本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Identity and Access Management Amazon Service Catalog 身份和访问管理 访问 Amazon Service Catalog 需要凭证。这些证书必须具有访问 Amazon 资源(例如产品 Amazon Service Catalog 组合或产品)的权限。 Amazon Service Catalog 与 Amazon Identity and Access Management (IAM) 集成,使您能够向 Amazon Service Catalog 管理员授予他们创建和管理产品所需的权限,并授予 Amazon Service Catalog 最终用户启动产品和管理预配置产品所需的权限。这些策略可以由 Amazon 管理员和最终用户创建和管理,也可以由管理员和最终用户单独创建和管理。要控制访问权限,您需要将这些策略附加到用于 Amazon Service Catalog的用户、组和角色。 ## 受众 您*通过* Amazon Identity and Access Management (IAM)拥有的权限可能取决于您在 Amazon Service Catalog中所扮演的角色。 您*通过* Amazon Identity and Access Management (IAM)拥有的权限可能取决于您在 Amazon Service Catalog中所扮演的角色。 **管理员**-作为 Amazon Service Catalog 管理员,您需要拥有管理员控制台的完全访问权限和 IAM 权限,这样您才能执行诸如创建和管理产品组合和产品、管理限制以及向最终用户授予访问权限之类的任务。 **最终用户**-在您的最终用户可以使用您的产品之前,您需要向他们授予访问 Amazon Service Catalog 最终用户控制台的权限。他们还可以拥有启动产品和管理预配置产品的权限。 **IAM 管理员** – 如果您是 IAM 管理员,您可能希望了解如何编写策略以管理对 Amazon Service Catalog的访问权限的详细信息。要查看您可以在 IAM 中使用的 Amazon Service Catalog 基于身份的策略示例,请参阅。[Amazon 的托管策略 Amazon Service Catalog AppRegistry](security-iam-awsmanpol.md) # 基于身份的策略示例 Amazon Service Catalog **Topics** + [ ## 最终用户的控制台访问权限 ](#permissions-end-users-console) + [ ## 最终用户的产品访问权限 ](#permissions-end-users-product) + [ ## 管理预配置产品的示例策略 ](#example-policies) ## 最终用户的控制台访问权限 ****`AWSServiceCatalogEndUserFullAccess`**** 和 ****`AWSServiceCatalogEndUserReadOnlyAccess`**** 策略授予对 Amazon Service Catalog 最终用户控制台视图的访问权限。当拥有其中任一策略的用户 Amazon Service Catalog 在中进行选择时 Amazon Web Services 管理控制台,最终用户控制台视图将显示他们有权启动的产品。 在最终用户成功启动您授予访问权限的产品之前,您必须向他们提供其他 IAM 权限,以允许他们使用产品 Amazon CloudFormation 模板中的每个底层 Amazon 资源。 Amazon Service Catalog 例如,如果产品模板包含 Amazon Relational Database Service(Amazon RDS),则您必须向用户授予用于启动产品的 Amazon RDS 权限。 要了解如何允许最终用户启动产品,同时对 Amazon 资源实施最低访问权限,请参阅。[使用 Amazon Service Catalog 约束](constraints.md) 如果应用 **`AWSServiceCatalogEndUserReadOnlyAccess`** 策略,则您的用户将具有最终用户控制台的访问权限,但他们没有启动产品和管理预配置产品所需的权限。您可以使用 IAM 直接向最终用户授予这些权限,但是如果您想限制最终用户对 Amazon 资源的访问权限,则应将该策略附加到启动角色。然后,您可以使用 Amazon Service Catalog 将启动角色应用于产品的启动约束。有关应用启动角色、启动角色限制和示例启动角色的更多信息,请参阅[Amazon Service Catalog 启动限制](constraints-launch.md)。 **注意** 如果您向用户授予 Amazon Service Catalog 管理员的 IAM 权限,则会改为显示管理员控制台视图。除非您希望最终用户具有管理员控制台视图的访问权限,否则不要授予他们这些权限。 ## 最终用户的产品访问权限 在最终用户可以使用您授予访问权限的产品之前,您必须向他们提供其他 IAM 权限,以允许他们使用产品 Amazon CloudFormation 模板中的每个底层 Amazon 资源。例如,如果产品模板包含 Amazon Relational Database Service(Amazon RDS),则您必须向用户授予用于启动产品的 Amazon RDS 权限。 如果应用 **`AWSServiceCatalogEndUserReadOnlyAccess`** 策略,则您的用户将具有最终用户控制台视图的访问权限,但他们没有启动产品和管理预配置产品所需的权限。您可以在 IAM 中直接向最终用户授予这些权限,但是如果您想限制最终用户对 Amazon 资源的访问权限,则应将该策略附加到启动角色。然后,您可以使用 Amazon Service Catalog 将启动角色应用于产品的启动约束。有关应用启动角色、启动角色限制和示例启动角色的更多信息,请参阅[Amazon Service Catalog 启动限制](constraints-launch.md)。 ## 管理预配置产品的示例策略 示例策略 您可以创建自定义策略来帮助满足组织的安全要求。以下示例介绍如何自定义每个操作的访问级别,以提供用户、角色和账户级支持。您可以向用户授予查看、更新、终止和管理以下预配置产品的访问权限:1) 由该用户创建的预配置产品;2) 由其他用户使用该用户的角色创建的预配置产品;或 3) 由该用户登录的账户创建的预配置产品。这种访问模式是分层的 - 授予账户级访问权限时会同时授予角色级和用户级访问权限,添加角色级访问权限时会授予用户级访问权限,但不会授予账户级访问权限。您可以在策略 JSON 中使用 `Condition` 块作为 `accountLevel`、`roleLevel` 或 `userLevel` 来指定上述权限。 这些示例也适用于 Amazon Service Catalog API 写入操作的访问级别:`UpdateProvisionedProduct`和`TerminateProvisionedProduct`,以及读取操作:`DescribeRecord``ScanProvisionedProducts`、和`ListRecordHistory`。`ScanProvisionedProducts` 和 `ListRecordHistory` API 操作使用 `AccessLevelFilterKey` 作为输入,该键的值对应于此处讨论的 `Condition` 块级别 (`accountLevel` 等同于“Account”的 `AccessLevelFilterKey` 值、“Role”的 `roleLevel` 值和“User”的 `userLevel` 值)。有关更多信息,请参阅[《Service Catalog 开发人员指南》](https://docs.amazonaws.cn/servicecatalog/latest/dg/)。 **Topics** + [ ### 预配置产品的管理员完全访问权限 ](#full-admin) + [ ### 预配置产品的最终用户访问权限 ](#examples-end-user) + [ ### 预配置产品的管理员部分访问权限 ](#partial-admin) ### 预配置产品的管理员完全访问权限 下面的策略允许自由读写账户级目录中的预配置产品和记录。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicecatalog:*" ], "Resource":"*", "Condition": { "StringEquals": { "servicecatalog:accountLevel": "self" } } } ] } ``` ------ 该策略的功能等同于下面的策略: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicecatalog:*" ], "Resource":"*" } ] } ``` ------ 不在任何策略中 Amazon Service Catalog 为指定`Condition`区块被视为指定`"servicecatalog:accountLevel"`访问权限。注意,`accountLevel` 访问权限包含 `roleLevel` 和 `userLevel` 访问权限。 ### 预配置产品的最终用户访问权限 下面的策略将用户的访问权限限制为只能读写自己创建的预配置产品和关联记录。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeProduct", "servicecatalog:DescribeProductView", "servicecatalog:DescribeProvisioningParameters", "servicecatalog:DescribeRecord", "servicecatalog:ListLaunchPaths", "servicecatalog:ListRecordHistory", "servicecatalog:ProvisionProduct", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } } ] } ``` ------ ### 预配置产品的管理员部分访问权限 如果将下面的两个策略应用到同一个用户,可产生称作“管理员部分访问权限”的访问类型 - 即提供完全的只读访问和有限的写入访问。这意味着用户能够查看账户级目录中的任何预配置产品或关联记录,但无法对不归该用户所有的任何预配置产品或记录执行任何操作。 第一个策略允许用户对自己创建的预配置产品执行写入操作,但不允许对其他用户创建的预配置产品执行写入操作。第二个策略允许用户对所有用户、角色或账户创建的预配置产品执行读取操作。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeProduct", "servicecatalog:DescribeProductView", "servicecatalog:DescribeProvisioningParameters", "servicecatalog:ListLaunchPaths", "servicecatalog:ProvisionProduct", "servicecatalog:SearchProducts", "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } } ] } ``` ------ ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeRecord", "servicecatalog:ListRecordHistory", "servicecatalog:ScanProvisionedProducts" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:accountLevel": "self" } } } ] } ``` ------ # Amazon 的托管策略 Amazon Service Catalog AppRegistry Amazon 托管策略 ## Amazon 托管策略:`AWSServiceCatalogAdminFullAccess` AWSServiceCatalogAdminFullAccess 您可以附加`AWSServiceCatalogAdminFullAccess`到您的 IAM 实体。 AppRegistry 还将此策略附加 AppRegistry 到允许代表您执行操作的服务角色。 此策略授予允许完全访问管理员控制台视图的*administrative*权限,并授予创建和管理产品和产品组合的权限。 **权限详细信息** 该策略包含以下权限。 + `servicecatalog`— 允许委托人拥有管理员控制台视图的全部权限,以及创建和管理产品组合和产品、管理限制、向最终用户授予访问权限以及在其中执行其他管理任务的能力。 Amazon Service Catalog + `cloudformation`— 允许列出、读取、写入和标记 Amazon CloudFormation 堆栈的 Amazon Service Catalog 完全权限。 + `config`— 允许通过 Amazon Config访问产品组合、产品和预配置产品的 Amazon Service Catalog 有限权限。 + `iam`— 允许主体拥有查看和创建创建和管理产品和产品组合所需的服务用户、用户组或角色的全部权限。 + `ssm`— Amazon Service Catalog Amazon Systems Manager 允许使用列出和阅读当前 Amazon 账户和 Amazon 区域中的 Systems Manager 文档。 查看策略:[AWSServiceCatalogAdminFullAccess](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSServiceCatalogAdminFullAccess.html)。 ## Amazon 托管策略:`AWSServiceCatalogAdminReadOnlyAccess` AWSServiceCatalogAdminReadOnlyAccess 您可以附加`AWSServiceCatalogAdminReadOnlyAccess`到您的 IAM 实体。 AppRegistry 还将此策略附加 AppRegistry 到允许代表您执行操作的服务角色。 此策略授予允许完全访问管理员控制台视图的*read-only*权限。此策略不授予创建或管理产品和产品组合的访问权限。 **权限详细信息** 该策略包含以下权限。 + `servicecatalog` — 允许主体拥有管理员控制台视图的只读权限。 + `cloudformation`— 允许列出和读取 Amazon CloudFormation 堆栈的 Amazon Service Catalog 有限权限。 + `config`— 允许通过 Amazon Config访问产品组合、产品和预配置产品的 Amazon Service Catalog 有限权限。 + `iam`— 允许主体查看创建和管理产品和产品组合所需的服务用户、组或角色的有限权限。 + `ssm`— Amazon Service Catalog Amazon Systems Manager 允许使用列出和阅读当前 Amazon 账户和 Amazon 区域中的 Systems Manager 文档。 查看策略:[AWSServiceCatalogAdminReadOnlyAccess](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSServiceCatalogAdminReadOnlyAccess.html)。 ## Amazon 托管策略:`AWSServiceCatalogEndUserFullAccess` AWSServiceCatalogEndUserFullAccess 您可以附加`AWSServiceCatalogEndUserFullAccess`到您的 IAM 实体。 AppRegistry 还将此策略附加 AppRegistry 到允许代表您执行操作的服务角色。 此策略授予允许完全访问最终用户控制台视图的*contributor*权限,并授予启动产品和管理预配置产品的权限。 **权限详细信息** 该策略包含以下权限。 + `servicecatalog` – 允许主体对最终用户控制台视图的完全权限以及启动产品和管理预配置产品的权限。 + `cloudformation`— 允许列出、读取、写入和标记 Amazon CloudFormation 堆栈的 Amazon Service Catalog 完全权限。 + `config`— 允许 Amazon Service Catalog 有限权限通过 Amazon Config列出和阅读有关产品组合、产品和预配置产品的详细信息。 + `ssm`— Amazon Service Catalog 允许使用读 Amazon Systems Manager 取当前 Amazon 账户和 Amazon 区域中的 Systems Manager 文档。 查看策略:[AWSServiceCatalogEndUserFullAccess](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserFullAccess.html)。 ## Amazon 托管策略:`AWSServiceCatalogEndUserReadOnlyAccess` AWSServiceCatalogEndUserReadOnlyAccess 您可以附加`AWSServiceCatalogEndUserReadOnlyAccess`到您的 IAM 实体。 AppRegistry 还将此策略附加 AppRegistry 到允许代表您执行操作的服务角色。 此策略授予的*read-only*权限允许对最终用户控制台视图进行只读访问。此策略不授予启动产品或管理预配置产品的权限。 **权限详细信息** 该策略包含以下权限。 + `servicecatalog`— 允许主体拥有访问最终用户控制台视图的只读权限。 + `cloudformation`— 允许列出和读取 Amazon CloudFormation 堆栈的 Amazon Service Catalog 有限权限。 + `config`— 允许 Amazon Service Catalog 有限权限通过 Amazon Config列出和阅读有关产品组合、产品和预配置产品的详细信息。 + `ssm`— Amazon Service Catalog 允许使用读 Amazon Systems Manager 取当前 Amazon 账户和 Amazon 区域中的 Systems Manager 文档。 查看策略:[AWSServiceCatalogEndUserReadOnlyAccess](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserReadOnlyAccess.html)。 ## Amazon 托管策略:`AWSServiceCatalogSyncServiceRolePolicy` AWSServiceCatalogSyncServiceRolePolicy Amazon Service Catalog 将此策略附加到`AWSServiceRoleForServiceCatalogSync`服务相关角色 (SLR),允许 Amazon Service Catalog 将外部存储库中的模板同步到 Amazon Service Catalog 产品。 此策略授予的权限允许对 Amazon Service Catalog 操作(例如,API 调用)和其他 Amazon Service Catalog 依赖的 Amazon 服务操作进行有限的访问。 **权限详细信息** 该策略包含以下权限。 + `servicecatalog`— 允许 Amazon Service Catalog 工件同步角色对 Amazon Service Catalog 公众进行有限访问 APIs。 + `codeconnections`— 允许 Amazon Service Catalog 工件同步角色对CodeConnections 公众进行有限访问 APIs。 + `cloudformation`— 允许 Amazon Service Catalog 工件同步角色对 Amazon CloudFormation 公众进行有限访问 APIs。 查看策略:[AWSServiceCatalogSyncServiceRolePolicy](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSServiceCatalogSyncServiceRolePolicy.html)。 **服务相关角色详情** Amazon Service Catalog 将上述权限详细信息用于在用户创建或更新使用的 Amazon Service Catalog CodeConnections产品时创建的`AWSServiceRoleForServiceCatalogSync`服务相关角色。您可以使用 Amazon CLI、 Amazon API 或通过 Amazon Service Catalog 控制台修改此策略。有关如何创建、编辑和删除服务相关角色的更多信息,请参阅[使用服务相关角色 (SLRs)](https://docs.amazonaws.cn/servicecatalog/latest/adminguide/using-service-linked-roles)。 Amazon Service Catalog `AWSServiceRoleForServiceCatalogSync`服务相关角色中包含的权限 Amazon Service Catalog 允许代表客户执行以下操作。 + `servicecatalog:ListProvisioningArtifacts`— 允许 Amazon Service Catalog 工件同步角色列出同步到存储库中模板文件的给定 Amazon Service Catalog 产品的配置工件。 + `servicecatalog:DescribeProductAsAdmin`— 允许 Amazon Service Catalog 工件同步角色使用 `DescribeProductAsAdmin` API 获取 Amazon Service Catalog 产品及其关联的预配置工件的详细信息,这些工件已同步到存储库中的模板文件。构件同步角色使用此调用的输出来验证产品对预配置构件的服务限额限制。 + `servicecatalog:DeleteProvisioningArtifact`— 允许 Amazon Service Catalog 工件同步角色删除已置备的对象。 + `servicecatalog:ListServiceActionsForProvisioningArtifact`— 允许 Amazon Service Catalog 对象同步角色确定服务操作是否与置备对象相关联,并确保在关联服务操作时不会删除置备对象。 + `servicecatalog:DescribeProvisioningArtifact`— 允许 Amazon Service Catalog 工件同步角色从 `DescribeProvisioningArtifact` API 中检索详细信息,包括`SourceRevisionInfo`输出中提供的提交 ID。 + `servicecatalog:CreateProvisioningArtifact`— 如果检测到外部存储库中的源模板文件发生了更改(例如,已提交 git-push),则允许工 Amazon Service Catalog 件同步角色创建新的预配置工件。 + `servicecatalog:UpdateProvisioningArtifact`— 允许 Amazon Service Catalog 工件同步角色更新已连接或已同步产品的已配置对象。 + `codeconnections:UseConnection`— 允许 Amazon Service Catalog 工件同步角色使用现有连接来更新和同步产品。 + `cloudformation:ValidateTemplate`— 允许 Amazon Service Catalog 对象同步角色的有限访问权限 Amazon CloudFormation 来验证外部存储库中使用的模板的模板格式,并验证是否 Amazon CloudFormation 可以支持该模板。 ## Amazon 托管策略:`AWSServiceCatalogOrgsDataSyncServiceRolePolicy` AWSServiceCatalogOrgsDataSyncServiceRolePolicy Amazon Service Catalog 将此策略附加到`AWSServiceRoleForServiceCatalogOrgsDataSync`服务相关角色 (SLR), Amazon Service Catalog 允许与同步。 Amazon Organizations 此策略授予的权限允许对 Amazon Service Catalog 操作(例如,API 调用)和其他 Amazon Service Catalog 依赖的 Amazon 服务操作进行有限的访问。 **权限详细信息** 该策略包含以下权限。 + `organizations`— 允许 Amazon Service Catalog 数据同步角色对 Amazon Organizations 公众进行有限访问 APIs。 查看策略:[AWSServiceCatalogOrgsDataSyncServiceRolePolicy](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSServiceCatalogOrgsDataSyncServiceRolePolicy.html)。 **服务相关角色详情** Amazon Service Catalog 将上述权限详细信息用于在用户启用 Amazon Organizations 共享产品组合访问权限或创建投资组合共享时创建的`AWSServiceRoleForServiceCatalogOrgsDataSync`服务相关角色。您可以使用 Amazon CLI、 Amazon API 或通过 Amazon Service Catalog 控制台修改此策略。有关如何创建、编辑和删除服务相关角色的更多信息,请参阅[使用服务相关角色 (SLRs)](https://docs.amazonaws.cn/servicecatalog/latest/adminguide/using-service-linked-roles)。 Amazon Service Catalog `AWSServiceRoleForServiceCatalogOrgsDataSync`服务相关角色中包含的权限 Amazon Service Catalog 允许代表客户执行以下操作。 + `organizations:DescribeAccount`— 允许 Or Amazon Service Catalog ganizations 数据同步角色检索有关指定账户的 Amazon Organizations相关信息。 + `organizations:DescribeOrganization`— 允许 Organizations Data Sync 角色检索有关用户帐户所属组织的信息。 Amazon Service Catalog + `organizations:ListAccounts`— 允许 Organizations Data Sync 角色列出用户组织中的帐户。 Amazon Service Catalog + `organizations:ListChildren`— 允许 Amazon Service Catalog Organizations Data Sync 角色列出包含在指定父组织单位或根目录中的所有组织单位 (UOs) 或帐户。 + `organizations:ListParents`— 允许 Organizations Data Sync 角色列出根目录或 OUs 充当指定子 Amazon Service Catalog 组织单位或账户的直系父级。 + `organizations:ListAWSServiceAccessForOrganization`— 允许 Amazon Service Catalog Organizations Data Sync 角色检索用户允许与其组织集成的 Amazon 服务列表。 ## 已弃用的策略 以下托管策略已弃用: + **ServiceCatalogAdminFullAccess**— **AWSServiceCatalogAdminFullAccess**改用。 + **ServiceCatalogAdminReadOnlyAccess**— **AWSServiceCatalogAdminReadOnlyAccess**改用。 + **ServiceCatalogEndUserFullAccess**— **AWSServiceCatalogEndUserFullAccess**改用。 + **ServiceCatalogEndUserAccess**— **AWSServiceCatalogEndUserReadOnlyAccess**改用。 使用以下过程可确保管理员和最终用户获得使用当前策略的权限。 要从已弃用的策略迁移到当前策略,请参阅*《Amazon Identity and Access Management 用户指南》*中的[添加和删除 IAM 身份权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。 ## AppRegistry Amazon 托管策略的更新 策略更新 查看 AppRegistry 自该服务开始跟踪这些更改以来 Amazon 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ AppRegistry 文档历史记录” 页面上的 RSS feed。 | 更改 | 描述 | 日期 | | --- | --- | --- | | [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy)— 更新托管策略 | Amazon Service Catalog 已将`AWSServiceCatalogSyncServiceRolePolicy`政策更新`codestar-connections`为`codeconnections`。 | 2024 年 5 月 7 日 | | [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— 更新托管策略 | Amazon Service Catalog 更新了`AWSServiceCatalogAdminFullAccess`策略,增加了 Amazon Service Catalog 管理员在其账户中创建`AWSServiceRoleForServiceCatalogOrgsDataSync`服务相关角色 (SLR) 所需的权限。 | 2023 年 4 月 14 日 | | [AWSServiceCatalogOrgsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy):新托管策略 | Amazon Service Catalog 添加了`AWSServiceCatalogOrgsDataSyncServiceRolePolicy`附加到`AWSServiceRoleForServiceCatalogOrgsDataSync`服务相关角色 (SLR) 的, Amazon Service Catalog 允许与同步。 Amazon Organizations此策略允许对所 Amazon Service Catalog 依赖的 Amazon Service Catalog 操作(例如 API 调用)和其他 Amazon 服务操作进行有限的访问。 | 2023 年 4 月 14 日 | | [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— 更新托管策略 | Amazon Service Catalog 更新了`AWSServiceCatalogAdminFullAccess`策略,使其包含 Amazon Service Catalog 管理员的所有权限,并创建了与的兼容性 AppRegistry。 | 2023 年 1 月 12 日 | | [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy):新托管策略 | Amazon Service Catalog 添加了附加到`AWSServiceRoleForServiceCatalogSync`服务相关角色 (SLR) 的`AWSServiceCatalogSyncServiceRolePolicy`策略。此策略 Amazon Service Catalog 允许将外部存储库中的模板同步到 Amazon Service Catalog 产品。 | 2022 年 11 月 18 日 | | [AWSServiceRoleForServiceCatalogSync](using-service-linked-roles.md#slr-permissions)— 新的服务相关角色 | Amazon Service Catalog 添加了`AWSServiceRoleForServiceCatalogSync`服务相关角色 (SLR)。此角色是使用、创建、更新 CodeConnections 和描述产品的 Amazon Service Catalog 预配对象所必需的。 Amazon Service Catalog | 2022 年 11 月 18 日 | | [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— 更新了托管策略 | Amazon Service Catalog 更新了`AWSServiceCatalogAdminFullAccess`策略,使其包含 Amazon Service Catalog 管理员所需的所有权限。该策略确定了管理员可以对所有 Amazon Service Catalog 资源采取的具体操作,例如创建、描述、删除等。此外,该政策已更改为支持最近推出的基于属性的访问控制 (ABAC) 功能。 Amazon Service Catalog ABAC 允许您将 `AWSServiceCatalogAdminFullAccess` 策略用作模板,根据标签允许或拒绝对 Amazon Service Catalog 资源执行操作。有关更多信息,请参阅 *Amazon Identity and Access Management* 中的[什么是适用于 Amazon的 ABAC](https://docs.amazonaws.cn/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。 | 2022 年 9 月 30 日 | | AppRegistry 开始跟踪更改 | AppRegistry 开始跟踪其 Amazon 托管策略的更改。 | 2022 年 9 月 15 日 | # 将服务相关角色用于 Amazon Service Catalog 使用服务关联角色 Amazon Service Catalog 使用 Amazon Identity and Access Management (IAM) [服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 Amazon Service Catalog服务相关角色由服务预定义 Amazon Service Catalog ,包括该服务代表您调用其他 Amazon 服务所需的所有权限。 服务相关角色使设置变得 Amazon Service Catalog 更加容易,因为您不必手动添加必要的权限。 Amazon Service Catalog 定义其服务相关角色的权限,除非另有定义,否则 Amazon Service Catalog 只能担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。 只有在首先删除相关资源后,您才能删除服务关联角色。这样可以保护您的 Amazon Service Catalog 资源,因为您不能无意中删除访问资源的权限。 有关支持服务相关角色的其他服务的信息,请参阅与 [IAM 配合使用的Amazon 服务,](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并在**服务相关角色**列中查找标有 “**是**” 的服务。请选择**是**与查看该服务的服务相关角色文档的链接。 ## 的服务关联角色权限`AWSServiceRoleForServiceCatalogSync` Amazon Service Catalog 可以使用名为的服务相关角色 **`AWSServiceRoleForServiceCatalogSync`**— 必须使用此服务相关角色 Amazon Service Catalog 才能使用 CodeConnections 、创建、更新和描述产品的 Amazon Service Catalog 置备工件。 `AWSServiceRoleForServiceCatalogSync` 服务相关角色信任以下服务代入该角色: + `sync.servicecatalog.amazonaws.com` 名为的角色权限策略**AWSServiceCatalogSyncServiceRolePolicy** Amazon Service Catalog 允许对指定资源完成以下操作: + 操作:`CodeConnections` 上的 `Connection` + 操作:`Create, Update, and Describe``ProvisioningArtifact`为 Amazon Service Catalog 产品开启 您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。 ### 创建 `AWSServiceRoleForServiceCatalogSync` 服务相关角色 您无需手动创建`AWSServiceRoleForServiceCatalogSync`服务相关角色。 Amazon Service Catalog 当您在、或 Amazon API CodeConnections 中建立服务相关角色时 Amazon Web Services 管理控制台,会自动为您创建服务相关角色。 Amazon CLI **重要** 如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务关联角色可以出现在您的账户中。另外,如果您在 2022 年 11 月 18 日 Amazon Service Catalog 服务开始支持服务相关角色之前使用该服务,则在您的账户中 Amazon Service Catalog 创建了该`AWSServiceRoleForServiceCatalogSync`角色。要了解更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。 如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您建立服务时 CodeConnections, Amazon Service Catalog 会再次为您创建服务相关角色。 您还可以使用 IAM 控制台创建具有**同步 Amazon Service Catalog 产品**用例的服务相关角色。在 Amazon CLI 或 Amazon API 中,使用服务名称创建服务相关角色。`sync.servicecatalog.amazonaws.com`有关更多信息,请参阅 *IAM 用户指南* 中的[创建服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。 ## 的服务关联角色权限`AWSServiceRoleForServiceCatalogOrgsDataSync` Amazon Service Catalog 可以使用名为的服务相关角色 **`AWSServiceRoleForServiceCatalogOrgsDataSync`**— Amazon Service Catalog 组织需要此服务相关角色才能与之保持同步。 Amazon Organizations `AWSServiceRoleForServiceCatalogOrgsDataSync` 服务相关角色信任以下服务代入该角色: + `orgsdatasync.servicecatalog.amazonaws.com` 除了 `AWSServiceCatalogOrgsDataSyncServiceRolePolicy` [托管策略](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy)外,`AWSServiceRoleForServiceCatalogOrgsDataSync` 服务相关角色还要求您使用以下信任策略: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "orgsdatasync.servicecatalog.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` ------ 名为的角色权限策略**AWSServiceCatalogOrgsDataSyncServiceRolePolicy** Amazon Service Catalog 允许对指定资源完成以下操作: + 操作:`DescribeAccount`、`DescribeOrganization`、以及在 `Organizations accounts` 中的 `ListAWSServiceAccessForOrganization` + 操作:`ListAccounts`、`ListChildren`、以及在 `Organizations accounts` 中的 `ListParent` 您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。 ### 创建 `AWSServiceRoleForServiceCatalogOrgsDataSync` 服务相关角色 您无需手动创建`AWSServiceRoleForServiceCatalogOrgsDataSync`服务相关角色。 Amazon Service Catalog 将您的行为视为允许[与共享 Amazon Organizations](catalogs_portfolios_sharing_how-to-share.md#portfolio-sharing-organizations)或[共享产品组合](catalogs_portfolios_sharing_how-to-share.md)允许您代表您在后台创建 SLR。 Amazon Service Catalog Amazon Service Catalog 在您请求时或在 Amazon Web Services 管理控制台、`EnableAWSOrganizationsAccess`或 Amazon API `CreatePortfolioShare` 中自动为您创建服务相关角色。 Amazon CLI **重要** 如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务关联角色可以出现在您的账户中。要了解更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。 如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您请求 `EnableAWSOrganizationsAccess` 或 `CreatePortfolioShare` 时, Amazon Service Catalog 将再次为您创建服务相关角色。 ## 编辑的服务相关角色 Amazon Service Catalog Amazon Service Catalog 不允许您编辑`AWSServiceRoleForServiceCatalogSync`或与`AWSServiceRoleForServiceCatalogOrgsDataSync`服务相关的角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。 ## 删除的服务相关角色 Amazon Service Catalog 您可以使用 IAM 控制台、 Amazon CLI 或 Amazon API 手动删除`AWSServiceRoleForServiceCatalogSync`或 `AWSServiceRoleForServiceCatalogOrgsDataSync` SLR。为此,必须先手动删除所有使用服务相关角色的资源(例如,任何同步到外部存储库的 Amazon Service Catalog 产品),然后才能手动删除服务相关角色。 ## Amazon Service Catalog 服务相关角色支持的区域 Amazon Service Catalog 支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅 [Amazon 区域和端点](https://docs.amazonaws.cn/general/latest/gr/rande.html)。 **** | 区域名称 | 区域标识 | Support in Amazon Service Catalog | | --- | --- | --- | | 美国东部(弗吉尼亚州北部) | us-east-1 | 是 | | 美国东部(俄亥俄州) | us-east-2 | 是 | | 美国西部(北加利福尼亚) | us-west-1 | 是 | | 美国西部(俄勒冈州) | us-west-2 | 是 | | 非洲(开普敦) | af-south-1 | 是 | | 亚太地区(香港) | ap-east-1 | 是 | | 亚太地区(雅加达) | ap-southeast-3 | 是 | | 亚太地区(孟买) | ap-south-1 | 是 | | 亚太地区(大阪) | ap-northeast-3 | 是 | | 亚太地区(首尔) | ap-northeast-2 | 是 | | 亚太地区(新加坡) | ap-southeast-1 | 是 | | 亚太地区(悉尼) | ap-southeast-2 | 是 | | 亚太地区(东京) | ap-northeast-1 | 是 | | 加拿大(中部) | ca-central-1 | 是 | | 欧洲地区(法兰克福) | eu-central-1 | 是 | | 欧洲地区(爱尔兰) | eu-west-1 | 是 | | 欧洲地区(伦敦) | eu-west-2 | 是 | | 欧洲地区(米兰) | eu-south-1 | 是 | | 欧洲地区(巴黎) | eu-west-3 | 是 | | 欧洲地区(斯德哥尔摩) | eu-north-1 | 是 | | 中东(巴林) | me-south-1 | 是 | | 南美洲(圣保罗) | sa-east-1 | 是 | | 中国(北京) | cn-north-1 | 否 | | 中国(宁夏) | cn-northwest-1 | 否 | | Amazon GovCloud (美国东部) | us-gov-east-1 | 否 | | Amazon GovCloud (美国西部) | us-gov-west-1 | 否 | # 对 Amazon Service Catalog 身份和访问进行故障排除 使用以下信息来帮助您诊断和修复在使用 Amazon Service Catalog 和 IAM 时可能遇到的常见问题。 **Topics** + [ ## 我无权在以下位置执行操作 Amazon Service Catalog ](#troubleshoot-one) + [ ## 我无权执行 `iam:PassRole` ](#troubleshoot-two) + [ ## 我想允许 Amazon 账户之外的人访问我的 Amazon Service Catalog 资源 ](#troubleshoot-five) ## 我无权在以下位置执行操作 Amazon Service Catalog 如果 Amazon Web Services 管理控制台 告诉您您无权执行某项操作,则必须联系管理员寻求帮助。管理员是向您提供登录凭证的人。当 mateojackson 用户尝试使用控制台查看虚构 my-example-widget资源的详细信息但没有虚构权限时,就会出现以下示例错误。`aws:GetWidget` ``` User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: aws:GetWidget on resource: my-example-widget ``` 在这种情况下,Mateo 请求他的管理员更新其策略,以允许他使用 `aws:GetWidget` 操作访问 `my-example-widget` 资源。 ## 我无权执行 `iam:PassRole` 如果您收到错误消息,提示您无权执行 `iam:PassRole` 操作,则必须联系您的管理员寻求帮助。管理员是指提供用户名和密码的人员。请求该人员更新您的策略,以便允许您将角色传递给 Amazon Service Catalog。 某些 Amazon 服务允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。 当名为 marymajor 的用户尝试使用控制台在 Amazon Service Catalog中执行操作时,会发生以下示例错误。但是,该操作要求服务拥有服务角色授予的权限。Mary 不具有将角色传递到服务的权限。 ``` User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole ``` 在这种情况下,Mary 要求她的管理员更新她的策略以允许她执行 iam: PassRole 操作。 ## 我想允许 Amazon 账户之外的人访问我的 Amazon Service Catalog 资源 您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。 要了解更多信息,请参阅以下内容: + 要了解是否 Amazon Service Catalog 支持这些功能,请参阅《*Amazon Service Catalog 管理员指南》Amazon Identity and Access Management Amazon Service Catalog*[中的](https://docs.amazonaws.cn/servicecatalog/latest/adminguide/controlling_access.html)。 + 要了解如何通过您拥有的 Amazon 账户提供对资源的访问[权限,请参阅 IAM 用户*指南中的向您拥有的另一个 Amazon 账户中的 IAM 用户*提供](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)访问权限。 + 要了解如何向第三方 Amazon 账户提供对您的资源的访问[权限,请参阅 *IAM 用户指南*中的向第三方 Amazon 账户](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)提供访问权限。 + 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(联合身份验证)提供访问权限](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。 + 要了解使用角色和基于资源的策略进行跨账户存取之间的差别,请参阅《IAM 用户指南》**中的 [IAM 角色与基于资源的策略有何不同](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)。 # 控制访问权限 Amazon Service Catalog 产品组合为您的管理员提供了对最终用户组进行一定级别的访问控制。将用户添加到某个产品组合后,这些用户可以浏览并启动其中的任何产品。有关更多信息,请参阅 [管理产品组合](catalogs_portfolios.md)。 ## 约束 约束控制在从特定产品组合启动产品时应用于最终用户的规则。您使用约束对产品进行限制,以便进行管理或控制成本。有关约束的更多信息,请参阅 [使用 Amazon Service Catalog 约束](constraints.md)。 Amazon Service Catalog 启动限制使您可以更好地控制最终用户所需的权限。当您的管理员为产品组合中的产品创建启动约束时,启动约束将与最终用户从该产品组合中启动产品时使用的角色 ARN 关联。使用此模式,您可以控制对 Amazon 资源创建的访问权限。有关更多信息,请参阅 [Amazon Service Catalog 启动限制](constraints-launch.md)。