Verwalten von AWS-Verbindungen

IT Asset Management (Cloud)

Wahl der Methoden

Es gibt vier Möglichkeiten, eine Verbindung mit Amazon Web Services Elastic Compute Cloud (AWS EC2) und Amazon Relational Database Service (RDS) herzustellen, und für alle vier gibt es mehrere Voraussetzungen. Bevor Sie anfangen, die Verbindung zu konfigurieren, müssen Sie sich für die Methode entscheiden, die sich für Ihr Unternehmen am besten eignet, und die damit verbundenen Voraussetzungen schaffen. Zusammenfassungen aller Methoden sind unten aufgeführt:

  • Aktivieren von AWS Config und Erstellen eines AWS-Aggregators: Bei dieser Methode erstellen Sie eine Integration, um Ihre AWS-Ressourcen mithilfe eines AWS-Aggregators abzufragen.

    Ist es aktiviert, speichert AWS Config Konfigurationsdaten für Ihre Ressourcen in AWS. Anschließend wird der Aggregator erstellt, um die Daten von ausgewählten oder allen AWS-Konten auf ein einzelnes Konto zu ziehen. Von diesem einzelnen Konto stellt Inventarisierungsstation eine Abfrage an den Aggregator und importiert die Daten in IT Asset Management.

    Bei dieser Methode müssen Sie:
    • AWS Config aktivieren
    • einen AWS-Aggregator anlegen

    Schaffen Sie zur Verwendung dieser Methode die unten genannten Voraussetzungen und führen Sie dann die Schritt durch, die unter Aktivieren von AWS Config und Erstellen eines AWS-Aggregators aufgeführt sind.

  • Konfiguration von Verbindungen zu AWS (FlexNet Beacon auf EC2-Instanz installiert) mithilfe von IAM-Rollen: Diese Methode erweitert die unten genannte, rollenbasierte Methode durch die Installation von FlexNet Beacon direkt auf einer-EC2-Instanz. Dadurch brauchen Benutzer keine Anmeldeinformationen mehr einzugeben, anhand derer ihre Identität geprüft wird. Diese Methode stützt sich auf die Best-Practice-Richtlinien von Amazon, die zur Verbesserung der Sicherheit eine Minimierung der Verwendung langfristiger Zugriffsschlüssel empfehlen. Wie immer muss die von Ihnen gewählte Inventarisierungsstation (in diesem Fall auf einer EC2-Instanz) Zugriff auf das Internet haben, sodass sie sich mit dem zentralen Anwendungsserver für IT Asset Management verbinden kann, um Inventar hoch- und die Inventarisierungsstations- und Geräterichtlinie herunterladen zu können. Bei dieser Methode müssen Sie außerdem:
    • Sicherheitsrichtlinien erstellen
    • Eine Rolle für Identitäts- und Zugriffsverwaltung (IAM) erstellen (die einer EC2-Instanz zugewiesen wird, auf der FlexNet Beacon installiert ist)
    • Dann weitere IAM-Rollen auf allen anderen Konten anlegen, damit FlexNet Beacon Inventar von mehr als einem Konto erfassen kann
    Schaffen Sie zur Verwendung dieser Methode die unten genannten Voraussetzungen und führen Sie dann Folgendes durch Konfiguration von Verbindungen zu AWS (FlexNet Beacon auf EC2-Instanz installiert) mithilfe von IAM-Rollen
    Hinweis: Während der Konfiguration verarbeitet Ihr AWS Systems Manager Agent (SSM Agent) Anforderungen vom Systemmanagerservice in der AWS Cloud und führt diese dann wie in der Anforderung gewünscht aus. Der SSM-Agent sendet dann über den Amazon Message Delivery Service (Dienstpräfix: ec2messages) Status und Ausführungsinformationen zurück an den Systemmanagerdienst. Wenn die Konfiguration fehlschlägt, müssen Sie das Skript InitializeInstance.ps1 verwenden, das von Amazon bereitgestellt wird und per Voreinstellung auf jeder EC2-Instanz installiert ist. Die Metadaten werden von der IP-Adresse 169.254.169.254 abgerufen.
  • Konfigurieren von Verbindungen zu AWS mithilfe von IAM-Rollen: Bei dieser Methode werden IAM-Rollen verwendet, die es Ihnen ermöglichen, Inventar von mehreren Konten zu erfassen, wozu temporäre Sicherheitsanmeldedaten genutzt werden, zu denen auch ein Sicherheits-Token mit der Angabe gehört, wann die Gültigkeit der Anmeldedaten abläuft. Eine höhere Sicherheit entsteht dabei durch die Reduzierung des Bedarfs an langfristigen Zugriffsschlüsseln, die manuell widerrufen werden müssen und verlangen, dass eine Sicherheitsrichtlinie mit jedem Benutzer verknüpft wird, dem wiederum die notwendigen Berechtigungen eingeräumt werden müssen. Bei dieser Methode müssen Sie:
    • Sicherheitsrichtlinien erstellen
    • Richtlinien werden dann den Nutzern, Gruppen und Rollen zugewiesen und diese Richtlinien können andere Rollen definieren, die angenommen werden können.
    Schaffen Sie zur Verwendung dieser Methode die unten genannten Voraussetzungen und führen Sie dann Folgendes durch Konfigurieren von Verbindungen zu AWS mithilfe von IAM-Rollen
    Hinweis:
  • Konfigurieren von Verbindungen zu AWS mithilfe von IAM- Benutzern: Bei dieser Methode müssen Sie:
    • Sicherheitsrichtlinien erstellen
    • Einen IAM-Benutzer anlegen
    • Die Sicherheitsrichtlinien dann direkt dem Nutzer zuweisen
    Bei dieser Methode, die bereits vor IT Asset Management 2019 R2 verfügbar war, werden langfristige Anmeldeinformationen genutzt, was Amazon jetzt ausdrücklich nicht empfiehlt. Wenn Sie diese Methode bereits eingerichtet haben, brauchen Sie sie nicht zu ändern. Schaffen Sie zur Verwendung dieser Methode die unten genannten Voraussetzungen und führen Sie dann den Schritt „Konfigurieren von Verbindungen zu AWS mithilfe von IAM- Benutzern“ durch..
Tipp: Wenn es einen Grund gibt, sich von mehr als einer Inventarisierungsstation mit AWS zu verbinden, können Sie dieselbe Richtlinie erneut verwenden und brauchen diese nicht mehrere Male anzulegen. Es wäre auch möglich, auf einer anderen Inventarisierungsstation denselben Kontonamen wiederzuverwenden. Aber da es empfohlene Praxis ist, einen engmaschigen Zeitplan mit häufigen Verbindungen anzulegen (zum Beispiel, um Daten über beendete Instanzen zu erfassen, die auf AWS eine sehr kurze Lebensspanne haben), ist es empfehlenswert, für jede zugreifende Inventarisierungsstation eigene Benutzerkonten anzulegen, um mögliche Kollisionen zu vermeiden.
Wichtig: Wenn Sie vorhaben, Daten von AWS EC2 zu erfassen, sollten Sie ebenfalls die Konfiguration von Startskripten in Ihrem Base Image planen, um Voreinstellungen für den FlexNet-Inventarisierungsagenten zu ändern, wenn Ihre virtualisierten Geräte instanziiert werden. Diese geänderten Voreinstellungen stellen sicher, dass jede Instanz einen eigenen Computernamen (oder auch Domänennamen) meldet. Geschieht dies nicht, übernehmen Instanzen einen allgemeinen Gerätenamen aus dem Base Image und melden in der Regel über denselben Domänennamen. Bei gleichen Namen wird angenommen, dass die entsprechenden Datensätze von einem einzelnen Gerät stammen, weshalb sie in IT Asset Management zu einem einzigen Gerätedatensatz zusammengefasst werden. Weitere Informationen finden Sie unter Common: Sicherstellen von eindeutigem Inventar in Erfassen von FlexNet-Inventar.

Voraussetzungen

Um diesen Vorgang durchführen zu können, muss Ihre gewählte Inventarisierungsstation die folgenden Voraussetzungen erfüllen. Manche dieser Voraussetzungen sollten bereits erfüllt worden sein, als die Software FlexNet Beacon installiert wurde:

  • PowerShell 3.0 oder höher wird auf Windows Server 2008 R2 SP1 oder Windows 7 SP1 oder höher ausgeführt, wobei die Ausführungsrichtlinie der PowerShell auf RemoteSigned (fernsigniert) gesetzt ist.
    Hinweis: Wenn Sie sich entscheiden, AWS.Tools.Common zu installieren, was die Modulzusammenstellung zur Installation einzelner AWS-Tools for PowerShell ist, wird die Mindestversion auf PowerShell 5.1 oder später heraufgesetzt.
  • Es ist eine Version ab .NET Framework 4.7.2 erforderlich.
  • Die auf der Inventarisierungsstation installierte Software FlexNet Beacon muss mindestens Version 13,1.1 aufweisen (mit IT Asset Management 2018 R2 ausgeliefert).
  • Die Inventarisierungsstation muss über Internetzugang zum zentralen Anwendungsserver für IT Asset Management verfügen, sodass sie Inventar hoch- und Richtlinien herunterladen kann.
  • Auf der Inventarisierungsstation ist ein Webbrowser installiert und aktiviert.
  • Sie müssen sich unter Verwendung eines Kontos mit Administratorrechten bei der Inventarisierungsstation anmelden und FlexNet Beacon ausführen.
  • Sie müssen AWS Tools for PowerShell von https://aws.amazon.com/powershell/, heruntergeladen und auf der Inventarisierungsstation installiert haben. Die Tools müssen mindestens die Version 3.3.283.0 haben.
    Tipp: So prüfen Sie die auf Ihrer Inventarisierungsstation installierte Version:
    1. Führen Sie PowerShell als Administrator aus.
    2. Führen Sie das cmdlet Get-AWSPowerShellVersion aus.
    Neue Versionen können von https://aws.amazon.com/powershell/ heruntergeladen werden.
    Hinweis: Die zulässigen Werte für Region der Instanz sind derzeit in den AWS Tools for PowerShell hartcodiert. Das bedeutet, dass Sie die AWS Tools for PowerShell aktualisieren müssen, wenn AWS zusätzliche Regionen anlegt und Sie Instanzen in einer dieser neuen Regionen betreiben möchten.
    Ab Version 2.0.0 des cmdlet PowerShellGet (das Ihnen Install-Module (die Modulinstallation) erlaubt), wird die Option Scope (Umfang) per Voreinstellung auf CurrentUser (Aktueller Benutzer) gesetzt. Wenn Sie die Module nicht gerade mithilfe des Kontos installieren, das normalerweise Ihre FlexNet Beacon-Software ausführt und den AWS-Connector anstößt, müssen Sie den Wert AllUsers festlegen, der nicht der Standardwert ist, sodass das Dienstkonto der Inventarisierungsstation (in der Regel SYSTEM) den Connector ausführen kann. Beispiele für Befehlszeilen für die Installation sind:
    • Führen Sie für die modulare Version der AWS Tools for PowerShell (PowerShell ab Version 5.1 erforderlich) dieses Musterskript aus, das alle Module enthält, die zum Ausführen des Connectors erforderlich sind:

      

Install-Module -Name AWS.Tools.Common -Scope AllUsersInstall-Module -Name AWS.Tools.ConfigService -Scope AllUsersInstall-Module -Name AWS.Tools.EC2 -Scope AllUsersInstall-Module -Name AWS.Tools.IdentityManagement -Scope AllUsersInstall-Module -Name AWS.Tools.Organizations -Scope AllUsersInstall-Module -Name AWS.Tools.RDS -Scope AllUsersInstall-Module -Name AWS.Tools.S3 -Scope AllUsersInstall-Module -Name AWS.Tools.SecurityToken -Scope AllUsers 

    • Führen Sie für die gebündelte Altversion der AWS Tools for PowerShell (PowerShell ab Version 3.0 erforderlich) das folgende Musterskript aus:

      

Install-Module -Name AWSPowerShell -Scope AllUsers

    Nach der Installation finden Sie die Tools in einem der Pfade, die in der (Vor-)Einstellung PSModulePath aufgelistet sind, wie z. B. C:\Program Files\WindowsPowerShell\Modules (prüfen Sie den Wert für diese Einstellung auf Ihrer Inventarisierungsstation).
Auf Seiten von AWS müssen Sie zuerst Folgendes anlegen:
  • eine Richtlinie, die Zugriff auf Ihren EC2-Dienst zulässt
  • eine Richtlinie, die Zugriff auf eine Funktionseinheit zum Verwalten von Identität und Zugriff [Identity and Access Management (IAM)] zulässt
  • die IAM-Rollen, die Zugriff auf AWS-Ressourcen geben (nicht erforderlich bei Verwendung von IAM- Benutzern; siehe Konfigurieren von Verbindungen zu AWS EC2 unter Verwendung von IAM- Benutzern)
  • das IAM-Benutzerkonto (noch in AWS) mit minimalen Rechten, das die Verbindung zu AWS APIs herstellt und die verfügbaren Daten importiert (nur erforderlich beim Konfigurieren von Verbindungen zu AWS EC2 mit IAM-Rollen, und nur ohne dass FlexNet Beacon auf der EC2-Instanz installiert ist)
Schließlich müssen Sie auf der Inventarisierungsstation, die sich mit AWS verbinden soll, die Verbindung festlegen (die für Sie automatisch zeitlich geplant wird).
Tipp: Unabhängig davon, für welche Methode Sie sich entscheiden, finden Sie Informationen unter Behebung von Fehlern bei Ihrer AWS-Verbindung, wenn die importierten Ergebnisse nicht Ihren Erwartungen entsprechen.

IT Asset Management (Cloud)

Current