Konfigurieren von Verbindungen zu AWS mithilfe von IAM-Rollen

IT-Asset-Management (Cloud)

Vor dem Beginn

Lesen Sie unbedingt zuerst die Hintergrundinformationen und machen Sie sich mit den Voraussetzungen vertraut, bevor Sie mit der Aufgabe beginnen (siehe Verwalten von AWS-Verbindungen).

So konfigurieren Sie die anfängliche Datenverbindung zu Ihren AWS-Diensten mithilfe eines rollenbasierten Zugriffs:

  1. Melden Sie sich unter Verwendung der E-Mail-Adresse, die Ihr AWS-Kontoeigentümer für Ihr AWS-Konto gespeichert hat, bei AWS an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam.
    Sie legen beide Richtlinien und das Benutzerkonto über diese Konsole an.
  2. Erstellen Sie die Richtlinie für den Zugriff auf Ihre EC2- und RDS-Dienste:
    1. Wählen Sie im Navigationsfenster links die Option Policies (Richtlinien).
    2. Klicken Sie auf Create policy (Richtlinie anlegen).
    3. Klicken Sie auf Choose a service (Dienst wählen) und wählen Sie EC2.
    4. Erweitern Sie im Abschnitt Actions (Aktionen) die Zugriffsebene List (Liste).
    5. Wählen Sie die folgenden Zugriffsebenen, um die Erfassung von Inventardaten von AWS zuzulassen:
      • DescribeInstances
      • DescribeHosts
      • DescribeReservedInstances.
    6. Klicken Sie auf Add additional permissions (Weitere Berechtigungen hinzufügen).
    7. Klicken Sie auf Choose a service (Dienst wählen) und wählen Sie IAM.
    8. Erweitern Sie im Abschnitt Actions (Aktionen) die Zugriffsebene List (Liste).
    9. Wählen Sie die folgenden Zugriffsebenen, um die Erfassung von Inventardaten von IAM zuzulassen:
      • ListAccountAliases
    10. Klicken Sie auf Add additional permissions (Weitere Berechtigungen hinzufügen).
    11. Klicken Sie auf Choose a service (Dienst wählen) und wählen Sie RDS.
    12. Erweitern Sie im Abschnitt Actions (Aktionen) die Zugriffsebene List (Liste).
    13. Wählen Sie die folgenden Zugriffsebenen, um die Erfassung von Inventardaten von RDS zuzulassen:
      • DescribeDBInstances
    14. Klicken Sie bei der Überschrift Resources (Ressourcen) auf Specify db resource ARN for the DescribeDBInstances action (DB-Ressourcen-ARN für die Aktion DBInstanzenBeschreiben festlegen).
    15. Klicken Sie auf der Seite Create policy (Richtlinie erstellen) im Bereich Visual editor (Visueller Editor) > RDS > Resources (Ressourcen) auf Add ARN (ARN hinzufügen), um den Dialog Add ARN(s) (ARN(s) hinzufügen) aufzurufen.
    16. Wählen Sie die Regionen, Konten und Instanznamen, die benötigt werden, um alle Oracle-Datenbankinstanzen aufzunehmen, die in Amazon RDS ausgeführt werden und bei der Inventarisierung ermittelt werden müssen. Klicken Sie abschließend auf Add (Hinzufügen), um Ihre Angaben zu speichern.
    17. Klicken Sie auf Next: Tags (Weiter: Tags), um die Seite Add tags (Optional) (Tags hinzufügen (optional)) aufzurufen. Auch wenn diese Tags zur Inventarisierung durch IT-Asset-Management nicht erforderlich sind, können Sie alle Tags hinzufügen, die Ihnen bei der Verwaltung Ihrer AWS-Dienste helfen.
    18. Klicken Sie auf Next: Review (Weiter: Überprüfung) und geben Sie dieser Richtlinie einen geeigneten und eindeutigen Namen (zum Beispiel ListInventoryForFNMS). Optional können Sie auch eine Beschreibung (Description) hinzufügen, um sich spätere Wartungsarbeiten zu erleichtern.
    19. Klicken Sie auf Create policy (Richtlinie anlegen).
  3. Erstellen Sie die Richtlinie für den Zugriff auf Ihren IAM-Dienst:
    1. Wählen Sie erneut im Navigationsfenster links die Option Policies (Richtlinien).
    2. Klicken Sie auf Create policy (Richtlinie anlegen).
    3. Klicken Sie auf Choose a service (Dienst wählen) und wählen Sie IAM.
    4. Erweitern Sie im Abschnitt Actions (Aktionen) die Zugriffsebene Read (Lesen) und wählen Sie die folgenden Zugriffsebenen, mit denen die Verbindung zu AWS geprüft wird, und die es Ihnen ermöglichen, eine Verbindung unter Verwendung eines IAM-Benutzers zu implementieren.
      • GetUser
      • GetPolicy
      • GetPolicyVersion
    5. Erweitern Sie im Abschnitt Actions (Aktionen) die Zugriffsebene List (Liste) und wählen Sie Folgendes:
      • ListAttachedUserPolicies (AngehängteNutzerrichtlinienAuflisten): Diese Zugriffsebene lässt eine Testverbindung zu und ermöglicht es der Inventarisierungsstation herauszufinden, welche Rollen vom Benutzer angenommen werden können, sodass die richtige Rolle angenommen werden kann und die notwendigen Berechtigungen für die Inventarisierung verfügbar sind.
      • ListGroupsForUser (GruppenFürNutzerAuflisten): Erlaubt der Inventarisierungsstation die Gruppen zu identifizieren, die dem vorgeschlagenen Benutzerkonto zugewiesen sind.
      • ListAttachedGroupPolicies (AngehängteGruppenrichtlinienAuflisten): Diese Einstellung ist Pflicht, wenn dem Benutzer mindestens eine Gruppe zugewiesen ist.
        Wichtig: Wenn dem Benutzerkonto mindestens eine Gruppe zugewiesen ist und diese Berechtigung nicht erteilt wurde, kann kein Inventar erfasst werden.
    6. Klicken Sie auf Choose a service (Dienst wählen) und wählen Sie STS.
    7. Erweitern Sie im Abschnitt Actions (Aktionen) die Zugriffsebene Write (Schreiben) und wählen Sie die Richtlinie AssumeRole.
    8. Erweitern Sie den Abschnitt Resources (Ressourcen) und fügen Sie explizit die Rollen-ARNs hinzu, indem Sie Add ARN (ARN hinzufügen) auswählen und die Kontonummer und das Konto angeben, das Sie gerade konfigurieren, sowie den Rollennamen für die Rolle, die Sie in einem späteren Schritt konfigurieren werden (der Vorschlagsname wird ListEC2ForFNMSRole sein).
      Wählen Sie auf keinen Fall die Option All Resources (Alle Ressourcen).
      Wichtig: Wenn Sie nicht den exakten ARN für die Rolle hinzufügen, wird der Adapter nicht in der Lage sein, vorhandene Konten zu erkennen. Daher würde keine Rolle angenommen werden.

      Beispiel: Die folgenden beiden Rollen sind unter anderen Konten vorhanden:

      • arn:aws:iam::123456789012:role/FlexeraRole
      • arn:aws:iam::210987654321:role/FlexeraRole

      Wenn Sie diese Rollen annehmen möchten, müssen Sie die exakten ARNs für die Rollen hinzufügen: arn:aws:iam::123456789012:role/FlexeraRole und arn:aws:iam::210987654321:role/FlexeraRole .

      Platzhalterzeichen funktionieren bei der Definition der Richtlinie nicht, beispielsweise arn:aws:iam::*:role/FlexeraRole.

    9. Wenn Sie über diese Verbindung Inventar von mehreren Konten erfassen möchten, wiederholen Sie die oben beschriebenen Schritte und fügen Sie alle Kontonummern und Rollennamen hinzu, die angenommen werden müssen (die Rolle auf jedem Konto werden Sie zu einem späteren Zeitpunkt anlegen).
    10. Klicken Sie auf Next: Review (Weiter: Überprüfung) und geben Sie dieser Richtlinie einen geeigneten und eindeutigen Namen (zum Beispiel ReadRolesForFNMS). Optional können Sie auch eine Beschreibung (Description) hinzufügen, um sich spätere Wartungsarbeiten zu erleichtern.
    11. Klicken Sie auf Create policy (Richtlinie anlegen).
  4. Erstellen Sie eine Rolle, die von einem IAM-Benutzer angenommen werden kann:
    1. Navigieren Sie zum IAM-Dienst.
    2. Klicken Sie im Navigationsfenster auf Roles (Rollen) und dann auf Create role (Rolle erstellen).
    3. Klicken Sie auf Another AWS account (Anderes AWS-Konto).
    4. Geben Sie im Textfeld Account ID (Konto-ID) die Konto-ID ein, die den IAM-Benutzer enthält.
    5. Markieren Sie optional das Kontrollkästchen Require external ID (Externe ID verlangen) und geben Sie eine externe ID in das Textfeld External ID (Externe ID) ein.
      • Das Einrichten einer externen ID ist optional, hat sich jedoch als vorteilhaft erwiesen, wenn eine dritte Partei diese Rolle annehmen soll.
      • Wenn Sie die Rolle auf mehreren Konten anlegen, achten Sie darauf, jedes Mal dieselbe externe ID zu verwenden.
      • Sie werden diesen Wert zu einem späteren Zeitpunkt eingeben, kopieren Sie ihn daher an eine leicht zugängliche Stelle.
    6. Klicken Sie auf Next: Permissions (Weiter: Berechtigungen).
    7. Suchen Sie die erste Richtlinie, die Sie angelegt haben (der vorgeschlagene Name war ListInventoryForFNMS), und wählen Sie sie aus.
    8. Klicken Sie auf Next: Tags (Weiter: Tags) und weisen Sie optional die Tags zu, die Sie benötigen.
    9. Klicken Sie auf Next: Review (Weiter: Überprüfung) und geben Sie dieser Rolle einen geeigneten und eindeutigen Namen (etwa ListEC2ForFNMSRole). Optional können Sie auch eine Beschreibung hinzufügen, um sich spätere Wartungsarbeiten zu erleichtern.
    10. Klicken Sie auf Create role (Rolle erstellen).
  5. Wenn Sie über eine einzige Verbindung Inventar von mehreren Konten erfassen möchten, müssen Sie Schritt 2 – Erstellen der Richtlinie für den Zugriff auf Ihre EC2- und RDS-Dienste und Schritt 4 – Erstellen einer Rolle, die von einem IAM-Benutzer angenommen werden kann auf allen Konten wiederholen, von denen Sie Inventar erfassen möchten.
    Tipp: Sie brauchen Schritt 3 nicht auf allen Konten zu wiederholen, da dieser nur für das erste Konto durchgeführt werden muss, auf dem der IAM-Benutzer angelegt wird.
  6. Legen Sie das IAM-Benutzerkonto an, das Daten nach Zeitplan erfassen wird:
    1. Klicken Sie im Navigationsfenster links auf Users (Benutzer) und dann auf Add user (Benutzer hinzufügen).
    2. Vergeben Sie im Feld User name (Benutzername) einen Namen für das Konto (zum Beispiel FNMSBenutzer).
    3. Markieren Sie für den Zugriffstyp (Access type) das Kontrollkästchen Programmatic access (Programmatischer Zugriff).
    4. Klicken Sie auf Next: Permissions (Weiter: Berechtigungen).
    5. Klicken Sie im Bereich Set Permissions (Berechtigungen festlegen) auf Attach policies (Richtlinien anhängen).
      Wichtig: Achten Sie darauf, nur auf die Schaltfläche Attach policies (Richtlinien anhängen) zu klicken. Klicken Sie nicht auf den Link Add inline policy (Inline-Richtlinie hinzufügen). Inline-Richtlinien werden für den Connector nicht unterstützt und wenn Sie die Inline-Option auswählen, kann kein Inventar erfasst werden.
    6. Suchen Sie die Richtlinie, die Sie zuvor angelegt haben (der vorgeschlagene Name war ReadRolesForFNMS), und wählen Sie sie aus.
    7. Klicken Sie auf Review (Überprüfen) und prüfen Sie Ihre Einstellungen.
    8. Klicken Sie auf Create user (Benutzer anlegen).

      Die AWS-Verwaltungskonsole zeigt einen Erfolgsstatus (Success) an und es werden der Zugriffsschlüssel (Access key) sowie der geheime Zugriffsschlüssel (Secret access key) für das Konto eingeblendet. Sie enthält auch eine Verknüpfung, um diese wichtigen Details in eine .csv-Datei herunterzuladen.

      Achtung: Sichern Sie diese Anmeldeinformationen unbedingt für eine spätere Verwendung. Nachdem Sie das Fenster geschlossen haben, gibt es keine Möglichkeit, erneut auf den Secret access key (geheimen Zugriffsschlüssel) zuzugreifen. Kopieren Sie ihn auf dieser Seite und speichern Sie ihn für den Rest dieses Vorgangs. Heben Sie aber auch unbedingt die .csv-Datei auf.

    9. Laden Sie die .csv-Datei mit der Access key ID (ID des Zugriffsschlüssels) und dem Secret access key (geheimen Zugriffsschlüssel) für das Konto herunter und speichern Sie sie an einem sicheren Ort.
  7. Melden Sie sich als Administrator bei FlexNet Beacon an und bestätigen Sie den Zeitplan für die Datenerfassung von AWS.
    Einige Daten auf AWS sind vergänglich: eine beendete Instanz verschwindet zum Beispiel innerhalb von einer Stunde, nachdem Sie diese Entscheidung implementiert haben. Einige Lizenzen (wie IBM PVU) verlangen außerdem, dass Sie spätestens alle 30 Minuten den Spitzenverbrauch messen. Unter anderem aus diesem Grund ist es empfohlene Praxis, alle 30 Minuten eine Datenerfassung von AWS zu planen. Zu diesem Zweck gibt es auf der Seite Data collection > Scheduling (Datenerfassung > Terminplanung) von FlexNet Beacon den Standardzeitplan AWS imports (AWS-Importe). Wenn Sie Grund haben, die Voreinstellung zu ändern, ist es besser, den Zeitplan zu ändern, bevor Sie die Verbindung einrichten. Sehen Sie unter Ändern eines Zeitplans nach, wenn Sie Hilfe benötigen.
    Tipp: Ändern Sie nicht den Namen des Zeitplans, damit er automatisch mit Ihrer AWS EC2-Verbindung verknüpft werden kann. (Wenn Sie den Namen des Zeitplans versehentlich ändern, wird der Standardzeitplan mit dem Standardnamen bei der nächsten Überprüfung der Richtlinie automatisch wiederhergestellt.)
  8. So konfigurieren Sie die Verbindung zu AWS:
    1. Wählen Sie auf der Benutzeroberfläche von FlexNet Beacon die Seite Inventory Systems (Inventarisierungssysteme) aus.
    2. Klicken Sie zum Anlegen einer neuen Verbindung auf der rechten Seite der geteilten Schaltfläche New (Neu) auf den Abwärtspfeil, und wählen Sie die Option PowerShell.
      Tipp: Sie können auch eine zuvor definierte Verbindung ändern, indem Sie diese aus der Verbindungsliste auswählen und auf Edit... (Bearbeiten) klicken.
    3. Füllen Sie im eingeblendeten Dialog die folgenden Pflichtfelder aus (bzw. ändern Sie diese):
      • Geben Sie im Textfeld Connection Name (Verbindungsname) einen Namen für diese Inventarisierung ein. Dieser wird zum Namen der Datenimportaufgabe in IT-Asset-Management.
      • Wählen Sie aus der Liste Source Type (Quelltyp) die Option Amazon Web Services aus.
      • Fügen Sie in den Text für den Zugriffsschlüssel (Access Key) den Zugriffsschlüsselwert ein, den Sie aus der .csv-Datei mit den Anmeldeinformationen kopieren können, die Sie von AWS heruntergeladen haben.
      • Fügen Sie in das Textfeld für den geheimen Zugriffsschlüssel (Secret Access Key) den Wert für den geheimen Zugriffsschlüssel ein, den Sie aus der heruntergeladenen .csv-Datei kopieren können.
      • Wenn Sie beim Anlegen der Rolle eine externe ID konfiguriert haben, kopieren Sie diese ID und fügen Sie sie hier in das Textfeld External ID (Externe ID) ein.
    4. Wenn zwischen der Inventarisierungsstation und AWS ein Proxy-Server im Einsatz ist, markieren Sie außerdem das Kontrollkästchen Use Proxy (Proxy verwenden) und füllen Sie die folgenden zusätzlichen Felder aus:
      • Proxy Server: Geben Sie die Adresse des Proxyservers unter Verwendung von HTTP, HTTPS oder einer IP-Adresse an. Verwenden Sie das Format https://ProxyServerURL:PortNumber, http://ProxyServerURL:PortNumber oder IPAddress:PortNumber). Wird das Protokoll übersprungen, wird standardmäßig http: eingestellt. Wird die Portnummer übersprungen, wird standardmäßig :80 für http bzw. 443 für https eingestellt.
      • Username (Benutzername) und Password (Kennwort:): Wenn Ihr Unternehmen einen authentifizierten Proxy verwendet, geben Sie die Anmeldeinformationen für den Zugriff auf den Proxy an, den Sie gerade festgelegt haben.
    5. Klicken Sie auf Test Connection (Verbindung testen).
      • Wenn Sie die Meldung Test connection failed (Verbindungstest fehlgeschlagen) erhalten, klicken Sie auf OK, um die Meldung zu schließen, überprüfen und korrigieren Sie die Verbindungsdaten und testen Sie die Verbindung erneut. Sie können die Verbindungsdetails nicht speichern, wenn der Verbindungstest fehlgeschlagen ist. Wenn Sie den Verbindungstest nicht erfolgreich abschließen können, klicken Sie auf Cancel (Abbrechen), um das Hinzufügen dieser Verbindungsdaten abzubrechen, und suchen Sie sich Unterstützung.
      • Wenn die Inventarisierungsstation mit den bereitgestellten Daten erfolgreich auf die AWS-APIs zugreifen kann, wird die Meldung Database connection succeeded (Datenbankverbindung erfolgreich) angezeigt. Klicken Sie auf OK, um die Meldung zu schließen. Klicken Sie auf Save (Speichern), um die Verbindung zur Liste hinzuzufügen (oder dort zu aktualisieren).
Ihre gespeicherte Verbindung wird außerdem automatisch mit dem Zeitplan AWS imports (AWS-Importe) verknüpft (bearbeitbar auf der Seite Scheduling (Terminierung) in der Gruppe Data collection (Datenerfassung)) und die Spalte Next run (Nächste Ausführung) zeigt an, wann der nächste Import von AWS EC2 und Amazon RDS ansteht.

Wenn der nachfolgende Import nicht die erwarteten Ergebnisse bringt, schauen Sie unter Behebung von Fehlern bei Ihrer AWS-Verbindung nach.

IT-Asset-Management (Cloud)

Current