Amazon Service Catalog 启动约束 - Amazon Service Catalog
配置启动角色应用启动约束确认启动约束
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Service Catalog 启动约束

启动约束指定 Amazon Identity and Access Management (IAM) 角色,最终用户启动产品时,Amazon Service Catalog 将代入此角色。IAM 角色是一个权限集合,IAM 用户或 Amazon 服务可临时代入这些权限来使用 Amazon 服务。有关介绍性示例,请参阅第 6 步:添加启动约束以分配IAM角色

发布限制适用于产品组合中的产品(产品组合关联)。启动约束并不适用于产品组合级别或跨所有产品组合适用于某个产品。要将启动约束与产品组合中的所有产品相关联,您必须将启动约束分别应用于每个产品。

如果没有启动约束,最终用户必须使用自己的 IAM 凭证启动和管理产品。为此,他们必须具有 Amazon CloudFormation、产品所使用的 Amazon 服务和 Amazon Service Catalog 的权限。通过使用启动角色,您可改为将最终用户的权限限定为他们对该产品所需的最小权限。有关最终用户权限的更多信息,请参阅Amazon Service Catalog 中的 Identity and Access Management

要创建和分配 IAM 角色,您必须具有以下 IAM 管理权限:

  • iam:CreateRole

  • iam:PutRolePolicy

  • iam:PassRole

  • iam:Get*

  • iam:List*

配置启动角色

您向产品分配的作为启动约束的 IAM 角色必须具有使用以下项的权限:

  • Amazon CloudFormation

  • 中的服务Amazon CloudFormation产品的模板

  • 对 Amazon CloudFormation 中的 Amazon S3 模板的读访问权限

这些区域有:IAM此外,角色还必须与具有信任关系。Amazon Service Catalog,您可以通过选择选择来分配Amazon Service Catalog作为以下过程中的角色类型。信任关系使得 Amazon Service Catalog 能够在启动过程中代入此角色来创建资源。

注意

无法在启动角色中分配 servicecatalog:ProvisionProductservicecatalog:TerminateProductservicecatalog:UpdateProduct 权限。您必须使用IAM角色,如章节中的内联策略步骤所示向亚马逊 Service Catalog 最终用户授予权限。

创建启动角色

  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 选择 Roles(角色)。

  3. 选择 Create New Role

  4. 输入角色名称并选择 Next Step

  5. UNDERAmazon服务角色下一步:Amazon Service Catalog,选择Select.

  6. Attach Policy 页面上,选择 Next Step

  7. 要创建角色,请选择 Create Role

将策略附加到新角色

  1. 选择您创建的角色以查看角色详细信息页面。

  2. 选择 Permissions 选项卡,展开 Inline Policies 部分。然后选择 click here

  3. 选择 Custom Policy,然后选择 Select

  4. 输入策略的名称,然后将以下内容粘贴到 Policy Document 编辑器中:

      "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObject"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "s3:ExistingObjectTag/servicecatalog:provisioning":"true"
            }
         }
      }
   ]
}
    注意

    为启动约束配置启动角色时,必须使用以下字符串:"s3:ExistingObjectTag/servicecatalog:provisioning":"true".

  5. 为产品使用的每个额外服务的策略添加一个行。例如,要为 Amazon Relational Database Service (Amazon RDS) 添加权限,请在Action列表,然后添加以下行:

    "rds:*"

  6. 选择 Apply Policy

应用启动约束

在配置启动角色后,将角色作为启动约束分配给产品。此操作将告知 Amazon Service Catalog 在最终用户启动产品时代入角色。

将角色分配给产品

  1. 在处打开 Amazon Service Catalog 控制台https://console.amazonaws.cn/servicecatalog/.

  2. 选择包含产品的产品组合。

  3. 选择 Constraints (约束) 选项卡并选择 Create constraint (创建约束)

  4. 从中选择产品产品然后选择启动Constraint type. 选择 Continue (继续)

  5. 启动约束在部分,您可以从自己的账户中选择 IAM 角色并输入 IAM 角色 ARN 或输入角色名称。

    如果您指定角色名称,并且账户使用启动约束,账户将使用该名称作为 IAM 角色。这种方法允许启动角色约束与账户无关,因此您可以为每个共享账户创建更少的资源。

    注意

    在创建启动约束的账户中,以及使用此启动约束启动产品的用户的账户中,都必须存在给定的角色名称。

  6. 指定 IAM 角色后,选择 Create (创建)

确认启动约束

要确认 Amazon Service Catalog 使用角色启动产品并成功配置产品,请从 Amazon Service Catalog 控制台启动产品。要在将约束发布给用户前对其进行测试,请创建包含相同产品的测试产品组合,并使用该产品组合测试约束。

启动产品

  1. 在 Amazon Service Catalog 控制台的菜单中,选择Service Catalog最终用户.

  2. 选择产品以打开产品详细信息页. 在启动选项表中,确认是否显示角色的 Amazon 资源名称 (ARN)。

  3. 选择启动产品.

  4. 继续执行启动步骤,填入任何所需信息。

  5. 确认产品已成功启动。