Paso 6: Agregar una restricción de lanzamiento para asignar un rol de IAM. - AWS Service Catalog

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 6: Agregar una restricción de lanzamiento para asignar un rol de IAM.

Una restricción de lanzamiento designa una función del rol de IAM que AWS Service Catalog asume cuando un usuario final lanza un producto.

En este paso, agrega una restricción de lanzamiento al producto Linux Desktop para que AWS Service Catalog pueda utilizar los recursos que forman parte de la plantilla de AWS CloudFormation del producto.

El rol de IAM que se asigna a un producto como restricción de lanzamiento debe tener permisos para utilizar lo siguiente:

  1. AWS CloudFormation

  2. Los servicios en la plantilla de AWS CloudFormation del producto

  3. Acceso de solo lectura a la plantilla de AWS CloudFormation en un bucket de Amazon S3 propiedad del servicio.

Esta restricción de lanzamiento permitirá que el usuario final lance el producto y, después de lanzarlo, lo administre como producto aprovisionado. Para obtener más información, consulte Restricciones de lanzamiento de AWS Service Catalog.

Sin una restricción de lanzamiento, es preciso conceder permisos de IAM adicionales a los usuarios finales para que pudieran utilizar el producto Linux Desktop. Por ejemplo, la política ServiceCatalogEndUserAccess concede los permisos mínimos de IAM que se necesitan para tener acceso a la vista de la consola del usuario final de AWS Service Catalog.

El uso de una restricción de lanzamiento le permite seguir la práctica recomendada de IAM de reducir al mínimo los permisos de IAM de los usuarios finales. Para obtener más información, consulte Conceder privilegios mínimos en la Guía del usuario de IAM.

Para agregar una restricción de lanzamiento

  1. Siga las instrucciones para crear nuevas políticas en la pestaña JSON de la Guía del usuario de IAM.

  2. Pegue el siguiente documento de políticas JSON:

    • cloudformation – Concede a AWS Service Catalog todos los permisos para crear, leer, actualizar, eliminar, enumerar y etiquetar pilas de AWS CloudFormation.

    • ec2 – Concede a AWS Service Catalog todos los permisos para enumerar, leer, escribir, aprovisionar y etiquetar los recursos de Amazon Elastic Compute Cloud (Amazon EC2) que forman parte del producto AWS Service Catalog. En función del recurso de AWS que desee implementar, este permiso puede cambiar.

    • ec2 – Crea una nueva política administrada para su cuenta de AWS y adjunta la política administrada especificada al rol de IAM especificado.

    • s3 - Permite el acceso a los buckets de Amazon S3 propiedad de AWS Service Catalog. Para implementar el producto, AWS Service Catalog requiere acceso a los artefactos de aprovisionamiento.

    • servicecatalog – Concede a AWS Service Catalog permisos para enumerar, leer, escribir, etiquetar y lanzar recursos en nombre del usuario final.

    • sns – Concede a AWS Service Catalog permisos para enumerar, leer, escribir y etiquetar temas de Amazon SNS para la restricción de lanzamiento.

    nota

    En función de los recursos subyacentes que desee implementar, es posible que deba modificar la política de JSON de ejemplo. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStacks",
                "cloudformation:GetTemplateSummary",
                "cloudformation:SetStackPolicy",
                "cloudformation:ValidateTemplate",
                "cloudformation:UpdateStack",
                "ec2:*",
                "servicecatalog:*",
                "sns:*"
            ],
            "Resource": "*"
        },
        {
         "Effect":"Allow",
         "Action":[
            "s3:GetObject"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "s3:ExistingObjectTag/servicecatalog:provisioning":"true"
            }
         }
      }
    ]
}

  3. Elija Siguiente, Etiquetas.

  4. Elija Siguiente, Etiquetas.

  5. En la página Revisar política para el Nombre introduzca linuxDesktopPolicy.

  6. Elija Crear política.

  7. Seleccione Roles en el panel de navegación. Elija Crear role y haga lo siguiente:

    1. En Seleccionar una entidad de confianza, seleccione AWSservicio y, a continuación, bajo Usar caso para otros servicios AWS, seleccione Service Catalog. Seleccione el caso de uso Service Catalog y, a continuación, elija Siguiente.

    2. Busque la linuxDesktopPolicypolítica y, a continuación, active la casilla de verificación.

    3. Elija Siguiente.

    4. En Role name, escriba linuxDesktopLaunchRole.

    5. Elija Crear rol.

  8. Abra la AWS Service Catalog consola en https://console.aws.amazon.com/servicecatalog.

  9. Elija la cartera Engineering Tools.

  10. En la página Detalles de la cartera, elija la pestaña Restricciones y, a continuación, elija Crear restricción.

  11. En Producto, elija Linux Desktop y en Restricción elija Cargar.

  12. Seleccione Seleccionar el rol de IAM. A continuación, elija linuxDesktopLaunchRol y, a continuación, elija Crear.