Verwalten von AWS-Verbindungen

IT Asset Management (Cloud)

Wahl der Methoden

Es gibt vier Möglichkeiten, eine Verbindung mit Amazon Web Services Elastic Compute Cloud (AWS EC2) und Amazon Relational Database Service (RDS) herzustellen, und für alle vier gibt es mehrere Voraussetzungen. Bevor Sie anfangen, die Verbindung zu konfigurieren, müssen Sie sich für die Methode entscheiden, die sich für Ihr Unternehmen am besten eignet, und die damit verbundenen Voraussetzungen schaffen. Zusammenfassungen aller Methoden sind unten aufgeführt:

  • Aktivieren von AWS Config und Erstellen eines AWS-Aggregators: Bei dieser Methode erstellen Sie eine Integration, um Ihre AWS-Ressourcen mithilfe eines AWS-Aggregators abzufragen.

    Ist es aktiviert, speichert AWS Config Konfigurationsdaten für Ihre Ressourcen in AWS. Anschließend wird der Aggregator erstellt, um die Daten von ausgewählten oder allen AWS-Konten auf ein einzelnes Konto zu ziehen. Von diesem einzelnen Konto stellt Inventarisierungsstation eine Abfrage an den Aggregator und importiert die Daten in IT Asset Management.

    Bei dieser Methode müssen Sie:
    • AWS Config aktivieren
    • einen AWS-Aggregator anlegen

    Schaffen Sie zur Verwendung dieser Methode die unten genannten Voraussetzungen und führen Sie dann die Schritt durch, die unter Aktivieren von AWS Config und Erstellen eines AWS-Aggregators aufgeführt sind.

  • Konfiguration von Verbindungen zu AWS (FlexNet Beacon auf EC2-Instanz installiert) mithilfe von IAM-Rollen: Diese Methode erweitert die unten genannte, rollenbasierte Methode durch die Installation von FlexNet Beacon direkt auf einer-EC2-Instanz. Dadurch brauchen Benutzer keine Anmeldeinformationen mehr einzugeben, anhand derer ihre Identität geprüft wird. Diese Methode stützt sich auf die Best-Practice-Richtlinien von Amazon, die zur Verbesserung der Sicherheit eine Minimierung der Verwendung langfristiger Zugriffsschlüssel empfehlen. Wie immer muss die von Ihnen gewählte Inventarisierungsstation (in diesem Fall auf einer EC2-Instanz) Zugriff auf das Internet haben, sodass sie sich mit dem zentralen Anwendungsserver für IT Asset Management verbinden kann, um Inventar hoch- und die Inventarisierungsstations- und Geräterichtlinie herunterladen zu können. Bei dieser Methode müssen Sie außerdem:
    • Sicherheitsrichtlinien erstellen
    • Eine Rolle für Identitäts- und Zugriffsverwaltung (IAM) erstellen (die einer EC2-Instanz zugewiesen wird, auf der FlexNet Beacon installiert ist)
    • Dann weitere IAM-Rollen auf allen anderen Konten anlegen, damit FlexNet Beacon Inventar von mehr als einem Konto erfassen kann
    Schaffen Sie zur Verwendung dieser Methode die unten genannten Voraussetzungen und führen Sie dann Folgendes durch Konfiguration von Verbindungen zu AWS (FlexNet Beacon auf EC2-Instanz installiert) mithilfe von IAM-Rollen
    Anmerkung: Während der Konfiguration verarbeitet Ihr AWS Systems Manager Agent (SSM Agent) Anforderungen vom Systemmanagerservice in der AWS Cloud und führt diese dann wie in der Anforderung gewünscht aus. Der SSM-Agent sendet dann über den Amazon Message Delivery Service (Dienstpräfix: ec2messages) Status und Ausführungsinformationen zurück an den Systemmanagerdienst. Wenn die Konfiguration fehlschlägt, müssen Sie das Skript InitializeInstance.ps1 verwenden, das von Amazon bereitgestellt wird und per Voreinstellung auf jeder EC2-Instanz installiert ist. Die Metadaten werden von der IP-Adresse 169.254.169.254 abgerufen.
  • Konfigurieren von Verbindungen zu AWS mithilfe von IAM-Rollen: Bei dieser Methode werden IAM-Rollen verwendet, die es Ihnen ermöglichen, Inventar von mehreren Konten zu erfassen, wozu temporäre Sicherheitsanmeldedaten genutzt werden, zu denen auch ein Sicherheits-Token mit der Angabe gehört, wann die Gültigkeit der Anmeldedaten abläuft. Eine höhere Sicherheit entsteht dabei durch die Reduzierung des Bedarfs an langfristigen Zugriffsschlüsseln, die manuell widerrufen werden müssen und verlangen, dass eine Sicherheitsrichtlinie mit jedem Benutzer verknüpft wird, dem wiederum die notwendigen Berechtigungen eingeräumt werden müssen. Bei dieser Methode müssen Sie:
    • Sicherheitsrichtlinien erstellen
    • Richtlinien werden dann den Nutzern, Gruppen und Rollen zugewiesen und diese Richtlinien können andere Rollen definieren, die angenommen werden können.
    Schaffen Sie zur Verwendung dieser Methode die unten genannten Voraussetzungen und führen Sie dann Folgendes durch Konfigurieren von Verbindungen zu AWS mithilfe von IAM-Rollen
    Anmerkung:
  • Konfigurieren von Verbindungen zu AWS mithilfe von IAM- Benutzern: Bei dieser Methode müssen Sie:
    • Sicherheitsrichtlinien erstellen
    • Einen IAM-Benutzer anlegen
    • Die Sicherheitsrichtlinien dann direkt dem Nutzer zuweisen
    Bei dieser Methode, die bereits vor IT Asset Management 2019 R2 verfügbar war, werden langfristige Anmeldeinformationen genutzt, was Amazon jetzt ausdrücklich nicht empfiehlt. Wenn Sie diese Methode bereits eingerichtet haben, brauchen Sie sie nicht zu ändern. Schaffen Sie zur Verwendung dieser Methode die unten genannten Voraussetzungen und führen Sie dann den Schritt „Konfigurieren von Verbindungen zu AWS mithilfe von IAM- Benutzern“ durch..
Tipp: Wenn es einen Grund gibt, sich von mehr als einer Inventarisierungsstation mit AWS zu verbinden, können Sie dieselbe Richtlinie erneut verwenden und brauchen diese nicht mehrere Male anzulegen. Es wäre auch möglich, auf einer anderen Inventarisierungsstation denselben Kontonamen wiederzuverwenden. Aber da es empfohlene Praxis ist, einen engmaschigen Zeitplan mit häufigen Verbindungen anzulegen (zum Beispiel, um Daten über beendete Instanzen zu erfassen, die auf AWS eine sehr kurze Lebensspanne haben), ist es empfehlenswert, für jede zugreifende Inventarisierungsstation eigene Benutzerkonten anzulegen, um mögliche Kollisionen zu vermeiden.
Wichtig: Wenn Sie vorhaben, Daten von AWS EC2 zu erfassen, sollten Sie ebenfalls die Konfiguration von Startskripten in Ihrem Base Image planen, um Voreinstellungen für den FlexNet-Inventarisierungsagenten zu ändern, wenn Ihre virtualisierten Geräte instanziiert werden. Diese geänderten Voreinstellungen stellen sicher, dass jede Instanz einen eigenen Computernamen (oder auch Domänennamen) meldet. Geschieht dies nicht, übernehmen Instanzen einen allgemeinen Gerätenamen aus dem Base Image und melden in der Regel über denselben Domänennamen. Bei gleichen Namen wird angenommen, dass die entsprechenden Datensätze von einem einzelnen Gerät stammen, weshalb sie in IT Asset Management zu einem einzigen Gerätedatensatz zusammengefasst werden. Weitere Informationen finden Sie unter Common: Ensuring Distinct Inventory in Gathering FlexNet Inventory.

Voraussetzungen

Um diesen Vorgang durchführen zu können, muss Ihre gewählte Inventarisierungsstation die folgenden Voraussetzungen erfüllen. Manche dieser Voraussetzungen sollten bereits erfüllt worden sein, als die Software FlexNet Beacon installiert wurde:

  • PowerShell 3.0 or later is running on Windows Server 2008 R2 SP1 or later, or Windows 7 SP1 or later; with the PowerShell execution policy set to RemoteSigned.
    Anmerkung: If you choose to installAWS.Tools.Common, which is the modular collection where you can installindividualAWS Tools for PowerShell, the minimum version is increased to PowerShell 5.1 or later.
  • .NET Framework 4.7.2 or newer is required.
  • TheFlexNet Beaconsoftware installed on theInventarisierungsstationmust be release 13.1.1 (shipped withIT Asset Management2018 R2) or later.
  • TheInventarisierungsstationmust have Internet access to the centralAnwendungsserverforIT Asset Management, so that it can upload inventories and download policies.
  • A web browser is installed and enabled on theInventarisierungsstation.
  • You must log onto theInventarisierungsstation, and runFlexNet Beacon, using an account with administrator privileges.
  • You must have downloaded AWS Tools for PowerShell fromhttps://aws.amazon.com/powershell/, and installed them on theInventarisierungsstation. The minimum required version of these tools is 3.3.283.0.
    Tipp: To check the version installed on yourInventarisierungsstation:
    1. As administrator, run PowerShell.
    2. Execute theGet-AWSPowerShellVersioncmdlet.
    New versions are available for download fromhttps://aws.amazon.com/powershell/.
    Anmerkung: The permissible values forInstance regionare currently hard coded in the AWS Tools for PowerShell. This means that if AWS create additional regions, and you want to have instances in one of the new regions, you will need to update AWS Tools for PowerShell at that time.
    From release 2.0.0 of thePowerShellGetcmdlet (which allows you toInstall-Module), theScopeoption defaults toCurrentUser. Unless you are installing the modules using the account that normally runs yourFlexNet Beaconand triggers the AWS connector, you must specify the non-default value ofAllUsers, such that theInventarisierungsstation's operating account (typicallySYSTEM) can run the connector. Example command lines for installation are:
    • For the modular AWS Tools for PowerShell (requires PowerShell 5.1 or later):
      PS> Install-Module -Name AWS.Tools.moduleName-Scope AllUsers
      Tipp: Repeat this instruction amended for each of the required modules. The modules needed to run the connector include:
      • AWS.Tools.Common
      • AWS.Tools.ConfigService
      • AWS.Tools.EC2
      • AWS.Tools.IdentityManagement
      • AWS.Tools.Organizations
      • AWS.Tools.RDS
      • AWS.Tools.S3
      • AWS.Tools.SecurityToken.
    • For the bundled, legacy AWS Tools for PowerShell (requires PowerShell 3.0 or later):
      PS> Install-Module -Name AWSPowerShell -Scope AllUsers
    After installation, the tools are found in one of the paths listed in the preferencePSModulePath, such asC:\Program Files\WindowsPowerShell\Modules(check the preference value on yourInventarisierungsstation).
On the AWS side, you must first create:
  • A policy allowing access to your EC2 service
  • A policy allowing access to an Identity and Access Management (IAM) entity
  • The IAM roles to grant access to AWS resources (not required when using theConfiguring Connections to AWS EC2 using IAM Usersmethod)
  • The IAM user account (still within AWS) with minimum privileges that makes the connection to AWS APIs and imports the available data (only required for theConfiguring Connections to AWS EC2 using IAM RoleswithoutFlexNet Beaconinstalled on EC2 instance only).
Finally, on theInventarisierungsstationthat is to make the connection to AWS, you must specify the connection (which is automatically scheduled for you).
Tipp: Unabhängig davon, für welche Methode Sie sich entscheiden, finden Sie Informationen unter Behebung von Fehlern bei Ihrer AWS-Verbindung, wenn die importierten Ergebnisse nicht Ihren Erwartungen entsprechen.

IT Asset Management (Cloud)

Current