および SecurityHubPolicy の 2 つのポリシーで構成されます。

  4. このポリシーを作成します。AWSSupportBaselineAccessPolicy。 次に、「」の手順に従ってください。IAM ポリシーの作成をクリックし、次のコードを JSON エディタに追加します。

    { "Version":"2012-10-17", "Statement":[ { "Sid":"VisualEditor0", "Effect":"Allow", "Action":[ "support:DescribeAttachment", "support:DescribeCommunications", "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:ResolveCase", "support:DescribeCases", "support:DescribeServices" ], "Resource":"*" } ] }
  5. このポリシーを作成します。OpsCenterExecutionPolicy.次に、「」の手順に従ってください。IAM ポリシーの作成次のコードを JSON エディタに追加します。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:CreateOpsItem", "ssm:GetOpsItem", "ssm:UpdateOpsItem", "ssm:DescribeOpsItems" ], "Resource": "*" } ] }
  6. すべてのリソース (*) で budgets:ViewBudget を許可するポリシーを追加します。

  7. [ユーザーの作成] を確認し、選択します。

  8. アクセスとシークレットアクセス情報をメモしておきます。ユーザー認証情報が記載されている .csv ファイルをダウンロードします。

AWS Service Management Connector エンドユーザーの作成

このセクションでは、AWS Service Management Connector のエンドユーザーを作成し、適切な IAM アクセス許可を関連付ける方法について説明します。このタスクを実行するには、新しいユーザーを作成するために IAM アクセス許可が必要です。

AWS Service Management Connector のエンドユーザーを作成するには

  1. AWS アカウントでの IAM ユーザーの作成」の手順に従ってユーザー (SMEndUser) を作成します。Connector for Connector for をフォローするには、ユーザーにプログラムおよび AWS マネジメントコンソールへのアクセス権が必要です。 ServiceNow のインストール手順。

    AWS CloudFormation StackSets を使用する製品の場合は、StackSet インラインポリシーを作成する必要があります。AWS CloudFormation StackSets を使用すると、複数のアカウントおよびリージョンにまたがる製品を作成できます。

    管理者アカウントを使用して、AWS Service Catalog 製品を定義および管理します。また、指定した複数のリージョン全体で選択したターゲットアカウントにスタックをプロビジョニングする場合にも使用します。必要なアクセス許可が AWS アカウントで定義されている必要があります。

    必要なアクセス許可を設定するには、「スタックセットオペレーションのアクセス権限の付与」を参照してください。手順に従って、AWSCloudFormationStackSetAdministrationRole および AWSCloudFormationStackSetExecutionRole​ を作成します。

  2. 次のアクセス許可 (ポリシー) をユーザーに追加します。

    • AWSServiceCatalogEndUserFullAccess (AWS 管理ポリシー)

    • StackSet (インラインポリシー) - スタックセットを持つ AWS Service Catalog 製品の場合、SMEndUser を変更して、プロビジョニングするサービスの読み取り専用アクセス許可を含める必要があります。例えば、Amazon S3 バケットをプロビジョニングするには、AmazonS3ReadOnlyAccess ポリシーを SMEndUser に含めます。

    • OpsCenterExecutionPolicy

    • AmazonEC2ReadOnlyAccess (AWS 管理ポリシー)

    • AmazonS3ReadOnlyAccess (AWS 管理ポリシー)

SCConnectLaunch ロールの作成

SCConnectLaunch ロールは、AWS Service Catalog の起動制約へベースライン AWS アクセス許可を配置する IAM ロールです。このロールを設定することにより、製品のリソースをプロビジョニングすることで職務の分離が可能になります。 ServiceNow エンドユーザー。

SCConnectLaunch ロールベースラインには、Amazon EC2 と Amazon S3 サービスに対するアクセス許可が含まれています。製品にさらに AWS のサービスが含まれている場合は、これらのサービスを SCConnectLaunch ロールに含めるか新しい起動ロールを作成する必要があります。

このセクションでは、SCConnectLaunch ロールを作成する方法について説明します。このロールは、ベースライン AWS のサービスへのアクセス許可を AWS Service Catalog の起動の制約に配置します。詳細については、「AWS Service Catalog 起動の設定」を参照してください。

SCConnectLaunch ロールを作成するには

  1. この AWSCloudFormationFullAccess ポリシーを作成します。[ポリシーの作成] を選択し、次のコードを JSON エディタに追加します。

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "cloudformation:DescribeStackResource", "cloudformation:DescribeStackResources", "cloudformation:GetTemplate", "cloudformation:List*", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DescribeChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:DeleteChangeSet", "s3:GetObject" ], "Resource":"*" } ] }
    注記

    AWSCloudFormationFullAccess には、ChangeSets 用の追加のアクセス許可が含まれます。

  2. このポリシーを作成します。ServicecodeCatalogSSMActionsBaseline。 「」の指示に従って、IAM ポリシーの作成をクリックし、次のコードを JSON エディタに追加します。

    { "Version":"2012-10-17", "Statement":[ { "Sid":"Stmt1536341175150", "Action":[ "servicecatalog:AssociateResource", "servicecatalog:DisassociateResource", "servicecatalog:ListServiceActionsForProvisioningArtifact", "servicecatalog:ExecuteprovisionedProductServiceAction", "ssm:DescribeDocument", "ssm:GetAutomationExecution", "ssm:StartAutomationExecution", "ssm:StopAutomationExecution", "ssm:StartChangeRequestExecution", "cloudformation:ListStackResources", "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances" ], "Effect":"Allow", "Resource":"*" }, { "Effect":"Allow", "Action":"iam:PassRole", "Resource":"*", "Condition":{ "StringEquals":{ "iam:PassedToService":"ssm.amazonaws.com" } } } ] }
  3. SCConnectLaunch ロールを作成し、次に、AWS Service Catalog に信頼関係を割り当てます。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "servicecatalog.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  4. 関連するポリシーを SCConnectLaunch ロールに添付します。

    特定のService Catalog 製品の関連付けられた CloudFormation テンプレートにある特定の AWS のサービスに対して起動ポリシーをカスタマイズし、適用範囲を設定することをお勧めします。

    例えば、EC2 および S3 製品をプロビジョニングするためのロールポリシーは次のとおりです。

    • AmazonEC2FullAccess (AWS 管理ポリシー)

    • AmazonS3FullAccess (AWS 管理ポリシー)

    • AWSCloudFormationFullAccess (カスタム管理ポリシー)

    • ServiceCatalogSSMActionsBaseline (カスタム管理ポリシー)