Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einrichten AWS Service Catalog
Bevor Sie beginnen AWS Service Catalog, führen Sie die folgenden Aufgaben aus.
**Topics**
+ [Melden Sie sich an für eine AWS-Konto](#sign-up-for-aws)
+ [Erstellen eines Benutzers mit Administratorzugriff](#create-an-admin)
+ [Gewähren Sie AWS Service Catalog Administratoren Berechtigungen](getstarted-iamadmin.md)
+ [Erteilen Sie AWS Service Catalog Endbenutzern Berechtigungen](getstarted-iamenduser.md)
+ [Installieren und konfigurieren Sie die Terraform Provisioning Engine](install-config-engine.md)
## Melden Sie sich an für eine AWS-Konto
Wenn Sie noch keine haben AWS-Konto, führen Sie die folgenden Schritte aus, um eine zu erstellen.
**Um sich für eine anzumelden AWS-Konto**
1. Öffnen Sie [https://portal.aws.amazon.com/billing/die Anmeldung.](https://portal.aws.amazon.com/billing/signup)
1. Folgen Sie den Online-Anweisungen.
Während der Anmeldung erhalten Sie einen Telefonanruf oder eine Textnachricht und müssen einen Verifizierungscode über die Telefontasten eingeben.
Wenn Sie sich für eine anmelden AWS-Konto, *Root-Benutzer des AWS-Kontos*wird eine erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Benutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um [Aufgaben auszuführen, die Root-Benutzerzugriff erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS sendet Ihnen nach Abschluss des Anmeldevorgangs eine Bestätigungs-E-Mail. Du kannst jederzeit deine aktuellen Kontoaktivitäten einsehen und dein Konto verwalten, indem du zu [https://aws.amazon.com/](https://aws.amazon.com/)gehst und **Mein Konto** auswählst.
## Erstellen eines Benutzers mit Administratorzugriff
Nachdem Sie sich für einen angemeldet haben AWS-Konto, sichern Sie Ihren Root-Benutzer des AWS-Kontos AWS IAM Identity Center, aktivieren und erstellen Sie einen Administratorbenutzer, sodass Sie den Root-Benutzer nicht für alltägliche Aufgaben verwenden.
**Sichern Sie Ihre Root-Benutzer des AWS-Kontos**
1. Melden Sie sich [AWS-Managementkonsole](https://console.aws.amazon.com/)als Kontoinhaber an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.
Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter [Anmelden als Root-Benutzer](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) im *AWS-Anmeldung -Benutzerhandbuch* zu.
1. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer.
Anweisungen finden Sie unter [Aktivieren eines virtuellen MFA-Geräts für Ihren AWS-Konto Root-Benutzer (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) im *IAM-Benutzerhandbuch*.
**Erstellen eines Benutzers mit Administratorzugriff**
1. Aktivieren Sie das IAM Identity Center.
Anweisungen finden Sie unter [Aktivieren AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
1. Gewähren Sie einem Administratorbenutzer im IAM Identity Center Benutzerzugriff.
*Ein Tutorial zur Verwendung von IAM-Identity-Center-Verzeichnis als Identitätsquelle finden Sie IAM-Identity-Center-Verzeichnis im Benutzerhandbuch unter [Benutzerzugriff mit der Standardeinstellung konfigurieren](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html).AWS IAM Identity Center *
**Anmelden als Administratorbenutzer**
+ Um sich mit Ihrem IAM-Identity-Center-Benutzer anzumelden, verwenden Sie die Anmelde-URL, die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM-Identity-Center-Benutzer erstellt haben.
Hilfe bei der Anmeldung mit einem IAM Identity Center-Benutzer finden Sie [im *AWS-Anmeldung Benutzerhandbuch* unter Anmeldung beim AWS Access-Portal](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html).
**Weiteren Benutzern Zugriff zuweisen**
1. Erstellen Sie im IAM-Identity-Center einen Berechtigungssatz, der den bewährten Vorgehensweisen für die Anwendung von geringsten Berechtigungen folgt.
Anweisungen hierzu finden Sie unter [ Berechtigungssatz erstellen](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
1. Weisen Sie Benutzer einer Gruppe zu und weisen Sie der Gruppe dann Single Sign-On-Zugriff zu.
Eine genaue Anleitung finden Sie unter [ Gruppen hinzufügen](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
**Topics**
+ [Melden Sie sich an für eine AWS-Konto](#sign-up-for-aws)
+ [Erstellen eines Benutzers mit Administratorzugriff](#create-an-admin)
+ [Gewähren Sie AWS Service Catalog Administratoren Berechtigungen](getstarted-iamadmin.md)
+ [Erteilen Sie AWS Service Catalog Endbenutzern Berechtigungen](getstarted-iamenduser.md)
+ [Installieren und konfigurieren Sie die Terraform Provisioning Engine](install-config-engine.md)
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
# Gewähren Sie AWS Service Catalog Administratoren Berechtigungen
Als Katalogadministrator benötigen Sie Zugriff auf die Ansicht der AWS Service Catalog Administratorkonsole und IAM-Berechtigungen, mit denen Sie Aufgaben wie die folgenden ausführen können:
+ Erstellen und Verwalten von Portfolios
+ Erstellen und Verwalten von Produkten
+ Hinzufügen von Vorlageneinschränkungen, um die Optionen für Endbenutzer zu beschränken, wenn sie ein Produkt starten
+ Hinzufügen von Startbeschränkungen zur Definition der IAM-Rollen, die beim Starten von AWS Service Catalog Produkten durch Endbenutzer gelten
+ Gewähren von Zugriff auf Ihre Produkte für Endbenutzer
Sie oder ein Administrator, der Ihre IAM-Berechtigungen verwaltet, müssen Ihrem IAM-Benutzer, Ihrer Gruppe oder Rolle Richtlinien zuordnen, die für die Bearbeitung dieses Tutorials erforderlich sind.
**So weisen Sie einem Katalogadministrator Berechtigungen zu**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. **Wählen Sie im Navigationsbereich **Zugriffsverwaltung** und dann Benutzer aus.** Wenn Sie bereits einen IAM-Benutzer erstellt haben, den Sie als Katalogadministrator verwenden möchten, wählen Sie den Benutzernamen und dann **Berechtigungen hinzufügen** aus. Andernfalls erstellen Sie einen Benutzer wie folgt:
1. Wählen Sie **Benutzer hinzufügen**.
1. Geben Sie **ServiceCatalogAdmin** als **Benutzername** ein.
1. Wählen Sie **Programmatischer Zugriff** und **AWS-Managementkonsole Zugriff** aus.
1. Wählen Sie **Weiter: Berechtigungen** aus.
1. Wählen Sie **Vorhandene Richtlinien direkt zuordnen**.
1. Wählen Sie **Richtlinie erstellen** und gehen Sie dann wie folgt vor:
1. Wählen Sie den Tab **JSON**.
1. Kopieren Sie die folgende Beispielrichtlinie und fügen Sie sie in **das Richtliniendokument ein**:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateKeyPair",
"iam:AddRoleToInstanceProfile",
"iam:AddUserToGroup",
"iam:AttachGroupPolicy",
"iam:CreateAccessKey",
"iam:CreateGroup",
"iam:CreateInstanceProfile",
"iam:CreateLoginProfile",
"iam:CreateRole",
"iam:CreateUser",
"iam:Get*",
"iam:List*",
"iam:PutRolePolicy",
"iam:UpdateAssumeRolePolicy"
],
"Resource": [
"*"
]
}
]
}
```
1. Wählen Sie **Weiter: Tags** aus.
1. (Optional) Wählen Sie **Tag hinzufügen**, um der Ressource ein Schlüssel-Wert-Paar zuzuordnen. Sie können maximal 50 Tags hinzufügen.
**Anmerkung**
Tags sind Schlüssel-Wert-Paare, die Sie zu Ressourcen hinzufügen können. Dies hilft bei der Identifizierung, Organisation und Suche nach Ressourcen. Weitere Informationen finden Sie im *Allgemeine AWS-Referenz Referenzhandbuch* unter [AWS Ressourcen taggen](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html).
1. Wählen Sie **Weiter: Prüfen** aus.
1. Geben Sie für **Policy Name** **ServiceCatalogAdmin-AdditionalPermissions** ein.
**Wichtig**
Sie müssen Administratoren Amazon S3-Berechtigungen für den Zugriff auf Vorlagen gewähren, die in Amazon S3 AWS Service Catalog gespeichert sind. Weitere Informationen finden Sie unter [Beispiele für Benutzerrichtlinien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-policies-s3.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wechseln Sie wieder zum Browserfenster mit der Seite mit den Berechtigungen und klicken Sie auf **Refresh**.
1. Geben Sie im Suchfeld **ServiceCatalog** ein, um die Richtlinienliste zu filtern.
1. Aktivieren Sie die Kontrollkästchen für die **`ServiceCatalogAdmin-AdditionalPermissions`**Richtlinien **`AWSServiceCatalogAdminFullAccess`**und und wählen Sie dann **Weiter: Überprüfen** aus.
1. Wenn Sie einen Benutzer aktualisieren wählen Sie **Add permissions** aus.
Wenn Sie einen Benutzer erstellen, klicken Sie auf **Create user**. Sie können die Anmeldeinformationen herunterladen und kopieren. Klicken Sie dann auf **Close**.
1. Um sich als Katalogadministrator anzumelden, verwenden Sie die kontospezifische URL. Diese URL können Sie abrufen, indem Sie **Dashboard** im Navigationsbereich auswählen und auf **Copy Link** klicken. Fügen Sie den Link in Ihren Browser ein und verwenden Sie den Namen und das Passwort des IAM-Benutzers, den Sie in diesem Prozess erstellt oder aktualisiert haben.
# Erteilen Sie AWS Service Catalog Endbenutzern Berechtigungen
Bevor der Endbenutzer es verwenden kann AWS Service Catalog, müssen Sie Zugriff auf die AWS Service Catalog Endbenutzer-Konsolenansicht gewähren. Zum Gewähren des Zugriffs fügen Sie dem IAM-Benutzer, der Gruppe oder der Rolle, die vom Endbenutzer verwendet wird, Richtlinien an. Im folgenden Verfahren fügen wir die ****`AWSServiceCatalogEndUserFullAccess`****Richtlinie einer IAM-Gruppe hinzu.
**So erteilen Sie einer Endbenutzer-Gruppe Berechtigungen**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Klicken Sie im Navigationsbereich auf **Groups oder Users**.
1. Wählen Sie **Gruppe erstellen** und gehen Sie wie folgt vor:
1. Geben Sie als **Benutzergruppenname den** Text ein**Endusers**.
1. Geben Sie im Suchfeld **AWSServiceCatalog** ein, um die Richtlinienliste zu filtern.
1. Wählen Sie das Kontrollkästchen für die ****`AWSServiceCatalogEndUserFullAccess`****Richtlinie aus. Sie haben auch die Möglichkeit, stattdessen ****`AWSServiceCatalogEndUserReadOnlyAccess`**** auszuwählen.
1. Wählen Sie **Create Group**.
1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.
1. Wählen Sie **Benutzer hinzufügen** und gehen Sie wie folgt vor:
1. Geben Sie für **Benutzername** einen Namen für den Benutzer ein.
1. Wählen Sie **Passwort — Zugriff auf die AWS Managementkonsole** aus.
1. Wählen Sie **Weiter: Berechtigungen** aus.
1. Wählen Sie **Add user to group**.
1. Aktivieren Sie das Kontrollkästchen für die Gruppe **Endusers (Endbenutzer)**, wählen Sie **Next: Tags (Weiter: Tags)** und anschließend **Next: Review (Weiter: Prüfen)**.
1. Wählen Sie auf der Seite **Review** die Option **Create user** aus. Laden Sie die Anmeldeinformationen herunter oder kopieren Sie sie, und wählen Sie dann **Schließen**.
# Installieren und konfigurieren Sie die Terraform Provisioning Engine
Um Terraform-Produkte erfolgreich mit verwenden zu können AWS Service Catalog, müssen Sie eine Terraform-Provisioning-Engine in demselben Konto installieren und konfigurieren, mit dem Sie Terraform-Produkte verwalten werden. Zu Beginn können Sie die von bereitgestellte Terraform Provisioning Engine verwenden, die den Code und die Infrastruktur installiert und konfiguriert AWS, die für die Arbeit mit der Terraform Provisioning Engine erforderlich sind. AWS Service Catalog Diese einmalige Einrichtung dauert ungefähr 30 Minuten. AWS Service Catalog bietet ein GitHub Repository mit Anweisungen zur [Installation und Konfiguration der Terraform Provisioning Engine](https://github.com/aws-samples/service-catalog-engine-for-terraform-os).
## Bestimmung der Warteschlange
Wenn Sie einen Bereitstellungsvorgang aufrufen, AWS Service Catalog bereitet es eine Nutzdatennachricht vor, die an die entsprechende Warteschlange in der Provisioning-Engine gesendet wird. Um den ARN für die Warteschlange zu erstellen, gehen AWS Service Catalog Sie von den folgenden Annahmen aus:
+ Die Provisioning-Engine befindet sich im Konto des Produktbesitzers
+ Die Provisioning-Engine befindet sich in derselben Region, in der der Anruf getätigt wurde AWS Service Catalog
+ Die Warteschlangen der Provisioning Engine folgen dem unten aufgeführten dokumentierten Benennungsschema
Wenn beispielsweise `us-east-1` vom Konto 1111111111 mit einem Produkt aufgerufen ProvisionProduct wird, das mit dem Konto 0000000000000 erstellt wurde, wird davon ausgegangen, AWS Service Catalog dass es sich um den richtigen SQS-ARN handelt. `arn:aws:sqs:us-east-1:0000000000000:ServiceCatalogTerraformOSProvisionOperationQueue`
Dieselbe Logik gilt für die Lambda-Funktion, die von `DescribeProvisioningParameters` aufgerufen wird.
# Confused Deputy zu Ihrer Terraform-Provisioning-Engine hinzufügen
## Confused Deputy: Kontexttasten auf den Endpunkten, um den Zugriff für Operationen einzuschränken `lambda:Invoke`
Die von AWS Service Catalog-bereitgestellten Engines erstellte Lambda-Funktion für den Parameterparser verfügt über eine Zugriffsrichtlinie, die nur dem Dienstprinzipal kontenübergreifende `lambda:Invoke` Berechtigungen gewährt: AWS Service Catalog
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "servicecatalog.amazonaws.com"
},
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:us-east-1:111122223333:function:ServiceCatalogTerraformOSParameterParser"
}
]
}
```
------
Dies sollte die einzige Berechtigung sein, die erforderlich ist, damit die Integration mit AWS Service Catalog ordnungsgemäß funktioniert. Sie können dies jedoch mithilfe des Kontextschlüssels `aws:SourceAccount` [Confused Deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy) weiter einschränken. Wenn Nachrichten AWS Service Catalog an diese Warteschlangen gesendet werden, wird der Schlüssel mit der AWS Service Catalog ID des Bereitstellungskontos aufgefüllt. Dies ist hilfreich, wenn Sie beabsichtigen, Produkte per Portfolio-Sharing zu vertreiben und sicherstellen möchten, dass nur bestimmte Konten Ihre Engine verwenden.
Sie können Ihre Engine beispielsweise so einschränken, dass sie nur Anfragen zulässt, die von 000000000000 und 111111111111 stammen, indem Sie die unten dargestellte Bedingung verwenden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "servicecatalog.amazonaws.com"
},
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:us-east-1:111122223333:function:ServiceCatalogTerraformOSParameterParser",
"Condition": {
"StringLike": {
"aws:SourceAccount": [
"000000000000",
"111111111111"
]
}
}
}
]
}
```
------
## Confused Deputy: Kontexttasten auf den Endpunkten, um den Zugriff für Operationen einzuschränken `sqs:SendMessage`
Die von AWS Service Catalog-bereitgestellten Engines erstellten Amazon SQS SQS-Warteschlangen für Bereitstellungsvorgänge verfügen über eine Zugriffsrichtlinie, die kontoübergreifende `sqs:SendMessage` (und zugehörige KMS-) Berechtigungen nur dem Service Principal gewährt: AWS Service Catalog
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Enable AWS Service Catalog to send messages to the queue",
"Effect": "Allow",
"Principal": {
"Service": "servicecatalog.amazonaws.com"
},
"Action": "sqs:SendMessage",
"Resource": [
"arn:aws:sqs:us-east-1:111122223333:ServiceCatalogTerraformOSProvisionOperationQueue"
]
},
{
"Sid": "Enable AWS Service Catalog encryption/decryption permissions when sending message to queue",
"Effect": "Allow",
"Principal": {
"Service": "servicecatalog.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:Decrypt",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key_id"
}
]
}
```
------
Dies sollte die einzige Genehmigung sein, die erforderlich ist, damit die Integration ordnungsgemäß funktioniert. AWS Service Catalog Sie können dies jedoch mithilfe des Kontextschlüssels `aws:SourceAccount` [Confused Deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy) weiter einschränken. Wenn Nachrichten AWS Service Catalog an diese Warteschlangen gesendet werden, AWS Service Catalog füllt die Schlüssel mit der ID des Bereitstellungskontos auf. Dies ist hilfreich, wenn Sie beabsichtigen, Produkte per Portfolio-Sharing zu vertreiben und sicherstellen möchten, dass nur bestimmte Konten Ihre Engine verwenden.
Sie können Ihre Engine beispielsweise so einschränken, dass sie nur Anfragen zulässt, die von 000000000000 und 111111111111 stammen, indem Sie die unten dargestellte Bedingung verwenden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Enable AWS Service Catalog to send messages to the queue",
"Effect": "Allow",
"Principal": {
"Service": "servicecatalog.amazonaws.com"
},
"Action": "sqs:SendMessage",
"Resource": [
"arn:aws:sqs:us-east-1:111122223333:ServiceCatalogTerraformOSProvisionOperationQueue"
],
"Condition": {
"StringLike": {
"aws:SourceAccount": [
"000000000000",
"111111111111"
]
}
}
},
{
"Sid": "Enable AWS Service Catalog encryption/decryption permissions when sending message to queue",
"Effect": "Allow",
"Principal": {
"Service": "servicecatalog.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:Decrypt",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key_id"
}
]
}
```
------