AWS Service Catalog Ações de serviço - AWS Service Catalog
Pré-requisitosEtapa 1: Configurar permissões de usuários finaisEtapa 2: Criar uma ação de atendimentoEtapa 3: Associar a ação de atendimento a uma versão do produtoEtapa 4: Testar a experiência do usuário final Etapa 5: Gerenciando ações de serviço com AWS CloudFormationEtapa 6: Solução de problemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Service Catalog Ações de serviço

nota

AWS Service Catalog não oferece suporte a ações de serviço para produtos Terraform Open Source ou Terraform Cloud.

AWS Service Catalog permite que você reduza a manutenção administrativa e o treinamento do usuário final e, ao mesmo tempo, adote as medidas de conformidade e segurança. Com as ações de atendimento, o administrador pode permitir que usuários finais realizem tarefas operacionais, resolvam problemas, executem comandos aprovados ou solicitem permissões no AWS Service Catalog. Use documentos do AWS Systems Manager para definir ações de atendimento. Os AWS Systems Manager documentos fornecem acesso a ações predefinidas que implementam as AWS melhores práticas, como a EC2 interrupção e reinicialização da Amazon, e você também pode definir ações personalizadas.

Neste tutorial, você fornece aos usuários finais a capacidade de reiniciar uma EC2 instância da Amazon. Adicione as permissões necessárias, defina a ação de atendimento, associe-a com um produto e teste a experiência do usuário final ao usar a ação com um produto provisionado.

Pré-requisitos

Este tutorial pressupõe que você tenha permissões totais de AWS administrador, já esteja AWS Service Catalog familiarizado e que já tenha um conjunto básico de produtos, portfólios e usuários. Se você não estiver familiarizado AWS Service Catalog, conclua a Configuração e Conceitos básicos as tarefas antes de usar este tutorial.

Etapa 1: Configurar permissões de usuários finais

Os usuários finais devem ter as permissões necessárias para visualizar e executar ações de atendimento específicas. Neste exemplo, o usuário final precisa de permissão para acessar o recurso AWS Service Catalog de ações de serviço e realizar uma EC2 reinicialização da Amazon.

Para atualizar as permissões

  1. Abra o console AWS Identity and Access Management (IAM) em https://console.aws.amazon.com/iam/.

  2. No menu, localize grupos de usuários.

  3. Escolha os grupos que os usuários finais usarão para acessar AWS Service Catalog os recursos. Neste exemplo, nós selecionamos o grupo de usuário final. Em sua própria implementação, escolha o grupo que é usado pelos usuários finais relevantes.

  4. Na guia Permissions (Permissões) da página de detalhes do grupo, crie uma nova política ou edite uma existente. Neste exemplo, adicionamos permissões à política existente selecionando a política personalizada criada para as permissões AWS Service Catalog Provisionar e Encerrar do grupo.

  5. Na página Policy (Política), escolhaEdit Policy (Editar política) para adicionar as permissões necessárias. Você pode usar o editor visual ou o editor JSON para alterar a política. Neste exemplo, usamos o editor JSON para adicionar as permissões. Neste tutorial, adicione as seguintes permissões à política:

    
{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "Stmt1536341175150",
			"Action": [
				"servicecatalog:ListServiceActionsForProvisioningArtifact",
				"servicecatalog:ExecuteprovisionedProductServiceAction",
				"ssm:DescribeDocument",
				"ssm:GetAutomationExecution",
				"ssm:StartAutomationExecution",
				"ssm:StopAutomationExecution",
				"cloudformation:ListStackResources",
				"ec2:DescribeInstanceStatus",
				"ec2:StartInstances",
				"ec2:StopInstances"
			],
			"Effect": "Allow",
			"Resource": "*"
		}
	]
}

  6. Depois de editar a política, revise e aprove a alteração. Os usuários do grupo de usuários finais agora têm as permissões necessárias para realizar a ação de EC2 reinicialização da Amazon em AWS Service Catalog.

Etapa 2: Criar uma ação de atendimento

Em seguida, você cria uma ação de serviço para reiniciar as EC2 instâncias da Amazon.

  1. Abra o AWS Service Catalog console em https://console.aws.amazon.com/sc/.

  2. No menu, escolha Service actions (Ações de atendimento).

  3. Na página Ações de atendimento, escolha Criar ação.

  4. Na página Criar ação, escolha um AWS Systems Manager documento para definir a ação do serviço. A ação Amazon EC2 Instance Restart é definida por um AWS Systems Manager documento, então mantemos a opção padrão no menu suspenso, Amazon documents.

  5. Pesquise e escolha a ação AWS-Reiniciar EC2 instância.

  6. Forneça um nome e uma descrição para a ação que faça sentido para o ambiente e a equipe. O usuário final verá esta descrição. Portanto, escolha algo que ajude a entender o que ela faz.

  7. Em Configuração de parâmetro e destino, escolha o parâmetro de documento SSM que será o destino da ação (por exemplo, o ID da instância) e escolha o destino do parâmetro. Selecione Add parameter (Adicionar parâmetro) para adicionar outros parâmetros.

  8. Em Permissions (Permissões), escolha uma função. Estamos usando permissões padrão para este exemplo. Outras configurações de permissões são possíveis e são definidas nesta página.

  9. Após revisar a configuração, escolha Create action (Criar ação).

  10. Na próxima página, uma confirmação é exibida quando a ação é criada e está pronta para uso.

Etapa 3: Associar a ação de atendimento a uma versão do produto

Depois de definir uma ação, você deve associar um produto a ela.

  1. Na página Ações do serviço, escolha AWS-Reiniciar eEC2instance, em seguida, escolha Associar ação.

  2. Na página Associate action (Associar ação), escolha o produto no qual você quer que os usuários finais realizem as ações de atendimento. Neste exemplo, escolhemos o Linux Desktop.

  3. Selecione a versão do produto. Você pode usar a caixa de seleção superior para selecionar todas as versões.

  4. Escolha Associate action (Associar ação).

  5. Uma mensagem de confirmação é exibida na próxima página.

Você acabou de criar a ação de atendimento no AWS Service Catalog. A próxima etapa deste tutorial é usar a ação de atendimento como usuário final.

Etapa 4: Testar a experiência do usuário final

Os usuários finais podem executar ações de atendimento em produtos provisionados. Para os fins deste tutorial, o usuário final deve ter pelo menos um produto provisionado. O produto provisionado deve ser lançado a partir da versão de produto que você associou à ação de atendimento na etapa anterior.

Como acessar a ação de atendimento como usuário final

  1. Faça login no AWS Service Catalog console como usuário final.

  2. No AWS Service Catalog painel, no painel de navegação, escolha Lista de produtos provisionados. A lista mostra os produtos que são provisionados para a conta do usuário final.

  3. Na página Provisioned products list (Lista de produtos provisionados), escolha a instância provisionada.

  4. Na página de detalhes do produto provisionado, escolha Ações no canto superior direito e escolha a ação AWS EC2instance-Reiniciar.

  5. Confirme que você quer executar a ação personalizada. Você receberá a confirmação de que a ação foi enviada.

Etapa 5: Gerenciando ações de serviço com AWS CloudFormation

Você pode criar ações de serviço e suas associações com AWS CloudFormation recursos. Para mais informações, consulte o seguinte no Guia do usuário do AWS CloudFormation :

nota

Se você gerencia associações de ações de serviço com AWS CloudFormation recursos, não adicione nem remova ações de serviço por meio do AWS Command Line Interface ou AWS Management Console. Quando você executa uma atualização de pilha, todas as alterações nas ações de serviço feitas fora da AWS CloudFormation são substituídas.

Etapa 6: Solução de problemas

Se a execução da ação de serviço falhar, será possível encontrar a mensagem de erro na seção Outputs (Saídas) do evento de execução da ação de serviço na página Provisioned product (Produto provisionado). Veja a seguir as explicações para as mensagens de erro comuns que podem ser encontradas.

nota

O texto exato da mensagem de erro está sujeito a alterações, portanto, você deve evitar usá-los em qualquer tipo de processo automatizado.

Internal failure (Falha interna)

AWS Service Catalog sofreu um erro interno. Tente novamente mais tarde. Se o erro persistir, entre em contato com o suporte ao cliente.

Ocorreu um erro (ThrottlingException) ao chamar a StartAutomationExecution operação

A execução da ação de serviço foi limitada pelo serviço de back-end, como o SSM.

Access denied while assuming the role (Acesso negado ao assumir a função)

AWS Service Catalog não conseguiu assumir a função especificada na definição da ação de serviço. Certifique-se de que a entidade principal servicecatalog.amazonaws.com ou uma entidade principal regional, como servicecatalog.us-east-1.amazonaws.com, esteja na lista de permissões na política de confiança do perfil.

Ocorreu um erro (AccessDeniedException) ao chamar a StartAutomationExecution operação: O usuário não está autorizado a executar: ssm: StartAutomationExecution no recurso.

A função especificada na definição da ação de serviço não tem permissões para invocar ssm:. StartAutomationExecution Verifique se o perfil tem as permissões do SSM apropriadas.

Não é possível encontrar nenhum recurso com o tipo TargetType no produto provisionado

O produto provisionado não contém nenhum recurso que corresponda ao tipo de destino especificado no documento SSM, como AWS::: EC2 :Instance. Verifique o produto provisionado para esses recursos ou verifique se o documento está correto.

Document with that name does not exist (Não existe um documento com esse nome)

O documento especificado na definição da ação de serviço não existe.

Failed to describe SSM Automation document (Falha ao descrever o documento de automação do SSM)

AWS Service Catalog encontrou uma exceção desconhecida do SSM ao tentar descrever o documento especificado.

Failed to retrieve credentials for role (Falha ao recuperar credenciais para a função)

AWS Service Catalog encontrou um erro desconhecido ao assumir a função especificada.

O parâmetro tem o valor InvalidValue "" não encontrado em {ValidValue1}, {ValidValue2}

O valor do parâmetro passado para o SSM não está na lista de valores permitidos para o documento. Verifique se os parâmetros fornecidos são válidos e tente novamente.

Erro de tipo de parâmetro O valor fornecido para não ParameterName é uma string válida.

O valor do parâmetro passado para o SSM não é válido para o tipo no documento.

Parameter is not defined in service action definition (O parâmetro não está definido na definição da ação do serviço)

Foi passado um parâmetro AWS Service Catalog que não está definido na definição da ação de serviço. É possível usar somente parâmetros definidos na definição da ação de serviço.

A etapa falha quando está executando/cancelando a ação. Error message. Consulte o Guia de Solução de Problemas do Serviço de Automação para obter mais detalhes sobre o diagnóstico.

Uma etapa do documento de automação do SSM falhou. Consulte o erro na mensagem para solucionar mais problemas.

Os valores a seguir para o parâmetro não são permitidos porque não estão no produto provisionado: InvalidResourceId

O usuário solicitou ação em um recurso que não está no produto provisionado.

TargetType não definido para o documento de automação SSM

As ações de serviço exigem que os documentos de automação do SSM tenham um TargetType definido. Verifique seu documento de automação do SSM.