安全性最佳做法 AWS Service Catalog

AWS Service Catalog 在您開發和實作自己的安全性原則時，提供許多安全性功能供您考量。以下最佳實務為一般準則，並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求，因此請將其視為實用建議就好，而不要當作是指示。

您可以定義規則，限制使用者在啟動產品時輸入的參數值。這些規則稱為範本約束，因為它們限制了 AWS CloudFormation 已部署產品的範本。您可以使用簡單的編輯器建立範本限制，然後將其套用到個別產品。

AWS Service Catalog 佈建新產品或更新已在使用中的產品時套用限制。在套用到產品組合和產品的所有限制中，永遠會套用最嚴格的限制。例如，假設產品允許啟動所有 Amazon EC2 執行個體，且產品組合有兩個限制：一個允許啟動所有非GPU類型EC2執行個體，另一個僅允許啟動 t1.micro 和 m1.small EC2 執行個體。在此範例中， AWS Service Catalog 套用第二個更嚴格的約束 (t1.micro 和 m1.small)。

您可以限制最終用戶必須的訪問 AWS 將IAM策略附加到啟動角色時的資源。然後您使用 AWS Service Catalog ，以建立啟動條件約束，以在啟動產品時使用該角色。

若要深入了解的受管政策 AWS Service Catalog，請參閱 AWS 受管理的政策 AWS Service Catalog.