Freigeben eines Portfolios - AWS Service Catalog
Eine ccount-to-account FreigabeFreigeben für AWS OrganizationsFreigeben von Portfolios TagOptions beim Freigeben von PortfoliosFreigeben von Prinzipalnamen beim Freigeben von Portfolios

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Freigeben eines Portfolios

Um einem AWS Service Catalog Administrator für ein anderes AWS Konto zu ermöglichen, Ihre Produkte an Endbenutzer zu verteilen, geben Sie Ihr AWS Service Catalog Portfolio entweder über die account-to-account Freigabe oder für sie freiAWS Organizations.

Wenn Sie ein Portfolio mithilfe account-to-account von Freigabe oder Organizations freigeben, teilen Sie sich eine Referenz dieses Portfolios. Die Produkte und Einschränkungen des importierten Portfolios bleiben mit Änderungen, die Sie am freigegebenen Portfolio, d. h. ursprünglichen Portfolio, vornehmen, synchron.

Der Empfänger kann die Produkte oder Einschränkungen nicht ändern, kann aber den AWS Identity and Access Management Zugriff für Endbenutzer hinzufügen.

Anmerkung

Sie können eine freigegebene Ressource nicht freigeben. Dazu gehören Portfolios, die ein freigegebenes Produkt enthalten.

Eine ccount-to-account Freigabe

Um diese Schritte auszuführen, müssen Sie die Konto-ID des AWS Zielkontos abrufen. Sie finden die ID auf der Seite Mein Konto im des AWS Management Console Zielkontos.

So geben Sie ein Portfolio für ein AWS Konto frei

  1. Öffnen Sie die Service-Catalog-Konsole unter https://console.aws.amazon.com/servicecatalog/.

  2. Wählen Sie im linken Navigationsmenü Portfolios und dann das Portfolio aus, das Sie teilen möchten. Wählen Sie im Menü Aktionen die Option Teilen aus.

  3. Geben Sie unter Konto-ID eingeben die Konto-ID des AWS Kontos ein, für das Sie die Freigabe durchführen. (Optional) Wählen Sie TagOption Freigabe aus. Wählen Sie dann Teilen aus.

  4. Senden Sie die URL an den AWS Service Catalog-Administrator des Zielkontos. Die URL öffnet die Seite Portfolio importieren mit dem ARN des freigegebenen Portfolios, das automatisch bereitgestellt wird.

Importieren eines Portfolios

Wenn ein AWS Service Catalog Administrator für ein anderes AWS Konto ein Portfolio für Sie freigibt, importieren Sie dieses Portfolio in Ihr Konto, damit Sie seine Produkte an Ihre Endbenutzer verteilen können.

Sie müssen kein Portfolio importieren, wenn das Portfolio über freigegeben wurdeAWS Organizations.

Um das Portfolio zu importieren, müssen Sie die Portfolio-ID vom Administrator abrufen.

Um alle importierten Portfolios anzuzeigen, öffnen Sie die -AWS Service CatalogKonsole unter https://console.aws.amazon.com/servicecatalog/. Wählen Sie auf der Seite Portfolios die Registerkarte Importiert aus. Überprüfen Sie die Tabelle Importierte Portfolios.

Freigeben für AWS Organizations

Sie können AWS Service Catalog-Portfolios mit AWS Organizations freigeben.

Zuerst müssen Sie entscheiden, ob Sie die Freigabe über das Verwaltungskonto oder ein delegiertes Administratorkonto vornehmen. Wenn Sie nicht von Ihrem Verwaltungskonto aus freigeben möchten, registrieren Sie ein delegiertes Administratorkonto, das Sie für die Freigabe verwenden können. Weitere Informationen finden Sie unter Einen delegierten Administrator registrieren im Benutzerhandbuch für AWS CloudFormation.

Als nächstes müssen Sie entscheiden, für wen die Freigabe gelten soll. Sie können Freigaben für die folgenden Entitäten durchführen:

  • Ein Organisationskonto.

  • Eine Organisationseinheit (OU).

  • Die Organisation selbst. (Dabei gilt die Freigabe für jedes Konto in der Organisation.)

Freigabe von einem Verwaltungskonto aus

Sie können ein Portfolio für eine Organisation freigeben, wenn Sie Ihre Organisationsstruktur verwenden oder die ID eines Organisationsknotens eingeben.

So geben Sie ein Portfolio mithilfe der Organisationsstruktur für eine Organisation frei

  1. Öffnen Sie die -AWS Service CatalogKonsole unter https://console.aws.amazon.com/servicecatalog/.

  2. Wählen Sie auf der Seite Portfolios das Portfolio aus, das Sie teilen möchten. Wählen Sie im Menü Aktionen die Option Teilen aus.

  3. Wählen Sie Ihre Organisationsstruktur aus AWS Organizations und filtern Sie sie.

    Sie können den Root-Knoten auswählen, um das Portfolio für Ihre gesamte Organisation, eine übergeordnete Organisationseinheit (OU), eine untergeordnete Organisationseinheit oder ein AWS Konto innerhalb Ihrer Organisation freizugeben.

    Die Freigabe an eine übergeordnete Organisationseinheit teilt das Portfolio mit allen Konten und untergeordneten Organisationseinheiten innerhalb dieser übergeordneten Organisationseinheit.

    Sie können Nur AWS Konten anzeigen auswählen, um eine Liste aller AWS Konten in Ihrer Organisation anzuzeigen.

So geben Sie ein Portfolio für eine Organisation frei, indem Sie die ID des Organisationsknotens eingeben

  1. Öffnen Sie die -AWS Service CatalogKonsole unter https://console.aws.amazon.com/servicecatalog/.

  2. Wählen Sie auf der Seite Portfolios das Portfolio aus, das Sie teilen möchten. Wählen Sie im Menü Aktionen die Option Teilen aus.

  3. Wählen Sie Organisationsknoten aus.

    Wählen Sie aus, ob Sie für Ihre gesamte Organisation, ein AWS Konto innerhalb Ihrer Organisation oder eine Organisationseinheit freigeben möchten.

    Geben Sie die ID des ausgewählten Organisationsknotens ein, die Sie in der AWS Organizations Konsole unter https://console.aws.amazon.com/organizations/ finden.

Freigabe von einem delegierten Administratorkonto aus

Das Verwaltungskonto einer Organisation kann andere Konten als delegierte Administratoren für die Organisation registrieren und deren Registrierung aufheben.

Ein delegierter Administrator kann AWS Service Catalog Ressourcen in seiner Organisation genauso freigeben wie ein Verwaltungskonto. Sie sind autorisiert, Portfolios zu erstellen, zu löschen und gemeinsam zu nutzen.

Um einen delegierten Administrator zu registrieren oder abzumelden, müssen Sie die -API oder -CLI aus dem Verwaltungskonto verwenden. Weitere Informationen finden Sie unter RegisterDelegatedAdministrator und DeregisterDelegatedAdministrator in der AWS Organizations-API-Referenz.

Anmerkung

Bevor Sie einen Delegierten benennen können, muss der Administrator aufrufenEnableAWSOrganizationsAccess.

Das Verfahren zum Freigeben eines Portfolios von einem delegierten Administratorkonto aus ist dasselbe wie das Freigeben von einem Verwaltungskonto, wie oben unter gezeigtFreigabe von einem Verwaltungskonto aus.

Wenn ein Mitglied als delegierter Administrator abgemeldet wird, geschieht Folgendes:

  • Portfoliofreigaben, die von diesem Konto erstellt wurden, werden entfernt.

  • Sie können keine neuen Portfoliofreigaben mehr erstellen.

Anmerkung

Wenn das Portfolio und die von einem delegierten Administrator erstellten Freigaben nicht entfernt werden, nachdem der delegierte Administrator die Registrierung aufgehoben hat, registrieren Sie den delegierten Administrator erneut und heben Sie die Registrierung auf. Diese Aktion entfernt das Portfolio und die von diesem Konto erstellten Freigaben.

Verschieben von Konten innerhalb Ihrer Organisation

Wenn Sie ein Konto innerhalb Ihrer Organisation verschieben, können sich die für das Konto freigegebenen AWS Service Catalog Portfolios ändern.

Konten haben nur Zugriff auf Portfolios, die für ihre Zielorganisation oder Organisationseinheit freigegeben sind.

Freigeben von Portfolios TagOptions beim Freigeben von Portfolios

Als Administrator können Sie eine Freigabe erstellen, die TagOptions. TagOptions are-Schlüssel-Wert-Paare enthält, mit denen Administratoren:

  • Definieren und erzwingen Sie die Taxonxie für Tags.

  • Definieren Sie Tag-Optionen und verknüpfen Sie sie mit Produkten und Portfolios.

  • Teilen Sie Tag-Optionen im Zusammenhang mit Portfolios und Produkten mit anderen Konten.

Wenn Sie Tag-Optionen im Hauptkonto hinzufügen oder entfernen, wird die Änderung automatisch in Empfängerkonten angezeigt. Wenn ein Endbenutzer in Empfängerkonten ein Produkt mit bereitstellt TagOptions, muss er Werte für Tags auswählen, die zu Tags auf dem bereitgestellten Produkt werden.

Administratoren können in Empfängerkonten zusätzliche lokale TagOptions zu ihrem importierten Portfolio zuordnen, um für dieses Konto spezifische Tagging-Regeln zu erzwingen.

Anmerkung

Um ein Portfolio freizugeben, benötigen Sie die AWS Konto-ID des Konsumenten. Suchen Sie die AWS Konto-ID in Mein Konto in der -Konsole.

Anmerkung

Wenn ein einen einzelnen Wert TagOption hat, erzwingt diesen Wert während des Bereitstellungsprozesses AWS automatisch.

So teilen Sie TagOptions beim Freigeben von Portfolios

  1. Wählen Sie im linken Navigationsmenü Portfolios aus.

  2. Wählen Sie unter Lokale Portfolios ein Portfolio aus und öffnen Sie es.

  3. Wählen Sie Freigabe aus der obigen Liste und dann die Schaltfläche Freigeben aus.

  4. Wählen Sie aus, ob Sie für ein anderes AWS Konto oder eine andere Organisation freigeben möchten.

  5. Geben Sie die 12-stellige Konto-ID-Nummer ein, wählen Sie Aktivieren und dann Teilen aus.

    Das Konto, das Sie freigegeben haben, wird im Abschnitt Konten, für die freigegeben wurde angezeigt. Es gibt an, ob aktiviert TagOptions wurden.

Sie können eine Portfoliofreigabe auch aktualisieren, um einzuschließen TagOptions. Alle TagOptions , die zum Portfolio und Produkt gehören, teilen sich jetzt mit diesem Konto.

So aktualisieren Sie eine Portfoliofreigabe, um sie einzuschließen TagOptions

  1. Wählen Sie im linken Navigationsmenü Portfolios aus.

  2. Wählen Sie unter Lokales Portfolio ein Portfolio aus und öffnen Sie es.

  3. Wählen Sie Freigabe aus der obigen Liste aus.

  4. Wählen Sie unter Konten, die für freigegeben sind eine Konto-ID und dann Aktionen aus.

  5. Wählen Sie Aufheben der Freigabe aktualisieren oder Aufheben der Freigabe aus.

    Wenn Sie Aufheben der Freigabe aktualisieren auswählen, wählen Sie Aktivieren, um die Freigabe zu initiieren TagOptions. Das Konto, das Sie freigegeben haben, wird im Abschnitt Mit freigegebene Konten angezeigt.

    Wenn Sie Freigabe aufheben auswählen, bestätigen Sie, dass Sie das Konto nicht mehr freigeben möchten.

Freigeben von Prinzipalnamen beim Freigeben von Portfolios

Als Administrator können Sie eine Portfoliofreigabe erstellen, die Prinzipalnamen enthält. Prinzipalnamen sind Namen für Gruppen, Rollen und Benutzer, die Administratoren in einem Portfolio angeben und dann mit dem Portfolio teilen können. Wenn Sie das Portfolio freigeben, AWS Service Catalog überprüft , ob diese Prinzipalnamen bereits vorhanden sind. Wenn sie vorhanden sind, ordnet die übereinstimmenden IAM-Prinzipale AWS Service Catalog automatisch dem freigegebenen Portfolio zu, um Benutzern Zugriff zu gewähren.

Anmerkung

Wenn Sie einen Prinzipal einem Portfolio zuordnen, kann es zu einer möglichen Ausweitung der Rechte kommen, wenn dieses Portfolio dann mit anderen Konten geteilt wird. Für einen Benutzer in einem Empfängerkonto, der kein AWS Service Catalog Administrator ist, aber immer noch Prinzipale (Benutzer/Rollen) erstellen kann, könnte dieser Benutzer einen IAM-Prinzipal erstellen, der einer Prinzipalnamenzuordnung für das Portfolio entspricht. Obwohl dieser Benutzer möglicherweise nicht weiß, welche Prinzipalnamen durch AWS Service Catalog zugeordnet sind, kann er den Benutzer möglicherweise erraten. Wenn dieser potenzielle Eskalationspfad ein Problem darstellt, empfiehlt AWS Service Catalog die Verwendung von PrincipalType als IAM. Bei dieser Konfiguration muss das PrincipalARN bereits im Empfängerkonto vorhanden sein, bevor es zugeordnet werden kann.

Wenn Sie Prinzipalnamen im Hauptkonto hinzufügen oder entfernen, wendet diese Änderungen AWS Service Catalog automatisch im Empfängerkonto an. Benutzer im Empfängerkonto können dann Aufgaben basierend auf ihrer Rolle ausführen:

  • Endbenutzer können das Produkt des Portfolios bereitstellen, aktualisieren und beenden.

  • Administratoren können ihrem importierten Portfolio zusätzliche IAM-Prinzipale zuordnen, um Endbenutzern, die für dieses Konto spezifisch sind, Zugriff zu gewähren.

Anmerkung

Die Freigabe von Prinzipalnamen ist nur für verfügbarAWS Organizations.

So geben Sie Prinzipalnamen frei, wenn Sie Portfolios freigeben

  1. Wählen Sie im linken Navigationsmenü Portfolios aus.

  2. Wählen Sie unter Lokale Portfolios das Portfolio aus, das Sie teilen möchten.

  3. Wählen Sie im Menü Aktionen die Option Teilen aus.

  4. Wählen Sie eine Organisation in ausAWS Organizations.

  5. Wählen Sie den gesamten Organisationsstamm , eine Organisationseinheit (OU) oder ein Organisationsmitglied aus.

  6. Aktivieren Sie unter Freigabeeinstellungen die Option Prinzipalfreigabe.

Sie können eine Portfoliofreigabe auch aktualisieren, um die Freigabe von Prinzipalnamen einzuschließen. Dadurch werden alle Prinzipalnamen, die zu diesem Portfolio gehören, mit dem Empfängerkonto geteilt.

So aktualisieren Sie eine Portfoliofreigabe, um Prinzipalnamen zu aktivieren oder zu deaktivieren

  1. Wählen Sie im linken Navigationsmenü Portfolios aus.

  2. Wählen Sie unter Lokales Portfolio das Portfolio aus, das Sie aktualisieren möchten.

  3. Wählen Sie die Registerkarte Teilen aus.

  4. Wählen Sie die Freigabe aus, die Sie aktualisieren möchten, und wählen Sie dann Teilen aus.

  5. Wählen Sie Freigabe aktualisieren und dann Aktivieren aus, um die Freigabe des Prinzipals zu initiieren. gibt AWS Service Catalog dann Prinzipalnamen in Empfängerkonten frei.

Deaktivieren Sie die Freigabe des Prinzipals, wenn Sie die Freigabe der Prinzipalnamen für Empfängerkonten beenden möchten.

Verwenden von Platzhaltern bei der Freigabe von Prinzipalnamen

AWS Service Catalog unterstützt die Gewährung von Portfoliozugriff auf IAM-Prinzipalnamen (Benutzer, Gruppe oder Rolle) mit Platzhaltern wie „*“ oder „?“. Mithilfe von Platzhaltermustern können Sie mehrere IAM-Prinzipalnamen gleichzeitig abdecken. Der ARN-Pfad und der Prinzipalname lassen unbegrenzte Platzhalterzeichen zu.

Beispiele für einen akzeptablen Platzhalter-ARN:

  • arn:aws:iam:::role/ResourceName_*

  • arn:aws:iam:::role/*/ResourceName_?

Beispiele für einen inakzeptablen Platzhalter-ARN:

  • arn:aws:iam:::*/ResourceName

Gültige Werte im ARN-Format des IAM-Prinzipals (arn:partition:iam:::resource-type/resource-path/resource-name) sind user/, group/ oder role/. Die „?“ und „*“ sind nur nach dem Ressourcentyp im Ressourcen-ID-Segment zulässig. Sie können Sonderzeichen überall innerhalb der Ressourcen-ID verwenden.

Das Zeichen „*“ entspricht auch dem Zeichen „/“, sodass Pfade innerhalb der Ressourcen-ID gebildet werden können. Beispielsweise:

arn:aws:iam:::role/*/ResourceName_? entspricht arn:aws:iam:::role/pathA/pathB/ResourceName_1 sowohl als auch arn:aws:iam:::role/pathA/ResourceName_1.