Ringkasan Prasyarat dan batasan Arsitektur Alat Epik Sumber daya terkait Informasi tambahan

Kelola produk AWS Service Catalog di beberapa akun AWS dan Wilayah AWS

Ram Kandaswamy, Amazon Web Services

Ringkasan

Amazon Web Services (AWS) Service Catalog menyederhanakan dan mempercepat tata kelola dan distribusi templat infrastruktur sebagai kode (IAc) untuk perusahaan. Anda menggunakan CloudFormation templat AWS untuk menentukan kumpulan sumber daya AWS (tumpukan) yang diperlukan untuk suatu produk. AWS CloudFormation StackSets memperluas fungsionalitas ini dengan memungkinkan Anda membuat, memperbarui, atau menghapus tumpukan di beberapa akun dan Wilayah AWS dengan satu operasi.

Administrator AWS Service Catalog membuat produk dengan menggunakan CloudFormation templat yang ditulis oleh pengembang, dan mempublikasikannya. Produk-produk ini kemudian dikaitkan dengan portofolio, dan kendala diterapkan untuk tata kelola. Agar produk Anda tersedia bagi pengguna di akun AWS lain atau unit organisasi (OUs), Anda biasanya membagikan portofolio Anda dengan mereka. Pola ini menjelaskan pendekatan alternatif untuk mengelola penawaran produk AWS Service Catalog yang didasarkan pada AWS. CloudFormation StackSets Alih-alih berbagi portofolio, Anda menggunakan batasan set tumpukan untuk menyetel Wilayah AWS dan akun tempat produk Anda dapat digunakan dan digunakan. Dengan menggunakan pendekatan ini, Anda dapat menyediakan produk AWS Service Catalog Anda di beberapa akun OUs, dan Wilayah AWS, serta mengelolanya dari lokasi pusat, sekaligus memenuhi persyaratan tata kelola Anda.

Manfaat dari pendekatan ini:

Produk disediakan dan dikelola dari akun utama, dan tidak dibagikan dengan akun lain.
Pendekatan ini memberikan pandangan konsolidasi dari semua produk yang disediakan (tumpukan) yang didasarkan pada produk tertentu.
Konfigurasi dengan AWS Service Management Connector lebih mudah, karena hanya menargetkan satu akun.
Lebih mudah untuk menanyakan dan menggunakan produk dari AWS Service Catalog.

Prasyarat dan batasan

Prasyarat

CloudFormation Template AWS untuk IAc dan pembuatan versi
Penyiapan multi-akun dan AWS Service Catalog untuk menyediakan dan mengelola sumber daya AWS

Batasan

Pendekatan ini menggunakan AWS CloudFormation StackSets, dan batasan StackSets penerapan:
- StackSets tidak mendukung penerapan CloudFormation template melalui makro. Jika Anda menggunakan makro untuk memproses template, Anda tidak akan dapat menggunakan penerapan StackSets berbasis.
- StackSets menyediakan kemampuan untuk memisahkan tumpukan dari kumpulan tumpukan, sehingga Anda dapat menargetkan tumpukan tertentu untuk memperbaiki masalah. Namun, tumpukan yang terputus tidak dapat dikaitkan kembali dengan kumpulan tumpukan.
AWS Service Catalog membuat StackSet nama secara otomatis. Kustomisasi saat ini tidak didukung.

Arsitektur

Arsitektur target

Pengguna mengelola produk AWS Service Catalog menggunakan AWS CloudFormation template dan StackSets.

Pengguna membuat CloudFormation template AWS untuk menyediakan sumber daya AWS, dalam format JSON atau YAMM.
CloudFormation Template membuat produk di AWS Service Catalog, yang ditambahkan ke portofolio.
Pengguna membuat produk yang disediakan, yang membuat CloudFormation tumpukan di akun target.
Setiap tumpukan menyediakan sumber daya yang ditentukan dalam CloudFormation templat.

Alat

Layanan AWS

AWS CloudFormation membantu Anda menyiapkan sumber daya AWS, menyediakannya dengan cepat dan konsisten, serta mengelolanya sepanjang siklus hidupnya di seluruh akun dan Wilayah AWS.
AWS Command Line Interface (AWS CLI) adalah alat sumber terbuka yang membantu Anda berinteraksi dengan layanan AWS melalui perintah di shell baris perintah Anda.
AWS Identity and Access Management (IAM) membantu Anda mengelola akses ke sumber daya AWS dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya.
AWS Service Catalog membantu Anda mengelola katalog layanan TI secara terpusat yang disetujui untuk AWS. Pengguna akhir dapat dengan cepat men-deploy hanya layanan IT yang disetujui yang mereka butuhkan, mengikuti batasan yang ditetapkan oleh organisasi Anda.

Epik

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Buat portofolio.	Portofolio adalah wadah yang mencakup satu atau lebih produk yang dikelompokkan bersama berdasarkan kriteria tertentu. Menggunakan portofolio untuk produk Anda membantu Anda menerapkan kendala umum di seluruh rangkaian produk Anda. Untuk membuat portofolio, ikuti petunjuk dalam dokumentasi AWS Service Catalog. Jika Anda menggunakan AWS CLI, berikut adalah contoh perintah: `aws servicecatalog create-portfolio --provider-name my-provider --display-name my-portfolio` Untuk informasi selengkapnya, lihat dokumentasi AWS CLI.	AWS Service Catalog, IAM
Buat CloudFormation template.	Buat CloudFormation template yang menjelaskan sumber daya. Nilai properti sumber daya harus diparameterisasi jika berlaku.	AWS CloudFormation, JSON/YAMB
Buat produk dengan informasi versi.	CloudFormation Template menjadi produk saat Anda mempublikasikannya di AWS Service Catalog. Berikan nilai untuk parameter detail versi opsional, seperti judul dan deskripsi versi; ini akan membantu untuk menanyakan produk nanti. Untuk membuat produk, ikuti petunjuk dalam dokumentasi AWS Service Catalog. Jika Anda menggunakan AWS CLI, perintah contohnya adalah: `aws servicecatalog create-product --cli-input-json file://create-product-input.json` di `create-product-input.json` mana file yang melewati parameter untuk produk. Untuk contoh file ini, lihat bagian Informasi tambahan. Untuk informasi selengkapnya, lihat dokumentasi AWS CLI.	AWS Service Catalog
Terapkan kendala.	Terapkan batasan set tumpukan ke portofolio, untuk mengonfigurasi opsi penerapan produk seperti beberapa akun AWS, Wilayah, dan izin. Untuk petunjuk, lihat dokumentasi AWS Service Catalog.	AWS Service Catalog
Tambahkan izin.	Berikan izin kepada pengguna sehingga mereka dapat meluncurkan produk dalam portofolio. Untuk petunjuk konsol, lihat dokumentasi AWS Service Catalog. Jika Anda menggunakan AWS CLI, berikut adalah contoh perintah: `aws servicecatalog associate-principal-with-portfolio \ --portfolio-id port-2s6abcdefwdh4 \ --principal-arn arn:aws:iam::444455556666:role/Admin \ --principal-type IAM` Untuk informasi selengkapnya, lihat dokumentasi AWS CLI.	AWS Service Catalog, IAM
Menyediakan produk.	Produk yang disediakan adalah instans sumber daya dari suatu produk. Penyediaan produk berdasarkan CloudFormation template meluncurkan CloudFormation tumpukan dan sumber daya dasarnya. Menyediakan produk dengan menargetkan Wilayah dan akun AWS yang berlaku, berdasarkan batasan kumpulan tumpukan. Di AWS CLI, berikut adalah contoh perintah: `aws servicecatalog provision-product \ --product-id prod-abcdfz3syn2rg \ --provisioning-artifact-id pa-abc347pcsccfm \ --provisioned-product-name "mytestppname3"` Untuk informasi selengkapnya, lihat dokumentasi AWS CLI.	AWS Service Catalog

Sumber daya terkait

Referensi

Tutorial dan video

AWS re:Invent 2019: Otomatiskan semuanya: Opsi dan praktik terbaik (video)

Informasi tambahan

Bila Anda menggunakan create-product perintah, cli-input-json parameter menunjuk ke file yang menentukan informasi seperti pemilik produk, email dukungan, dan rincian CloudFormation template. Berikut adalah contoh dari file tersebut:


{
   "Owner": "Test admin",
      "SupportDescription": "Testing",
         "Name": "SNS",
            "SupportEmail": "example@example.com",
            "ProductType": "CLOUD_FORMATION_TEMPLATE",
               "AcceptLanguage": "en",
                  "ProvisioningArtifactParameters": {
                     "Description": "SNS product",
                        "DisableTemplateValidation": true,
                           "Info": {
                              "LoadTemplateFromURL": "<url>"
                     },
                           "Name": "version 1"
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menerapkan AFT dengan menggunakan pipeline bootstrap

Migrasikan akun AWS dari AWS Organizations ke AWS Control Tower