第 6 步:添加启动约束以分配 IAM 角色 - Amazon Services Catalog
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 6 步:添加启动约束以分配 IAM 角色

启动约束指定 IAM 角色,最终用户启动产品时 Amazon Services 目录将代入此角色。

在此步骤中,您添加启动约束到 Linux Desktop 产品,以便 Amazon Service Catalog 可使用作为产品 Amazon CloudFormation 模板一部分的 Amazon Web Services 资源。此启动约束让最终用户可以启动产品,并在启动之后将其作为预配置产品进行管理。有关更多信息,请参阅 。亚马逊 Service Catalog 启动限制

没有启动约束时,您需要先将额外的 IAM 权限授予您的最终用户,他们才能使用 Linux Desktop 产品。例如,ServiceCatalogEndUserAccess策略仅授予访问 Amazon Services 最终用户控制台视图所需的最低 IAM 权限。

使用启动约束,您可以确保最终用户具有最低 IAM 权限,这是 IAM 最佳实践。有关更多信息,请参阅 。授予最低权限中的IAM 用户指南

添加启动约束

  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 Policies。选择 Create policy,然后执行以下操作:

    1. 创建策略页面上,选择 JSON 选项卡。

    2. 复制以下示例策略并将其粘贴到 Policy Document (策略文档) 中,同时替换文本字段中的占位符 JSON:

      { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetObject" ], "Resource":"*", "Condition":{ "StringEquals":{ "s3:ExistingObjectTag/servicecatalog:provisioning":"true" } } } ] }
    3. 选择查看策略

    4. 对于 Policy Name,键入 linuxDesktopPolicy

    5. 选择 Create policy

  3. 模板约束窗口中,选择文本编辑器。选择 Create role,然后执行以下操作:

    1. 适用于选择受信任实体的类型中,选择Amazon Web Services 服务然后选择Service Catalog。选择Service Catalog使用案例,然后选择后续:Permissions (下一步:权限)

    2. 搜索 linuxDesktopPolicy 策略,然后选中该复选框。

    3. 选择 Next:。标签,然后后续:审核

    4. 对于 Role name (角色名称),键入 linuxDesktopLaunchRole

    5. 选择创建角色

  4. 从打开 Amazon Services 控制台https://console.amazonaws.cn/servicecatalog/

  5. 选择 Engineering Tools 产品组合。

  6. 在产品组合详细信息页面上,选择 Constraints (约束) 选项卡,然后选择 Create constraint (创建约束)

  7. 适用于产品中,选择Linux 桌面,以及Constraint type中,选择启动

  8. 选择选择 IAM 角色。下一步选择linuxDesktopLaunchRole,然后选择Create