Ringkasan Prasyarat dan batasan Arsitektur Alat Praktik terbaik Epik Sumber daya terkait Informasi tambahan

Menyediakan produk Terraform AWS Service Catalog dengan menggunakan repositori kode

Dr. Rahul Sharad Gaikwad dan Tamilselvan P, Amazon Web Services

Ringkasan

AWS Service Catalog mendukung penyediaan layanan mandiri dengan tata kelola untuk konfigurasi Terraform Anda. HashiCorp Jika Anda menggunakan Terraform, Anda dapat menggunakan Service Catalog sebagai alat tunggal untuk mengatur, mengatur, dan mendistribusikan konfigurasi Terraform Anda dalam skala besar. AWS Anda dapat mengakses fitur utama Service Catalog, termasuk membuat katalog templat infrastruktur standar dan pra-persetujuan sebagai kode (IAc), kontrol akses, penyediaan sumber daya cloud dengan akses hak istimewa paling sedikit, pembuatan versi, berbagi hingga ribuan, dan penandaan. Akun AWS Pengguna akhir, seperti insinyur, administrator database, dan ilmuwan data, melihat daftar produk dan versi yang dapat mereka akses, dan mereka dapat menerapkannya melalui satu tindakan.

Pola ini membantu Anda menerapkan AWS sumber daya dengan menggunakan kode Terraform. Kode Terraform di GitHub repositori diakses melalui Service Catalog. Dengan menggunakan pendekatan ini, Anda mengintegrasikan produk dengan alur kerja Terraform yang ada. Administrator dapat membuat portofolio Service Catalog dan menambahkan AWS Launch Wizard produk ke dalamnya dengan menggunakan Terraform.

Berikut ini adalah manfaat dari solusi ini:

Karena fitur rollback di Service Catalog, jika terjadi masalah selama penerapan, Anda dapat mengembalikan produk ke versi sebelumnya.
Anda dapat dengan mudah mengidentifikasi perbedaan antara versi produk. Ini membantu Anda menyelesaikan masalah selama penerapan.
Anda dapat mengonfigurasi koneksi repositori di Service Catalog, seperti ke GitHub atau. GitLab Anda dapat membuat perubahan produk secara langsung melalui repositori.

Untuk informasi tentang manfaat keseluruhan AWS Service Catalog, lihat Apa itu Service Catalog.

Prasyarat dan batasan

Prasyarat

Aktif Akun AWS.
A GitHub, BitBucket, atau repositori lain yang berisi file konfigurasi Terraform dalam format ZIP.
AWS Serverless Application Model Antarmuka Baris Perintah (AWS SAM CLI), diinstal.
AWS Command Line Interface (AWS CLI), diinstal dan dikonfigurasi.
Pergi, terinstal.
Python versi 3.9, diinstal. AWS SAM CLI membutuhkan versi Python ini.
Izin untuk menulis dan menjalankan AWS Lambda fungsi dan izin untuk mengakses dan mengelola produk dan portofolio Service Catalog.

Arsitektur

Diagram menunjukkan alur kerja berikut:

Saat konfigurasi Terraform siap, pengembang membuat file.zip yang berisi semua kode Terraform. Pengembang mengunggah file.zip ke dalam repositori kode yang terhubung ke Service Catalog.
Administrator mengaitkan produk Terraform ke portofolio di Service Catalog. Administrator juga membuat batasan peluncuran yang memungkinkan pengguna akhir untuk menyediakan produk.
Di Service Catalog, pengguna akhir meluncurkan AWS resource dengan menggunakan konfigurasi Terraform. Mereka dapat memilih versi produk mana yang akan digunakan.

Alat

Layanan AWS

AWS Lambdaadalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Ini menjalankan kode Anda hanya bila diperlukan dan skala secara otomatis, jadi Anda hanya membayar untuk waktu komputasi yang Anda gunakan.
AWS Service Catalogmembantu Anda mengelola katalog layanan TI secara terpusat yang disetujui. AWS Pengguna akhir dapat dengan cepat men-deploy hanya layanan IT yang disetujui yang mereka butuhkan, mengikuti batasan yang ditetapkan oleh organisasi Anda.

Layanan lainnya

Go adalah bahasa pemrograman open source yang didukung Google.
Python adalah bahasa pemrograman komputer tujuan umum.

Repositori kode

Jika Anda memerlukan contoh konfigurasi Terraform yang dapat Anda terapkan melalui Service Catalog, Anda dapat menggunakan konfigurasi di Amazon Macie Organization Setup Using Terraform GitHub repositori. Penggunaan sampel kode dalam repositori ini tidak diperlukan.

Praktik terbaik

Alih-alih memberikan nilai untuk variabel dalam file konfigurasi Terraform (terraform.tfvars), konfigurasikan nilai variabel saat meluncurkan produk melalui Service Catalog.
Berikan akses ke portofolio hanya untuk pengguna atau administrator tertentu.
Ikuti prinsip hak istimewa terkecil dan berikan izin minimum yang diperlukan untuk melakukan tugas. Untuk informasi selengkapnya, lihat Memberikan hak istimewa terkecil dan praktik terbaik Keamanan dalam dokumentasi AWS Identity and Access Management (IAM).

Epik

Tugas	Deskripsi	Keterampilan yang dibutuhkan
(Opsional) Instal Docker.	Jika Anda ingin menjalankan AWS Lambda fungsi di lingkungan pengembangan Anda, instal Docker. Untuk petunjuk, lihat Menginstal Docker Engine di dokumentasi Docker.	DevOps insinyur
Instal AWS Service Catalog Mesin untuk Terraform.	Masukkan perintah berikut untuk mengkloning repositori AWS Service Catalog Engine for Terraform. `git clone https://github.com/aws-samples/service-catalog-engine-for-terraform-os.git` Arahkan ke direktori root dari repositori kloning. Masukkan perintah berikut. Ini menginstal mesin. `run ./bin/bash/deploy-tre.sh -r` Wilayah AWS Set di profil default Anda tidak digunakan selama instalasi otomatis. Sebagai gantinya, Anda memberikan Region saat Anda menjalankan perintah ini.	DevOps insinyur, administrator AWS

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Buat koneksi ke GitHub repositori.	Masuk ke AWS Management Console, lalu buka konsol Alat Pengembang. Anda dapat mengakses konsol Alat Pengembang dengan memilih layanan seperti AWS CodePipeline atau AWS CodeDeploy. Di panel navigasi kiri, pilih Pengaturan, lalu pilih Koneksi. Pilih Buat koneksi. Pilih repositori tempat Anda memelihara kode sumber Terraform. Misalnya, Anda dapat memilih Bitbucket, GitHub, atau GitHub Enterprise Server. Masukkan nama untuk koneksi, lalu pilih Connect. Ketika Anda diminta, otentikasi repositori. Setelah otentikasi selesai, koneksi dibuat dan status berubah menjadi aktif.	Administrator AWS

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Buat produk Service Catalog.	Buka konsol AWS Service Catalog. Arahkan ke bagian Administrasi, lalu pilih Daftar produk. Pilih Buat produk. Pada halaman Buat produk di bagian Detail produk, pilih Jenis produk eksternal. Service Catalog menggunakan jenis produk ini untuk mendukung produk Terraform Community Edition. Masukkan nama dan pemilik untuk produk Service Catalog. Pilih Tentukan repositori kode Anda menggunakan penyedia. CodeStar Masukkan informasi berikut untuk repositori Anda: Connect ke provider Anda menggunakan AWS CodeConnections — Pilih koneksi yang Anda buat sebelumnya. Repositori — Pilih repositori. Cabang — Pilih cabang. Jalur file template - Pilih jalur tempat file template kode disimpan. Nama file harus diakhiri dengan`tar.gz`. Di bawah Nama dan deskripsi Versi, berikan informasi tentang versi produk. Pilih Buat produk.	Administrator AWS
Buat portofolio.	Buka konsol AWS Service Catalog. Arahkan ke bagian Administrasi, lalu pilih, pilih Portofolio. Pilih Buat portofolio. Masukkan nilai berikut: Nama portofolio – `Sample terraform` Deskripsi portofolio - `Sample portfolio for Terraform configurations` Pemilik — Informasi kontak Anda, seperti alamat email Pilih Buat.	Administrator AWS
Tambahkan produk Terraform ke portofolio.	Buka konsol AWS Service Catalog. Arahkan ke bagian Administrasi, lalu pilih Daftar produk. Pilih produk Terraform yang Anda buat sebelumnya. Pilih Tindakan, lalu pilih Tambahkan produk ke portofolio. Pilih `Sample terraform` portofolio. Pilih Tambahkan produk ke portofolio.	Administrator AWS
Buat kebijakan akses.	Buka konsol AWS Identity and Access Management (IAM). Di panel navigasi, pilih Kebijakan. Di panel konten, pilih Buat kebijakan. Pilih opsi JSON. Masukkan contoh kebijakan JSON di Kebijakan akses di bagian Informasi tambahan dari pola ini. Pilih Berikutnya. Pada halaman Tinjau dan buat, di kotak Nama kebijakan, masukkan`TerraformResourceCreationAndArtifactAccessPolicy`. Pilih Buat kebijakan.	Administrator AWS
Buat kebijakan kepercayaan khusus.	Buka konsol IAM. Di panel navigasi, pilih Peran. Pilih Buat peran. Di bawah Jenis entitas tepercaya, pilih Kebijakan kepercayaan khusus. Di editor kebijakan JSON, masukkan contoh kebijakan JSON di Kebijakan kepercayaan di bagian Informasi tambahan dari pola ini. Pilih Berikutnya. Di bawah Kebijakan Izin, pilih `TerraformResourceCreationAndArtifactAccessPolicy` yang telah Anda buat sebelumnya. Pilih Berikutnya. Di bawah Rincian peran, di kotak Nama peran, masukkan`SCLaunch-product`. penting Nama peran harus dimulai dengan`SCLaunch`. Pilih Buat peran.	Administrator AWS
Tambahkan batasan peluncuran ke produk Service Catalog.	Masuk ke AWS Management Console sebagai pengguna dengan izin administratif. Buka konsol AWS Service Catalog. Di panel navigasi, pilih Portofolio. Pilih portofolio yang Anda buat sebelumnya. Pada halaman Detail portofolio, pilih tab Constraints, lalu pilih Create constraint. Untuk Produk, pilih produk Terraform yang Anda buat sebelumnya. Di bawah Batasan peluncuran, untuk Metode, pilih Masukkan nama peran. Di kotak Nama peran, masukkan`SCLaunch-product`. Pilih Buat.	Administrator AWS
Berikan akses ke produk.	Buka konsol AWS Service Catalog. Di panel navigasi, pilih Portofolio. Pilih portofolio yang Anda buat sebelumnya. Pilih tab Access, lalu pilih Grant access. Pilih tab Peran, lalu pilih peran yang seharusnya memiliki akses untuk menyebarkan produk ini. Pilih Akses Hibah.	Administrator AWS
Luncurkan produk.	Masuk ke pengguna AWS Management Console sebagai pengguna dengan izin untuk menyebarkan produk Service Catalog. Buka konsol AWS Service Catalog. Di panel navigasi, pilih Produk. Pilih produk yang Anda buat sebelumnya, lalu pilih Luncurkan produk. Masukkan nama produk dan tentukan parameter yang diperlukan. Pilih Luncurkan produk.	DevOps insinyur

Tugas Deskripsi Keterampilan yang dibutuhkan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Validasi penerapan.	Ada dua mesin AWS Step Functions status untuk alur kerja penyediaan Service Catalog: `ManageProvisionedProductStateMachine`— Service Catalog memanggil mesin status ini saat menyediakan produk Terraform baru dan saat memperbarui produk yang disediakan Terraform yang ada. `TerminateProvisionedProductStateMachine`— Service Catalog memanggil mesin status ini saat menghentikan produk yang disediakan Terraform yang ada. Anda memeriksa log untuk mesin `ManageProvisionedProductStateMachine` status untuk mengonfirmasi bahwa produk telah disediakan. Masuk ke AWS Management Console, lalu buka AWS Step Functions konsol. Di panel navigasi kiri, pilih mesin Negara. Pilih`ManageProvisionedProductStateMachine`. Dalam daftar Eksekusi, masukkan ID produk yang disediakan untuk menemukan eksekusi. catatan Nama bucket backend file status dimulai dengan. `sc-terraform-engine-state-` Validasi bahwa semua sumber daya yang diperlukan telah dibuat di akun.	DevOps insinyur

Validasi penerapan.

Ada dua mesin AWS Step Functions status untuk alur kerja penyediaan Service Catalog:

ManageProvisionedProductStateMachine— Service Catalog memanggil mesin status ini saat menyediakan produk Terraform baru dan saat memperbarui produk yang disediakan Terraform yang ada.
TerminateProvisionedProductStateMachine— Service Catalog memanggil mesin status ini saat menghentikan produk yang disediakan Terraform yang ada.

Anda memeriksa log untuk mesin ManageProvisionedProductStateMachine status untuk mengonfirmasi bahwa produk telah disediakan.

Masuk ke AWS Management Console, lalu buka AWS Step Functions konsol.
Di panel navigasi kiri, pilih mesin Negara.
PilihManageProvisionedProductStateMachine.
Dalam daftar Eksekusi, masukkan ID produk yang disediakan untuk menemukan eksekusi.
catatan
Nama bucket backend file status dimulai dengan. sc-terraform-engine-state-
Validasi bahwa semua sumber daya yang diperlukan telah dibuat di akun.

DevOps insinyur

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Hapus produk yang disediakan.	Masuk ke pengguna AWS Management Console sebagai pengguna dengan izin untuk menyebarkan produk Service Catalog. Buka konsol AWS Service Catalog. Di navigasi kiri, pilih Produk yang disediakan. Pilih produk yang Anda buat. Dalam daftar Tindakan, pilih Hentikan. Di kotak teks konfirmasi, masukkan`terminate`, lalu pilih Hentikan produk yang disediakan. Ulangi langkah-langkah ini untuk menghentikan semua produk yang disediakan.	DevOps insinyur
Lepaskan AWS Service Catalog Mesin untuk Terraform.	Masuk ke AWS Management Console sebagai pengguna dengan izin administratif. Buka konsol Amazon Simple Storage Service (Amazon S3). Di panel navigasi, pilih Bucket. Pilih `sc-terraform-engine-logging-XXXX` ember. Pilih Kosong. Ulangi langkah 4—5 untuk ember berikut: `sc-terraform-engine-state-XXXX` `terraform-engine-bootstrap-XXXX` Buka AWS CloudFormation konsol, lalu validasi Anda berada di tempat yang benar Wilayah AWS. Di navigasi kiri, pilih Stacks. Pilih`SAM-TRE`, lalu pilih Hapus. Tunggu sampai tumpukan telah dihapus. Pilih`Bootstrap-TRE`, lalu pilih Hapus. Tunggu sampai tumpukan telah dihapus.	Administrator AWS

Sumber daya terkait

AWS dokumentasi

Memulai dengan produk Terraform

Dokumentasi Terraform

Informasi tambahan

Kebijakan akses


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "s3:ExistingObjectTag/servicecatalog:provisioning": "true"
                }
            }
        },
        {
            "Action": [
                "s3:CreateBucket*",
                "s3:DeleteBucket*",
                "s3:Get*",
                "s3:List*",
                "s3:PutBucketTagging"
            ],
            "Resource": "arn:aws:s3:::*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "resource-groups:CreateGroup",
                "resource-groups:ListGroupResources",
                "resource-groups:DeleteGroup",
                "resource-groups:Tag"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "tag:GetResources",
                "tag:GetTagKeys",
                "tag:GetTagValues",
                "tag:TagResources",
                "tag:UntagResources"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Kebijakan kepercayaan


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GivePermissionsToServiceCatalog",
            "Effect": "Allow",
            "Principal": {
                "Service": "servicecatalog.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account_id:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringLike": {
                    "aws:PrincipalArn": [
                        "arn:aws:iam::accounti_id:role/TerraformEngine/TerraformExecutionRole*",
                        "arn:aws:iam::accounti_id:role/TerraformEngine/ServiceCatalogExternalParameterParserRole*",
                        "arn:aws:iam::accounti_id:role/TerraformEngine/ServiceCatalogTerraformOSParameterParserRole*"
                    ]
                }
            }
        }
    ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Pertahankan ruang IP yang dapat dirutekan dalam desain VPC multi-akun untuk subnet non-beban kerja

Daftarkan beberapa Akun AWS dengan satu alamat email