AWS Service Catalog Acciones de servicio - AWS Service Catalog
Requisitos previosPaso 1: Configurar los permisos de usuario finalPaso 2: Crear una acción de servicioPaso 3: Asociar la acción de servicio con una versión de productoPaso 4: Probar la experiencia del usuario final Paso 5: Administrar las acciones del servicio con AWS CloudFormationPaso 6: solucionar problemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Service Catalog Acciones de servicio

nota

AWS Service Catalog no admite acciones de servicio para los productos Terraform Open Source o Terraform Cloud.

AWS Service Catalog le permite reducir el mantenimiento administrativo y la formación de los usuarios finales y, al mismo tiempo, cumplir con las medidas de cumplimiento y seguridad. Con las acciones de servicio, como administrador, puede permitir a los usuarios finales que realicen tareas operativas, solucionen problemas, ejecuten comandos aprobados o soliciten permisos en AWS Service Catalog. Los documentos de AWS Systems Manager se utilizan para definir acciones. Los AWS Systems Manager documentos proporcionan acceso a acciones predefinidas que implementan las AWS mejores prácticas, como EC2 detener y reiniciar Amazon, y también puedes definir acciones personalizadas.

En este tutorial, ofrecerás a los usuarios finales la posibilidad de reiniciar una EC2 instancia de Amazon. Añadirá los permisos necesarios, definirá la acción de servicio, asociará la acción de servicio con un producto y probará la experiencia del usuario final utilizando la acción con un producto aprovisionado.

Requisitos previos

En este tutorial se da por sentado que dispone de todos los permisos de AWS administrador AWS Service Catalog, que ya conoce y que ya dispone de un conjunto básico de productos, carteras y usuarios. Si no está familiarizado con este tutorial AWS Service Catalog, complete la configuración y Introducción las tareas antes de seguir con él.

Paso 1: Configurar los permisos de usuario final

Los usuarios finales deben tener los permisos necesarios para ver y realizar acciones de servicio específicas. En este ejemplo, el usuario final necesita permiso para acceder a la función de acciones de AWS Service Catalog servicio y EC2 reiniciar Amazon.

Para actualizar los permisos

  1. Abra la consola AWS Identity and Access Management (IAM) en https://console.aws.amazon.com/iam/.

  2. En el menú, localice los grupos de usuarios.

  3. Elija los grupos que los usuarios finales utilizarán para acceder a AWS Service Catalog los recursos. En este ejemplo, seleccionamos el grupo de usuarios finales. En su propia implementación, elija el grupo que utilizan los usuarios finales relevantes.

  4. En la pestaña Permissions (Permisos) de la página de detalles de su grupo, puede crear una nueva política o editar una existente. En este ejemplo, agregamos permisos a la política existente seleccionando la política personalizada creada para los permisos de AWS Service Catalog aprovisionamiento y rescisión del grupo.

  5. En la página Policy (Política), seleccione Edit Policy (Editar política) para agregar los permisos necesarios. Puede utilizar el editor visual o el editor JSON para editar la política. En este ejemplo, utilizamos el editor JSON para añadir los permisos. Para este tutorial, añada los siguientes permisos a la política:

    
{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "Stmt1536341175150",
			"Action": [
				"servicecatalog:ListServiceActionsForProvisioningArtifact",
				"servicecatalog:ExecuteprovisionedProductServiceAction",
				"ssm:DescribeDocument",
				"ssm:GetAutomationExecution",
				"ssm:StartAutomationExecution",
				"ssm:StopAutomationExecution",
				"cloudformation:ListStackResources",
				"ec2:DescribeInstanceStatus",
				"ec2:StartInstances",
				"ec2:StopInstances"
			],
			"Effect": "Allow",
			"Resource": "*"
		}
	]
}

  6. Después de editar la política, revise y apruebe el cambio en ella. Los usuarios del grupo de usuarios finales ahora tienen los permisos necesarios para realizar la acción de EC2 reinicio de Amazon en AWS Service Catalog.

Paso 2: Crear una acción de servicio

A continuación, crea una acción de servicio para reiniciar las EC2 instancias de Amazon.

  1. Abre la AWS Service Catalog consola en https://console.aws.amazon.com/sc/.

  2. En el menú, elija Service actions (Acciones de servicio).

  3. En la página Acciones de servicio, elija Crear acción.

  4. En la página Crear acción, elija un AWS Systems Manager documento para definir la acción del servicio. La acción de reinicio de EC2 instancias de Amazon viene definida por un AWS Systems Manager documento, por lo que mantenemos la opción predeterminada en el menú desplegable, Documentos de Amazon.

  5. Busque y elija la acción AWS-Restart EC2 Instance.

  6. Proporcione un nombre y una descripción a la acción que tenga sentido para su entorno y su equipo. El usuario final verá esta descripción, así que elija algo que le ayude a entender lo que hace la acción.

  7. En Configuración de parámetro y destino, elija el parámetro de documento de SSM que será el destino de la acción (por ejemplo, el ID de instancia) y elija el destino del parámetro. Seleccione Add parameter (Añadir parámetro) para añadir parámetros adicionales.

  8. En Permissions (Permisos), elija un rol. Estamos usando permisos predeterminados para este ejemplo. Son posibles otras configuraciones de permisos y están definidas en esta página.

  9. Después de revisar la configuración, elija Create action (Crear acción).

  10. En la página siguiente, aparece una confirmación cuando se ha creado la acción y está lista para utilizarse.

Paso 3: Asociar la acción de servicio con una versión de producto

Después de definir una acción, debe asociar un producto a dicha acción.

  1. En la página de acciones del servicio, elija AWS-Restart yEC2instance, a continuación, seleccione Asociar acción.

  2. En la página Associate action (Asociar acción), elija el producto en el que desea que sus usuarios finales realicen la acción de servicio. En este ejemplo, elegimos Linux Desktop (Escritorio Linux).

  3. Seleccione una versión del producto. Tenga en cuenta que puede utilizar la casilla de verificación superior para seleccionar todas las versiones.

  4. Elija Associate action (Asociar acción).

  5. En la página siguiente aparece un mensaje de confirmación.

Ha creado la acción de servicio en AWS Service Catalog. El siguiente paso de este tutorial es utilizar la acción de servicio como usuario final.

Paso 4: Probar la experiencia del usuario final

Los usuarios finales pueden realizar acciones de servicio en los productos aprovisionados. Para los fines de este tutorial, el usuario final debe tener al menos un producto aprovisionado. El producto aprovisionado debe lanzarse desde la versión del producto que asoció con la acción de servicio en el paso anterior.

Para obtener acceso a la acción de servicio como usuario final

  1. Inicie sesión en la AWS Service Catalog consola como usuario final.

  2. En el AWS Service Catalog panel de control, en el panel de navegación, seleccione la lista de productos aprovisionados. La lista muestra los productos que se aprovisionan para la cuenta del usuario final.

  3. En la página Provisioned products list, elija la instancia que está aprovisionada.

  4. En la página de detalles del producto aprovisionado, selecciona Acciones en la parte superior derecha y, a continuación, selecciona la acción AWS EC2instance-Restart.

  5. Confirme que desea ejecutar la acción personalizada. Recibirá una confirmación de que se ha enviado la acción.

Paso 5: Administrar las acciones del servicio con AWS CloudFormation

Puede crear acciones de servicio y sus asociaciones con AWS CloudFormation los recursos. Para obtener más información, consulte lo indicado en la Guía del usuario de AWS CloudFormation :

nota

Si gestionas las asociaciones de acciones de servicio con AWS CloudFormation recursos, no añadas ni quites acciones de servicio a través del AWS Command Line Interface o AWS Management Console. Cuando actualiza una pila, se sustituyen todos los cambios en las acciones del servicio que se hayan realizado fuera de AWS CloudFormation .

Paso 6: solucionar problemas

Si la ejecución de la acción de servicio produce un error, puede encontrar el mensaje de error en la sección Outputs del evento de ejecución de acción de servicio en la página Provisioned product. A continuación, puede consultar las explicaciones de los mensajes de error comunes que puede encontrar.

nota

El texto exacto de los mensajes de error está sujeto a cambios, por lo que debe evitar usarlos en cualquier tipo de proceso automatizado.

Internal Failure (Error interno)

AWS Service Catalog se produjo un error interno. Inténtelo de nuevo más tarde. Si el error persiste, póngase en contacto con el servicio de atención al cliente.

Se ha producido un error (ThrottlingException) al llamar a la StartAutomationExecution operación

La ejecución de la acción del servicio se limitó por el servicio backend, como SSM.

Access denied while assuming the role (Acceso denegado al asumir el rol)

AWS Service Catalog no pudo asumir la función especificada en la definición de la acción de servicio. Asegúrese de que la entidad principal servicecatalog.amazonaws.com o una entidad principal regional como servicecatalog.us-east-1.amazonaws.com esté incluida en la lista de la política de confianza del rol.

Se produjo un error (AccessDeniedException) al llamar a la StartAutomationExecution operación: el usuario no está autorizado a realizar: ssm: StartAutomationExecution en el recurso.

El rol especificado en la definición de la acción de servicio no tiene permisos para invocar ssm:. StartAutomationExecution Asegúrese de que el rol tiene los permisos de SSM adecuados.

No se encuentra ningún recurso con el tipo TargetType en el producto aprovisionado

El producto aprovisionado no contiene ningún recurso que coincida con el tipo de destino especificado en el documento SSM, como AWS:: EC2 :Instance. Compruebe el producto aprovisionado para estos recursos o confirme que el documento es correcto.

Document with that name does not exist (El documento con ese nombre no existe)

El documento especificado en la definición de acción del servicio no existe.

Failed to describe SSM Automation document (Se ha producido un error al describir el documento de automatización de SSM)

AWS Service Catalog encontró una excepción desconocida de SSM al intentar describir el documento especificado.

Failed to retrieve credentials for role (Se ha producido un error al recuperar las credenciales para el rol)

AWS Service Catalog encontró un error desconocido al asumir la función especificada.

El parámetro tiene el valor "InvalidValue" y no se encuentra en {ValidValue1}, {ValidValue2}

El valor del parámetro pasado a SSM no está en la lista de valores permitidos para el documento. Confirme que los parámetros proporcionados son válidos e inténtelo de nuevo.

Error de tipo de parámetro. El valor proporcionado para no ParameterName es una cadena válida.

El valor del parámetro pasado a SSM no es válido para el tipo del documento.

Parameter is not defined in service action definition (El parámetro no está definido en la definición de acción del servicio)

Se ha pasado un parámetro AWS Service Catalog que no está definido en la definición de la acción de servicio. Solo puede utilizar parámetros definidos en la definición de acción del servicio.

El paso falla cuando se ejecuta o cancela una acción. Error message. Por favor, consulte la Guía de solución de problemas del servicio de automatización para obtener más detalles de diagnóstico.

Se ha producido un error en un paso del documento de automatización de SSM. Consulte el error en el mensaje para solucionar más problemas.

Los siguientes valores para el parámetro no están permitidos porque no están en el producto aprovisionado: InvalidResourceId

El usuario solicitó la acción en un recurso que no está en el producto aprovisionado.

TargetType no definido para el documento de automatización de SSM

Las acciones de servicio requieren que los documentos de automatización de SSM tengan una TargetType definición. Compruebe su documento de automatización de SSM.