Service Catalog 概述 - Amazon Service Catalog
用户产品HashiCorp 支持 Terraform 开源和 Terraform Cloud预配置产品产品组合版本控制权限约束管理员初始工作流程最终用户初始工作流程
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Service Catalog 概述

开始使用 Service Catalog 之前,了解其组件及管理员和最终用户的初始工作流程会很有用。

用户

Service Catalog 支持以下类型的用户:

  • 目录管理员(管理员) - 管理产品目录(应用程序和服务)、将产品组织到产品组合中并向最终用户授予访问权限。目录管理员准备 Amazon CloudFormation 模板、配置约束并管理分配给产品的 IAM 角色,以提供高级资源管理。

  • 最终用户 - 接收来自最终用户的 IT 部门或经理的 Amazon 凭证,并使用 Amazon Web Services Management Console 启动最终用户拥有其权限的产品。最终用户有时简称为用户,可被授予不同的权限,具体取决于您的操作要求。例如,用户可能拥有最高级别权限 (启动和管理其使用的产品所需的所有资源),或仅拥有使用特定服务功能的权限。

产品

产品是指您希望可用于在 Amazon 上进行部署的 IT 服务。产品包含一个或多个 Amazon 资源,如 EC2 实例、存储卷、数据库、监控配置和网络组件,也可以是打包的 Amazon Web Services Marketplace 产品。产品可以是运行 Amazon Linux 的单个计算机实例,也可以是运行在自己环境中的完全配置的多层 Web 应用程序,或其中的任何内容。

您可以通过导入 Amazon CloudFormation 模板创建产品。Amazon CloudFormation 模板定义了产品所需的 Amazon 资源、资源之间的关系,以及最终用户在启动产品来配置安全组、创建密钥对和执行其他自定义操作时可插入的参数。

HashiCorp 支持 Terraform 开源和 Terraform Cloud

Amazon Service Catalog支持快速、自助式配置,并在其中管理您的 HashiCorp Terraform 开源和 Terraform Cloud 配置。Amazon您可以将 Service Catalog 用作单一工具,在 Amazon 中大规模组织、管理和分发 Terraform 配置。您可以使用 Service Catalog 的主要功能,包括对标准化和预先批准的 Terraform 模板进行编目、访问控制、最低权限配置、版本控制、标记以及与成千上万个 Amazon 账户共享。您的最终用户会看到他们有权访问的产品和版本的简单列表,随后只需一个操作即可部署这些产品。

要了解更多信息并完成 Terraform 产品教程,请查看 开始使用 Terraform 产品

预配置产品

通过允许您将产品实例作为一个单元进行预配置、标记、更新和终止,Amazon CloudFormation 堆栈简化了对产品生命周期的管理。Amazon CloudFormation 堆栈包含采用 JSON 或 YAML 格式的 Amazon CloudFormation 模板及其关联的资源集合。预配置产品 是一个堆栈。当最终用户启动产品时,由 Service Catalog 预配置的产品实例是运行该产品所需的资源堆栈。有关更多信息,请参阅《Amazon CloudFormation 用户指南》。

产品组合

产品组合是包含配置信息在内的产品集合。产品组合可帮助管理可使用特定产品的人员及其使用方式。利用 Service Catalog,您可以为组织内的每类用户创建一个自定义产品组合,并选择性授予对适当产品组合的访问权限。当您向产品组合添加新版本的产品时,该版本会自动供所有当前用户使用。

此外,您还可以与其他 Amazon 账户共享产品组合,并允许这些账户的管理员对您的产品组合应用额外的约束(例如限制用户可以创建的 EC2 实例)。通过使用产品组合、权限、共享和约束,您可以确保用户所启动的产品经过正确配置,能够满足组织的需求并符合其标准。

版本控制

Service Catalog 允许您在目录中管理多个版本的产品。这种方法可以让您根据软件更新或配置变更来添加新版本的模板及关联的资源。

创建产品的新版本时,更新会自动分发到具有该产品访问权限的所有用户,允许用户选择要使用的产品版本。用户可以快速轻松地将产品的运行实例更新为新版本。

权限

向用户授予产品组合的访问权限,让用户能够浏览该产品组合并启动其中的产品。您可以应用 Amazon Identity and Access Management (IAM) 权限来控制谁可以查看和修改您的目录。IAM 权限可以分配给 IAM 用户、组和角色。

当用户启动已分配有 IAM 角色的产品时,Service Catalog 将使用该角色通过 Amazon CloudFormation 启动此产品的云资源。通过向每个产品分配一个 IAM 角色,您可以避免向用户授予执行未获批操作的权限,并使他们可以使用目录预配置资源。

约束

约束用于控制为某个产品部署特定 Amazon 资源的方式。您可以使用约束对产品进行限制,以便进行管理或控制成本。存在不同的类型的 Amazon Service Catalog 约束:启动约束通知约束模板约束

通过启动约束,您可为产品组合中的产品指定一个角色。使用此角色在启动时预配置资源,以便您可以限制用户权限,又不影响用户从目录预配置产品的能力。

通知约束使您能够使用 Amazon SNS 主题获取有关堆栈事件的通知。

模板约束用于限制用户在启动产品时可以使用的配置参数 (例如 EC2 实例类型或 IP 地址范围)。借助模板约束,您可以重复使用产品的常规 Amazon CloudFormation 模板,并根据每个产品或每个产品组合对模板进行限制。

管理员初始工作流程

此图展示了管理员创建目录的初始工作流程。

最终用户初始工作流程

此图展示了最终用户的初始工作流程。