Konfigurieren einer Startrolle Anwenden einer Startbeschränkung Hinzufügen des verwirrten Stellvertreters zur Starteinschränkung Überprüfen der Starteinschränkung

AWS Service Catalog-Starteinschränkungen

Eine Starteinschränkung gibt die AWS Identity and Access Management (IAM)-Rolle an, die AWS Service Catalog annimmt, wenn ein Endbenutzer ein Produkt startet, aktualisiert oder beendet. Eine IAM-Rolle ist eine Sammlung von Berechtigungen, die ein Benutzer oder AWS Service vorübergehend annehmen kann, um -AWSServices zu nutzen. Ein einführendes Beispiel finden Sie unter:

AWS CloudFormation -Produkttyp: Schritt 6: Hinzufügen einer Starteinschränkung zum Zuweisen einer IAM-Rolle
Produkttyp Terraform Open Source oder Terraform Cloud: Schritt 5: Erstellen von Startrollen

Starteinschränkungen gelten für Produkte im Portfolio (Produkt-Portfolio-Zuordnung). Starteinschränkungen gelten nicht auf Portfolioebene oder für ein Produkt in allen Portfolios. Um eine Starteinschränkungen allen Produkten in einem Portfolio zuzuweisen, müssen Sie die Einschränkung auf jedes Produkt einzeln anwenden.

Ohne eine Starteinschränkung müssen Endbenutzer Produkte mit ihren eigenen IAM-Anmeldeinformationen starten und verwalten. Dazu müssen sie über Berechtigungen für , AWS ServicesAWS CloudFormation, die die Produkte verwenden, und verfügenAWS Service Catalog. Durch die Verwendung einer Startrolle können Sie stattdessen die Berechtigungen der Endbenutzer auf das Minimum beschränken, das sie für dieses Produkt benötigen. Weitere Informationen zu Endbenutzerberechtigungen finden Sie unter Identity and Access Management in AWS Service Catalog.

Um IAM-Rollen zu erstellen und zuzuweisen, benötigen Sie die folgenden IAM-Administratorberechtigungen:

iam:CreateRole
iam:PutRolePolicy
iam:PassRole
iam:Get*
iam:List*

Konfigurieren einer Startrolle

Die IAM-Rolle, die Sie einem Produkt als Starteinschränkung zuweisen, muss über Berechtigungen verfügen, um Folgendes zu verwenden:

Für Cloudformation-Produkte

Die arn:aws:iam::aws:policy/AWSCloudFormationFullAccess AWS CloudFormation von verwaltete Richtlinie
Services in der AWS CloudFormation Vorlage für das Produkt
Lesezugriff auf die AWS CloudFormation Vorlage in einem serviceeigenen Amazon S3-Bucket.

Für Terraform-Produkte

Services in der Amazon S3-Vorlage für das Produkt
Lesezugriff auf die Amazon S3-Vorlage in einem serviceeigenen Amazon S3-Bucket.
resource-groups:Tagzum Markieren in einer Amazon EC2-Instance (von der Terraform-Bereitstellungs-Engine angenommen, wenn Bereitstellungsvorgänge ausgeführt werden)
resource-groups:CreateGroup für das Markieren von Ressourcengruppen (angenommen von AWS Service Catalog, um Ressourcengruppen zu erstellen und Tags zuzuweisen)

Die Vertrauensrichtlinie der IAM-Rolle muss zulassenAWS Service Catalog, dass die Rolle übernimmt. Im folgenden Verfahren wird die Vertrauensrichtlinie automatisch festgelegt, wenn Sie AWS Service Catalog als Rollentyp auswählen. Wenn Sie die Konsole nicht verwenden, lesen Sie den Abschnitt Erstellen von Vertrauensrichtlinien für AWS Services, die Rollen übernehmen unter So verwenden Sie Vertrauensrichtlinien mit IAM-Rollen .

Anmerkung

Die Berechtigungen servicecatalog:ProvisionProduct, servicecatalog:TerminateProvisionedProduct und servicecatalog:UpdateProvisionedProduct können nicht in einer Startrolle zugewiesen werden. Sie müssen IAM-Rollen verwenden, wie in den Inline-Richtlinienschritten im Abschnitt Berechtigungen an AWS Service Catalog Endbenutzer erteilen gezeigt.

Anmerkung

Um bereitgestellte Cloudformation-Produkte und -Ressourcen in der AWS Service Catalog Konsole anzuzeigen, benötigen Endbenutzer AWS CloudFormation Lesezugriff. Das Anzeigen bereitgestellter Produkte und Ressourcen in der Konsole verwendet die Startrolle nicht.

So erstellen Sie eine Startrolle

Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

Terraform-Produkte erfordern zusätzliche Konfigurationen von Startrollen. Weitere Informationen finden Sie unter Schritt 5: Erstellen von Startrollen in Erste Schritte mit einem Terraform-Open-Source-Produkt.
Wählen Sie Roles.
Klicken Sie auf Create New Role.
Geben Sie einen Rollennamen ein und wählen Sie Next Step aus.
Wählen Sie unter AWS Servicerollen neben die AWS Service CatalogOption Auswählen aus.
Klicken Sie auf der Seite Attach Policy auf Next Step.
Zum Erstellen der Rolle wählen Sie Create Role aus.

So fügen Sie der neuen Rolle eine Richtlinie an

Wählen Sie die Rolle aus, die Sie erstellt haben, um die Seite der Rollendetails anzuzeigen.
Wählen Sie die Registerkarte Permissions aus und erweitern Sie den Abschnitt Inline Policies. Klicken Sie dann auf click here.
Wählen Sie Custom Policy und dann Select aus.

Geben Sie einen Namen für die Richtlinie ein und fügen Sie Folgendes im Editor Policy Document ein:


  
          "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObject"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "s3:ExistingObjectTag/servicecatalog:provisioning":"true"
            }
         }
   ]
}

Anmerkung

Wenn Sie eine Startrolle für eine Starteinschränkung konfigurieren, müssen Sie diese Zeichenfolge verwenden: "s3:ExistingObjectTag/servicecatalog:provisioning":"true".

Fügen Sie der Richtlinie für jeden zusätzlichen Service, den das Produkt verwendet, eine Zeile hinzu. Um beispielsweise die Berechtigung für Amazon Relational Database Service (Amazon RDS) hinzuzufügen, geben Sie ein Komma am Ende der letzten Zeile in der Action Liste ein und fügen Sie dann die folgende Zeile hinzu:
```
"rds:*"
```
Klicken Sie auf Apply Policy (Richtlinie anwenden).

Anwenden einer Startbeschränkung

Nachdem Sie die Startrolle konfiguriert haben, weisen Sie die Rolle dem Produkt als Starteinschränkung zu. Diese Aktion weist anAWS Service Catalog, die Rolle zu übernehmen, wenn ein Endbenutzer das Produkt startet.

So weisen Sie die Rolle einem Produkt zu

Öffnen Sie die Service-Catalog-Konsole unter https://console.aws.amazon.com/servicecatalog/.
Wählen Sie das Portfolio aus, das das Produkt enthält.
Wählen Sie die Registerkarte Constraints (Einschränkungen) und dann Create constraint (Einschränkung erstellen).
Wählen Sie das Produkt unter Produkt und unter Einschränkungstyp die Option Starten aus. Klicken Sie auf Weiter.
Im Abschnitt Starteinschränkung können Sie eine IAM-Rolle aus Ihrem Konto auswählen und einen IAM-Rollen-ARN oder den Rollennamen eingeben.

Wenn Sie den Rollennamen angeben und ein Konto die Starteinschränkung verwendet, verwendet das Konto diesen Namen für die IAM-Rolle. Dieser Ansatz ermöglicht es, dass Einschränkungen für Startrollen kontounabhängig sind, sodass Sie weniger Ressourcen pro gemeinsam genutztem Konto erstellen können.

Anmerkung
Der angegebene Rollenname muss in dem Konto vorhanden sein, das die Starteinschränkung erstellt hat, und im Konto des Benutzers, der ein Produkt mit dieser Starteinschränkung startet.
Wählen Sie Create (Erstellen), wenn Sie die IAM-Rolle angegeben haben.

Hinzufügen des verwirrten Stellvertreters zur Starteinschränkung

AWS Service Catalog unterstützt den Schutz des verwirrten Stellvertreters für die APIs, die mit einer Assume Role-Anforderung ausgeführt werden. Wenn Sie eine Starteinschränkung hinzufügen, können Sie den Zugriff auf die Startrolle einschränken, indem Sie die sourceArn Bedingungen sourceAccount und in der Vertrauensrichtlinie der Startrolle verwenden. Es stellt sicher, dass die Startrolle von einer vertrauenswürdigen Quelle aufgerufen wird.

Im folgenden Beispiel gehört der AWS Service Catalog Endbenutzer zum Konto 111111111111. Wenn der AWS Service Catalog Administrator ein LaunchConstraint für ein Produkt erstellt, kann der Endbenutzer die folgenden Bedingungen in der Vertrauensrichtlinie der Startrolle angeben, um die Übernahmerolle auf das Konto 111111111111 zu beschränken.


"Condition":{
   "ArnLike":{
      "aws:SourceArn":"arn:aws:servicecatalog:us-east-1:111111111111:*"
   },
   "StringEquals":{
      "aws:SourceAccount":"111111111111"
   }
  
}

Ein Benutzer, der ein Produkt mit dem bereitstellt, LaunchConstraint muss denselben AccountId (111111111111 haben). Andernfalls schlägt der Vorgang mit einem AccessDenied Fehler fehl und verhindert so den Missbrauch der Startrolle.

Die folgenden AWS Service Catalog APIs sind für den Schutz des verwirrten Stellvertreters gesichert:

LaunchConstraint
ProvisionProduct
UpdateProvisionedProduct
TerminateProvisionedProduct
ExecuteProvisionedProductServiceAction
CreateProvisionedProductPlan
ExecuteProvisionedProductPlan

Der sourceArn Schutz für unterstützt AWS Service Catalog nur Vorlagen-ARNs, z. B. „arn:<aws-partition>:servicecatalog:<region>:<accountId>:“, unterstützt keine spezifischen Ressourcen-ARNs.

Überprüfen der Starteinschränkung

Um zu überprüfen, ob die Rolle zum Starten des Produkts AWS Service Catalog verwendet und das Produkt erfolgreich bereitgestellt hat, starten Sie das Produkt über die AWS Service Catalog Konsole. Zum Testen einer Einschränkung vor der Freigabe für die Benutzer erstellen Sie ein Testportfolio mit den gleichen Produkten und testen Sie die Einschränkungen mit diesem Portfolio.

So starten Sie das Produkt

Wählen Sie im Menü für die AWS Service CatalogKonsole Service Catalog ,Endbenutzer aus.
Wählen Sie das Produkt aus, um die Seite Produktdetails zu öffnen. Überprüfen Sie in der Tabelle Startoptionen, ob der Amazon-Ressourcenname (ARN) der Rolle angezeigt wird.
Wählen Sie Produkt starten aus.
Führen Sie die Schritte zum Starten aus und geben Sie die erforderlichen Informationen ein.
Überprüfen Sie, ob das Produkt erfolgreich gestartet wird.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwenden von Einschränkungen

Benachrichtigungseinschränkungen