Riepilogo Prerequisiti e limitazioni Architettura Strumenti Best practice Epiche Risorse correlate Informazioni aggiuntive

Effettua il provisioning di un prodotto Terraform in AWS Service Catalog utilizzando un repository di codice

Creato dal dott. Rahul Sharad Gaikwad (AWS) e Tamilselvan P (AWS)

Ambiente: PoC o pilota	Tecnologie: infrastruttura; DevOps	Carico di lavoro: tutti gli altri carichi di lavoro
Servizi AWS: AWS Service Catalog; Amazon EC2

Riepilogo

AWS Service Catalog supporta il provisioning self-service con governance per le configurazioni HashiCorp Terraform. Se usi Terraform, puoi usare Service Catalog come strumento unico per organizzare, governare e distribuire le tue configurazioni Terraform all'interno di AWS su larga scala. Puoi accedere alle funzionalità principali di Service Catalog, tra cui la catalogazione di modelli di infrastruttura come codice (IaC) standardizzati e preapprovati, il controllo degli accessi, il provisioning delle risorse cloud con accesso con privilegi minimi, il controllo delle versioni, la condivisione con migliaia di account AWS e il tagging. Gli utenti finali, come ingegneri, amministratori di database e data scientist, visualizzano un elenco di prodotti e versioni a cui hanno accesso e possono implementarli con una singola azione.

Questo modello ti aiuta a distribuire risorse AWS utilizzando il codice Terraform. Il codice Terraform nel GitHub repository è accessibile tramite Service Catalog. Utilizzando questo approccio, integri i prodotti con i flussi di lavoro Terraform esistenti. Gli amministratori possono creare portafogli Service Catalog e aggiungere loro prodotti AWS Launch Wizard utilizzando Terraform.

I vantaggi di questa soluzione sono i seguenti:

Grazie alla funzionalità di rollback di Service Catalog, in caso di problemi durante la distribuzione, è possibile ripristinare il prodotto a una versione precedente.
È possibile identificare facilmente le differenze tra le versioni del prodotto. Ciò consente di risolvere i problemi durante la distribuzione.
Puoi configurare una connessione al repository in Service Catalogue, ad esempio to GitHub GitLab, o AWS CodeCommit. È possibile apportare modifiche al prodotto direttamente tramite il repository.

Per informazioni sui vantaggi complessivi di AWS Service Catalog, consulta What is Service Catalog.

Prerequisiti e limitazioni

Prerequisiti

Un account AWS attivo.
A GitHub BitBucket, o altro repository che contiene i file di configurazione Terraform in formato ZIP.
Interfaccia a riga di comando AWS Serverless Application Model (AWS SAM CLI), installata.
AWS Command Line Interface (AWS CLI), installata e configurata.
Vai, installato.
Python versione 3.9, installata. AWS SAM CLI richiede questa versione di Python.
Autorizzazioni per scrivere ed eseguire funzioni AWS Lambda e autorizzazioni per accedere e gestire prodotti e portafogli Service Catalog.

Architettura

Stack tecnologico Target

AWS Service Catalog
AWS Lambda

Architettura di destinazione

Diagramma dell'architettura del provisioning di un prodotto Terraform in Service Catalog da un repository di codice

Il diagramma mostra il flusso di lavoro seguente:

Quando una configurazione Terraform è pronta, uno sviluppatore crea un file.zip che contiene tutto il codice terraform. Lo sviluppatore carica il file.zip nell'archivio di codice collegato a Service Catalog.
Un amministratore associa il prodotto Terraform a un portafoglio in Service Catalog. L'amministratore crea inoltre un vincolo di avvio che consente agli utenti finali di fornire il prodotto.
In Service Catalog, gli utenti finali avviano le risorse AWS utilizzando la configurazione Terraform. Possono scegliere quale versione del prodotto distribuire.

Strumenti

Servizi e strumenti AWS

AWS Lambda è un servizio di elaborazione che ti aiuta a eseguire codice senza dover fornire o gestire server. Esegue il codice solo quando necessario e si ridimensiona automaticamente, quindi paghi solo per il tempo di calcolo che utilizzi.
AWS Service Catalog ti aiuta a gestire centralmente i cataloghi di servizi IT approvati per AWS. Gli utenti finali possono distribuire rapidamente soltanto i servizi IT approvati di cui hanno bisogno, in accordo con i vincoli stabiliti dall'organizzazione.

Altri servizi

Go è un linguaggio di programmazione open source supportato da Google.
Python è un linguaggio di programmazione per computer generico.

Archivio di codice

Se hai bisogno di configurazioni Terraform di esempio da distribuire tramite Service Catalog, puoi utilizzare le configurazioni nell'Amazon Macie GitHub Organization Setup Using Terraform repository. L'uso degli esempi di codice in questo repository non è richiesto.

Best practice

Invece di fornire i valori per le variabili nel file di configurazione Terraform (terraform.tfvars), configura i valori delle variabili quando avvii il prodotto tramite Service Catalog.
Concedi l'accesso al portafoglio solo a utenti o amministratori specifici.
Segui il principio del privilegio minimo e concedi le autorizzazioni minime necessarie per eseguire un'attività. Per ulteriori informazioni, consulta le best practice relative alla concessione dei privilegi minimi e alla sicurezza nella documentazione IAM.

Epiche

Attività	Descrizione	Competenze richieste
(Facoltativo) Installa Docker.	Se desideri eseguire le funzioni AWS Lambda nel tuo ambiente di sviluppo, installa Docker. Per ulteriori informazioni, consulta la sezione Installazione del motore Docker nella documentazione di Docker.	DevOps ingegnere
Installa il motore AWS Service Catalog per Terraform.	Immetti il seguente comando per clonare il repository AWS Service Catalog Engine for Terraform. `git clone https://github.com/aws-samples/service-catalog-engine-for-terraform-os.git` Passa alla directory principale del repository clonato. Inserire il seguente comando. Questo installa il motore. `run ./bin/bash/deploy-tre.sh -r` La regione AWS impostata nel tuo profilo predefinito non viene utilizzata durante l'installazione automatizzata. Al contrario, fornisci la regione quando esegui questo comando.	DevOps ingegnere, amministratore AWS

Attività	Descrizione	Competenze richieste
Crea una connessione al GitHub repository.	Accedi alla Console di gestione AWS, quindi apri la console Developer Tools. Puoi accedere alla console Developer Tools scegliendo un servizio come AWS CodePipeline CodeCommit, AWS o AWS CodeDeploy. Nel riquadro di navigazione a sinistra, scegli Impostazioni, quindi scegli Connessioni. Scegli Crea connessione. Seleziona il repository in cui conservi il codice sorgente Terraform. Ad esempio, puoi scegliere Bitbucket o Enterprise Server GitHub. GitHub Inserisci un nome per la connessione, quindi scegli Connetti. Quando richiesto, autentica il repository. Una volta completata l'autenticazione, la connessione viene creata e lo stato diventa attivo.	Amministratore AWS

Attività	Descrizione	Competenze richieste
Crea il prodotto Service Catalog.	Apri la console AWS Service Catalog. Passa alla sezione Amministrazione, quindi seleziona Elenco prodotti. Scegli Crea prodotto. Nella pagina Crea prodotto nella sezione Dettagli del prodotto, scegli il Tipo di prodotto esterno. Service Catalog utilizza questo tipo di prodotto per supportare i prodotti Terraform Community Edition. Inserisci un nome e un proprietario per il prodotto Service Catalog. Seleziona Specificare il repository di codice utilizzando un CodeStar provider. Inserisci le seguenti informazioni per il tuo repository: Connettiti al tuo provider utilizzando AWS CodeConnections: seleziona la connessione che hai creato in precedenza. Repository: seleziona il repository. Ramo: seleziona il ramo. Percorso del file modello: scegli il percorso in cui è archiviato il file del modello di codice. Il nome del file deve terminare con`tar.gz`. In Nome e descrizione della versione, fornisci informazioni sulla versione del prodotto. Scegli Crea prodotto.	Amministratore AWS
Crea un portfolio.	Apri la console AWS Service Catalog. Vai alla sezione Amministrazione, quindi scegli Portfolios. Scegli Crea portfolio Immetti uno dei seguenti valori: Portfolio name (Nome portafoglio) - `Sample terraform` Descrizione del portafoglio — `Sample portfolio for Terraform configurations` Proprietario: le tue informazioni di contatto, come l'email Scegli Crea.	Amministratore AWS
Aggiungi il prodotto Terraform al portafoglio.	Apri la console AWS Service Catalog. Passa alla sezione Amministrazione, quindi seleziona Elenco prodotti. Seleziona il prodotto Terraform che hai creato in precedenza. Scegli Azioni, quindi scegli Aggiungi prodotto al portafoglio. Scegli il `Sample terraform` portfolio. Scegli Aggiungi prodotto al portafoglio.	Amministratore AWS
Creare la policy d'accesso.	Apri la console AWS Identity and Access Management (IAM). Nel pannello di navigazione, seleziona Policies (Policy). Nel riquadro del contenuto seleziona Create policy (Crea policy). Scegli l'opzione JSON. Inserisci la policy JSON di esempio nella policy di accesso nella sezione Informazioni aggiuntive di questo modello. Seleziona Successivo. Nella pagina Rivedi e crea, nella casella Nome della policy, inserisci`TerraformResourceCreationAndArtifactAccessPolicy`. Scegli Crea policy.	Amministratore AWS
Crea una politica di fiducia personalizzata.	Apri la console AWS Identity and Access Management (IAM). Nel pannello di navigazione, seleziona Roles (Ruoli). Selezionare Create role (Crea ruolo). In Tipo di entità affidabile, scegli Custom trust policy. Nell'editor di policy JSON, inserisci la policy JSON di esempio in Trust policy nella sezione Informazioni aggiuntive di questo modello. Seleziona Successivo. In Politiche di autorizzazione, scegli `TerraformResourceCreationAndArtifactAccessPolicy` quella che hai creato in precedenza. Seleziona Successivo. In Dettagli del ruolo, nella casella Nome ruolo, immettere`SCLaunch-product`. Importante: il nome del ruolo deve iniziare con`SCLaunch`. Scegli Crea ruolo.	Amministratore AWS
Aggiungi un vincolo di lancio al prodotto Service Catalog.	Accedi alla Console di gestione AWS come utente con autorizzazioni amministrative. Apri la console AWS Service Catalog. Nel pannello di navigazione, scegli Portfolios. Scegli il portfolio che hai creato in precedenza. Nella pagina dei dettagli del portfolio, scegli la scheda Vincoli, quindi scegli Crea vincolo. Per Prodotto, seleziona il prodotto Terraform che hai creato in precedenza. In Vincolo di avvio, per Metodo, scegli Inserisci il nome del ruolo. Nella casella Nome del ruolo, immettete. `SCLaunch-product` Seleziona CREATE.	Amministratore AWS
Concedi l'accesso al prodotto.	Apri la console AWS Service Catalog. Nel pannello di navigazione, scegli Portfolios. Scegli il portfolio che hai creato in precedenza. Scegli la scheda Accesso, quindi scegli Concedi l'accesso. Scegli la scheda Ruoli, quindi seleziona il ruolo a cui devi avere accesso per distribuire questo prodotto. Selezionare Concedi l'accesso.	Amministratore AWS
Avvia il prodotto.	Accedi alla Console di gestione AWS come utente con le autorizzazioni per distribuire il prodotto Service Catalog. Apri la console AWS Service Catalog. Nel pannello di navigazione, scegli Prodotti. Scegli il prodotto che hai creato in precedenza, quindi scegli Avvia prodotto. Inserisci il nome di un prodotto e definisci i parametri richiesti. Scegli Launch product.	DevOps ingegnere

Attività Descrizione Competenze richieste

Attività	Descrizione	Competenze richieste
Convalida la distribuzione.	Esistono due macchine a stati AWS Step Functions per il flusso di lavoro di provisioning del Service Catalog: `ManageProvisionedProductStateMachine`—Service Catalog richiama questa macchina a stati durante il provisioning di un nuovo prodotto Terraform e durante l'aggiornamento di un prodotto fornito Terraform esistente. `TerminateProvisionedProductStateMachine`—Service Catalog richiama questa macchina a stati quando termina un prodotto fornito da Terraform esistente. Si controllano i registri della macchina a stati per confermare che il `ManageProvisionedProductStateMachine` prodotto è stato fornito. Accedi alla Console di gestione AWS, quindi apri la console AWS Step Functions. Nel riquadro di navigazione a sinistra, scegli Macchine a stati. Scegli`ManageProvisionedProductStateMachine`. Nell'elenco Esecuzioni, inserite l'ID del prodotto assegnato per individuare l'esecuzione. Nota: i nomi dei bucket di backend dei file di stato iniziano con. `sc-terraform-engine-state-` Verifica che tutte le risorse richieste siano state create nell'account.	DevOps ingegnere

Convalida la distribuzione.

Esistono due macchine a stati AWS Step Functions per il flusso di lavoro di provisioning del Service Catalog:

ManageProvisionedProductStateMachine—Service Catalog richiama questa macchina a stati durante il provisioning di un nuovo prodotto Terraform e durante l'aggiornamento di un prodotto fornito Terraform esistente.
TerminateProvisionedProductStateMachine—Service Catalog richiama questa macchina a stati quando termina un prodotto fornito da Terraform esistente.

Si controllano i registri della macchina a stati per confermare che il ManageProvisionedProductStateMachine prodotto è stato fornito.

Accedi alla Console di gestione AWS, quindi apri la console AWS Step Functions.
Nel riquadro di navigazione a sinistra, scegli Macchine a stati.
ScegliManageProvisionedProductStateMachine.
Nell'elenco Esecuzioni, inserite l'ID del prodotto assegnato per individuare l'esecuzione.
Nota: i nomi dei bucket di backend dei file di stato iniziano con. sc-terraform-engine-state-
Verifica che tutte le risorse richieste siano state create nell'account.

DevOps ingegnere

Attività	Descrizione	Competenze richieste
Eliminare i prodotti forniti.	Accedi alla Console di gestione AWS come utente con le autorizzazioni per distribuire il prodotto Service Catalog. Apri la console AWS Service Catalog. Nella barra di navigazione a sinistra, scegli Provisioned products. Seleziona il prodotto che hai creato. Nell'elenco Azioni, scegli Termina. Nella casella di testo di conferma, inserisci`terminate`, quindi scegli Termina il prodotto fornito. Ripeti questi passaggi per terminare tutti i prodotti forniti.	DevOps ingegnere
Rimuovi AWS Service Catalog Engine per Terraform.	Accedi alla Console di gestione AWS come utente con autorizzazioni amministrative. Apri la console Amazon S3. Nel pannello di navigazione, scegli Bucket. Seleziona il `sc-terraform-engine-logging-XXXX` bucket. Scegli Vuoto. Ripeti i passaggi da 4 a 5 per i seguenti bucket: `sc-terraform-engine-state-XXXX` `terraform-engine-bootstrap-XXXX` Apri la CloudFormation console AWS e verifica di trovarti nella regione AWS corretta. Nella barra di navigazione a sinistra, scegli Stacks. Seleziona`SAM-TRE`, quindi scegli Elimina. Attendi che lo stack sia stato eliminato. Seleziona`Bootstrap-TRE`, quindi scegli Elimina. Attendi che lo stack sia stato eliminato.	Amministratore AWS

Risorse correlate

Documentazione AWS

Iniziare con un prodotto Terraform

Documentazione Terraform

Informazioni aggiuntive

Politica di accesso


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "s3:ExistingObjectTag/servicecatalog:provisioning": "true"
                }
            }
        },
        {
            "Action": [
                "s3:CreateBucket*",
                "s3:DeleteBucket*",
                "s3:Get*",
                "s3:List*",
                "s3:PutBucketTagging"
            ],
            "Resource": "arn:aws:s3:::*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "resource-groups:CreateGroup",
                "resource-groups:ListGroupResources",
                "resource-groups:DeleteGroup",
                "resource-groups:Tag"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "tag:GetResources",
                "tag:GetTagKeys",
                "tag:GetTagValues",
                "tag:TagResources",
                "tag:UntagResources"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Policy di trust


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GivePermissionsToServiceCatalog",
            "Effect": "Allow",
            "Principal": {
                "Service": "servicecatalog.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account_id:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringLike": {
                    "aws:PrincipalArn": [
                        "arn:aws:iam::accounti_id:role/TerraformEngine/TerraformExecutionRole*",
                        "arn:aws:iam::accounti_id:role/TerraformEngine/ServiceCatalogExternalParameterParserRole*",
                        "arn:aws:iam::accounti_id:role/TerraformEngine/ServiceCatalogTerraformOSParameterParserRole*"
                    ]
                }
            }
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Conserva lo spazio IP instradabile nei progetti VPC multi-account per sottoreti non destinate ai carichi di lavoro

Registra più account AWS con un unico indirizzo e-mail