Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS Service Catalog Einschränkungen bei der Markteinführung
Eine Startbeschränkung gibt die AWS Identity and Access Management (IAM-) Rolle an, die übernommen AWS Service Catalog wird, wenn ein Endbenutzer ein Produkt startet, aktualisiert oder beendet. Eine IAM-Rolle ist eine Sammlung von Berechtigungen, die ein Benutzer oder AWS Dienst vorübergehend annehmen kann, um Dienste zu nutzen. AWS Ein einführendes Beispiel finden Sie unter:
+ CloudFormation Produkttyp: [Schritt 6: Fügen Sie eine Startbeschränkung hinzu, um eine IAM-Rolle zuzuweisen](getstarted-launchconstraint.md)
+ Produkttyp Terraform Open Source oder Terraform Cloud: [Schritt 5: Startrollen erstellen](getstarted-launchrole-Terraform.md)
Einschränkungen bei der Markteinführung gelten für Produkte im Portfolio (Zuordnung zum Produktportfolio). Markteinführungsbeschränkungen gelten nicht auf Portfolioebene oder für ein Produkt in allen Portfolios. Um eine Starteinschränkungen allen Produkten in einem Portfolio zuzuweisen, müssen Sie die Einschränkung auf jedes Produkt einzeln anwenden.
Ohne Einschränkungen bei der Markteinführung müssen Endbenutzer Produkte mit ihren eigenen IAM-Anmeldeinformationen starten und verwalten. Dazu benötigen sie Berechtigungen für die AWS Dienste CloudFormation, die die Produkte verwenden, und AWS Service Catalog. Durch die Verwendung einer Startrolle können Sie stattdessen die Berechtigungen der Endbenutzer auf das Minimum beschränken, das sie für das jeweilige Produkt benötigen. Weitere Informationen zu Endbenutzerberechtigungen finden Sie unter [Identity and Access Management in AWS Service Catalog](controlling_access.md).
Um IAM-Rollen zu erstellen und zuzuweisen, benötigen Sie die folgenden IAM-Administratorberechtigungen:
+ `iam:CreateRole`
+ `iam:PutRolePolicy`
+ `iam:PassRole`
+ `iam:Get*`
+ `iam:List*`
## Konfigurieren einer Startrolle
Die IAM-Rolle, die Sie einem Produkt als Startbeschränkung zuweisen, muss über die folgenden Berechtigungen verfügen:
**Für Cloudformation-Produkte**
+ Die von `arn:aws:iam::aws:policy/AWSCloudFormationFullAccess` CloudFormation verwaltete Richtlinie
+ Dienste in der AWS CloudFormation Vorlage für das Produkt
+ Lesezugriff auf die AWS CloudFormation Vorlage in einem service-eigenen Amazon S3 S3-Bucket.
**Für Terraform-Produkte**
+ Services in der Amazon S3 S3-Vorlage für das Produkt
+ Lesezugriff auf die Amazon S3 S3-Vorlage in einem serviceeigenen Amazon S3 S3-Bucket.
+ `resource-groups:Tag`zum Taggen in einer Amazon EC2 EC2-Instance (wird von der Terraform-Provisioning-Engine bei der Durchführung von Bereitstellungsvorgängen übernommen)
+ `resource-groups:CreateGroup`für das Tagging von Ressourcengruppen (vorausgesetzt, AWS Service Catalog um Ressourcengruppen zu erstellen und Tags zuzuweisen)
Die Vertrauensrichtlinie der IAM-Rolle muss es ermöglichen AWS Service Catalog , die Rolle zu übernehmen. Im folgenden Verfahren wird die Vertrauensrichtlinie automatisch festgelegt, wenn Sie den Rollentyp auswählen AWS Service Catalog . Wenn Sie die Konsole nicht verwenden, finden Sie weitere Informationen im Abschnitt *Erstellen von Vertrauensrichtlinien für AWS Dienste, die Rollen übernehmen,* unter [So verwenden Sie Vertrauensrichtlinien mit IAM-Rollen](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/).
**Anmerkung**
Die Berechtigungen `servicecatalog:ProvisionProduct`, `servicecatalog:TerminateProvisionedProduct` und `servicecatalog:UpdateProvisionedProduct` können nicht in einer Startrolle zugewiesen werden. Sie müssen IAM-Rollen verwenden, wie in den Inline-Richtlinienschritten im Abschnitt [AWS Service Catalog Endbenutzern Berechtigungen erteilen](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/getstarted-iamenduser.html) beschrieben.
**Anmerkung**
Um bereitgestellte Cloudformation-Produkte und -Ressourcen in der AWS Service Catalog Konsole anzeigen zu können, benötigen CloudFormation Endbenutzer Lesezugriff. Beim Anzeigen der bereitgestellten Produkte und Ressourcen in der Konsole wird die Rolle „Launch“ **nicht** verwendet.
**So erstellen Sie eine Startrolle**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
Terraform-Produkte erfordern zusätzliche Konfigurationen für die Startrolle. Weitere Informationen finden Sie unter [Schritt 5: Startrollen erstellen](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/getstarted-launchrole-Terraform) unter *Erste Schritte mit einem Terraform* Open Source-Produkt.
1. Wählen Sie **Roles**.
1. Klicken Sie auf **Create New Role**.
1. Geben Sie einen Rollennamen ein und wählen Sie **Next Step** aus.
1. **Wählen Sie neben **AWS Servicerollen** die **AWS Service Catalog**Option Auswählen aus.**
1. Klicken Sie auf der Seite **Attach Policy** auf **Next Step**.
1. Zum Erstellen der Rolle wählen Sie **Create Role** aus.
**So fügen Sie der neuen Rolle eine Richtlinie an**
1. Wählen Sie die Rolle aus, die Sie erstellt haben, um die Seite der Rollendetails anzuzeigen.
1. Wählen Sie die Registerkarte **Permissions** aus und erweitern Sie den Abschnitt **Inline Policies**. Klicken Sie dann auf **click here**.
1. Wählen Sie **Custom Policy** und dann **Select** aus.
1. Geben Sie einen Namen für die Richtlinie ein und fügen Sie Folgendes im Editor **Policy Document** ein:
```
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:GetObject"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"s3:ExistingObjectTag/servicecatalog:provisioning":"true"
}
}
]
}
```
**Anmerkung**
Wenn Sie eine Startrolle für eine Startbeschränkung konfigurieren, müssen Sie diese Zeichenfolge verwenden:`"s3:ExistingObjectTag/servicecatalog:provisioning":"true"`.
1. Fügen Sie der Richtlinie für jeden zusätzlichen Service, den das Produkt nutzt, eine Zeile hinzu. Um beispielsweise Berechtigungen für Amazon Relational Database Service (Amazon RDS) hinzuzufügen, geben Sie am Ende der letzten Zeile in der `Action` Liste ein Komma ein und fügen Sie dann die folgende Zeile hinzu:
```
"rds:*"
```
1. Klicken Sie auf **Apply Policy** (Richtlinie anwenden).
## Anwenden einer Startbeschränkung
Nachdem Sie die Startrolle konfiguriert haben, weisen Sie dem Produkt die Rolle als Startbeschränkung zu. Diese Aktion weist darauf AWS Service Catalog hin, dass er die Rolle übernehmen soll, wenn ein Endbenutzer das Produkt startet.
**So weisen Sie die Rolle einem Produkt zu**
1. Öffnen Sie die Service Catalog-Konsole unter [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/).
1. Wählen Sie das Portfolio aus, das das Produkt enthält.
1. Wählen Sie die Registerkarte **Constraints (Einschränkungen)** und dann **Create constraint (Einschränkung erstellen)**.
1. Wählen Sie das Produkt unter **Produkt** aus und wählen Sie unter **Einschränkungstyp** die Option **Launch** aus. Klicken Sie auf **Weiter**.
1. Im Abschnitt **Launch Constraint** können Sie eine IAM-Rolle aus Ihrem Konto auswählen und einen IAM-Rollen-ARN oder den Rollennamen eingeben.
Wenn Sie den Rollennamen angeben und ein Konto die Startbeschränkung verwendet, verwendet das Konto diesen Namen für die IAM-Rolle. Bei diesem Ansatz können die Einschränkungen für die Startrolle kontounabhängig sein, sodass Sie weniger Ressourcen pro gemeinsam genutztem Konto erstellen können.
**Anmerkung**
Der angegebene Rollenname muss in dem Konto vorhanden sein, das die Startbeschränkung erstellt hat, und im Konto des Benutzers, der ein Produkt mit dieser Startbeschränkung auf den Markt bringt.
1. Wählen Sie **Create (Erstellen)**, wenn Sie die IAM-Rolle angegeben haben.
## Confused Deputy wird zur Launch Constraint hinzugefügt
AWS Service Catalog unterstützt den [Confused Deputy-Schutz](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) für diejenigen APIs , die mit einer „Rolle übernehmen“ -Anforderung ausgeführt werden. Wenn Sie eine Startbeschränkung hinzufügen, können Sie den Zugriff auf die Startrolle einschränken, indem `sourceAccount` Sie die `sourceArn` Bedingungen in der Vertrauensrichtlinie für die Startrolle verwenden. Dadurch wird sichergestellt, dass die Startrolle von einer vertrauenswürdigen Quelle aufgerufen wird.
Im folgenden Beispiel gehört der AWS Service Catalog Endbenutzer dem Konto 111111111111 an. Wenn der AWS Service Catalog Administrator ein `LaunchConstraint` für ein Produkt erstellt, kann der Endbenutzer die folgenden Bedingungen in der Vertrauensrichtlinie für die Startrolle angeben, um die Rolle „Annehmen“ auf das Konto 1111111111 zu beschränken.
```
"Condition":{
"ArnLike":{
"aws:SourceArn":"arn:aws:servicecatalog:us-east-1:111111111111:*"
},
"StringEquals":{
"aws:SourceAccount":"111111111111"
}
}
```
Ein Benutzer, der ein Produkt mit dem bereitstellt, `LaunchConstraint` muss über dasselbe (111111111111) verfügen. `AccountId` Andernfalls schlägt der Vorgang mit einem `AccessDenied` Fehler fehl, wodurch ein Missbrauch der Startrolle verhindert wird.
Folgendes AWS Service Catalog APIs ist für den Schutz vor Confused Deputy gesichert:
+ `LaunchConstraint`
+ `ProvisionProduct`
+ `UpdateProvisionedProduct`
+ `TerminateProvisionedProduct`
+ `ExecuteProvisionedProductServiceAction`
+ `CreateProvisionedProductPlan`
+ `ExecuteProvisionedProductPlan`
Der `sourceArn ` Schutz für unterstützt AWS Service Catalog nur Vorlagen ARNs wie "`arn::servicecatalog:::`". Bestimmte Ressourcen ARNs werden nicht unterstützt.
## Überprüfung der Startbeschränkung
Um zu überprüfen, ob die Rolle zum Starten des Produkts AWS Service Catalog verwendet und das Produkt erfolgreich bereitgestellt wird, starten Sie das Produkt von der AWS Service Catalog Konsole aus. Zum Testen einer Einschränkung vor der Freigabe für die Benutzer erstellen Sie ein Testportfolio mit den gleichen Produkten und testen Sie die Einschränkungen mit diesem Portfolio.
**So starten Sie das Produkt**
1. Wählen Sie im Menü für die AWS Service Catalog Konsole **Service Catalog**, **Endbenutzer** aus.
1. Wählen Sie das Produkt aus, um die Seite mit den **Produktdetails** zu öffnen. Vergewissern Sie sich, dass in der Tabelle mit den **Startoptionen** der Amazon-Ressourcenname (ARN) der Rolle angezeigt wird.
1. Wählen Sie **Produkt starten**.
1. Führen Sie die Schritte zum Starten aus und geben Sie die erforderlichen Informationen ein.
1. Überprüfen Sie, ob das Produkt erfolgreich gestartet wird.