Mejores prácticas de seguridad para AWS Service Catalog

AWS Service Catalog proporciona una serie de características de seguridad que debe tener en cuenta al desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.

Puede definir reglas para limitar los valores de los parámetros que un usuario especifica cuando lanza un producto. Estas reglas se llaman restricciones de plantilla porque restringen el modo en que se implementa la plantilla de AWS CloudFormation del producto. Utilice un editor simple para crear estas restricciones, que puede aplicar a cada uno de los productos.

AWS Service Catalog aplica restricciones al aprovisionar un producto nuevo o al actualizar un producto que ya está en uso. De todas las restricciones aplicadas en el producto y la cartera de productos se aplica siempre la más restrictiva. Por ejemplo, consideremos un escenario en el que el producto permite lanzar todas las EC2 instancias de Amazon y la cartera tiene dos restricciones: una que permite lanzar todas las EC2 instancias que no sean de GPU tipo y otra que solo permite lanzar las EC2 instancias t1.micro y m1.small. Para este ejemplo, AWS Service Catalog aplica la segunda restricción, más restrictiva (t1.micro y m1.small).

Puede limitar el acceso de los usuarios finales a los AWS recursos al adjuntar una IAM política a una función de lanzamiento. AWS Service Catalog A continuación, se crea una restricción de lanzamiento para utilizar el rol al lanzar el producto.

Para obtener más información sobre las políticas gestionadas para AWS Service Catalog, consulte Políticas AWS gestionadas para AWS Service Catalog.