AWS Service Catalog-Service-Aktionen - AWS Service Catalog
VoraussetzungenSchritt 1: Konfigurieren von Berechtigungen für EndbenutzerSchritt 2: Erstellen einer Service-AktionSchritt 3: Verknüpfen der Service-Aktion mit einer ProduktversionSchritt 4: Testen der Endbenutzerumgebung Schritt 5: Verwalten von Service-Aktionen mit AWS CloudFormationSchritt 6: Fehlerbehebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Service Catalog-Service-Aktionen

Anmerkung

AWS Service Catalog unterstützt keine Serviceaktionen für Terraform Open Source- oder Terraform Cloud-Produkte.

AWS Service Catalog ermöglicht es Ihnen, die administrative Wartung und das Training von Endbenutzern bei gleichzeitiger Konformität mit Compliance- und Sicherheitsanforderungen zu reduzieren. Service-Aktionen ermöglichen es Ihnen (als Administrator), Endbenutzern das Ausführen operativer Aufgaben, das Beheben von Problemen, das Ausführen von genehmigten Befehlen oder das Ändern von Berechtigungen in AWS Service Catalog zu erlauben. Sie verwenden AWS Systems Manager-Dokumente, um Service-Aktionen durchzuführen. Die AWS Systems Manager Dokumente bieten Zugriff auf vordefinierte Aktionen, die AWS bewährte Methoden implementieren, z. B. Amazon EC2 beenden und neu starten, und Sie können auch benutzerdefinierte Aktionen definieren.

In diesem Tutorial bieten Sie Endbenutzern die Möglichkeit, eine Amazon EC2 neu zu starten. Sie fügen die erforderlichen Berechtigungen hinzu, definieren die Service-Aktion, ordnen die Service-Aktion einem Produkt zu und testen die Endbenutzererfahrung mit der Aktion mit einem bereitgestellten Produkt.

Voraussetzungen

In diesem Tutorial wird davon ausgegangen, dass Sie über vollständigen AWS-Verwaltungszugriff auf Berechtigungen verfügen, bereits mit AWS Service Catalog vertraut sind und dass Sie bereits über eine Reihe von Produkten, Portfolios und Benutzern verfügen. Wenn Sie mit AWS Service Catalog nicht vertraut sind, schließen Sie die Einrichtung und Erste Schritte-Aufgaben ab, bevor Sie dieses Tutorial verwenden.

Schritt 1: Konfigurieren von Berechtigungen für Endbenutzer

Endbenutzer müssen über die erforderlichen Berechtigungen verfügen, um bestimmte Service-Aktionen anzuzeigen und auszuführen. In diesem Beispiel benötigt der Endbenutzer die Berechtigung für den Zugriff auf die AWS Service Catalog Service-Aktionsfunktion und zum Durchführen eines Amazon EC2-Neustarts.

Aktualisieren von Berechtigungen

  1. Öffnen Sie die AWS Identity and Access Management (IAM)-Konsole unter https://console.aws.amazon.com/iam/.

  2. Suchen Sie im Menü Benutzergruppen.

  3. Wählen Sie die Gruppen aus, die Endbenutzer für den Zugriff auf -AWS Service CatalogRessourcen verwenden werden. In diesem Beispiel wählen wir die Endbenutzergruppe. Wählen Sie in Ihrer eigenen Implementierung die Gruppe aus, die von den relevanten Endbenutzern verwendet wird.

  4. Auf der Registerkarte Berechtigungen der Detailseite Ihrer Gruppe erstellen Sie entweder eine neue Richtlinie oder bearbeiten eine bereits bestehende. In diesem Beispiel fügen wir einer bereits bestehenden Richtlinie Berechtigungen hinzu, indem wir die benutzerdefinierte Richtlinie auswählen, die für AWS Service Catalog-Berechtigungen der Gruppe zum Bereitstellen und Beenden erstellt wurde.

  5. Auf der Seite Richtlinie wählen Sie Edit Policy (Richtlinie bearbeiten) aus, um notwendige Berechtigungen hinzuzufügen. Sie können entweder den visuellen Editor oder den JSON-Editor verwenden, um die Richtlinie zu bearbeiten. In diesem Beispiel verwenden wir den JSON-Editor, um die Berechtigungen hinzuzufügen. Bei diesem Tutorial fügen Sie folgende Berechtigungen der Richtlinie hinzu:

    
{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "Stmt1536341175150",
			"Action": [
				"servicecatalog:ListServiceActionsForProvisioningArtifact",
				"servicecatalog:ExecuteprovisionedProductServiceAction",
				"ssm:DescribeDocument",
				"ssm:GetAutomationExecution",
				"ssm:StartAutomationExecution",
				"ssm:StopAutomationExecution",
				"cloudformation:ListStackResources",
				"ec2:DescribeInstanceStatus",
				"ec2:StartInstances",
				"ec2:StopInstances"
			],
			"Effect": "Allow",
			"Resource": "*"
		}
	]
}

  6. Nachdem Sie die Richtlinie bearbeitet haben, überprüfen und genehmigen Sie die Änderung der Richtlinie. Benutzer in der Endbenutzergruppe verfügen jetzt über die erforderlichen Berechtigungen, um die Amazon EC2-Neustartaktion in durchzuführenAWS Service Catalog.

Schritt 2: Erstellen einer Service-Aktion

Als Nächstes erstellen Sie eine Serviceaktion zum Neustarten von Amazon EC2.

  1. Öffnen Sie die -AWS Service CatalogKonsole unter https://console.aws.amazon.com/sc/.

  2. Wählen Sie im Menü die Option Service Actions (Service-Aktionen) aus.

  3. Wählen Sie auf der Seite Serviceaktionen die Option Aktion erstellen aus.

  4. Wählen Sie auf der Seite Create Action (Aktion erstellen) ein AWS Systems Manager-Dokument zur Definition der Service-Aktion aus. Die Amazon EC2 Instance Restart-Aktion wird durch ein -AWS Systems ManagerDokument definiert. Daher behalten wir die Standardoption im Dropdown-Menü bei, Amazon-Dokumente .

  5. Suchen Sie nach der Aktion AWS-RestartEC2Instance und wählen Sie sie aus.

  6. Geben Sie für Ihr Team und Ihre Umgebung einen sinnvollen Namen und eine sinnvolle Beschreibung für die Aktion an. Für den Endbenutzer ist diese Beschreibung sichtbar. Wählen Sie also eine Beschreibung, die dem Benutzer hilft, die Auswirkung der Aktion zu verstehen.

  7. Wählen Sie unter Parameter- und Zielkonfiguration den SSM-Dokumentparameter aus, der das Ziel der Aktion sein soll (z. B. die Instance-ID ), und wählen Sie das Ziel des Parameters aus. Wählen Sie Add parameter (Parameter hinzufügen) aus, um weitere Parameter hinzuzufügen.

  8. Wählen Sie unter Permissions (Berechtigungen) eine Rolle aus. Wir verwenden in diesem Beispiel Standardberechtigungen. Andere Berechtigungskonfigurationen sind möglich und werden auf dieser Seite definiert.

  9. Nachdem Sie die Konfiguration überprüft haben, wählen Sie die Option Create action (Aktion erstellen).

  10. Auf der nächsten Seite wird eine eine Bestätigung angezeigt, sobald die Aktion erstellt wurde und einsatzbereit ist.

Schritt 3: Verknüpfen der Service-Aktion mit einer Produktversion

Nachdem Sie eine Aktion definiert haben, müssen Sie ein Produkt mit dieser Aktion verknüpfen.

  1. Wählen Sie auf der Seite Service-Aktionen die Option AWS-RestartEC2instance und dann Aktion zuordnen aus.

  2. Wählen Sie auf der Seite Associate action (Aktion zuordnen) das Produkt aus, auf dem Endbenutzer die Service-Aktion durchführen sollen. In diesem Beispiel wählen wir Linux Desktop (Linux-Desktop).

  3. Wählen Sie eine Produktversion aus. Hinweis: Verwenden Sie das oberste Kontrollkästchen, um alle Versionen auszuwählen.

  4. Wählen Sie Associate action (Aktion zuordnen) aus.

  5. Auf der nächsten Seite erscheint eine Bestätigungsmitteilung.

Sie haben nun eine Service Aktion in AWS Service Catalog erstellt. Der nächste Schritt dieses Tutorials ist die Verwendung der Service-Aktion als Endbenutzer.

Schritt 4: Testen der Endbenutzerumgebung

Endbenutzer können Service-Aktionen auf bereitgestellten Produkten ausführen. Zum Zweck dieses Tutorials muss der Endbenutzer über mindestens ein bereitgestelltes Produkt verfügen. Das bereitgestellte Produkt muss von der Produktversion gestartet werden, die Sie im vorherigen Schritt mit der Service-Aktion verknüpft haben.

Zugriff des Endbenutzers auf die Service-Aktion

  1. Melden Sie sich als Endbenutzer an der AWS Service Catalog-Konsole an.

  2. Wählen Sie auf dem AWS Service Catalog-Dashboard im Navigationsbereich Provisioned products list (Liste der bereitgestellten Produkte) aus. Die Liste zeigt die Produkte, die für das Konto des Endbenutzers bereitgestellt werden.

  3. Wählen Sie auf der Seite Provisioned products list (Liste der bereitgestellten Produkte) die bereitgestellte Instance aus.

  4. Wählen Sie auf der Seite Bereitgestellte Produktdetails oben rechts Aktionen und dann die Aktion AWS-RestartEC2instance aus.

  5. Bestätigen Sie, dass Sie die benutzerdefinierte Aktion ausführen möchten. Sie erhalten eine Bestätigung über das Senden der Aktion.

Schritt 5: Verwalten von Service-Aktionen mit AWS CloudFormation

Sie können Serviceaktionen und deren Zuordnungen zu -AWS CloudFormationRessourcen erstellen. Weitere Informationen finden Sie in folgenden Themen im AWS CloudFormation-Benutzerhandbuch:

Anmerkung

Wenn Sie Service-Aktionszuordnungen mit -AWS CloudFormationRessourcen verwalten, fügen Sie Service-Aktionen nicht über die oder hinzu AWS Command Line Interface oder entfernen Sie sieAWS Management Console. Wenn Sie eine Stack-Aktualisierung durchführen, AWS CloudFormation werden alle Änderungen an den -Bereinigungsaktionen, die außerhalb von vorgenommen werden, ersetzt.

Schritt 6: Fehlerbehebung

Wenn die Ausführung Ihrer Service-Aktion fehlschlägt, finden Sie die Fehlermeldung im Abschnitt Outputs (Ausgaben) des Service-Aktionsereignisses auf der Seite Provisioned product (Bereitgestelltes Produkt) . Im Folgenden finden Sie Erläuterungen zu häufig auftretenden Fehlermeldungen.

Anmerkung

Der genaue Text der Fehlermeldung kann sich ändern, daher sollten Sie diese nicht in automatisierten Prozessen irgendwelcher Art verwenden.

Internal failure (Interner Fehler)

In AWS Service Catalog ist ein interner Fehler aufgetreten. Bitte versuchen Sie es später erneut. Wenn das Problem bestehen bleibt, wenden Sie sich an den Kundenservice.

Beim Aufrufen der - StartAutomationExecution Operation ist ein Fehler aufgetreten (ThrottlingException)

Die Ausführung der Service-Aktion wurde vom Backend-Service wie SSM gedrosselt.

Access denied while assuming the role (Zugriff beim Übernehmen der Rolle)

AWS Service Catalog konnte die in der Service-Aktionsdefinition angegebene Rolle nicht übernehmen. Stellen Sie sicher, dass der servicecatalog.amazonaws.com.rproxy.goskope.com-Prinzipal oder ein regionaler Prinzipal wie servicecatalog.us-east-1.amazonaws.com in der Vertrauensrichtlinie der Rolle auf die Zulassungsliste gesetzt ist.

Beim Aufrufen der - StartAutomationExecution Operation ist ein Fehler (AccessDeniedException) aufgetreten: Der Benutzer ist nicht berechtigt, Folgendes auszuführen: ssm:StartAutomationExecution auf der Ressource.

Die in der Serviceaktionsdefinition angegebene Rolle verfügt nicht über Berechtigungen zum Aufrufen von ssm:StartAutomationExecution. Stellen Sie sicher, dass die Rolle über die entsprechenden SSM-Berechtigungen verfügt.

Ressourcen mit dem Typ TargetType im bereitgestellten Produkt können nicht gefunden werden

Das bereitgestellte Produkt enthält keine Ressourcen, die dem im SSM-Dokument angegebenen Zieltyp entsprechen, z. B. AWS::EC2::Instance. Überprüfen Sie das bereitgestellte Produkt auf diese Ressourcen, bzw., ob das Dokument korrekt ist.

Document with that name does not exist (Ein Dokument mit diesem Namen ist nicht vorhanden)

Das in der Service-Aktionsdefinition angegebene Dokument ist nicht vorhanden.

Failed to describe SSM Automation document (Das SSM Automation-Dokument konnte nicht beschrieben werden)

AWS Service Catalog ist beim Versuch, das angegebene Dokument zu beschreiben, auf eine unbekannte Ausnahme von SSM gestoßen.

Failed to retrieve credentials for role (Anmeldeinformationen für die Rolle konnten nicht angerufen werden)

Bei AWS Service Catalog ist bei der Übernahme der angegebenen Rolle ein unbekannter Fehler aufgetreten.

Der Parameter hat den Wert "InvalidValue" wurde in {ValidValue1}, {ValidValue2} nicht gefunden

Der an SSM übergebene Parameterwert befindet sich nicht in der Liste der zulässigen Werte für das Dokument. Überprüfen Sie, ob die angegebenen Parameter gültig sind, und versuchen Sie es erneut.

Fehler beim Parametertyp. Der für angegebene Wert ParameterName ist keine gültige Zeichenfolge.

Der Wert des an SSM übergebenen Parameters ist für den Typ im Dokument nicht gültig.

Parameter is not defined in service action definition (Parameter ist in der Service-Aktionsdefinition nicht definiert)

Es wurde ein Parameter an AWS Service Catalog übergeben, der in der Service-Aktionsdefinition nicht definiert ist. Sie können nur Parameter verwenden, die in der Service-Aktionsdefinition definiert sind.

Der Schritt schlägt fehl, wenn er ausgeführt wird/die Aktion beendet. Fehlermeldung. Weitere Diagnosedetails finden Sie im Automation Service-Fehlerbehebungshandbuch.

Ein Schritt im SSM-Automatisierungsdokument ist fehlgeschlagen. Vgl. den Fehler in der Meldung zur weiteren Problembehandlung.

Die folgenden Werte für den Parameter sind nicht zulässig, da sie sich nicht im bereitgestellten Produkt befinden: InvalidResourceId

Der Benutzer hat die Aktion für eine Ressource angefordert, die sich nicht im bereitgestellten Produkt befindet.

TargetType nicht für SSM-Automatisierungsdokument definiert

Serviceaktionen erfordern, dass SSM-Automatisierungsdokumente über eine TargetType definierte verfügen. Überprüfen Sie Ihr SSM-Automatisierungsdokument.