Konfiguration von Verbindungen zu AWS (FlexNet Beacon auf EC2-Instanz installiert) mithilfe von IAM-Rollen

IT-Asset-Management (Cloud)

Vor dem Beginn

Lesen Sie unbedingt zuerst die Hintergrundinformationen und machen Sie sich mit den Voraussetzungen vertraut, bevor Sie mit der Aufgabe beginnen (siehe Verwalten von AWS-Verbindungen).
Zur Erinnerung: Jede Installation von FlexNet Beacon erfordert Internetzugang, sodass eine Verbindung zum zentralen Anwendungsserver für IT-Asset-Management hergestellt werden kann, um erfasstes Inventar hoch- und geänderte Richtlinien herunterzuladen.

So konfigurieren Sie die anfängliche Datenverbindung zu Ihren AWS-Diensten mithilfe eines rollenbasierten Zugriffs:

  1. Melden Sie sich unter Verwendung der E-Mail-Adresse, die Ihr AWS-Kontoeigentümer für Ihr AWS-Konto gespeichert hat, bei der AWS-Verwaltungskonsole unter https://console.aws.amazon.com/iam an.
    Sie legen beide Richtlinien und die Rolle über diese Konsole an.
  2. Klicken Sie im Abschnitt Security, Identity & Compliance (Sicherheit, Identität & Compliance) auf IAM.
  3. Erstellen Sie die Richtlinie für den Zugriff auf Ihre EC2- und RDS-Dienste:
    1. Wählen Sie im Navigationsfenster links die Option Policies (Richtlinien).
    2. Klicken Sie auf Create policy (Richtlinie anlegen).
      Der visuelle Editor Create policy (Richtlinie erstellen) wird angezeigt.
    3. Klicken Sie auf Choose a service (Dienst wählen) und dann auf EC2.
    4. Klicken Sie im Bereich Actions (Aktionen) auf Select actions (Aktionen auswählen).
    5. Erweitern Sie im Abschnitt Access level groups (Gruppen für Zugriffsebenen) die Liste und wählen Sie die folgenden Zugriffsebenen aus, die eine Erfassung der Inventardaten von AWS ermöglichen:
      • DescribeInstances
      • DescribeHosts
      • DescribeReservedInstances.
    6. Klicken Sie auf Add additional permissions (Weitere Berechtigungen hinzufügen).
    7. Klicken Sie auf Choose a service (Dienst wählen) und wählen Sie IAM.
    8. Erweitern Sie im Abschnitt Actions (Aktionen) die Zugriffsebene List (Liste) und wählen Sie ListAccountAliases.
      Diese Richtlinie gewährt den Zugriff zum Erfassen des Inventars.
    9. Klicken Sie auf Add additional permissions (Weitere Berechtigungen hinzufügen).
    10. Klicken Sie auf Choose a service (Dienst wählen) und wählen Sie RDS.
    11. Erweitern Sie im Abschnitt Actions (Aktionen) die Zugriffsebene List (Liste).
    12. Wählen Sie die folgende Zugriffsebene, um die Erfassung von Inventardaten von RDS zuzulassen:
      • DescribeDBInstances
    13. Klicken Sie bei der Überschrift Resources (Ressourcen) auf Specify db resource ARN for the DescribeDBInstances action (DB-Ressourcen-ARN für die Aktion DBInstanzenBeschreiben festlegen).
    14. Klicken Sie auf der Seite Create policy (Richtlinie erstellen) im Bereich Visual editor (Visueller Editor) > RDS > Resources (Ressourcen) auf Add ARN (ARN hinzufügen), um den Dialog Add ARN(s) (ARN(s) hinzufügen) aufzurufen.
    15. Wählen Sie die Regionen, Konten und Instanznamen, die benötigt werden, um alle Oracle-Datenbankinstanzen aufzunehmen, die in Amazon RDS ausgeführt werden und bei der Inventarisierung ermittelt werden müssen. Klicken Sie abschließend auf Add (Hinzufügen), um Ihre Angaben zu speichern.
    16. Klicken Sie auf Next: Tags (Weiter: Tags), um die Seite Add tags (Optional) (Tags hinzufügen (optional)) aufzurufen. Auch wenn diese Tags zur Inventarisierung durch IT-Asset-Management nicht erforderlich sind, können Sie alle Tags hinzufügen, die Ihnen bei der Verwaltung Ihrer AWS-Dienste helfen.
    17. Klicken Sie auf Next: Review (Weiter: Überprüfung).
    18. Geben Sie in das Textfeld Name einen passenden und eindeutigen Namen für die Richtlinie ein, zum Beispiel ListInventoryForFNMS.
    19. Optional können Sie auch eine Beschreibung in das Textfeld Beschreibung eingeben, die Ihnen bei der künftigen Wartung hilft.
    20. Überprüfen Sie Ihre Richtlinie und klicken Sie dann auf Create policy (Richtlinie anlegen).
  4. Erstellen Sie die Richtlinie für den Zugriff auf Ihren IAM-Dienst:
    1. Wählen Sie im Navigationsfenster die Option Policies (Richtlinien).
    2. Klicken Sie auf Create policy (Richtlinie anlegen).
    3. Klicken Sie auf Choose a service (Dienst wählen) und wählen Sie IAM.
    4. Erweitern Sie im Abschnitt Actions (Aktionen) die Zugriffsebene Read (Lesen) und wählen Sie die folgenden Zugriffsebenen, die zum Abrufen der anzunehmenden Details der Rollen (beim Konfigurieren von kontoübergreifendem Zugriff) und zum Testen der Verbindung verwendet werden.
      • GetRole
      • GetPolicy
      • GetPolicyVersion
    5. Erweitern Sie im Abschnitt Actions (Aktionen) die Zugriffsebene List (Liste) und wählen Sie die Richtlinie ListAttachedRolePolicies.
    6. Wenn Sie Rollen auf anderen Konten konfigurieren möchten, um mit der einen Verbindung Inventar von mehreren Konten zu erfassen, führen Sie die folgenden Schritte aus:
      1. Klicken Sie auf Choose a service (Dienst wählen) und wählen Sie STS.
      2. Erweitern Sie im Abschnitt Actions (Aktionen) die Zugriffsebene Write (Schreiben) und wählen Sie die Richtlinie AssumeRole.
      3. Erweitern Sie den Abschnitt Resources (Ressourcen) und wählen Sie Add ARN (ARN hinzufügen).
      4. Geben Sie die Kontonummer (Account number) und den Rollennamen ein und klicken Sie auf Hinzufügen. Wiederholen Sie dieses Vorgehen für alle Rollen, die Sie auf anderen Konten konfigurieren möchten, um die Erfassung des Inventars von diesen Konten mit einer Verbindung zuzulassen. (Die Rollen werden in Schritt 5 und Schritt 6 erstellt und der vorgeschlagene Name lautet ListEC2ForFNMSRole).
        Hinweis: Wählen Sie auf keinen Fall die Option All Resources (Alle Ressourcen).
    7. Klicken Sie auf Next: Tags (Weiter: Tags), um die Seite Add tags (Optional) (Tags hinzufügen (optional)) aufzurufen. Auch wenn diese Tags zur Inventarisierung durch IT-Asset-Management nicht erforderlich sind, können Sie alle Tags hinzufügen, die Ihnen bei der Verwaltung Ihrer AWS-Dienste helfen.
    8. Klicken Sie auf Next: Review (Weiter: Überprüfung).
    9. Geben Sie in das Textfeld Name einen eindeutigen Namen für die Richtlinie ein, zum Beispiel ReadRoleForFNMS.
    10. Geben Sie in das Textfeld Description (Beschreibung) optional eine Beschreibung für die Richtlinie ein, die Ihnen bei der künftigen Wartung hilft.
    11. Klicken Sie auf Create policy (Richtlinie anlegen).
  5. Legen Sie eine Rolle für die Übernahme durch eine EC2-Instanz an:
    1. Navigieren Sie zum IAM-Dienst.
    2. Klicken Sie im Navigationsfenster auf Roles (Rollen) und dann auf Create role (Rolle erstellen).
    3. Klicken Sie auf AWS service (AWS-Dienst).
    4. Wählen Sie aus der Liste Choose the service that will use this role (Dienst wählen, der diese Rolle verwenden wird) die Option EC2.
    5. Klicken Sie auf Next: Permissions (Weiter: Berechtigungen).
    6. Suchen Sie nach den folgenden Richtlinien und wählen Sie diese aus:
      • Wählen Sie die erste Richtlinie, die Sie angelegt haben (der vorgeschlagene Name war ListInventoryForFNMS).
      • Wählen Sie die zweite Richtlinie, die Sie angelegt haben (der vorgeschlagene Name war ReadRoleForFNMS).

    7. Klicken Sie auf Next: Tags (Weiter: Tags) und weisen Sie nach Bedarf die Tags zu.
    8. Klicken Sie auf Next: Review (Weiter: Überprüfung) und geben Sie dieser Rolle einen geeigneten und eindeutigen Namen (etwa ListEC2ForFNMSRole). Optional können Sie auch eine Beschreibung hinzufügen, um sich spätere Wartungsarbeiten zu erleichtern.
    9. Klicken Sie auf Create role (Rolle erstellen).
  6. Wenn Sie Inventar von mehreren Konten unter Verwendung einer einzigen Verbindung erfassen möchten, führen Sie für jedes Konto, von dem Sie Inventar erfassen möchten, die folgenden Schritte durch:
    1. Wiederholen Sie Schritt 3 - Erstellen Sie die Richtlinie für den Zugriff auf Ihre EC2- und RDS-Dienste wie oben ausgeführt.
    2. Legen Sie als nächstes eine Rolle für die Übernahme durch eine EC2-Instanz an:
      1. Navigieren Sie zum IAM-Dienst.
      2. Klicken Sie im Navigationsfenster auf Roles (Rollen) und dann auf Create role (Rolle erstellen).
      3. Klicken Sie auf Another AWS account (Anderes AWS-Konto).
      4. Geben Sie im Textfeld Account ID (Konto-ID) die Konto-ID für das Konto ein, auf dem die erste Rolle angelegt wurde.
      5. Markieren Sie für mehr Sicherheit optional das Kontrollkästchen Require external ID (Externe ID verlangen) und geben Sie eine externe ID in das Textfeld External ID (Externe ID) ein.
        Hinweis: Wenn Sie die Rolle auf mehreren Konten anlegen, achten Sie darauf, jedes Mal dieselbe externe ID zu verwenden.
      6. Klicken Sie auf Next: Permissions (Weiter: Berechtigungen).
      7. Suchen Sie auf der Seite Attached permissions policy (Richtlinie für angehängte Berechtigungen) nach der Richtlinie, die Sie oben angelegt haben (Namensvorschlag war ListInventoryForFNMS), und wählen Sie diese aus.
      8. Klicken Sie auf Next: Tags (Weiter: Tags) und weisen Sie nach Bedarf die Tags zu.
      9. Klicken Sie auf Next: Review (Weiter: Überprüfung) und geben Sie dieser Rolle einen geeigneten und eindeutigen Namen (etwa ListEC2ForFNMSRole). Optional können Sie auch eine Beschreibung hinzufügen, um sich spätere Wartungsarbeiten zu erleichtern.
      10. Klicken Sie auf Create role (Rolle erstellen).
  7. Zuweisen einer IAM-Rolle zu einer EC2-Instanz:
    1. Melden Sie sich wieder am ursprünglichen Konto an, auf dem Sie die Schritte 1-5 durchgeführt haben.
    2. Navigieren Sie zum EC2-Dienst.
    3. Klicken Sie im Navigationsbereich links auf Instances (Instanzen) und klicken Sie dann auf die EC2-Instanz mit einer installierten Inventarisierungsstation.
    4. Klicken Sie auf Actions (Aktionen) über Ihren Instanzen, gehen Sie zu Instance Settings (Instanzeinstellungen) und dann zu Attach/Replace IAM Role (IAM-Rolle anhängen/ersetzen).
    5. Wählen Sie die Rolle, die Sie zuvor angelegt haben (Vorschlagsname war ListEC2ForFNMSRole), aus dem Kombinationsfeld neben IAM role (IAM-Rolle).
    6. Klicken Sie auf Apply (Übernehmen) und dann auf Close (Schließen).
  8. Melden Sie sich als Administrator bei FlexNet Beacon an und bestätigen Sie den Zeitplan für die Datenerfassung von AWS.
    Einige Daten auf AWS sind vergänglich: eine beendete Instanz verschwindet zum Beispiel innerhalb von einer Stunde, nachdem Sie diese Entscheidung implementiert haben. Einige Lizenzen (wie IBM PVU) verlangen außerdem, dass Sie spätestens alle 30 Minuten den Spitzenverbrauch messen. Unter anderem aus diesem Grund ist es empfohlene Praxis, alle 30 Minuten eine Datenerfassung von AWS zu planen. Zu diesem Zweck gibt es auf der Seite Data collection > Scheduling (Datenerfassung > Terminplanung) von FlexNet Beacon den Standardzeitplan AWS imports (AWS-Importe). Wenn Sie Grund haben, die Voreinstellung zu ändern, ist es besser, den Zeitplan zu ändern, bevor Sie die Verbindung einrichten. Sehen Sie unter Ändern eines Zeitplans nach, wenn Sie Hilfe benötigen.
    Tipp: Ändern Sie nicht den Namen des Zeitplans, damit er automatisch mit Ihrer AWS EC2-Verbindung verknüpft werden kann. (Wenn Sie den Namen des Zeitplans versehentlich ändern, wird der Standardzeitplan mit dem Standardnamen bei der nächsten Überprüfung der Richtlinie automatisch wiederhergestellt.)
  9. So konfigurieren Sie die Verbindung zu AWS:
    1. Wählen Sie auf der Benutzeroberfläche von FlexNet Beacon die Seite Inventory Systems (Inventarisierungssysteme) aus.
    2. Klicken Sie zum Anlegen einer neuen Verbindung auf der rechten Seite der geteilten Schaltfläche New (Neu) auf den Abwärtspfeil, und wählen Sie die Option PowerShell.
      Tipp: Sie können auch eine zuvor definierte Verbindung bearbeiten, indem Sie diese aus der Verbindungsliste auswählen und auf Edit... (Bearbeiten) klicken.
    3. Füllen Sie im eingeblendeten Dialog die folgenden Pflichtfelder aus (bzw. ändern Sie diese):
      • Geben Sie im Textfeld Connection Name (Verbindungsname) einen Namen für die Inventarisierungsverbindung ein. Dies wird der Name der Datenimportaufgabe in IT-Asset-Management sein.
      • Wählen Sie aus der Liste Source Type (Quelltyp) die Option Amazon Web Services aus.
      • Wenn Sie beim Anlegen der Rollen für den Zugriff auf mehrere Konten eine externe ID erfasst haben, kopieren Sie diese ID und fügen Sie sie hier in das Textfeld External ID (Externe ID) ein.
        Hinweis: Die gleiche externe ID muss für jedes Konto verwendet werden, auf dem eine Rolle übernommen wird. Beispiel: Wenn Sie ein Haupt- und zwei Unterkonten mit Rollen haben, welche die externe ID 12345 verlangen, müssen Sie 12345 auch auf der Inventarisierungsstation festlegen, wenn Sie die Rolle für jedes Unterkonto anlegen. Für andere externe IDs wird eine eigene Verbindung benötigt.
      • Lassen Sie die Felder Access Key (Zugriffsschlüssel) und Secret Access Key (Geheimer Zugriffsschlüssel) leer, da sie für diese Methode nicht erforderlich sind.
    4. Klicken Sie auf Test Connection (Verbindung testen).
      • Wenn Sie die Meldung Test connection failed (Verbindungstest fehlgeschlagen) erhalten, klicken Sie auf OK, um die Meldung zu schließen, überprüfen und korrigieren Sie die Verbindungsdaten und testen Sie die Verbindung erneut. Sie können die Verbindungsdetails nicht speichern, wenn der Verbindungstest fehlgeschlagen ist. Wenn Sie den Verbindungstest nicht erfolgreich abschließen können, klicken Sie auf Cancel (Abbrechen), um das Hinzufügen dieser Verbindungsdaten abzubrechen, und suchen Sie sich Unterstützung.
      • Wenn die Inventarisierungsstation mit den bereitgestellten Daten erfolgreich auf die AWS-APIs zugreifen kann, wird die Meldung Database connection succeeded (Datenbankverbindung erfolgreich) angezeigt. Klicken Sie auf OK, um die Meldung zu schließen und anschließend auf Save (Speichern), um die Verbindung zur Liste hinzuzufügen (oder dort zu aktualisieren).
Ihre gespeicherte Verbindung wird außerdem automatisch mit dem Zeitplan AWS imports (AWS-Importe) verknüpft (bearbeitbar auf der Seite Scheduling (Terminierung) in der Gruppe Data collection (Datenerfassung)) und die Spalte Next run (Nächste Ausführung) zeigt an, wann der nächste Import von AWS EC2 und Amazon RDS ansteht.

Wenn der nachfolgende Import nicht die erwarteten Ergebnisse bringt, schauen Sie unter Behebung von Fehlern bei Ihrer AWS-Verbindung nach.

IT-Asset-Management (Cloud)

Current