Acesso ao console para usuários finais Acesso ao produto para usuários finais Exemplo de políticas

Exemplos de políticas baseadas em identidade para AWS Service Catalog

Tópicos

Acesso ao console para usuários finais
Acesso ao produto para usuários finais
Políticas de exemplo para gerenciamento de produtos provisionados

Acesso ao console para usuários finais

As políticas AWSServiceCatalogEndUserFullAccess e AWSServiceCatalogEndUserReadOnlyAccess concedem acesso à visualização do console do usuário final do AWS Service Catalog . Quando um usuário que tem uma dessas políticas escolhe AWS Service Catalog no AWS Management Console, a visualização do console do usuário final exibe os produtos que ele tem permissão para lançar.

Antes que os usuários finais possam lançar com sucesso um produto AWS Service Catalog ao qual você concede acesso, você deve fornecer a eles permissões adicionais do IAM para permitir que eles usem cada um dos AWS recursos subjacentes no AWS CloudFormation modelo de um produto. Por exemplo, se um modelo de produto incluir o Amazon Relational Database Service (Amazon RDS), você deverá conceder permissões do Amazon RDS aos usuários para lançarem o produto.

Para saber como permitir que os usuários finais lancem produtos e, ao mesmo tempo, imponham permissões de acesso mínimo aos AWS recursos, consulte. Usando AWS Service Catalog restrições

Se você aplicar a política AWSServiceCatalogEndUserReadOnlyAccess, seus usuários terão acesso ao console do usuário final, mas não terão as permissões necessárias para lançar produtos e gerenciar produtos provisionados. Você pode conceder essas permissões diretamente a um usuário final usando o IAM, mas se quiser limitar o acesso que os usuários finais têm aos AWS recursos, você deve anexar a política a uma função de lançamento. Em seguida, você usa AWS Service Catalog para aplicar a função de lançamento a uma restrição de lançamento do produto. Para obter mais informações sobre como aplicar uma função de lançamento, limitações de função de lançamento e uma função de lançamento de exemplo, consulte AWS Service Catalog Restrições de lançamento.

nota

Se você conceder aos usuários permissões de IAM para AWS Service Catalog administradores, a visualização do console do administrador será exibida em vez disso. Não conceda essas permissões aos usuários finais, a menos que você queira que eles tenham acesso à visualização do console do administrador.

Acesso ao produto para usuários finais

Antes que os usuários finais possam usar um produto ao qual você concede acesso, você deve fornecer a eles permissões adicionais do IAM para permitir que eles usem cada um dos AWS recursos subjacentes no AWS CloudFormation modelo de um produto. Por exemplo, se um modelo de produto incluir o Amazon Relational Database Service (Amazon RDS), você deverá conceder permissões do Amazon RDS aos usuários para lançarem o produto.

Se você aplicar a política AWSServiceCatalogEndUserReadOnlyAccess, seus usuários terão acesso à visualização do console do usuário final, mas não terão as permissões necessárias para lançar produtos e gerenciar produtos provisionados. Você pode conceder essas permissões diretamente a um usuário final no IAM, mas se quiser limitar o acesso que os usuários finais têm aos AWS recursos, você deve anexar a política a uma função de lançamento. Em seguida, você usa AWS Service Catalog para aplicar a função de lançamento a uma restrição de lançamento do produto. Para obter mais informações sobre como aplicar uma função de lançamento, limitações de função de lançamento e uma função de lançamento de amostra, consulte AWS Service Catalog Restrições de lançamento.

Políticas de exemplo para gerenciamento de produtos provisionados

Você pode criar políticas personalizadas para ajudar a atender aos requisitos de segurança da organização. As seções a seguir descrevem como personalizar o nível de acesso para cada ação com suporte para níveis de usuário, função e conta. Você pode conceder acesso a usuários para visualizar, atualizar, encerrar e gerenciar produtos provisionados criados somente por esse usuário ou criados por outros sob sua função ou sob a conta à qual eles estão conectados. Esse acesso é hierárquico – a concessão de acesso em nível de conta também concede acesso em nível de perfil e em nível de usuário, enquanto que a adição de acesso em nível de perfil também concede acesso em nível de usuário, mas não concede acesso em nível de conta. Você pode especificar isso na política JSON usando um bloco Condition como accountLevel, roleLevel ou userLevel.

Esses exemplos também se aplicam aos níveis de acesso para operações de gravação de AWS Service Catalog API: UpdateProvisionedProduct eTerminateProvisionedProduct, e operações de leitura: DescribeRecordScanProvisionedProducts, ListRecordHistory e. As operações da API ScanProvisionedProducts e ListRecordHistory usam AccessLevelFilterKey como entrada, e os valores dessa chave correspondem aos níveis de bloco Condition abordado aqui (accountLevel equivale a um valor AccessLevelFilterKey para "Conta", roleLevel para "Função" e userLevel para "Usuário"). Para obter mais informações, consulte o Guia do Desenvolvedor do Service Catalog.

Exemplos

Acesso completo de administrador a produtos provisionados
Acesso de usuário final a produtos provisionados
Acesso parcial de administrador a produtos provisionados

Acesso completo de administrador a produtos provisionados

A política a seguir permite acesso completo de leitura e gravação a produtos provisionados e registros no catálogo no nível de conta.


{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "servicecatalog:*"
         ],
         "Resource":"*",
         "Condition": {
            "StringEquals": {
               "servicecatalog:accountLevel": "self"
            }
         }
      }
   ]
}

Essa política é funcionalmente equivalente à política a seguir:


{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "servicecatalog:*"
         ],
         "Resource":"*"
      }
   ]
}

Não especificar um Condition bloqueio em nenhuma política para AWS Service Catalog é tratado da mesma forma que especificar o acesso"servicecatalog:accountLevel". Observe que o acesso accountLevel inclui o acesso roleLevel e userLevel.

Acesso de usuário final a produtos provisionados

A política a seguir restringe o acesso a operações de leitura e gravação somente aos produtos provisionados ou registros associados criados pelo usuário atual.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicecatalog:DescribeProduct",
                "servicecatalog:DescribeProductView",
                "servicecatalog:DescribeProvisioningParameters",
                "servicecatalog:DescribeRecord",
                "servicecatalog:ListLaunchPaths",
                "servicecatalog:ListRecordHistory",
                "servicecatalog:ProvisionProduct",
                "servicecatalog:ScanProvisionedProducts",
                "servicecatalog:SearchProducts",
                "servicecatalog:TerminateProvisionedProduct",
                "servicecatalog:UpdateProvisionedProduct"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "servicecatalog:userLevel": "self"
                }
            }
        }
    ]
 }

Acesso parcial de administrador a produtos provisionados

As duas políticas a seguir, se forem aplicadas ao mesmo usuário, permitem o que pode ser chamado de um tipo de "acesso de administrador parcial", fornecendo acesso de somente leitura completo e acesso de gravação limitado. Isso significa que o usuário pode ver qualquer produto provisionado ou registro associado na conta do catálogo, mas não pode executar nenhuma ação em qualquer produto provisionado ou registro que não seja de propriedade desse usuário.

A primeira política permite ao usuário acesso a operações de gravação nos produtos provisionados criados pelo usuário atual, mas não em produtos provisionados criados por outros usuários. A segunda política adiciona acesso completo a operações de leitura em produtos provisionados criados por todos (usuário, função ou conta).


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicecatalog:DescribeProduct",
                "servicecatalog:DescribeProductView",
                "servicecatalog:DescribeProvisioningParameters",
                "servicecatalog:ListLaunchPaths",
                "servicecatalog:ProvisionProduct",
                "servicecatalog:SearchProducts",
                "servicecatalog:TerminateProvisionedProduct",
                "servicecatalog:UpdateProvisionedProduct"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "servicecatalog:userLevel": "self"
                }
            }
        }
    ]
 }


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicecatalog:DescribeRecord",
                "servicecatalog:ListRecordHistory",
                "servicecatalog:ScanProvisionedProducts"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "servicecatalog:accountLevel": "self"
                }
            }
        }
    ]
 }

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de Identidade e Acesso

AWS políticas gerenciadas