Amazon Service Catalog 的安全最佳实践 - Amazon Service Catalog
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Service Catalog 的安全最佳实践

Amazon Service Catalog 提供了在您开发和实施自己的安全策略时需要考虑的大量安全功能。以下最佳实践是一般指导原则,并不代表完整安全解决方案。这些最佳实践可能不适合您的环境或不满足您的环境要求,请将其视为有用的考虑因素而不是惯例。

您可以定义规则,限制用户在启动产品时输入的参数值。这些值称为模板约束,因为它们约束部署产品的 Amazon CloudFormation 模板的方式。您可以使用简单的编辑器创建模板约束,然后将其应用到各个产品。

Amazon Service Catalog 在预置新产品或更新正在使用的产品时应用约束。在应用到组合和产品的所有约束中,它始终应用限制性最强的约束。例如,请考虑下面一种情况:产品允许启动所有 Amazon EC2 实例且组合具有两项约束:一项允许启动所有非 GPU 类型的 EC2 实例,另一项仅允许启动 t1.micro 和 m1.small EC2 实例。对于此情况,Amazon Service Catalog 应用限制性更强的第二项约束(t1.micro 和 m1.small)。

您可以限制最终用户必须的访问权限Amazon将 IAM 策略附加到启动角色时的资源。然后,使用 Amazon Service Catalog 创建启动约束,以便在启动产品时使用该角色。