Batasan Peluncuran AWS Service Catalog - AWS Service Catalog
Mengonfigurasi Peran PeluncuranMenerapkan Batasan PeluncuranMenambahkan Deputi Bingung untuk Meluncurkan KendalaMemverifikasi Kendala Peluncuran

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Batasan Peluncuran AWS Service Catalog

Batasan peluncuran menentukan peran AWS Identity and Access Management (IAM) yang AWS Service Catalog mengasumsikan saat pengguna akhir meluncurkan, memperbarui, atau menghentikan produk. Peran IAM adalah kumpulan izin yang dapat diasumsikan oleh pengguna atau AWS layanan sementara untuk menggunakan AWS layanan. Untuk contoh pengantar, lihat:

Batasan peluncuran berlaku untuk produk dalam portofolio (asosiasi portofolio produk). Batasan peluncuran tidak berlaku pada tingkat portofolio atau produk di semua portofolio. Untuk mengaitkan batasan peluncuran dengan semua produk dalam portofolio, Anda harus menerapkan batasan peluncuran untuk setiap produk satu per satu.

Tanpa batasan peluncuran, pengguna akhir harus meluncurkan dan mengelola produk menggunakan kredensial IAM mereka sendiri. Untuk melakukannya, mereka harus memiliki izin untuk AWS CloudFormation, layanan AWS yang digunakan oleh produk, dan AWS Service Catalog. Dengan menggunakan peran peluncuran, Anda dapat membatasi izin pengguna akhir seminimal mungkin yang mereka butuhkan untuk produk tersebut. Untuk informasi selengkapnya tentang izin pengguna akhir, lihat Manajemen Identitas dan Akses di AWS Service Catalog.

Untuk membuat dan menetapkan IAM role, Anda harus memiliki izin administratif IAM berikut:

  • iam:CreateRole

  • iam:PutRolePolicy

  • iam:PassRole

  • iam:Get*

  • iam:List*

Mengonfigurasi Peran Peluncuran

Peran IAM yang Anda tetapkan ke produk sebagai kendala peluncuran harus memiliki izin untuk menggunakan yang berikut:

Untuk produk Cloudformation

  • Kebijakan yang arn:aws:iam::aws:policy/AWSCloudFormationFullAccess AWS CloudFormation dikelola

  • Layanan dalam templat AWS CloudFormation untuk produk

  • Baca akses ke AWS CloudFormation template dalam bucket Amazon S3 milik layanan.

Untuk produk Terraform

  • Layanan dalam template Amazon S3 untuk produk

  • Baca akses ke template Amazon S3 dalam bucket Amazon S3 milik layanan.

  • resource-groups:Taguntuk menandai instans Amazon EC2 (diasumsikan oleh mesin penyediaan Terraform saat melakukan operasi penyediaan)

  • resource-groups:CreateGroupuntuk penandaan grup sumber daya (diasumsikan oleh AWS Service Catalog untuk membuat grup sumber daya dan menetapkan tag)

Kebijakan kepercayaan peran IAM harus memungkinkan AWS Service Catalog untuk mengambil peran tersebut. Pada prosedur di bawah ini, kebijakan kepercayaan akan disetel secara otomatis saat Anda memilih AWS Service Catalog sebagai tipe peran. Jika Anda tidak menggunakan konsol, lihat bagian Membuat kebijakan kepercayaan untuk AWS layanan yang mengambil peran dalam Cara menggunakan kebijakan kepercayaan dengan peran IAM.

catatan

Izin servicecatalog:ProvisionProduct, servicecatalog:TerminateProvisionedProduct, dan servicecatalog:UpdateProvisionedProduct tidak dapat ditetapkan dalam peran peluncuran. Anda harus menggunakan peran IAM, seperti yang ditunjukkan dalam langkah-langkah kebijakan sebaris di bagian Memberikan Izin kepada AWS Service Catalog Pengguna Akhir.

catatan

Untuk melihat produk dan sumber daya Cloudformation yang disediakan di AWS Service Catalog konsol, pengguna akhir memerlukan akses baca. AWS CloudFormation Melihat produk dan sumber daya yang disediakan di konsol tidak menggunakan peran peluncuran.

Untuk membuat peran peluncuran

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

    Produk Terraform memerlukan konfigurasi peran peluncuran tambahan. Untuk informasi lebih lanjut, tinjau Langkah 5: Buat peran peluncuran di Memulai dengan produk Terraform Open Source.

  2. Pilih Peran.

  3. Pilih Buat Peran Baru.

  4. Masukkan nama peran dan pilih Langkah Selanjutnya.

  5. Di bawah Peran Layanan AWS di samping AWS Service Catalog, pilih Pilih.

  6. Pada halaman Lampirkan Kebijakan, pilih Langkah Selanjutnya.

  7. Untuk membuat peran, pilih Buat Peran.

Untuk melampirkan kebijakan ke peran baru

  1. Pada halaman peran yang telah Anda buat untuk melihat halaman detail perannya.

  2. Pilih tab Izin, dan perluas bagian Kebijakan Sebaris. Lalu, pilih klik di sini.

  3. Pilih Kebijakan Kustom, lalu pilih Pilihan.

  4. Masukkan nama untuk kebijakan, lalu tempelkan bagian berikut ke bagian editor Dokumen Kebijakan: 

      
          "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObject"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "s3:ExistingObjectTag/servicecatalog:provisioning":"true"
            }
         }
   ]
}
    catatan

    Saat Anda mengonfigurasi peran peluncuran untuk batasan peluncuran, Anda harus menggunakan string ini:. "s3:ExistingObjectTag/servicecatalog:provisioning":"true"

  5. Tambahkan baris ke kebijakan untuk setiap layanan tambahan yang digunakan oleh produk. Misalnya, untuk menambahkan izin untuk Amazon Relational Database Service (Amazon RDS), masukkan koma pada akhir baris terakhir pada daftar Action, lalu tambahkan baris berikut: 

    "rds:*"

  6. Pilih Terapkan Kebijakan.

Menerapkan Batasan Peluncuran

Setelah Anda mengonfigurasi peran peluncuran, tetapkan peran ke produk sebagai batasan peluncuran. Tindakan ini memberitahu AWS Service Catalog untuk mengambil peran saat pengguna akhir meluncurkan produk.

Menetapkan peran ke sebuah produk

  1. Buka konsol Service Catalog di https://console.aws.amazon.com/servicecatalog/.

  2. Pilih portofolio yang berisi produk.

  3. Pilih tab Batasan dan pilih Buat batasan.

  4. Pilih produk dari Produk lalu pilih Luncurkan di Tipe batasan. Pilih Lanjutkan.

  5. Di bagian Batasan peluncuran, Anda dapat memilih IAM role dari akun Anda dan memasukkan ARN IAM role, atau memasukkan nama peran.

    Jika Anda menetapkan nama peran dan jika akun menggunakan batasan peluncuran, akun akan menggunakan nama tersebut untuk IAM role. Pendekatan ini memungkinkan batasan peran peluncuran menjadi akun agnostik sehingga Anda dapat membuat lebih sedikit sumber daya per akun bersama.

    catatan

    Nama peran yang diberikan harus muncul di akun yang menciptakan batasan peluncurannya dan di akun pengguna yang meluncurkan produk dengan batasan peluncuran ini.

  6. Setelah menentukan IAM role, pilih Buat.

Menambahkan Deputi Bingung untuk Meluncurkan Kendala

AWS Service Catalogmendukung perlindungan Deputi Bingung untuk API yang berjalan dengan permintaan Asumsikan Peran. Saat menambahkan batasan peluncuran, Anda dapat membatasi akses peran peluncuran dengan menggunakan sourceAccount dan sourceArn kondisi dalam kebijakan kepercayaan peran peluncuran. Ini memastikan bahwa peran peluncuran dipanggil oleh sumber tepercaya.

Dalam contoh berikut, AWS Service Catalog pengguna akhir milik akun 111111111111. Saat AWS Service Catalog administrator membuat LaunchConstraint untuk produk, pengguna akhir dapat menentukan kondisi berikut dalam kebijakan kepercayaan peran peluncuran untuk membatasi peran yang diasumsikan ke akun 111111111111.

"Condition":{
   "ArnLike":{
      "aws:SourceArn":"arn:aws:servicecatalog:us-east-1:111111111111:*"
   },
   "StringEquals":{
      "aws:SourceAccount":"111111111111"
   }
  
}

Pengguna yang menyediakan produk dengan produk LaunchConstraint harus memiliki yang sama AccountId (111111111111). Jika tidak, operasi gagal dengan AccessDenied kesalahan, mencegah penyalahgunaan peran peluncuran.

AWS Service CatalogAPI berikut diamankan untuk perlindungan Deputi Bingung:

  • LaunchConstraint

  • ProvisionProduct

  • UpdateProvisionedProduct

  • TerminateProvisionedProduct

  • ExecuteProvisionedProductServiceAction

  • CreateProvisionedProductPlan

  • ExecuteProvisionedProductPlan

sourceArn Perlindungan AWS Service Catalog hanya mendukung ARN templat, seperti "arn:<aws-partition>:servicecatalog:<region>:<accountId>:" Itu tidak mendukung ARN sumber daya tertentu.

Memverifikasi Kendala Peluncuran

Untuk memverifikasi AWS Service Catalog penggunaan peran untuk meluncurkan produk dan berhasil menyediakan produk, luncurkan produk dari AWS Service Catalog konsol. Untuk menguji batasan sebelum melepaskannya ke pengguna, buat portofolio uji yang berisi produk yang sama dan uji batasan dengan portofolio tersebut.

Untuk meluncurkan produk

  1. Dalam menu untuk konsol AWS Service Catalog, pilih Service Catalog, Pengguna akhir.

  2. Pilih produk untuk membuka halaman Detail produk. Di tabel Opsi peluncuran, verifikasi Amazon Resource Name (ARN) dari peran yang muncul.

  3. Pilih Luncurkan produk.

  4. Lanjutkan melalui langkah-langkah peluncuran, mengisi informasi yang diperlukan.

  5. Verifikasi bahwa produk yang dimulai berhasil.