View a markdown version of this page

教學:識別使用者資源分配 - AWS Service Catalog

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

教學:識別使用者資源分配

您可以使用 AWS Service Catalog 主控台來識別佈建與產品相關聯的產品和資源的使用者。本教學可協助將此範例翻譯為您自己特定的佈建產品。

若要管理帳戶所有的佈建產品,您需 AWSServiceCatalogAdminFullAccess 或佈建產品寫入操作的相同存取。如需詳細資訊,請參閱《 管理員指南》中的 Identity and Access ManagementAWS Service Catalog

為了識別佈建產品及相關資源的使用者

  1. 開啟 https://https://console.aws.amazon.com/servicecatalog

  2. 在左側導覽功能表中,選擇佈建產品

  3. 存取篩選條件下拉式功能表中,選擇帳戶

    存取篩選條件下拉式功能表已展開,顯示帳戶、使用者和角色選項。

  4. 帳戶檢視中,選擇並開啟佈建產品以顯示其詳細資訊。

    佈建產品資料表顯示一個具有其建立日期和狀態的 S3 儲存貯體產品。

    您可以查看佈建產品的詳細資訊。

    佈建的產品詳細資訊頁面,顯示產品名稱、IDs、使用者資訊和狀態。

  5. 向下捲動以展開事件區段。請注意 Provisioned product IDCloudformationStackARN值。

    事件區段顯示具有佈建成品 ID 和 CloudformationStackARN 輸出的 UPDATE_PROVISIONED_PRODUCT。

  6. 使用佈建的產品 ID 來識別與此啟動對應的 AWS CloudTrail 記錄,並識別請求的使用者 (通常是您在聯合期間輸入電子郵件地址)。在此範例中為「steve」。

    {
  "eventVersion":"1.03","userIdentity":
  {
    "type":"AssumedRole",
    "principalId":"[id]:steve",
    "arn":"arn:aws:sts::[account number]:assumed-role/SC-usertest/steve",
    "accountId":[account number],
    "accessKeyId":[access key],
    "sessionContext":
    {
      "attributes":
      {
        "mfaAuthenticated":[boolean],
        "creationDate":[timestamp]
      },
      "sessionIssuer":
      {
        "type":"Role",
        "principalId":"AROAJEXAMPLELH3QXY",
        "arn":"arn:aws:iam::[account number]:role/[name]",
        "accountId":[account number],
        "userName":[username]
      }
    }
  },
  "eventTime":"2016-08-17T19:20:58Z","eventSource":"servicecatalog.amazonaws.com",
  "eventName":"ProvisionProduct",
  "awsRegion":"us-west-2",
  "sourceIPAddress":[ip address],
  "userAgent":"Coral/Netty",
  "requestParameters":
  {
    "provisioningArtifactId":[id],
    "productId":[id],
    "provisioningParameters":[Shows all the parameters that the end user entered],
    "provisionToken":[token],
    "pathId":[id],
    "provisionedProductName":[name],
    "tags":[],
    "notificationArns":[]
  },
  "responseElements":
  {
    "recordDetail":
    {
      "provisioningArtifactId":[id],
      "status":"IN_PROGRESS",
      "recordId":[id],
      "createdTime":"Aug 17, 2016 7:20:58 PM",
      "recordTags":[],
      "recordType":"PROVISION_PRODUCT",
      "provisionedProductType":"CFN_STACK",
      "pathId":[id],
      "productId":[id],
      "provisionedProductName":"testSCproduct",
      "recordErrors":[],
      "provisionedProductId":[id]
    }
  },
  "requestID":[id],
  "eventID":[id],
  "eventType":"AwsApiCall",
  "recipientAccountId":[account number]
}

  7. 使用 CloudformationStackARN值來識別 CloudFormation 事件,以尋找所建立資源的相關資訊。您也可以使用 CloudFormation API 來取得此資訊。如需詳細資訊,請參閱 AWS CloudFormation API 參考

您可以使用 AWS Service Catalog API 或 執行步驟 1 到 4 AWS CLI。如需詳細資訊,請參閱AWS Service Catalog 開發人員指南和AWS Service Catalog 命令列參考。