Langkah 6: Tambahkan batasan peluncuran untuk menetapkan peran IAM - AWS Service Catalog

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 6: Tambahkan batasan peluncuran untuk menetapkan peran IAM

Kendala peluncuran menunjuk peran IAM yang AWS Service Catalog mengasumsikan ketika pengguna akhir meluncurkan produk.

Untuk langkah ini, Anda menambahkan batasan peluncuran ke produk Desktop Linux, sehingga AWS Service Catalog dapat menggunakan sumber daya IAM yang membentuk template produk. AWS CloudFormation

Peran IAM yang Anda tetapkan ke produk sebagai kendala peluncuran harus memiliki izin berikut

  1. AWS CloudFormation

  2. Layanan dalam templat AWS CloudFormation untuk produk

  3. Baca akses ke AWS CloudFormation template dalam bucket Amazon S3 milik layanan.

Batasan peluncuran ini memungkinkan pengguna akhir untuk meluncurkan produk dan, setelah peluncuran, mengelolanya sebagai produk yang tersedia. Untuk informasi selengkapnya, lihat Batasan peluncuran AWS Service Catalog.

Tanpa kendala peluncuran, Anda perlu memberikan izin IAM tambahan kepada pengguna akhir Anda sebelum mereka dapat menggunakan produk Desktop Linux. Misalnya, ServiceCatalogEndUserAccess kebijakan memberikan izin IAM minimum yang diperlukan untuk mengakses tampilan konsol pengguna AWS Service Catalog akhir.

Menggunakan batasan peluncuran memungkinkan Anda mengikuti praktik terbaik IAM untuk menjaga izin IAM pengguna akhir seminimal mungkin. Untuk informasi selengkapnya, lihat Pemberian hak istimewa terendah dalam Panduan Pengguna IAM.

Untuk menambahkan batasan peluncuran

  1. Ikuti petunjuk untuk Membuat kebijakan baru di tab JSON di Panduan Pengguna IAM.

  2. Rekatkan dokumen kebijakan JSON berikut:

    • cloudformation— Memungkinkan izin AWS Service Catalog penuh untuk membuat, membaca, memperbarui, menghapus, daftar, dan AWS CloudFormation tumpukan tag.

    • ec2— Memungkinkan izin AWS Service Catalog lengkap untuk mencantumkan, membaca, menulis, menyediakan, dan menandai sumber daya Amazon Elastic Compute Cloud (Amazon EC2) yang merupakan bagian dari produk. AWS Service Catalog Bergantung pada AWS sumber daya yang ingin Anda terapkan, izin ini mungkin berubah.

    • ec2— Membuat kebijakan terkelola baru untuk AWS akun Anda dan melampirkan kebijakan terkelola yang ditentukan ke peran IAM yang ditentukan.

    • s3— Memungkinkan akses ke ember Amazon S3 yang dimiliki oleh. AWS Service Catalog Untuk menyebarkan produk, AWS Service Catalog memerlukan akses ke artefak penyediaan.

    • servicecatalog— Memungkinkan AWS Service Catalog izin untuk membuat daftar, membaca, menulis, menandai, dan meluncurkan sumber daya atas nama pengguna akhir.

    • sns— Memungkinkan AWS Service Catalog izin untuk membuat daftar, membaca, menulis, dan menandai topik Amazon SNS untuk kendala peluncuran.

    catatan

    Bergantung pada sumber daya dasar yang ingin Anda terapkan, Anda mungkin perlu memodifikasi contoh kebijakan JSON. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStacks",
                "cloudformation:GetTemplateSummary",
                "cloudformation:SetStackPolicy",
                "cloudformation:ValidateTemplate",
                "cloudformation:UpdateStack",
                "ec2:*",
                "servicecatalog:*",
                "sns:*"
            ],
            "Resource": "*"
        },
        {
         "Effect":"Allow",
         "Action":[
            "s3:GetObject"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "s3:ExistingObjectTag/servicecatalog:provisioning":"true"
            }
         }
      }
    ]
}

  3. Pilih Berikutnya, Tag.

  4. Pilih Berikutnya, Tinjau.

  5. Di halaman Kebijakan tinjau, untuk Nama, masukkanlinuxDesktopPolicy.

  6. Pilih Buat kebijakan.

  7. Di panel navigasi, silakan pilih Peran. Lalu pilih Buat peran dan lakukan hal berikut:

    1. Untuk Pilih entitas tepercaya, pilih AWSlayanan dan kemudian di bawah Kasus penggunaan untuk AWS layanan lain pilih Service Catalog. Pilih kasus penggunaan Service Catalog dan kemudian pilih Berikutnya.

    2. Cari linuxDesktopPolicykebijakan, lalu pilih kotak centang.

    3. Pilih Berikutnya.

    4. Untuk Nama Peran, ketik linuxDesktopLaunchRole.

    5. Pilih Buat peran.

  8. Buka konsol AWS Service Catalog di https://console.aws.amazon.com/servicecatalog.

  9. Pilih portofolio Peralatan Teknik.

  10. Pada halaman Detail portofolio, pilih tab Constraints, lalu pilih Create constraint.

  11. Untuk Produk, Pilih Desktop Linux, dan untuk Tipe Batasan, pilih Luncurkan.

  12. Pilih Pilih IAM role. Selanjutnya pilih linuxDesktopLaunchPeran, lalu pilih Buat.