的身分型政策範例 AWS Service Catalog - AWS Service Catalog
最終使用者的主控台存取最終使用者的產品存取範例政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

的身分型政策範例 AWS Service Catalog

最終使用者的主控台存取

AWSServiceCatalogEndUserFullAccessAWSServiceCatalogEndUserReadOnlyAccess 政策會將存取權授予 AWS Service Catalog 最終使用者主控台檢視。當具有這些政策之一的使用者 AWS Service Catalog 在 中選擇時 AWS Management Console,最終使用者主控台檢視會顯示他們具有啟動許可的產品。

在最終使用者可以成功啟動 AWS Service Catalog 您授予存取權的產品之前,您必須提供他們額外的 IAM 許可,以允許他們使用產品 AWS CloudFormation 範本中的每個基礎 AWS 資源。例如,如果產品範本包含 Amazon Relational Database Service (Amazon RDS),您必須授予使用者 Amazon RDS 啟動產品的許可。

若要了解如何讓最終使用者在強制執行最低存取 AWS 資源許可的同時啟動產品,請參閱 使用 AWS Service Catalog 限制條件

若您套用 AWSServiceCatalogEndUserReadOnlyAccess 政策,使用者有權存取最終使用者主控台,但他們沒有啟動產品與管理佈建產品所需的權限。您可以使用 IAM 將這些許可直接授予最終使用者,但如果您想要限制最終使用者對 AWS 資源的存取,則應將政策連接至啟動角色。然後 AWS Service Catalog ,您可以使用 將啟動角色套用至產品的啟動限制。如需套用啟動角色、啟動角色限制和範例啟動角色的更多資訊,請參閱 AWS Service Catalog 啟動限制條件

注意

如果您授予使用者 AWS Service Catalog 管理員的 IAM 許可,則會改為顯示管理員主控台檢視。請勿授予最終使用者這些權限,除非您希望他們擁有管理員主控台檢視的存取權。

最終使用者的產品存取

在最終使用者可以使用您授予存取權的產品之前,您必須提供他們額外的 IAM 許可,以允許他們使用產品 AWS CloudFormation 範本中的每個基礎 AWS 資源。例如,如果產品範本包含 Amazon Relational Database Service (Amazon RDS),您必須授予使用者 Amazon RDS 啟動產品的許可。

若您套用 AWSServiceCatalogEndUserReadOnlyAccess 政策,使用者有權存取最終使用者主控台檢視,但他們沒有啟動產品與管理佈建產品所需的權限。您可以直接將這些許可授予 IAM 中的最終使用者,但如果您想要限制最終使用者對 AWS 資源的存取,則應將政策連接至啟動角色。然後 AWS Service Catalog ,您可以使用 將啟動角色套用至產品的啟動限制。如需套用啟動角色、啟動角色限制和範例啟動角色的更多資訊,請參閱 AWS Service Catalog 啟動限制條件

管理佈建產品的範例政策

您可以建立自訂政策以協助符合組織的安全性要求。下列範例說明如何使用使用者、角色和帳戶層級的支援為每個動作自訂存取層級。您可以授予使用者檢視、更新、終止與管理佈建產品的存取權,該佈建產品的建立對象僅為該使用者或由在其角色下的其他人或他人登入的帳戶所建立。此存取權是階層式 – 授予帳戶層級存取權也會授予角色層級存取權和使用者層級存取權,而新增角色層級存取權也會授予使用者層級存取權,但不會授予帳戶層級存取權。您可以使用 Condition 區塊在 policy JSON 指定這些做為 accountLevelroleLeveluserLevel

這些範例也適用於 AWS Service Catalog API 寫入操作的存取層級: UpdateProvisionedProductTerminateProvisionedProduct,以及讀取操作:ScanProvisionedProductsDescribeRecordListRecordHistoryScanProvisionedProductsListRecordHistory API 操作使用 AccessLevelFilterKey 做為輸入,且該金鑰值與在此討論的 Condition 區塊層級相對應 (accountLevel 等於「帳戶」的 AccessLevelFilterKey 值,roleLevel 對「角色」和 userLevel 對「使用者」)。如需詳細資訊,請參閱 Service Catalog 開發人員指南

佈建產品的完整管理員存取權

下列政策允取對在帳戶層級之目錄中佈建產品和報告的完整讀取和寫入存取權。

{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "servicecatalog:*"
         ],
         "Resource":"*",
         "Condition": {
            "StringEquals": {
               "servicecatalog:accountLevel": "self"
            }
         }
      }
   ]
}

此政策的功能與下列政策相等:

{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "servicecatalog:*"
         ],
         "Resource":"*"
      }
   ]
}

在任何 政策中未指定Condition區塊 AWS Service Catalog ,會被視為與指定"servicecatalog:accountLevel"存取權相同的 。請注意,accountLevel 存取包含 roleLeveluserLevel 存取。

最終使用者對佈建產品的存取

下列政策會將讀取和寫入操作的存取權限制在只有目前使用者已建立的佈建產品和相關報告。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicecatalog:DescribeProduct",
                "servicecatalog:DescribeProductView",
                "servicecatalog:DescribeProvisioningParameters",
                "servicecatalog:DescribeRecord",
                "servicecatalog:ListLaunchPaths",
                "servicecatalog:ListRecordHistory",
                "servicecatalog:ProvisionProduct",
                "servicecatalog:ScanProvisionedProducts",
                "servicecatalog:SearchProducts",
                "servicecatalog:TerminateProvisionedProduct",
                "servicecatalog:UpdateProvisionedProduct"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "servicecatalog:userLevel": "self"
                }
            }
        }
    ]
 }

已佈建產品的部分管理員存取權

以下兩個政策 (若同時適用於相同使用者) 透過提供完整唯讀存取與限制寫入存取來允許一種被稱為「部分管理存取」的存取權。此表示使用者可以看到目錄帳戶中的任何佈建產品或相關報告,但無法對非該使用者擁有的任何佈建產品或報告執行任何動作。

第一個政策允許使用者對目前使用者建立的佈建產品進行寫入操作,但不得對其他人建立的佈建產品進行相同操作。第二個政策會新增對所有 (使用者、角色或帳戶) 建立之佈建產品的讀取操作存取權。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicecatalog:DescribeProduct",
                "servicecatalog:DescribeProductView",
                "servicecatalog:DescribeProvisioningParameters",
                "servicecatalog:ListLaunchPaths",
                "servicecatalog:ProvisionProduct",
                "servicecatalog:SearchProducts",
                "servicecatalog:TerminateProvisionedProduct",
                "servicecatalog:UpdateProvisionedProduct"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "servicecatalog:userLevel": "self"
                }
            }
        }
    ]
 }
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicecatalog:DescribeRecord",
                "servicecatalog:ListRecordHistory",
                "servicecatalog:ScanProvisionedProducts"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "servicecatalog:accountLevel": "self"
                }
            }
        }
    ]
 }