步驟 6:新增啟動限制以指派 IAM 角色 - AWS Service Catalog

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 6:新增啟動限制以指派 IAM 角色

啟動限制會指定 IAM 角色,該角色會在最終使用者啟動產品時AWS Service Catalog採用。

在此步驟中,您可以將啟動限制新增至 Linux 桌面產品,AWS Service Catalog以便使用構成產品AWS CloudFormation範本的 IAM 資源。

您指派給產品做為啟動限制的 IAM 角色必須具有下列權限

  1. AWS CloudFormation

  2. 產品AWS CloudFormation範本中的服務

  3. 讀取服務擁有的 Amazon S3 儲存貯體中AWS CloudFormation範本的存取權限。

此啟動限制可讓一般使用者啟動產品,並在啟動後將其作為已佈建產品進行管理。如需詳細資訊,請參閱 AWS Service Catalog 啟動限制

如果沒有啟動限制,您必須先向使用者授與其他 IAM 許可,才能使用 Linux 桌面平台產品。例如,該ServiceCatalogEndUserAccess政策授予存取使用者主控台檢視所需的AWS Service Catalog最低 IAM 許可。

使用啟動限制可讓您遵循將最終使用者 IAM 許可保持在最低限度的 IAM 最佳做法。如需詳細資訊,請參閱《IAM 使用者指南》中的授予最低權限

新增啟動限制

  1. 遵循 IAM 使用者指南中的 JSON 索引標籤上建立新政策的指示。

  2. 貼上下列 JSON 政策文件:

    • cloudformation— 允許創建,讀取,更新,刪除,列出和標籤AWS CloudFormation堆棧的AWS Service Catalog完整權限。

    • ec2— 允許AWS Service Catalog完整許可列出、讀取、寫入、佈建和標記屬於AWS Service Catalog產品一部分的 Amazon 彈性運算雲端 (Amazon EC2) 資源。根據您要部署的AWS資源,此權限可能會變更。

    • ec2— 為您的AWS帳戶建立新的受管政策,並將指定的受管政策附加到指定的 IAM 角色。

    • s3— 允許存取擁有的 Amazon S3 儲存貯體AWS Service Catalog。若要部署產品,AWS Service Catalog需要存取佈建人工因素。

    • servicecatalog— 允AWS Service Catalog許代表使用者列出、讀取、寫入、標記和啟動資源的權限。

    • sns— 允AWS Service Catalog許列出、讀取、寫入和標記啟動限制的 Amazon SNS 主題。

    注意

    視您要部署的基礎資源而定,您可能需要修改範例 JSON 政策。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStacks",
                "cloudformation:GetTemplateSummary",
                "cloudformation:SetStackPolicy",
                "cloudformation:ValidateTemplate",
                "cloudformation:UpdateStack",
                "ec2:*",
                "servicecatalog:*",
                "sns:*"
            ],
            "Resource": "*"
        },
        {
         "Effect":"Allow",
         "Action":[
            "s3:GetObject"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "s3:ExistingObjectTag/servicecatalog:provisioning":"true"
            }
         }
      }
    ]
}

  3. 選擇下一步標籤

  4. 選擇下一步,檢閱

  5. 在 [檢閱原則] 頁面中,針對 [名稱] 輸入linuxDesktopPolicy

  6. 選擇建立政策

  7. 在導覽窗格中,選擇角色。然後選擇 [建立角色] 並執行下列動作:

    1. 針對 [選取信任的實體],選擇 [AWS服務],然後在 [其他AWS服務的使用案例] 下選擇 Service Catalog 選取 Service Catalog 使用案例,然後選擇下一步

    2. 搜尋linuxDesktopPolicy策略,然後選取核取方塊。

    3. 選擇下一步

    4. 角色名稱輸入 linuxDesktopLaunchRole

    5. 選擇建立角色

  8. 開啟主AWS Service Catalog控台,網址為 https://console.aws.amazon.com/servicecatalog

  9. 選擇 Engineering Tools (工程工具) 產品組合。

  10. 在學檔詳細資訊頁面上,選擇「條件約」標籤,然後選擇「建立條件約束」。

  11. 對於「產品」,請選擇 Linux 桌面平台,然針對「條件約束類型」選擇「

  12. 選擇選取 IAM 角色。接下來選擇 [linuxDesktopLaunch角色],然後選擇 [建立]。