本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 6:新增啟動限制以指派 IAM 角色
啟動限制會指定 IAM 角色,該角色會在最終使用者啟動產品時AWS Service Catalog採用。
在此步驟中,您可以將啟動限制新增至 Linux 桌面產品,AWS Service Catalog以便使用構成產品AWS CloudFormation範本的 IAM 資源。
您指派給產品做為啟動限制的 IAM 角色必須具有下列權限
-
AWS CloudFormation
-
產品AWS CloudFormation範本中的服務
-
讀取服務擁有的 Amazon S3 儲存貯體中AWS CloudFormation範本的存取權限。
此啟動限制可讓一般使用者啟動產品,並在啟動後將其作為已佈建產品進行管理。如需詳細資訊,請參閱 AWS Service Catalog 啟動限制。
如果沒有啟動限制,您必須先向使用者授與其他 IAM 許可,才能使用 Linux 桌面平台產品。例如,該ServiceCatalogEndUserAccess
政策授予存取使用者主控台檢視所需的AWS Service Catalog最低 IAM 許可。
使用啟動限制可讓您遵循將最終使用者 IAM 許可保持在最低限度的 IAM 最佳做法。如需詳細資訊,請參閱《IAM 使用者指南》中的授予最低權限。
新增啟動限制
-
遵循 IAM 使用者指南中的 JSON 索引標籤上建立新政策的指示。
-
貼上下列 JSON 政策文件:
-
cloudformation
— 允許創建,讀取,更新,刪除,列出和標籤AWS CloudFormation堆棧的AWS Service Catalog完整權限。 -
ec2
— 允許AWS Service Catalog完整許可列出、讀取、寫入、佈建和標記屬於AWS Service Catalog產品一部分的 Amazon 彈性運算雲端 (Amazon EC2) 資源。根據您要部署的AWS資源,此權限可能會變更。 -
ec2
— 為您的AWS帳戶建立新的受管政策,並將指定的受管政策附加到指定的 IAM 角色。 -
s3
— 允許存取擁有的 Amazon S3 儲存貯體AWS Service Catalog。若要部署產品,AWS Service Catalog需要存取佈建人工因素。 -
servicecatalog
— 允AWS Service Catalog許代表使用者列出、讀取、寫入、標記和啟動資源的權限。 -
sns
— 允AWS Service Catalog許列出、讀取、寫入和標記啟動限制的 Amazon SNS 主題。
注意
視您要部署的基礎資源而定,您可能需要修改範例 JSON 政策。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "ec2:*", "servicecatalog:*", "sns:*" ], "Resource": "*" }, { "Effect":"Allow", "Action":[ "s3:GetObject" ], "Resource":"*", "Condition":{ "StringEquals":{ "s3:ExistingObjectTag/servicecatalog:provisioning":"true" } } } ] }
-
-
選擇下一步、標籤。
-
選擇下一步,檢閱。
-
在 [檢閱原則] 頁面中,針對 [名稱] 輸入
linuxDesktopPolicy
。 -
選擇建立政策。
-
在導覽窗格中,選擇角色。然後選擇 [建立角色] 並執行下列動作:
-
針對 [選取信任的實體],選擇 [AWS服務],然後在 [其他AWS服務的使用案例] 下選擇 Service Catalog 選取 Service Catalog 使用案例,然後選擇下一步。
-
搜尋linuxDesktopPolicy策略,然後選取核取方塊。
-
選擇下一步。
-
於角色名稱輸入
linuxDesktopLaunchRole
。 -
選擇建立角色。
-
-
開啟主AWS Service Catalog控台,網址為 https://console.aws.amazon.com/servicecatalog
。 -
選擇 Engineering Tools (工程工具) 產品組合。
-
在學檔詳細資訊頁面上,選擇「條件約束」標籤,然後選擇「建立條件約束」。
-
對於「產品」,請選擇 Linux 桌面平台,然後針對「條件約束類型」選擇「
-
選擇選取 IAM 角色。接下來選擇 [linuxDesktopLaunch角色],然後選擇 [建立]。