亚马逊 Service Catalog 启动限制 - Amazon Service Catalog
配置启动角色应用启动约束验证启动约束
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊 Service Catalog 启动限制

启动约束指定 Amazon Identity and Access Management (IAM) 角色,最终用户启动产品时 Amazon Service Catalog 将代入此角色。IAM 角色是一个权限集合,IAM 用户或 Amazon 服务可临时利用这些权限来使用亚马逊服务。有关介绍性示例,请参阅第 6 步:添加启动约束以分配 IAM 角色

启动约束适用于产品组合中的产品(产品组合关联)。启动约束不适用于产品组合级别或跨所有产品组合适用于某个产品。要将启动约束与产品组合中的所有产品相关联,您必须将启动约束分别应用于每个产品。

如果没有启动约束,最终用户必须使用自己的 IAM 凭证启动和管理产品。为此,他们必须具有针对亚马逊 CloudFormation、产品所使用的亚马逊服务和亚马逊 Service Catalog 的权限。通过使用启动角色,您可改为将最终用户的权限限定为他们对该产品所需的最小权限。有关最终用户权限的更多信息,请参阅Amazon Service Catalog 中的 Identity and Access Management

要创建和分配 IAM 角色,您必须具有以下 IAM 管理权限:

  • iam:CreateRole

  • iam:PutRolePolicy

  • iam:PassRole

  • iam:Get*

  • iam:List*

配置启动角色

您向产品分配的作为启动约束的 IAM 角色必须具有使用以下项的权限:

  • Amazon CloudFormation

  • Amazon CloudFormation 模板中的商品服务

  • 读取 Amazon S3 中的 Amazon CloudFormation 模板的访问权限

IAM 角色还必须与 Amazon Service Catalog 具有信任关系,您将通过选择Amazon Service Catalog作为以下过程中的角色类型。信任关系使得 Amazon Service Catalog 能够在启动过程中代入此角色来创建资源。

注意

无法在启动角色中分配 servicecatalog:ProvisionProductservicecatalog:TerminateProductservicecatalog:UpdateProduct 权限。您必须使用 IAM 角色,如章节中的内联策略步骤所示向亚马逊 Service Catalog 最终用户授予权限。

创建启动角色

  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 选择 Roles (角色)

  3. 选择 Create New Role

  4. 输入角色名称并选择 Next Step

  5. AWS Service Catalog 旁边的 AWS Service Roles 下,选择 Select

  6. Attach Policy 页面上,选择 Next Step

  7. 要创建角色,请选择 Create Role

将策略附加到新角色

  1. 选择您创建的角色以查看角色详细信息页面。

  2. 选择 Permissions 选项卡,展开 Inline Policies 部分。然后选择 click here

  3. 选择 Custom Policy,然后选择 Select

  4. 输入策略的名称,然后将以下内容粘贴到 Policy Document 编辑器中: 

      "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObject"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "s3:ExistingObjectTag/servicecatalog:provisioning":"true"
            }
         }
      }
   ]
}

  5. 为产品使用的每个额外服务的策略添加一个行。例如,要为 Amazon Relational Database Service (Amazon RDS) 添加权限,请在Action列表,然后添加以下行: 

    "rds:*"

  6. 选择 Apply Policy

应用启动约束

在配置启动角色后,将角色作为启动约束分配给产品。此操作将告知 Amazon Service Catalog 在最终用户启动产品时代入角色。

将角色分配给产品

  1. 从打开 Amazon Service Catalog 控制台https://console.amazonaws.cn/servicecatalog/

  2. 选择包含产品的产品组合。

  3. 选择 Constraints (约束) 选项卡并选择 Create constraint (创建约束)

  4. 从选择产品产品,然后选择启动Constraint type。选择 Continue (继续)

  5. 启动约束部分中,您可以从自己的账户中选择 IAM 角色,然后输入 IAM 角色 ARN 或输入角色名称。

    如果您指定角色名称,并且账户使用启动约束,账户将使用 IAM 角色的名称。此方法使得启动角色约束与账户无关,因此您可以为每个共享账户创建更少的资源。

    注意

    在创建启动约束的账户中,以及使用此启动约束启动产品的用户的账户中,都必须存在给定的角色名称。

  6. 指定 IAM 角色后,选择 Create (创建)

验证启动约束

要确认亚马逊 Service Catalog 使用角色启动产品并成功配置产品,请从亚马逊 Service Catalog 控制台启动产品。要在将约束发布给用户前对其进行测试,请创建包含相同产品的测试产品组合,并使用该产品组合测试约束。

启动产品

  1. 在 Amazon Service Catalog 控制台的菜单中,选择Service Catalog最终用户

  2. 选择产品以打开产品详细信息页. 在启动选项表中,验证已显示角色的 Amazon 资源名称 (ARN)。

  3. 选择启动产品

  4. 继续执行启动步骤,填入任何所需信息。

  5. 确认产品已成功启动。