Ejemplos de políticas basadas en la identidad para AWS Service Catalog - AWS Service Catalog
Acceso a la consola para los usuarios finalesAcceso a los productos para los usuarios finalesEjemplos de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos de políticas basadas en la identidad para AWS Service Catalog

Acceso a la consola para los usuarios finales

Las políticas AWSServiceCatalogEndUserFullAccess y AWSServiceCatalogEndUserReadOnlyAccess conceden acceso a la vista de consola de usuario final de AWS Service Catalog . Cuando un usuario que tiene alguna de estas políticas elige, AWS Service Catalog en la vista de la consola del usuario final AWS Management Console, los productos para los que tiene permiso de lanzamiento.

Antes de que los usuarios finales puedan lanzar correctamente un producto AWS Service Catalog al que les das acceso, debes proporcionarles permisos de IAM adicionales para que puedan utilizar cada uno de los AWS recursos subyacentes de la AWS CloudFormation plantilla de un producto. Por ejemplo, si una plantilla de producto incluye Amazon Relational Database Service (Amazon RDS), debe conceder a los usuarios permisos de Amazon RDS para lanzar el producto.

Para obtener más información sobre cómo permitir a los usuarios finales lanzar productos y, al mismo tiempo, aplicar los permisos de acceso mínimo a los recursos, consulte. AWS Uso de AWS Service Catalog restricciones

Si aplica la política AWSServiceCatalogEndUserReadOnlyAccess, los usuarios tendrán acceso a la consola del usuario final, pero no contarán con los permisos necesarios para lanzar productos y administrar productos aprovisionados. Puedes conceder estos permisos directamente a un usuario final mediante IAM, pero si quieres limitar el acceso de los usuarios finales a los AWS recursos, debes asociar la política a una función de lanzamiento. A continuación, se utiliza AWS Service Catalog para aplicar la función de lanzamiento a una restricción de lanzamiento del producto. Para obtener más información sobre la aplicación de funciones de lanzamiento, las limitaciones de estas últimas y un ejemplo de función de lanzamiento, consulte AWS Service Catalog Restricciones de lanzamiento.

nota

Si concede a los usuarios permisos de IAM para los AWS Service Catalog administradores, aparecerá en su lugar la vista de la consola de administración. No conceda a los usuarios finales estos permisos a menos que desee que tengan acceso a la vista de la consola del administrador.

Acceso a los productos para los usuarios finales

Antes de que los usuarios finales puedan utilizar un producto al que usted da acceso, debe proporcionarles permisos de IAM adicionales para que puedan utilizar cada uno de AWS los recursos subyacentes de la plantilla de AWS CloudFormation un producto. Por ejemplo, si una plantilla de producto incluye Amazon Relational Database Service (Amazon RDS), debe conceder a los usuarios permisos de Amazon RDS para lanzar el producto.

Si aplica la política AWSServiceCatalogEndUserReadOnlyAccess, los usuarios tendrán acceso a la vista de la consola del usuario final, pero no contarán con los permisos necesarios para lanzar productos y administrar productos aprovisionados. Puedes conceder estos permisos directamente a un usuario final en IAM, pero si quieres limitar el acceso de los usuarios finales a los AWS recursos, debes adjuntar la política a una función de lanzamiento. A continuación, se utiliza AWS Service Catalog para aplicar la función de lanzamiento a una restricción de lanzamiento del producto. Para obtener más información sobre la aplicación de funciones de lanzamiento, las limitaciones de estas últimas y un ejemplo de función de lanzamiento, consulte AWS Service Catalog Restricciones de lanzamiento.

Ejemplos de políticas para administrar productos aprovisionados

Puede crear políticas personalizadas para ayudar a satisfacer los requisitos de seguridad de su organización. En los ejemplos siguientes se describe cómo personalizar el nivel de acceso a cada acción para los usuarios, roles y cuentas. Puede conceder acceso a los usuarios para consultar, actualizar, terminar y administrar solamente los productos aprovisionados que ha creado ese usuario o que otros han creado con su rol o desde la cuenta en la que han iniciado sesión. Este acceso es jerárquico, es decir, la concesión de acceso en el nivel de cuenta también concede acceso en los niveles de función y de usuario, mientras que agregar el acceso en el nivel de función también concede acceso en el nivel de usuario, pero no en el nivel de cuenta. Puede especificarlos en el JSON de la política mediante un bloque Condition como accountLevel, roleLevel o userLevel.

Estos ejemplos también se aplican a los niveles de acceso de las operaciones de escritura de la AWS Service Catalog API: UpdateProvisionedProduct yTerminateProvisionedProduct, y, las operaciones de lectura: DescribeRecordScanProvisionedProducts, yListRecordHistory. Las operaciones ScanProvisionedProducts y ListRecordHistory de la API utilizan AccessLevelFilterKey como entrada y los valores de esa clave se corresponden con los niveles del bloque Condition que abordamos aquí (accountLevel equivale al valor "Account" de AccessLevelFilterKey, roleLevel al valor "Role" y userLevel al valor "User"). Para obtener más información, consulte la Guía para desarrolladores de Service Catalog.

Acceso pleno de administración a los productos aprovisionados

La siguiente política permite acceso pleno de lectura y escritura a los productos aprovisionados y a los registros del catálogo en el nivel de cuenta. 

{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "servicecatalog:*"
         ],
         "Resource":"*",
         "Condition": {
            "StringEquals": {
               "servicecatalog:accountLevel": "self"
            }
         }
      }
   ]
}

Esta política equivale funcionalmente a la siguiente política:

{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "servicecatalog:*"
         ],
         "Resource":"*"
      }
   ]
}

No especificar un Condition bloque en ninguna política para AWS Service Catalog se trata de la misma manera que especificar el "servicecatalog:accountLevel" acceso. Tenga en cuenta que el acceso accountLevel incluye los accesos roleLevel y userLevel.

Acceso de usuario final a los productos aprovisionados

La siguiente política restringe el acceso a las operaciones de lectura y escritura exclusivamente a los productos aprovisionados y a los registros asociados creados por el usuario actual.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicecatalog:DescribeProduct",
                "servicecatalog:DescribeProductView",
                "servicecatalog:DescribeProvisioningParameters",
                "servicecatalog:DescribeRecord",
                "servicecatalog:ListLaunchPaths",
                "servicecatalog:ListRecordHistory",
                "servicecatalog:ProvisionProduct",
                "servicecatalog:ScanProvisionedProducts",
                "servicecatalog:SearchProducts",
                "servicecatalog:TerminateProvisionedProduct",
                "servicecatalog:UpdateProvisionedProduct"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "servicecatalog:userLevel": "self"
                }
            }
        }
    ]
 }

Acceso parcial de administración a los productos aprovisionados

Las dos políticas que aparecen a continuación, si se aplican al mismo usuario, permiten lo que podríamos denominar un tipo de acceso de administrador "parcial", pues proporcionan acceso pleno de solo lectura y acceso de escritura limitado. Esto significa que el usuario puede consultar cualquier producto aprovisionado o registro asociado en la cuenta del catálogo, pero no puede realizar ninguna acción en ningún producto aprovisionado ni registro que no sean de su propiedad.

La primera política permite al usuario obtener acceso a las operaciones de escritura en los productos aprovisionados que el propio usuario actual ha creado, pero no a los que han creado otros usuarios. La segunda política agrega acceso pleno a las operaciones de lectura en los productos aprovisionados creados por todos (usuario, función o cuenta). 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicecatalog:DescribeProduct",
                "servicecatalog:DescribeProductView",
                "servicecatalog:DescribeProvisioningParameters",
                "servicecatalog:ListLaunchPaths",
                "servicecatalog:ProvisionProduct",
                "servicecatalog:SearchProducts",
                "servicecatalog:TerminateProvisionedProduct",
                "servicecatalog:UpdateProvisionedProduct"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "servicecatalog:userLevel": "self"
                }
            }
        }
    ]
 }
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicecatalog:DescribeRecord",
                "servicecatalog:ListRecordHistory",
                "servicecatalog:ScanProvisionedProducts"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "servicecatalog:accountLevel": "self"
                }
            }
        }
    ]
 }