Melhores práticas de segurança para AWS Service Catalog

AWS Service Catalog fornece vários recursos de segurança a serem considerados ao desenvolver e implementar suas próprias políticas de segurança. As melhores práticas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas melhores práticas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições.

Você pode definir regras que limitam os valores de parâmetro que um usuário informa ao executar um produto. Essas regras são chamadas de restrições de modelo porque elas limitam como o modelo do AWS CloudFormation do produto é implantado. Use um editor simples para criar restrições de modelo e aplique-as individualmente aos produtos.

AWS Service Catalog aplica restrições ao provisionar um novo produto ou atualizar um produto que já está em uso. Ele sempre aplica a restrição mais rígida entre todas as restrições aplicadas ao portfólio e ao produto. Por exemplo, considere um cenário em que o produto permite que todas as EC2 instâncias da Amazon sejam lançadas e o portfólio tenha duas restrições: uma que permite que todas as instâncias que não sejam do GPU tipo sejam iniciadas e outra que permite que somente EC2 instâncias t1.micro e EC2 m1.small sejam iniciadas. Neste exemplo, AWS Service Catalog aplica a segunda restrição mais restritiva (t1.micro e m1.small).

Você pode limitar o acesso que os usuários finais têm aos AWS recursos ao anexar uma IAM política a uma função de lançamento. Em seguida, você usa AWS Service Catalog para criar uma restrição de lançamento para usar a função ao lançar o produto.

Para saber mais sobre políticas gerenciadas para AWS Service Catalog, consulte Políticas AWS gerenciadas para AWS Service Catalog.