第 6 步:添加启动约束以分配IAM角色 - Amazon Service Catalog
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 6 步:添加启动约束以分配IAM角色

启动约束指定 IAM 角色,最终用户启动产品时 Amazon Service Catalog 将代入此角色。

对于此步骤,您将启动约束添加到 Linux Desktop 产品中,Amazon Service Catalog可以使用Amazon产品的一部分的资源Amazon CloudFormation。模板。

这些区域有:IAM您向产品分配的作为启动约束的角色必须具有使用的权限:

  1. Amazon CloudFormation

  2. 中的服务Amazon CloudFormation产品的模板

  3. 对 Amazon CloudFormation 中的 Amazon S3 模板的读访问权限

此启动约束让最终用户可以启动产品,并在启动之后将其作为预配置产品进行管理。有关更多信息,请参阅 Amazon Service Catalog 启动约束

没有启动约束时,您需要授予额外的IAM在您的最终用户可以使用 Linux Desktop 产品之前,他们的权限。例如,ServiceCatalogEndUserAccess 策略仅授予访问 IAM 最终用户控制台视图所需的最低 Amazon Service Catalog 权限。

使用启动约束,您可以确保最终用户具有最低 IAM 权限,这是 IAM 最佳实践。有关更多信息,请参阅 。授予最低权限中的IAM用户指南.

创建IAM策略,将其附加到IAM添加启动约束。

添加启动约束

  1. 打开IAM控制台https://console.amazonaws.cn/iam/.

  2. 在导航窗格中,选择策略创建策略并执行以下操作:

    1. 创建策略页面上,选择 JSON 选项卡。

    2. 复制此示例策略,然后将其粘贴到策略文档要替换文本字段中的占位符 JSON:

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "ec2:*", "s3:GetObject", "servicecatalog:*", "sns:*" ], "Resource": "*" } ] }
    3. 选择下一步查看策略.

    4. 对于 Policy Name,键入 linuxDesktopPolicy

    5. 选择 Create policy (创建策略)

  3. 在导航窗格中,选择 Roles(角色)。然后选择 。创建角色并执行以下操作:

    1. 适用于选择受信任实体的类型,选择Amazon服务然后选择Service Catalog. 选择Service Catalog用例然后选择后续:Permissions (下一步:权限)

    2. 搜索 linuxDesktopPolicy 策略,然后选中该复选框。

    3. 选择 Next:标签,然后后续:审核

    4. 对于 Role name (角色名称),键入 linuxDesktopLaunchRole

    5. 选择 Create role(创建角色)。

  4. 在处打开 Amazon Service Catalog 控制台https://console.amazonaws.cn/servicecatalog/.

  5. 选择 Engineering Tools 产品组合。

  6. 在产品组合详细信息页面上,选择 Constraints (约束) 选项卡,然后选择 Create constraint (创建约束)

  7. 适用于产品,选择Linux 桌面,以及Constraint type,选择启动.

  8. 选择选择 IAM 角色. 选择下一个linuxDesktopLaunchRoleSelect, 然后选择Create.