Etapa 6: Adicionar uma restrição de lançamento para atribuir um perfil do IAM - AWS Service Catalog

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 6: Adicionar uma restrição de lançamento para atribuir um perfil do IAM

Uma restrição de lançamento designa um perfil do IAM que o AWS Service Catalog assume quando um usuário final lança um produto.

Para essa etapa, você adicionará uma restrição de lançamento ao produto Linux Desktop para que o AWS Service Catalog use os recursos do IAM que fazem parte do modelo do AWS CloudFormation do produto.

O perfil do IAM que você atribui a um produto como restrição de lançamento deve ter as seguintes permissões:

  1. AWS CloudFormation

  2. Os serviços usados no modelo do AWS CloudFormation para o produto

  3. Leia o acesso ao modelo AWS CloudFormation em um bucket Amazon S3 de propriedade do serviço.

Esta restrição de lançamento permitirá que o usuário final lance o produto e, depois, gerencie-o como um produto provisionado. Para ver mais informações, consulte Restrições de lançamento do AWS Service Catalog.

Sem uma restrição de lançamento, seria necessário conceder permissões adicionais do IAM aos usuários finais para que pudessem usar o produto Linux Desktop. Por exemplo, a política ServiceCatalogEndUserAccess concede as permissões mínimas do IAM necessárias para acessar a visualização de console do usuário final do AWS Service Catalog.

Usar uma restrição de lançamento permite que você siga as melhores práticas do IAM de manter as permissões do IAM do usuário final no mínimo. Para obter mais informações, consulte Conceder privilégio mínimo no Guia do usuário do IAM.

Para adicionar uma restrição de lançamento

  1. Siga as instruções para Criar novas políticas na guia JSON no Guia do Usuário do IAM.

  2. Cole o seguinte documento da política JSON:

    • cloudformation — concede ao AWS Service Catalog permissões completas para criar, ler, atualizar, excluir, listar e marcar pilhas AWS CloudFormation.

    • ec2 — concede ao AWS Service Catalog permissões completas para listar, ler, gravar, provisionar e marcar recursos do Amazon Elastic Compute Cloud (Amazon EC2) que fazem parte do produto AWS Service Catalog. Dependendo do recurso da AWS que você deseja implantar, essa permissão pode mudar.

    • ec2 — cria uma nova política gerenciada para sua conta da AWS e anexa a política gerenciada especificada ao perfil do IAM especificado.

    • s3 — permite acesso aos buckets do Amazon S3 de propriedade do AWS Service Catalog. Para implantar o produto, AWS Service Catalog é necessário acesso aos artefatos de provisionamento.

    • servicecatalog — concede ao AWS Service Catalog permissões para listar, ler, gravar, marcar e iniciar recursos em nome do usuário final.

    • sns — concede ao AWS Service Catalog permissões para listar, ler, escrever e marcar tópicos do Amazon SNS para a restrição de lançamento.

    nota

    Dependendo dos recursos subjacentes que você deseja implantar, talvez seja necessário modificar o exemplo de política JSON. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStacks",
                "cloudformation:GetTemplateSummary",
                "cloudformation:SetStackPolicy",
                "cloudformation:ValidateTemplate",
                "cloudformation:UpdateStack",
                "ec2:*",
                "servicecatalog:*",
                "sns:*"
            ],
            "Resource": "*"
        },
        {
         "Effect":"Allow",
         "Action":[
            "s3:GetObject"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "s3:ExistingObjectTag/servicecatalog:provisioning":"true"
            }
         }
      }
    ]
}

  3. Escolha Próximo, Tags.

  4. Escolha Próximo, Revisar.

  5. Na página Revisar política, para o Nome , insiralinuxDesktopPolicy .

  6. Escolha Criar política.

  7. No painel de navegação, escolha Perfis. Então escolha Criar perfil e faça o seguinte:

    1. Em Selecionar entidade confiável, escolha AWSserviço e, em Caso de uso para outros serviços da AWS, escolha Service Catalog. Selecione o caso de uso Service Catalog e depois escolha Próximo.

    2. Pesquise a linuxDesktopPolicypolítica e marque a caixa de seleção.

    3. Escolha Próximo.

    4. Em Role name, insira linuxDesktopLaunchRole.

    5. Selecione Criar perfil.

  8. Abra o AWS Service Catalog console em https://console.aws.amazon.com/servicecatalog.

  9. Escolha o portfólio Engineering Tools.

  10. Na página Detalhes do portfólio, escolha a guia Restrições e escolha Criar restrição.

  11. Em Produto, escolha Linux Desktop, e escolha Lançamento como Tipo de restrição.

  12. Escolha Selecionar perfil do IAM. Em seguida, escolha linuxDesktopLaunchFunção e, em seguida, escolha Criar.