Passaggio 6: aggiungere un vincolo di avvio per assegnare un ruolo IAM - AWS Service Catalog

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Passaggio 6: aggiungere un vincolo di avvio per assegnare un ruolo IAM

Un vincolo di lancio designa un ruolo IAM da AWS Service Catalog assumere quando un utente finale lancia un prodotto.

Per questo passaggio, aggiungi un vincolo di lancio al prodotto Linux Desktop, in modo da AWS Service Catalog poter utilizzare le risorse IAM che costituiscono il modello del prodotto. AWS CloudFormation

Il ruolo IAM assegnato a un prodotto come vincolo di lancio deve avere le seguenti autorizzazioni

  1. AWS CloudFormation

  2. Servizi inclusi nel modello del prodotto AWS CloudFormation

  3. Accesso in lettura al AWS CloudFormation modello in un bucket Amazon S3 di proprietà del servizio.

Questo vincolo di avvio consente all'utente finale di lanciare il prodotto e, dopo il lancio, di gestirlo come prodotto fornito. Per ulteriori informazioni, consulta AWS Service Catalog Launch Constraints (Vincoli di lancio di SC).

Senza vincoli di lancio, è necessario concedere autorizzazioni IAM aggiuntive agli utenti finali prima che possano utilizzare il prodotto Linux Desktop. Ad esempio, la ServiceCatalogEndUserAccess policy concede le autorizzazioni IAM minime necessarie per accedere alla visualizzazione della console dell'AWS Service Catalogutente finale.

L'utilizzo di un vincolo di avvio consente di seguire la best practice IAM di ridurre al minimo le autorizzazioni IAM degli utenti finali. Per ulteriori informazioni, consulta Assegnare il privilegio minimo nella Guida per l'utente IAM.

Aggiunta di un vincolo di avvio

  1. Segui le istruzioni per creare nuove politiche nella scheda JSON nella guida per l'utente IAM.

  2. Incolla il seguente documento di policy JSON:

    • cloudformation— Consente le autorizzazioni AWS Service Catalog complete per creare, leggere, aggiornare, eliminare, elencare e contrassegnare pile di tagAWS CloudFormation.

    • ec2— Consente le autorizzazioni AWS Service Catalog complete per elencare, leggere, scrivere, fornire ed etichettare le risorse Amazon Elastic Compute Cloud (Amazon EC2) che fanno parte del prodotto. AWS Service Catalog A seconda della AWS risorsa che desideri distribuire, questa autorizzazione potrebbe cambiare.

    • ec2— Crea una nuova policy gestita per il tuo AWS account e allega la policy gestita specificata al ruolo IAM specificato.

    • s3— Consente l'accesso ai bucket Amazon S3 di proprietà di. AWS Service Catalog Per distribuire il prodotto, è AWS Service Catalog necessario accedere agli artefatti di provisioning.

    • servicecatalog— Consente AWS Service Catalog le autorizzazioni per elencare, leggere, scrivere, etichettare e avviare risorse per conto dell'utente finale.

    • sns— Consente AWS Service Catalog le autorizzazioni per elencare, leggere, scrivere ed etichettare gli argomenti di Amazon SNS per il vincolo di avvio.

    Nota

    A seconda delle risorse sottostanti che desideri distribuire, potrebbe essere necessario modificare la policy JSON di esempio. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStacks",
                "cloudformation:GetTemplateSummary",
                "cloudformation:SetStackPolicy",
                "cloudformation:ValidateTemplate",
                "cloudformation:UpdateStack",
                "ec2:*",
                "servicecatalog:*",
                "sns:*"
            ],
            "Resource": "*"
        },
        {
         "Effect":"Allow",
         "Action":[
            "s3:GetObject"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "s3:ExistingObjectTag/servicecatalog:provisioning":"true"
            }
         }
      }
    ]
}

  3. Scegli Avanti, Tag.

  4. Scegli Avanti, Rivedi.

  5. Nella pagina della politica di revisione, per il nome, inseriscilinuxDesktopPolicy.

  6. Scegli Crea policy.

  7. Nel riquadro di navigazione, seleziona Ruoli. Quindi scegli Crea ruolo ed esegui le seguenti operazioni:

    1. Per Seleziona entità affidabile, scegli AWSservizio e quindi in Caso d'uso per altri AWS servizi scegli Service Catalog. Seleziona lo use case Service Catalog, quindi scegli Avanti.

    2. Cerca la linuxDesktopPolicypolitica, quindi seleziona la casella di controllo.

    3. Seleziona Avanti.

    4. Per Role name (Nome ruolo), digita linuxDesktopLaunchRole.

    5. Scegli Crea ruolo.

  8. Apri la AWS Service Catalog console all'indirizzo https://console.aws.amazon.com/servicecatalog.

  9. Selezionare il portafoglio Engineering Tools (Strumenti di progettazione).

  10. Nella pagina dei dettagli del portfolio, scegli la scheda Vincoli, quindi scegli Crea vincolo.

  11. Per Prodotto, scegli Linux Desktop e, per il tipo di vincolo, scegli Launch.

  12. Scegli Seleziona il ruolo IAM. Quindi scegli linuxDesktopLaunchRuolo, quindi scegli Crea.