Verwalten von AWS-Verbindungen
Wahl der Methoden
Es gibt vier Möglichkeiten, eine Verbindung mit Amazon Web Services Elastic Compute Cloud (AWS EC2) und Amazon Relational Database Service (RDS) herzustellen, und für alle vier gibt es mehrere Voraussetzungen. Bevor Sie anfangen, die Verbindung zu konfigurieren, müssen Sie sich für die Methode entscheiden, die sich für Ihr Unternehmen am besten eignet, und die damit verbundenen Voraussetzungen schaffen. Zusammenfassungen aller Methoden sind unten aufgeführt:
Aktivieren von AWS Config und Erstellen eines AWS-Aggregators: Bei dieser Methode erstellen Sie eine Integration, um Ihre AWS-Ressourcen mithilfe eines AWS-Aggregators abzufragen.
Ist es aktiviert, speichert AWS Config Konfigurationsdaten für Ihre Ressourcen in AWS. Anschließend wird der Aggregator erstellt, um die Daten von ausgewählten oder allen AWS-Konten auf ein einzelnes Konto zu ziehen. Von diesem einzelnen Konto stellt Inventarisierungsstation eine Abfrage an den Aggregator und importiert die Daten in IT Asset Management.
Bei dieser Methode müssen Sie:- AWS Config aktivieren
- einen AWS-Aggregator anlegen
Schaffen Sie zur Verwendung dieser Methode die unten genannten Voraussetzungen und führen Sie dann die Schritt durch, die unter Aktivieren von AWS Config und Erstellen eines AWS-Aggregators aufgeführt sind.
- Konfiguration von Verbindungen zu AWS (FlexNet Beacon auf EC2-Instanz installiert) mithilfe von IAM-Rollen: Diese Methode erweitert die unten genannte, rollenbasierte Methode durch die Installation von FlexNet Beacon direkt auf einer-EC2-Instanz. Dadurch brauchen Benutzer keine Anmeldeinformationen mehr einzugeben, anhand derer ihre Identität geprüft wird. Diese Methode stützt sich auf die Best-Practice-Richtlinien von Amazon, die zur Verbesserung der Sicherheit eine Minimierung der Verwendung langfristiger Zugriffsschlüssel empfehlen. Wie immer muss die von Ihnen gewählte Inventarisierungsstation (in diesem Fall auf einer EC2-Instanz) Zugriff auf das Internet haben, sodass sie sich mit dem zentralen Anwendungsserver für IT Asset Management verbinden kann, um Inventar hoch- und die Inventarisierungsstations- und Geräterichtlinie herunterladen zu können. Bei dieser Methode müssen Sie außerdem:
- Sicherheitsrichtlinien erstellen
- Eine Rolle für Identitäts- und Zugriffsverwaltung (IAM) erstellen (die einer EC2-Instanz zugewiesen wird, auf der FlexNet Beacon installiert ist)
- Dann weitere IAM-Rollen auf allen anderen Konten anlegen, damit FlexNet Beacon Inventar von mehr als einem Konto erfassen kann
Anmerkung: Während der Konfiguration verarbeitet Ihr AWS Systems Manager Agent (SSM Agent) Anforderungen vom Systemmanagerservice in der AWS Cloud und führt diese dann wie in der Anforderung gewünscht aus. Der SSM-Agent sendet dann über den Amazon Message Delivery Service (Dienstpräfix:ec2messages
) Status und Ausführungsinformationen zurück an den Systemmanagerdienst. Wenn die Konfiguration fehlschlägt, müssen Sie das SkriptInitializeInstance.ps1
verwenden, das von Amazon bereitgestellt wird und per Voreinstellung auf jeder EC2-Instanz installiert ist. Die Metadaten werden von der IP-Adresse 169.254.169.254 abgerufen. - Konfigurieren von Verbindungen zu AWS mithilfe von IAM-Rollen: Bei dieser Methode werden IAM-Rollen verwendet, die es Ihnen ermöglichen, Inventar von mehreren Konten zu erfassen, wozu temporäre Sicherheitsanmeldedaten genutzt werden, zu denen auch ein Sicherheits-Token mit der Angabe gehört, wann die Gültigkeit der Anmeldedaten abläuft. Eine höhere Sicherheit entsteht dabei durch die Reduzierung des Bedarfs an langfristigen Zugriffsschlüsseln, die manuell widerrufen werden müssen und verlangen, dass eine Sicherheitsrichtlinie mit jedem Benutzer verknüpft wird, dem wiederum die notwendigen Berechtigungen eingeräumt werden müssen. Bei dieser Methode müssen Sie:
- Sicherheitsrichtlinien erstellen
- Richtlinien werden dann den Nutzern, Gruppen und Rollen zugewiesen und diese Richtlinien können andere Rollen definieren, die angenommen werden können.
Anmerkung:- Weitere Informationen zu kontenübergreifendem Zugriff mithilfe von IAM-Rollen finden Sie unter https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html
- Weitere Informationen zu den von Amazon empfohlenen Best Practices finden Sie unter https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html.
- Konfigurieren von Verbindungen zu AWS mithilfe von IAM- Benutzern: Bei dieser Methode müssen Sie:
- Sicherheitsrichtlinien erstellen
- Einen IAM-Benutzer anlegen
- Die Sicherheitsrichtlinien dann direkt dem Nutzer zuweisen
Voraussetzungen
Um diesen Vorgang durchführen zu können, muss Ihre gewählte Inventarisierungsstation die folgenden Voraussetzungen erfüllen. Manche dieser Voraussetzungen sollten bereits erfüllt worden sein, als die Software FlexNet Beacon installiert wurde:
- PowerShell 3.0 or later is running on Windows Server 2008 R2 SP1 or later, or Windows 7 SP1 or later; with the PowerShell execution policy set to RemoteSigned.Anmerkung: If you choose to install
AWS.Tools.Common
, which is the modular collection where you can installindividualAWS Tools for PowerShell, the minimum version is increased to PowerShell 5.1 or later. - .NET Framework 4.7.2 or newer is required.
- TheFlexNet Beaconsoftware installed on theInventarisierungsstationmust be release 13.1.1 (shipped withIT Asset Management2018 R2) or later.
- TheInventarisierungsstationmust have Internet access to the centralAnwendungsserverforIT Asset Management, so that it can upload inventories and download policies.
- A web browser is installed and enabled on theInventarisierungsstation.
- You must log onto theInventarisierungsstation, and runFlexNet Beacon, using an account with administrator privileges.
- You must have downloaded AWS Tools for PowerShell fromhttps://aws.amazon.com/powershell/, and installed them on theInventarisierungsstation. The minimum required version of these tools is 3.3.283.0.Tipp: To check the version installed on yourInventarisierungsstation:
- As administrator, run PowerShell.
- Execute the
Get-AWSPowerShellVersion
cmdlet.
Anmerkung: The permissible values forInstance regionare currently hard coded in the AWS Tools for PowerShell. This means that if AWS create additional regions, and you want to have instances in one of the new regions, you will need to update AWS Tools for PowerShell at that time.From release 2.0.0 of thePowerShellGet
cmdlet (which allows you toInstall-Module
), theScope
option defaults toCurrentUser
. Unless you are installing the modules using the account that normally runs yourFlexNet Beaconand triggers the AWS connector, you must specify the non-default value ofAllUsers
, such that theInventarisierungsstation's operating account (typicallySYSTEM
) can run the connector. Example command lines for installation are:- For the modular AWS Tools for PowerShell (requires PowerShell 5.1 or later):
PS> Install-Module -Name AWS.Tools.moduleName-Scope AllUsers
Tipp: Repeat this instruction amended for each of the required modules. The modules needed to run the connector include:AWS.Tools.Common
AWS.Tools.ConfigService
AWS.Tools.EC2
AWS.Tools.IdentityManagement
AWS.Tools.Organizations
AWS.Tools.RDS
AWS.Tools.S3
AWS.Tools.SecurityToken
.
- For the bundled, legacy AWS Tools for PowerShell (requires PowerShell 3.0 or later):
PS> Install-Module -Name AWSPowerShell -Scope AllUsers
PSModulePath
, such asC:\Program Files\WindowsPowerShell\Modules(check the preference value on yourInventarisierungsstation).
- A policy allowing access to your EC2 service
- A policy allowing access to an Identity and Access Management (IAM) entity
- The IAM roles to grant access to AWS resources (not required when using theConfiguring Connections to AWS EC2 using IAM Usersmethod)
- The IAM user account (still within AWS) with minimum privileges that makes the connection to AWS APIs and imports the available data (only required for theConfiguring Connections to AWS EC2 using IAM RoleswithoutFlexNet Beaconinstalled on EC2 instance only).
IT Asset Management (Cloud)
Current