使用 AWS Service Catalog 管理 IaP

AWS 提供名為 的服務AWS Service Catalog，支援管理和佈建 AWS 基礎設施做為產品。您可以使用 Service Catalog 快速定義您需要佈建為一組產品的基礎設施、將這些產品的許可授予所需對象，以及實作個別產品所需的佈建和更新模式。

Service Catalog 由 支援AWS CloudFormation。Service Catalog 產品組合、產品及其佈建範本以 CloudFormation 堆疊的形式進行管理。您可以透過四種方式定義這些堆疊：

• 使用標準 CloudFormation 範本。

• 透過使用 AWS Cloud Development Kit (AWS CDK)和 Service Catalog Construct Library 搭配您偏好的支援程式設計語言。

• 透過使用第三方工具提供的架構，從描述堆疊的宣告中繼資料產生 CloudFormation 堆疊定義。

• 使用 Service Catalog API。此 API 提供除了建置產品以外的所有方法。您可以將產品新增至產品組合、從產品組合中移除產品、標記產品和產品組合、定義管理和操作產品服務動作，以及瀏覽和搜尋產品組合和產品定義。

Service Catalog 產品的核心是一組或多組資源，這些 AWS 資源設定為提供可自訂的集體 （透過參數化） 功能。例如，您可以定義 Service Catalog 產品，以在目標帳戶中佈建私有 Amazon Simple Storage Service (Amazon S3) 儲存貯體。S3 儲存貯體是可能具有輸入參數的產品，例如儲存貯體名稱、允許存取的網際網路地址範圍、可存取儲存貯體的一組使用者、生命週期分層政策或儲存貯體版本控制規格。您也可以定義 AWS Identity and Access Management (IAM) 角色，以提供對儲存貯體的存取，做為產品的一部分。

您可以將 Service Catalog 產品新增至一或多個產品組合。Service Catalog 產品組合是集合在一起的產品，通常是因為它們具有類似的用途 （例如，分析、開發、用戶端存取服務、合作夥伴存取服務等）。

您提供許可給使用者、群組或角色，以存取在產品組合層級佈建產品。對於佈建，產品會與啟動 IAM 角色相關聯 （以自助方式向任何可以擔任該角色的人啟動產品），或使用堆疊集來定義可佈建產品的一或多個帳戶。若要使用堆疊集，您必須在 Service Catalog 中樞帳戶中定義 Service Catalog 管理員角色，並在堆疊集的每個目標帳戶中定義 Service Catalog 產品佈建執行角色。

以下各節會更詳細地討論 Service Catalog IaP 功能。

主題

• 支援模組化和程式碼重複使用

• 在 Service Catalog 中定義產品的程式設計選項

• 與外部佈建程序和工作流程整合

• 產品佈建規格

• DevSecOps 生命週期支援

• 自訂重複使用和帳戶特定佈建

• 將 Service Catalog 產品資源定義為應用程式

• 庫存管理