Mejores prácticas de seguridad para AWS Service Catalog

AWS Service Catalog proporciona una serie de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.

Puede definir reglas para limitar los valores de los parámetros que un usuario especifica cuando lanza un producto. Estas reglas se llaman restricciones de plantilla porque restringen el modo en que se implementa la plantilla de AWS CloudFormation del producto. Utilice un editor simple para crear estas restricciones, que puede aplicar a cada uno de los productos.

AWS Service Catalog aplica restricciones al aprovisionar un producto nuevo o al actualizar un producto que ya está en uso. De todas las restricciones aplicadas en el producto y la cartera de productos se aplica siempre la más restrictiva. Por ejemplo, pensemos en una situación en la que el producto permita que se lancen todas las instancias Amazon EC2 y la cartera de productos tenga dos restricciones: una que permita que se lancen todas las instancias EC2 que no sean de tipo GPU y otra que permita que se lancen solo las instancias EC2 t1.micro y m1.small. Para este ejemplo, AWS Service Catalog aplica la segunda restricción, más restrictiva (t1.micro y m1.small).

Puede limitar el acceso de los usuarios finales a los AWS recursos al adjuntar una política de IAM a una función de lanzamiento. A continuación, se crea una restricción de lanzamiento para utilizar el rol al lanzar el producto. AWS Service Catalog

Para obtener más información sobre las políticas gestionadas para AWS Service Catalog, consulte Políticas AWS gestionadas para AWS Service Catalog.