Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contraintes de lancement AWS Service Catalog
Une contrainte de lancement spécifie le rôle AWS Identity and Access Management (IAM) AWS Service Catalog assumé lorsqu'un utilisateur final lance, met à jour ou met fin à un produit. Un rôle IAM est un ensemble d'autorisations qu'un utilisateur ou un AWS service peut assumer temporairement pour utiliser les AWS services. Pour un exemple d'introduction, voir :
-
AWS CloudFormationtype de produit : Étape 6 : ajouter une contrainte de lancement pour attribuer un rôle IAM
-
Type de produit Terraform Open Source ou Terraform Cloud : Étape 5 : créer des rôles de lancement
Les contraintes de lancement s'appliquent aux produits du portefeuille (association produit-portefeuille). Les contraintes de lancement ne s'appliquent pas au niveau du portefeuille ou à un produit de tous les portefeuilles. Pour associer une contrainte de lancement à tous les produits d'un portefeuille, vous devez appliquer la contrainte de lancement à chaque produit, de manière individuelle.
Sans contrainte de lancement, les utilisateurs finaux doivent lancer et gérer les produits à l'aide de leurs propres informations d'identification IAM. Pour ce faire, ils doivent disposer d'autorisations pour AWS CloudFormation les AWS services utilisés par les produits, etAWS Service Catalog. En utilisant un rôle de lancement, vous pouvez plutôt limiter les autorisations des utilisateurs finaux au minimum dont ils ont besoin pour ce produit. Pour plus d'informations sur les autorisations des utilisateurs finaux, consultez Identity and Access Management dans AWS Service Catalog.
Pour créer et attribuer des rôles IAM, vous devez disposer des autorisations administratives IAM suivantes :
iam:CreateRole
iam:PutRolePolicy
iam:PassRole
iam:Get*
iam:List*
Configuration d'un rôle de lancement
Le rôle IAM que vous attribuez à un produit en tant que contrainte de lancement doit être autorisé à utiliser les éléments suivants :
Pour les produits Cloudformation
-
La politique
arn:aws:iam::aws:policy/AWSCloudFormationFullAccess
AWS CloudFormation gérée -
Services dans le AWS CloudFormation modèle du produit
-
Accès en lecture au AWS CloudFormation modèle dans un compartiment Amazon S3 appartenant au service.
Pour les produits Terraform
-
Services du modèle Amazon S3 pour le produit
-
Accès en lecture au modèle Amazon S3 dans un compartiment Amazon S3 appartenant au service.
-
resource-groups:Tag
pour le balisage dans une instance Amazon EC2 (pris en charge par le moteur de provisionnement Terraform lors des opérations de provisionnement) -
resource-groups:CreateGroup
pour le balisage des groupes de ressources (supposé par AWS Service Catalog créer des groupes de ressources et attribuer des balises)
La politique de confiance du rôle IAM doit permettre AWS Service Catalog d'assumer le rôle. Dans la procédure ci-dessous, la politique de confiance sera définie automatiquement lorsque vous sélectionnez AWS Service Catalog le type de rôle. Si vous n'utilisez pas la console, consultez la section Création de politiques de confiance pour les AWS services qui assument des rôles dans Comment utiliser les politiques de confiance avec les rôles IAM
Note
Les autorisations servicecatalog:ProvisionProduct
, servicecatalog:TerminateProvisionedProduct
et servicecatalog:UpdateProvisionedProduct
ne peuvent pas être attribuées à un rôle de lancement. Vous devez utiliser des rôles IAM, comme indiqué dans les étapes de politique intégrées dans la section Accorder des autorisations aux utilisateurs AWS Service Catalog finaux.
Note
Pour consulter les produits et ressources Cloudformation fournis dans la AWS Service Catalog console, les utilisateurs finaux ont besoin d'un accès en AWS CloudFormation lecture. L'affichage des produits et ressources provisionnés dans la console n'utilise pas le rôle de lancement.
Pour créer un rôle de lancement
-
Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/
. Les produits Terraform nécessitent des configurations de rôles de lancement supplémentaires. Pour plus d'informations, consultez Étape 5 : Création de rôles de lancement dans Getting Started with a Terraform Open Source product.
-
Sélectionnez Roles (Rôles).
-
Choisissez Create New Role (Créer un nouveau rôle).
-
Entrez un nom de rôle, puis choisissez Next Step.
-
Sous Rôles de AWS service à côté de AWS Service Catalog, choisissez Sélectionner.
-
Sur la page Attach Policy, choisissez Next Step.
-
Pour créer le rôle, choisissez Create Role.
Pour attacher une stratégie au nouveau rôle
-
Choisissez le rôle que vous avez créé pour afficher la page des détails du rôle.
-
Choisissez l'onglet Permissions et développez la section Inline Policies. Puis, choisissez click here.
-
Choisissez Custom Policy, puis Select.
-
Entrez un nom pour la stratégie et collez ce qui suit dans l'éditeur Policy Document :
"Statement":[ { "Effect":"Allow", "Action":[ "s3:GetObject" ], "Resource":"*", "Condition":{ "StringEquals":{ "s3:ExistingObjectTag/servicecatalog:provisioning":"true" } } ] }
Note
Lorsque vous configurez un rôle de lancement pour une contrainte de lancement, vous devez utiliser cette chaîne :
"s3:ExistingObjectTag/servicecatalog:provisioning":"true"
. -
Ajoutez une ligne à la politique pour chaque service supplémentaire utilisé par le produit. Par exemple, pour ajouter une autorisation pour Amazon Relational Database Service (Amazon RDS), entrez une virgule à la fin de la dernière ligne de
Action
la liste, puis ajoutez la ligne suivante :"rds:*"
-
Choisissez Apply Policy (Appliquer la stratégie).
Application d'une contrainte de lancement
Après avoir configuré le rôle de lancement, attribuez-le au produit en tant que contrainte de lancement. Cette action indique AWS Service Catalog d'assumer le rôle lorsqu'un utilisateur final lance le produit.
Pour attribuer le rôle à un produit
-
Ouvrez la console Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/
. -
Choisissez le portefeuille qui contient le produit.
-
Cliquez sur l'onglet Constraints (Contraintes) puis sur Create constraint (Créer une contrainte).
-
Choisissez le produit dans Product (Produit), puis Launch (Lancement) sous Constraint type (Type de contrainte). Choisissez Continuer.
-
Dans la section Contrainte de lancement, vous pouvez sélectionner un rôle IAM dans votre compte et saisir un ARN de rôle IAM, ou saisir le nom du rôle.
Si vous spécifiez le nom du rôle et si un compte utilise la contrainte de lancement, le compte utilise ce nom pour le rôle IAM. Cette approche permet aux contraintes relatives aux rôles de lancement d'être indépendantes du compte, ce qui vous permet de créer moins de ressources par compte partagé.
Note
Le nom de rôle indiqué doit exister dans le compte qui a créé la contrainte de lancement et dans le compte de l'utilisateur qui lance un produit avec cette contrainte de lancement.
-
Après avoir spécifié le rôle IAM, choisissez Create (Créer).
Ajouter un adjoint confus à la contrainte de lancement
AWS Service Catalogprend en charge la protection Confused Deputy pour les API qui s'exécutent avec une demande Assume Role. Lorsque vous ajoutez une contrainte de lancement, vous pouvez restreindre l'accès au rôle de lancement en utilisant sourceArn
les conditions sourceAccount
et la politique de confiance du rôle de lancement. Cela garantit que le rôle de lancement est appelé par une source fiable.
Dans l'exemple suivant, l'AWS Service Catalogutilisateur final appartient au compte 111111111111. Lorsque l'AWS Service Catalogadministrateur crée un rôle LaunchConstraint
pour un produit, l'utilisateur final peut spécifier les conditions suivantes dans la politique de confiance du rôle de lancement afin de restreindre le rôle d'assumer le rôle au compte 111111111111.
"Condition":{ "ArnLike":{ "aws:SourceArn":"arn:aws:servicecatalog:us-east-1:111111111111:*" }, "StringEquals":{ "aws:SourceAccount":"111111111111" } }
Un utilisateur qui approvisionne un produit avec le LaunchConstraint
doit avoir le même AccountId
(1111111111). Dans le cas contraire, l'opération échoue avec une AccessDenied
erreur, empêchant ainsi toute utilisation abusive du rôle de lancement.
Les AWS Service Catalog API suivantes sont sécurisées pour la protection de Confused Deputy :
-
LaunchConstraint
-
ProvisionProduct
-
UpdateProvisionedProduct
-
TerminateProvisionedProduct
-
ExecuteProvisionedProductServiceAction
-
CreateProvisionedProductPlan
-
ExecuteProvisionedProductPlan
La sourceArn
protection pour AWS Service Catalog ne prend en charge que les ARN modèles, tels que « arn:<aws-partition>:servicecatalog:<region>:<accountId>:
». Elle ne prend pas en charge les ARN de ressources spécifiques.
Vérification de la contrainte de lancement
Pour vérifier qu'il AWS Service Catalog utilise le rôle pour lancer le produit et qu'il approvisionne correctement le produit, lancez le produit depuis la AWS Service Catalog console. Pour tester une contrainte avant sa publication pour des utilisateurs, créez un portefeuille test qui contient les mêmes produits et testez les contraintes avec ce portefeuille.
Pour lancer le produit
-
Dans le menu de la AWS Service Catalog console, choisissez Service Catalog, End user.
-
Choisissez le produit pour ouvrir la page de détails du produit. Dans le tableau des options de lancement, vérifiez que le nom de ressource Amazon (ARN) du rôle apparaît.
-
Choisissez Launch product.
-
Poursuivez les étapes de lancement en indiquant les informations requises.
-
Vérifiez que le produit démarre correctement.