Amazon Service Catalog 的安全最佳实践 - Amazon Services Catalog
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Service Catalog 的安全最佳实践

Amazon Service Catalog 提供了在您开发和实施自己的安全策略时需要考虑的大量安全功能。以下最佳实践是一般准则,并不代表完整的安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求,因此将其视为有用的考虑因素而不是惯例。

您可以定义规则,限制用户在启动产品时输入的参数值。这些值称为模板约束,因为它们约束部署产品的 Amazon CloudFormation 模板的方式。您可以使用简单的编辑器创建模板约束,然后将其应用到各个产品。

Amazon Service Catalog 在预置新商品或更新正在使用的商品时应用约束。在应用到组合和产品的所有约束中,它始终应用限制性最强的约束。例如,请考虑下面一种情况:产品允许启动所有 Amazon EC2 实例且组合具有两项约束:一项允许启动所有非 GPU 类型的 EC2 实例,另一项仅允许启动 t1.micro 和 m1.small EC2 实例。对于此情况,亚马逊 Service Catalog 应用限制性更强的第二项约束(t1.micro 和 m1.small)。

通过将 IAM 策略附加到启动角色,限制最终用户对 Amazon Web Services 资源拥有的访问权限。然后,使用 Amazon Service Catalog 创建启动约束,以便在启动产品时使用该角色。