步驟 6:新增啟動限制以指派 IAM 角色 - AWS Service Catalog

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 6:新增啟動限制以指派 IAM 角色

啟動限制條件會指定最終使用者啟動產品時所 AWS Service Catalog 擔任的 IAM 角色。

在此步驟中,您將啟動限制新增至 Linux 桌面產品,因此 AWS Service Catalog 可以使用構成產品 AWS CloudFormation 範本的 IAM 資源。

您指派給產品做為啟動限制條件的 IAM 角色必須具有下列許可

  1. AWS CloudFormation

  2. 產品 AWS CloudFormation 範本中的服務

  3. 讀取服務擁有的 Amazon S3 儲存貯體中的 AWS CloudFormation 範本存取權。

此啟動限制可讓最終使用者啟動產品,並在啟動後將其管理為佈建產品。如需詳細資訊,請參閱 AWS Service Catalog 啟動限制

如果沒有啟動限制,您需要將額外的 IAM 許可授予最終使用者,然後他們才能使用 Linux 桌面產品。例如,ServiceCatalogEndUserAccess政策會授予存取 AWS Service Catalog 最終使用者主控台檢視所需的最低 IAM 許可。

使用啟動限制可讓您遵循 IAM 最佳實務,將最終使用者 IAM 許可保持在最低限度。如需詳細資訊,請參閱《IAM 使用者指南》中的授予最低權限

新增啟動限制

  1. 請遵循 IAM 使用者指南中的 JSON 標籤上建立新政策的指示。

  2. 貼上下列 JSON 政策文件:

    • cloudformation– 允許建立、讀取、更新、刪除、列出和標記 AWS CloudFormation 堆疊 AWS Service Catalog 的完整許可。

    • ec2— 允許 AWS Service Catalog 完整許可列出、讀取、寫入、佈建和標記屬於 AWS Service Catalog 產品一部分的 Amazon Elastic Compute Cloud (Amazon EC2) 資源。根據您要部署 AWS 的資源,此許可可能會變更。

    • ec2– 為您的 AWS 帳戶建立新的受管政策,並將指定的受管政策連接至指定的 IAM 角色。

    • s3— 允許存取 擁有的 Amazon S3 儲存貯體 AWS Service Catalog。若要部署產品, AWS Service Catalog 需要存取佈建成品。

    • servicecatalog— 允許 代表最終使用者列出、讀取、寫入、標記和啟動資源的 AWS Service Catalog 許可。

    • sns— 允許 AWS Service Catalog 許可列出、讀取、寫入和標記啟動限制條件的 Amazon SNS 主題。

    注意

    根據您要部署的基礎資源,您可能需要修改範例 JSON 政策。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStacks",
                "cloudformation:GetTemplateSummary",
                "cloudformation:SetStackPolicy",
                "cloudformation:ValidateTemplate",
                "cloudformation:UpdateStack",
                "ec2:*",
                "servicecatalog:*",
                "sns:*"
            ],
            "Resource": "*"
        },
        {
         "Effect":"Allow",
         "Action":[
            "s3:GetObject"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "s3:ExistingObjectTag/servicecatalog:provisioning":"true"
            }
         }
      }
    ]
}

  3. 選擇下一步標籤

  4. 選擇下一步,檢閱

  5. 檢閱政策頁面中,針對名稱輸入 linuxDesktopPolicy

  6. 選擇 建立政策

  7. 在導覽窗格中,選擇角色。然後選擇建立角色並執行下列動作:

    1. 對於選取信任的實體,請選擇AWS 服務,然後在其他服務的使用案例下 AWS ,選擇服務目錄。選取 Service Catalog 使用案例,然後選擇下一步

    2. 搜尋 linuxDesktopPolicy 政策,然後選取此選取方塊。

    3. 選擇 Next (下一步)

    4. 角色名稱輸入 linuxDesktopLaunchRole

    5. 選擇建立角色

  8. 在 https://https://console.aws.amazon.com/servicecatalog 開啟 AWS Service Catalog 主控台。

  9. 選擇 Engineering Tools (工程工具) 產品組合。

  10. 產品組合詳細資訊頁面上,選擇限制條件索引標籤,然後選擇建立限制條件

  11. 針對產品,選擇 Linux 桌面,針對限制類型,選擇啟動

  12. 選擇選取 IAM 角色。接著選擇 linuxDesktopLaunchRole,然後選擇建立