共享产品组合 - Amazon Service Catalog
A ccount-to-account 分享与 Amazon Organizations 共享共享作品集 TagOptions 时共享共享产品组合时共享主体名称
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

共享产品组合

要使其他Amazon账户的Amazon Service Catalog管理员能够将您的产品分发给最终用户,请使用共享或与他们 account-to-account 共享您的产品Amazon Service Catalog组合Amazon Organizations。

当您使用共享或 Organizations account-to-account 共享作品集时,您就是在共享该作品集的引用。导入的产品组合中产品和约束与您对共享的产品组合(共享的原始产品组合)进行的更改保持同步。

收件人不能更改产品或约束,但可以为最终用户添加 Amazon Identity and Access Management 访问权限。

注意

您无法共享已共享的资源。这包括含有共享产品的产品组合。

A ccount-to-account 分享

要完成这些步骤,您必须获得目标 Amazon 账户的账户 ID。您可以在目标账户 Amazon Web Services Management Console 的我的账户页面上找到此 ID。

与 Amazon 账户共享产品组合

  1. 通过以下网址打开 Service Catalog 控制台:https://console.aws.amazon.com/servicecatalog/

  2. 在左侧导航菜单中,选择产品组合,然后选择要共享的产品组合。在操作菜单中,选择共享

  3. 输入账户 ID 中,输入您要与之共享的 Amazon 账户的账户 ID。(可选)选择TagOption 共享。然后选择共享

  4. 将 URL 发送到目标账户的 Amazon Service Catalog 管理员。URL 将打开导入产品组合页面,并会自动提供共享产品组合的 ARN。

导入产品组合

如果其他 Amazon 账户的 Amazon Service Catalog 管理员与您共享了产品组合,将该产品组合导入到您的账户,以便将其产品分发给您的最终用户。

如果产品组合是通过 Amazon Organizations 共享的,则无需导入产品组合。

要导入产品组合,您必须从管理员处获取产品 ID。

要查看所有导入的产品组合,请打开 Amazon Service Catalog 控制台,网址为 https://console.aws.amazon.com/servicecatalog/。在产品组合页面上,选择已导入选项卡。查看导入的产品组合表。

与 Amazon Organizations 共享

您可以使用 Amazon Organizations 共享 Amazon Service Catalog 产品组合。

首先,您必须决定是从管理账户还是从委托管理员账户进行共享。如果您不想从管理账户进行共享,请注册一个委托管理员账户并使用它进行共享。有关更多信息,请参阅《Amazon CloudFormation 用户指南》中的注册委托管理员

接下来,您必须决定与谁共享。您可以与以下实体共享:

  • 组织账户。

  • 组织部门 (OU)。

  • 组织本身。(这将与组织中的每个账户共享。)

从管理账户共享

当使用组织结构或输入组织节点的 ID 时,您可以与组织共享产品组合。

使用组织结构与组织共享产品组合

  1. 打开 Amazon Service Catalog 控制台:https://console.aws.amazon.com/servicequotas/

  2. 产品组合页面上,选择要共享的产品组合。在操作菜单中,选择共享

  3. 选择 Amazon Organizations 并筛选到您的组织结构。

    您可以选择根节点与整个组织、父级组织单位 (OU)、子组织单位或 Amazon 账户共享产品组合。

    共享给父级组织单位会将此产品组合共享给该父级组织单位中的所有账户和子组织单位。

    您可以选择仅查看 Amazon 账户” 以查看组织中所有 Amazon 账户的列表。

要通过输入组织节点的 ID与组织共享投资组合

  1. 打开 Amazon Service Catalog 控制台:https://console.aws.amazon.com/servicequotas/

  2. 产品组合页面上,选择要共享的产品组合。在操作菜单中,选择共享

  3. 选择组织节点

    选择与整个组织、组织内的 Amazon 账户或 OU 共享。

    输入您选择的组织节点的 ID,您可以在 Amazon Organizations 控制台中找到此 ID:https://console.aws.amazon.com/organizations/

从委托管理员账户共享

组织的管理账户可以将其他账户注册为组织的委托管理员,也可取消注册。

委托管理员可以像管理账户一样在其组织中共享 Amazon Service Catalog 资源。他们有权创建、删除和共享产品组合。

要注册或取消注册委托管理员,您必须从管理账户中使用 API 或 CLI。有关更多信息,请参阅《Amazon Organizations API 参考》中的 RegisterDelegatedAdministratorDeregisterDelegatedAdministrator

注意

管理员必须先致电 EnableAWSOrganizationsAccess,然后才能指定委托 。

从委托管理员账户共享产品组合的过程与从管理账户共享相同,如 从管理账户共享 中上述所示。

如果某个成员被取消注册为委托管理员,则会发生以下情况:

  • 从该账户创建的产品组合共享将被删除。

  • 他们不能再创建新的产品组合共享。

注意

如果取消注册委托管理员后,委托管理员创建的产品组合和共享未被删除,请重新注册并取消注册委托管理员。此操作将删除由该账户创建的产品组合和共享。

在组织内移动账户

如果您在组织内移动账户,则与该账户共享的 Amazon Service Catalog 产品组合可能会发生更改。

账户只能访问与其目标组织或组织单位共享的产品组合。

共享作品集 TagOptions 时共享

作为管理员,您可以创建要包含的共享 TagOptions。 TagOptions 是键值对,使管理员能够:

  • 定义并强制执行标签分类法。

  • 定义标签选项并将其与产品和产品组合相关联。

  • 与其他账户共享与产品组合和产品关联的标签选项。

当您在主账户中添加或删除标签选项时,更改会自动显示在收件人账户中。在收款人账户中,当最终用户使用配置产品时 TagOptions,他们必须为标签选择值,这些标签将成为预配置产品上的标签。

在收款人账户中,管理员可以将其他本地账户关联 TagOptions 到其导入的投资组合,以强制执行特定于该账户的标记规则。

注意

要共享投资组合,您需要消费端的 Amazon 账户 ID。在控制台的我的账户中找到 Amazon 账户 ID。

注意

如果 a TagOption 只有一个值,则会在置备过程中Amazon自动强制使用该值。

共享作品集 TagOptions 时共享

  1. 从左侧导航菜单中,选择产品组合

  2. 本地产品组合中,选择并打开产品组合。

  3. 从上方的列表中选择共享,然后选择共享按钮。

  4. 选择与其他 Amazon 账户或组织共享。

  5. 输入 12 位的账户 ID 号,选择启用,然后选择共享

    您共享的账户显示在与之共享的账户部分中。它表示是否 TagOptions 已启用。

您也可以更新投资组合份额以包含在内 TagOptions。现在 TagOptions ,所有属于产品组合和产品的产品都将共享到该账户。

更新投资组合份额以包括 TagOptions

  1. 从左侧导航菜单中,选择产品组合

  2. 本地投资组合中,选择并打开投资组合。

  3. 从上方的列表中选择共享

  4. 与之共享的账户中,选择账户 ID,然后选择操作

  5. 选择更新取消共享取消共享

    选择 “更新取消共享” 时,选择 “启用” 以启动共享 TagOptions。您共享的账户显示在与之共享的账户部分中。

    选择取消共享时,请确认您不想再共享该账户。

共享产品组合时共享主体名称

作为管理员,您可以创建包含主体名称的产品组合共享。主体名称是群组、角色和用户的名称,管理员可以在产品组合中指定这些名称,然后与产品组合共享。当您共享产品组合时,Amazon Service Catalog 会验证这些主体名称是否已经存在。如果确实存在,则 Amazon Service Catalog 自动关联匹配的 IAM 主体和共享产品组合以向用户授予访问权限。

注意

当您将主体与产品组合相关联时,当该产品组合随后与其他账户共享时,可能会出现潜在的权限提升路径。对于收件人账户中不是 Amazon Service Catalog 管理员但仍能创建主体(用户/角色)的用户,该用户可以创建与产品组合的主体名称关联相匹配的 IAM 主体。尽管此用户可能不知道通过 Amazon Service Catalog 关联了哪些主体名称,但他们可以猜出用户。如果这种潜在的提升路径是一个问题,则 Amazon Service Catalog 建议使用 PrincipalType 作为 IAM。使用此配置,PrincipalARN 必须先存在于收件人账户中,然后才能将其关联。

当您在主账户中添加或删除主体名称时,Amazon Service Catalog 会自动将这些更改应用到收件人账户中。然后,收件人账户中的用户可以根据其角色执行任务:

  • 最终用户可以预配置、更新和终止产品组合的产品。

  • 管理员可以将其他 IAM 主体关联到其导入的产品组合,以向特定于该账户的最终用户授予访问权限。

注意

主体名称共享仅对 Amazon Organizations 可用。

要在共享产品组合时共享主体名称

  1. 从左侧导航菜单中,选择产品组合

  2. 本地产品组合中,选择要共享的产品组合。

  3. 操作菜单中,选择共享

  4. 在 Amazon Organizations 中选择一个组织。

  5. 选择整个组织根目录组织单位 (OU)组织成员

  6. 共享设置中,启用主体共享选项。

您也可以更新产品组合共享,使其包含主体名称共享。这会与收件人账户共享属于该产品组合的所有主体名称。

要更新投资组合共享以启用或禁用主体名称

  1. 从左侧导航菜单中,选择产品组合

  2. 本地产品组合中,选择要更新的产品组合。

  3. 选择共享 选项卡。

  4. 选择要更新的共享,然后选择共享

  5. 选择 更新共享,然后选择启用以启动中体共享。然后 Amazon Service Catalog 会在收件人账户中共享主体名称。

如果您想停止与收件人账户共享主体名称,请禁用委托人共享。

在共享主体名称时使用通配符

Amazon Service Catalog 支持使用通配符(例如 “*” 或 “?”)向 IAM 主体(用户、群组或角色)名称授予产品组合访问权限。使用通配符模式可以同时覆盖多个 IAM 主体名称。ARN 路径和主体名称允许使用无限制通配符。

可接受的通配符 ARN 示例:

  • arn:aws:iam:::role/ResourceName_*

  • arn:aws:iam:::role/*/ResourceName_?

不可接受的通配符 ARN 示例:

  • arn:aws:iam:::*/ResourceName

在 IAM 主体 ARN 格式 (arn:partition:iam:::resource-type/resource-path/resource-name) 中,有效值包括用户/组/角色/。“?”和“*”只能在 resource-id 段中的 resource-type 后使用。您可以在 resource-id 中的任何位置使用特殊字符。

“*”字符还与“/”字符匹配,从而允许在 resource-id 形成路径。例如:

arn:aws:iam:::role/*/ResourceName_? 匹配 arn:aws:iam:::role/pathA/pathB/ResourceName_1arn:aws:iam:::role/pathA/ResourceName_1