Amazon Service Catalog 启动约束 - Amazon Service Catalog
配置启动角色应用启动约束将困惑的副手添加到发射约束中验证启动约束
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Service Catalog 启动约束

启动约束指定 Amazon Identity and Access Management (IAM) 角色。最终用户启动产品时 Amazon Service Catalog 将代入此角色。IAM 角色是一个权限集合,IAM 用户或Amazon 服务可临时利用这些权限来使用Amazon 服务。有关介绍性示例,请参阅第 6 步:添加启动约束以分配一个IAM角色

启动限制适用于产品组合中的产品(产品组合关联)。启动约束不适用于产品组合级别或跨所有产品应用于某个产品。要将启动约束与产品组合中的所有产品相关联,您必须将启动约束分别应用于每个产品。

如果没有启动约束,最终用户必须使用自己的 IAM 凭证启动和管理产品。为此,他们必须具有访问Amazon 的权限 CloudFormation、商品使用的亚马逊服务和亚马逊Service Catalog。通过使用启动角色,您可改为将最终用户的权限限限定为他们对该产品所需的最小权限。有关最终用户权限的更多信息,请参阅Amazon Service Catalog 中的身份和

要创建和分配 IAM 角色,您必须具有以下 IAM 管理权限:

  • iam:CreateRole

  • iam:PutRolePolicy

  • iam:PassRole

  • iam:Get*

  • iam:List*

配置启动角色

您向产品分配的作为启动约束的 IAM 角色必须具有使用以下项的权限:

  • Amazon CloudFormation

  • 中的服务Amazon CloudFormation产品的模板

  • 对 Amazon CloudFormation 中的 Amazon S3 模板的读访问权限

IAM 角色的信任策略必须允许Service Catalog 代入此角色。在下面的过程中,信任策略将在您选择Amazon Service Catalog作为角色类型。如果您未使用控制台,请参阅 “为创建信任策略Amazon代入角色的服务”如何将信任策略与 IAM 角色配合使用.

创建启动角色

  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 选择 Roles(角色)。

  3. 选择 Create New Role

  4. 输入角色名称并选择 Next Step

  5. UNDERAmazon服务角色旁边Amazon Service Catalog,选择Select.

  6. Attach Policy 页面上,选择 Next Step

  7. 要创建角色,请选择 Create Role

将策略附加到新角色

  1. 选择您创建的角色以查看角色详细信息页面。

  2. 选择 Permissions 选项卡,展开 Inline Policies 部分。然后选择 click here

  3. 选择 Custom Policy,然后选择 Select

  4. 输入策略的名称,然后将以下内容粘贴到 Policy Document 编辑器中:

      "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObject"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "s3:ExistingObjectTag/servicecatalog:provisioning":"true"
            }
         }
      }
   ]
}
    注意

    为启动约束配置启动角色时,必须使用以下字符串:"s3:ExistingObjectTag/servicecatalog:provisioning":"true".

  5. 为产品使用的每个额外服务的策略添加一个行。例如,要为 Amazon Relational Database Service e(Amazon RDS)的权限,请在Actionlist,然后添加以下行:

    "rds:*"

  6. 选择 Apply Policy

应用启动约束

配置启动角色后,将角色作为启动约束分配给产品。此操作告Service Catalog 在最终用户启动产品时代入角色。

将角色分配给产品

  1. 从打开 Amazon Service Catalog 控制台https://console.amazonaws.cn/servicecatalog/.

  2. 选择包含产品的产品组合。

  3. 选择 Constraints (约束) 选项卡并选择 Create constraint (创建约束)

  4. 从中选择产品产品然后选择启动Constraint type. 选择 Continue(继续)。

  5. 启动约束部分,您可以从自己的账户中选择 IAM 角色,输入 IAM 角色 ARN 或输入角色名称。

    如果您指定角色名称,并且账户使用启动约束,账户将为 IAM 角色使用该名称。通过这种方法,启动角色约束与账户无关,因此您可以为每个共享账户创建更少的资源。

    注意

    在创建启动约束的账户中,以及使用此启动约束启动产品的用户的账户中,都必须存在给定的角色名称。

  6. 指定 IAM 角色后,选择 Create (创建)

将困惑的副手添加到发射约束中

Amazon Service Catalog支持混淆代理问题保护使用代入角色请求运行的 API。添加启动约束时,您可以使用限制启动角色的访问权限sourceAccountsourceArn启动角色信任策略中的条件。它可确保启动角色由受信任的来源调用。

在下面的示例中,Amazon Service Catalog最终用户属于账户 111111111111。当Amazon Service Catalog管理员创建一个LaunchConstraint对于产品, 最终用户可以在启动角色信任策略中指定以下条件, 以将代入角色限制为账户 111111111111。

"Condition":{
   "ArnLike":{
      "aws:SourceArn":"arn:aws:servicecatalog:us-east-1:111111111111:*"
   },
   "StringEquals":{
      "aws:SourceAccount":"111111111111"
   }
  
}

在预配产品时使用LaunchConstraint必须有相同的AccountId(11111111111111)。否则,操作将失败并显示AccessDenied错误,防止启动角色滥用。

以下Amazon Service Catalog保护混淆副手的 API:

  • LaunchConstraint

  • ProvisionProduct

  • UpdateProvisionedProduct

  • TerminateProvisionedProduct

  • ExecuteProvisionedProductServiceAction

  • CreateProvisionedProductPlan

  • ExecuteProvisionedProductPlan

这些区域有:sourceArn 保护Amazon Service Catalog仅支持模板化的 ARN,例如”arn:<aws-partition>:servicecatalog:<region>:<accountId>:“它不支持特定的资源 ARN。

验证启动约束

要确认 Amazon Service Catalog 使用角色启动产品并成功预配置产品,请从Amazon Service Catalog 启动产品。要在将约束发布给用户前对其进行测试,请创建包含相同产品的测试产品组合,并使用该产品组合测试约束。

启动产品

  1. 在 Amazon Service Catalog (服务目录) 的菜单中Service Catalog最终用户.

  2. 选择产品以打开产品详细信息页. 在启动选项表中,确认角色的 Amazon 资源名称 (ARN)。

  3. 选择启动产品.

  4. 继续执行启动步骤,填入任何所需信息。

  5. 确认产品已成功启动。