Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Créée par le Dr Rahul Sharad Gaikwad (AWS) et Tamilselvan (AWS)
Environnement : PoC ou pilote | Technologies : infrastructure ; DevOps | Charge de travail : toutes les autres charges de travail |
Services AWS : AWS Service Catalog ; Amazon EC2 |
AWS Service Catalog prend en charge le provisionnement en libre-service avec gouvernance pour vos configurations HashiCorp Terraform. Si vous utilisez Terraform, vous pouvez utiliser Service Catalog comme outil unique pour organiser, gérer et distribuer vos configurations Terraform au sein d'AWS à grande échelle. Vous pouvez accéder aux principales fonctionnalités de Service Catalog, notamment le catalogage de modèles d'infrastructure en tant que code (iAc) standardisés et préapprouvés, le contrôle d'accès, le provisionnement des ressources cloud avec un accès minimal, le versionnement, le partage avec des milliers de comptes AWS et le balisage. Les utilisateurs finaux, tels que les ingénieurs, les administrateurs de bases de données et les scientifiques des données, consultent la liste des produits et des versions auxquels ils ont accès, et ils peuvent les déployer en une seule action.
Ce modèle vous permet de déployer des ressources AWS à l'aide du code Terraform. Le code Terraform du GitHub référentiel est accessible via Service Catalog. En utilisant cette approche, vous intégrez les produits à vos flux de travail Terraform existants. Les administrateurs peuvent créer des portefeuilles Service Catalog et y ajouter des produits AWS Launch Wizard à l'aide de Terraform.
Les avantages de cette solution sont les suivants :
Grâce à la fonctionnalité de restauration de Service Catalog, en cas de problème lors du déploiement, vous pouvez rétablir une version précédente du produit.
Vous pouvez facilement identifier les différences entre les versions du produit. Cela vous permet de résoudre les problèmes lors du déploiement.
Vous pouvez configurer une connexion au référentiel dans Service Catalog, par exemple à GitHub GitLab, ou AWS CodeCommit. Vous pouvez apporter des modifications au produit directement via le référentiel.
Pour plus d'informations sur les avantages généraux d'AWS Service Catalog, consultez What is Service Catalog.
Prérequis
Un compte AWS actif.
Un GitHub ou un autre référentiel contenant les fichiers de configuration Terraform au format ZIP. BitBucket
Interface de ligne de commande du modèle d'application sans serveur AWS (CLI AWS SAM), installée.
Interface de ligne de commande AWS (AWS CLI), installée et configurée.
Allez-y, installé.
Python version 3.9, installé. La CLI AWS SAM nécessite cette version de Python.
Autorisations pour écrire et exécuter des fonctions AWS Lambda et autorisations pour accéder aux produits et aux portefeuilles Service Catalog et les gérer.
Pile technologique cible
AWS Service Catalog
AWS Lambda
Architecture cible
Le schéma suivant illustre le flux de travail suivant :
Lorsqu'une configuration Terraform est prête, un développeur crée un fichier .zip contenant tout le code Terraform. Le développeur télécharge le fichier .zip dans le référentiel de code connecté à Service Catalog.
Un administrateur associe le produit Terraform à un portefeuille dans Service Catalog. L'administrateur crée également une contrainte de lancement qui permet aux utilisateurs finaux de fournir le produit.
Dans Service Catalog, les utilisateurs finaux lancent les ressources AWS à l'aide de la configuration Terraform. Ils peuvent choisir la version du produit à déployer.
Services et outils AWS
AWS Lambda est un service de calcul qui vous permet d'exécuter du code sans avoir à provisionner ou à gérer des serveurs. Il exécute votre code uniquement lorsque cela est nécessaire et évolue automatiquement, de sorte que vous ne payez que pour le temps de calcul que vous utilisez.
AWS Service Catalog vous permet de gérer de manière centralisée les catalogues de services informatiques approuvés pour AWS. Les utilisateurs finaux peuvent déployer rapidement uniquement les services informatiques approuvés dont ils ont besoin, en respectant les contraintes définies par votre organisation.
Autres services
Référentiel de code
Si vous avez besoin d'exemples de configurations Terraform que vous pouvez déployer via Service Catalog, vous pouvez utiliser les configurations du référentiel Amazon GitHub Macie Organization Setup Using Terraform. L'utilisation des exemples de code de ce référentiel n'est pas obligatoire.
Au lieu de fournir les valeurs des variables dans le fichier de configuration Terraform (terraform.tfvars), configurez les valeurs des variables lors du lancement du produit via Service Catalog.
N'accordez l'accès au portefeuille qu'à des utilisateurs ou administrateurs spécifiques.
Respectez le principe du moindre privilège et accordez les autorisations minimales requises pour effectuer une tâche. Pour plus d'informations, consultez les sections Accorder le moindre privilège et Bonnes pratiques en matière de sécurité dans la documentation IAM.
| Tâche | Description | Compétences requises |
|---|
(Facultatif) Installez Docker. | Si vous souhaitez exécuter les fonctions AWS Lambda dans votre environnement de développement, installez Docker. Pour connaître la marche à suivre, consultez la rubrique Installer Docker Engine de la documentation Docker. | DevOps ingénieur |
Installez le moteur AWS Service Catalog pour Terraform. | Entrez la commande suivante pour cloner le moteur de catalogue AWS Service Catalog pour le référentiel Terraform. git clone https://github.com/aws-samples/service-catalog-engine-for-terraform-os.git
Accédez au répertoire racine du référentiel cloné. Entrez la commande suivante. Cela permet d'installer le moteur. run ./bin/bash/deploy-tre.sh -r
La région AWS définie dans votre profil par défaut n'est pas utilisée lors de l'installation automatique. Au lieu de cela, vous indiquez la région lorsque vous exécutez cette commande.
| DevOps ingénieur, administrateur AWS |
| Tâche | Description | Compétences requises |
|---|
Créez une connexion au GitHub référentiel. | Connectez-vous à l'AWS Management Console, puis ouvrez la console Developer Tools. Vous pouvez accéder à la console Developer Tools en choisissant un service tel qu'AWS CodePipeline CodeCommit, AWS ou AWS CodeDeploy. Dans le volet de navigation de gauche, choisissez Paramètres, puis Connections. Choisissez Créer une connexion. Sélectionnez le référentiel dans lequel vous conservez le code source de Terraform. Par exemple, vous pouvez choisir Bitbucket ou GitHub Enterprise Server. GitHub Entrez le nom de la connexion, puis choisissez Connect. Lorsque vous y êtes invité, authentifiez le référentiel. Une fois l'authentification terminée, la connexion est créée et le statut devient actif.
| Administrateur AWS |
| Tâche | Description | Compétences requises |
|---|
Créez le produit Service Catalog. | Ouvrez la console AWS Service Catalog. Accédez à la section Administration, puis sélectionnez Liste des produits. Choisissez Créer un produit. Sur la page Créer un produit dans la section Détails du produit, choisissez le type de produit externe. Service Catalog utilise ce type de produit pour prendre en charge les produits Terraform Community Edition. Entrez le nom et le propriétaire du produit Service Catalog. Sélectionnez Spécifiez votre référentiel de code à l'aide d'un CodeStar fournisseur. Entrez les informations suivantes pour votre référentiel : Connectez-vous à votre fournisseur en utilisant AWS CodeConnections — Sélectionnez la connexion que vous avez créée précédemment. Référentiel — Sélectionnez le référentiel. Branche : sélectionnez la branche. Chemin du fichier modèle : choisissez le chemin dans lequel le fichier modèle de code est stocké. Le nom du fichier doit se terminer partar.gz.
Sous Nom et description de la version, fournissez des informations sur la version du produit. Choisissez Créer un produit.
| Administrateur AWS |
Créez un portefeuille. | Ouvrez la console AWS Service Catalog. Accédez à la section Administration, puis choisissez Portfolios. Choisissez Créer un portfolio Entrez les valeurs suivantes : Nom du portefeuille — Sample terraform Description du portefeuille — Sample portfolio for Terraform configurations Propriétaire — Vos coordonnées, telles que votre adresse e-mail
Choisissez Créer.
| Administrateur AWS |
Ajoutez le produit Terraform au portefeuille. | Ouvrez la console AWS Service Catalog. Accédez à la section Administration, puis sélectionnez Liste des produits. Sélectionnez le produit Terraform que vous avez créé précédemment. Choisissez Actions, puis sélectionnez Ajouter un produit au portefeuille. Choisissez le Sample terraform portefeuille. Choisissez Ajouter un produit au portefeuille.
| Administrateur AWS |
Créez la stratégie d'accès. | Ouvrez la console AWS Identity and Access Management (IAM). Dans le panneau de navigation, sélectionnez Policies (Politiques). Dans le panneau de contenu, sélectionnez Créer une politique. Choisissez l'option JSON. Entrez l'exemple de politique JSON dans Politique d'accès dans la section Informations supplémentaires de ce modèle. Choisissez Suivant. Sur la page Réviser et créer, dans le champ Nom de la politique, entrezTerraformResourceCreationAndArtifactAccessPolicy. Choisissez Créer une politique.
| Administrateur AWS |
Créez une politique de confiance personnalisée. | Ouvrez la console AWS Identity and Access Management (IAM). Dans le panneau de navigation, choisissez Roles (Rôles). Sélectionnez Create role (Créer un rôle). Sous Type d'entité fiable, choisissez Politique de confiance personnalisée. Dans l'éditeur de stratégie JSON, entrez l'exemple de politique JSON dans Politique de confiance dans la section Informations supplémentaires de ce modèle. Choisissez Suivant. Sous Politiques d'autorisations, choisissez celles TerraformResourceCreationAndArtifactAccessPolicy que vous avez créées précédemment. Choisissez Suivant. Sous Détails du rôle, dans la zone Nom du rôle, entrezSCLaunch-product. Important : le nom du rôle doit commencer parSCLaunch. Sélectionnez Créer un rôle.
| Administrateur AWS |
Ajoutez une contrainte de lancement au produit Service Catalog. | Connectez-vous à l'AWS Management Console en tant qu'utilisateur disposant d'autorisations administratives. Ouvrez la console AWS Service Catalog. Dans le volet de navigation, sélectionnez Portfolios. Choisissez le portfolio que vous avez créé précédemment. Sur la page des détails du portefeuille, choisissez l'onglet Contraintes, puis sélectionnez Créer une contrainte. Pour Produit, sélectionnez le produit Terraform que vous avez créé précédemment. Sous Contrainte de lancement, pour Méthode, choisissez Enter role name. Dans le champ Nom du rôle, entrezSCLaunch-product. Choisissez CREATE.
| Administrateur AWS |
Accordez l'accès au produit. | Ouvrez la console AWS Service Catalog. Dans le volet de navigation, sélectionnez Portfolios. Choisissez le portfolio que vous avez créé précédemment. Choisissez l'onglet Accès, puis choisissez Accorder l'accès. Choisissez l'onglet Rôles, puis sélectionnez le rôle qui doit avoir accès pour déployer ce produit. Choisissez Grant access (Accorder l'accès).
| Administrateur AWS |
Lancez le produit. | Connectez-vous à l'AWS Management Console en tant qu'utilisateur autorisé à déployer le produit Service Catalog. Ouvrez la console AWS Service Catalog. Dans le volet de navigation, sélectionnez Products. Choisissez le produit que vous avez créé précédemment, puis choisissez Launch product. Entrez le nom du produit et définissez les paramètres requis. Choisissez Launch product.
| DevOps ingénieur |
| Tâche | Description | Compétences requises |
|---|
Validez le déploiement. | Il existe deux machines d'état AWS Step Functions pour le flux de travail de mise en service du Service Catalog : ManageProvisionedProductStateMachine—Service Catalog invoque cette machine d'état lors du provisionnement d'un nouveau produit Terraform et lors de la mise à jour d'un produit fourni par Terraform existant.
TerminateProvisionedProductStateMachine—Service Catalog invoque cette machine d'état lors de la résiliation d'un produit approvisionné par Terraform existant.
Vous consultez les journaux de la machine ManageProvisionedProductStateMachine d'état pour confirmer que le produit a été approvisionné. Connectez-vous à l'AWS Management Console, puis ouvrez la console AWS Step Functions. Dans le volet de navigation de gauche, sélectionnez State machines. ChoisissezManageProvisionedProductStateMachine. Dans la liste des exécutions, entrez l'ID de produit fourni pour localiser l'exécution. Remarque : Les noms des compartiments principaux du fichier d'état commencent sc-terraform-engine-state- par. Vérifiez que toutes les ressources requises ont été créées dans le compte.
| DevOps ingénieur |
| Tâche | Description | Compétences requises |
|---|
Supprimez les produits approvisionnés. | Connectez-vous à l'AWS Management Console en tant qu'utilisateur autorisé à déployer le produit Service Catalog. Ouvrez la console AWS Service Catalog. Dans le menu de navigation de gauche, choisissez Provisioned products. Sélectionnez le produit que vous avez créé. Dans la liste Actions, choisissez Terminate. Dans la zone de texte de confirmation, entrezterminate, puis choisissez Terminer le produit approvisionné. Répétez ces étapes pour mettre fin à tous les produits approvisionnés.
| DevOps ingénieur |
Supprimez le moteur AWS Service Catalog pour Terraform. | Connectez-vous à l'AWS Management Console en tant qu'utilisateur disposant d'autorisations administratives. Ouvrez la console Amazon S3. Dans le volet de navigation, choisissez Compartiments. Sélectionnez le sc-terraform-engine-logging-XXXX compartiment. Choisissez Vide. Répétez les étapes 4 à 5 pour les compartiments suivants : Ouvrez la CloudFormation console AWS, puis vérifiez que vous vous trouvez dans la bonne région AWS. Dans le menu de navigation de gauche, choisissez Stacks. SélectionnezSAM-TRE, puis choisissez Supprimer. Patientez jusqu'à ce que la pile soit supprimée. SélectionnezBootstrap-TRE, puis choisissez Supprimer. Patientez jusqu'à ce que la pile soit supprimée.
| Administrateur AWS |
Documentation AWS
Documentation Terraform
Politique d'accès
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "*",
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
},
{
"Action": [
"s3:CreateBucket*",
"s3:DeleteBucket*",
"s3:Get*",
"s3:List*",
"s3:PutBucketTagging"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Action": [
"resource-groups:CreateGroup",
"resource-groups:ListGroupResources",
"resource-groups:DeleteGroup",
"resource-groups:Tag"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"tag:GetResources",
"tag:GetTagKeys",
"tag:GetTagValues",
"tag:TagResources",
"tag:UntagResources"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
Politique d’approbation
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "GivePermissionsToServiceCatalog",
"Effect": "Allow",
"Principal": {
"Service": "servicecatalog.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account_id:root"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringLike": {
"aws:PrincipalArn": [
"arn:aws:iam::accounti_id:role/TerraformEngine/TerraformExecutionRole*",
"arn:aws:iam::accounti_id:role/TerraformEngine/ServiceCatalogExternalParameterParserRole*",
"arn:aws:iam::accounti_id:role/TerraformEngine/ServiceCatalogTerraformOSParameterParserRole*"
]
}
}
}
]
}
