Condivisione di un portafoglio - AWS Service Catalog
Una ccount-to-account condivisioneCondivisione con AWS OrganizationsCondivisione TagOptions durante la condivisione dei portafogliCondivisione dei nomi principali durante la condivisione dei portafogli

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condivisione di un portafoglio

Per consentire a un AWS Service Catalog amministratore di un altro AWS account di distribuire i tuoi prodotti agli utenti finali, condividi il tuo AWS Service Catalog portafoglio con loro utilizzando account-to-account la condivisione oAWS Organizations.

Quando condividi un portafoglio utilizzando account-to-account sharing o Organizations, condividi un riferimento di quel portafoglio. I prodotti e i vincoli nel portafoglio importato rimangano sincronizzati con le modifiche che apporti al portafoglio condiviso, ovvero il portafoglio originale che hai condiviso.

Il destinatario non può modificare i prodotti o i vincoli, ma può aggiungere AWS Identity and Access Management l'accesso per gli utenti finali.

Nota

Non è possibile condividere una risorsa condivisa. Sono inclusi i portafogli che contengono un prodotto condiviso.

Una ccount-to-account condivisione

Per completare questi passaggi, è necessario ottenere l'ID account dell'AWSaccount di destinazione. Puoi trovare l'ID nella pagina Il mio account all'interno AWS Management Console dell'account di destinazione.

Per condividere un portafoglio con un AWS account

  1. Aprire la console Service Catalog all'indirizzo https://console.aws.amazon.com/servicecatalog/.

  2. Nel menu di navigazione a sinistra, scegli Portfolio, quindi seleziona il portfolio che desideri condividere. Nel menu Azioni, seleziona Condividi.

  3. In Inserisci l'ID dell'account, inserisci l'ID dell'AWSaccount con cui stai condividendo. (Facoltativo) Seleziona TagOption Condivisione. Quindi, scegli Condividi.

  4. Invia l'URL all'amministratore AWS Service Catalog dell'account di destinazione. L'URL apre la pagina Importa portafoglio con l'ARN del portafoglio condiviso fornito automaticamente.

Importazione di un portafoglio

Se un AWS Service Catalog amministratore di un altro AWS account condivide un portafoglio con te, importa quel portafoglio nel tuo account in modo da poterne distribuire i prodotti agli utenti finali.

Non è necessario importare un portafoglio se il portafoglio è stato condiviso tramiteAWS Organizations.

Per importare il portfolio, è necessario ottenere l'ID del portafoglio dall'amministratore.

Per visualizzare tutti i portafogli importati, apri la AWS Service Catalog console all'indirizzo https://console.aws.amazon.com/servicecatalog/. Nella pagina Portfolio, seleziona la scheda Importati. Esaminate la tabella Portafogli importati.

Condivisione con AWS Organizations

Puoi condividere portafogli AWS Service Catalog utilizzando AWS Organizations.

Innanzitutto, devi decidere se condividere dall'account di gestione o da un account amministratore delegato. Se non desideri condividere dal tuo account di gestione, registra un account amministratore delegato da utilizzare per la condivisione. Per ulteriori informazioni, consulta Registrazione di un amministratore delegato nella Guida per sviluppatori di AWS CloudFormation.

Successivamente, devi decidere con chi condividere. Puoi condividere con le seguenti entità:

  • Un account dell'organizzazione.

  • Un’unità organizzativa (OU).

  • L'organizzazione stessa. (Condivisione con tutti gli account dell'organizzazione).

Condivisione da un account di gestione

È possibile condividere un portfolio con un'organizzazione quando si utilizza la struttura organizzativa o si immette l'ID di un nodo organizzativo.

Per condividere un portfolio con un'organizzazione utilizzando la struttura organizzativa

  1. Apri la console AWS Service Catalog all'indirizzo https://console.aws.amazon.com/servicecatalog/.

  2. Nella pagina Portafogli, seleziona il portfolio che desideri condividere. Nel menu Azioni, seleziona Condividi.

  3. Seleziona AWS Organizationse filtra in base alla tua struttura organizzativa.

    È possibile selezionare il nodo Root per condividere il portfolio con l'intera organizzazione, un'unità organizzativa (OU) principale, un'unità organizzativa secondaria o un AWS account all'interno dell'organizzazione.

    La condivisione con un'unità organizzativa principale consente di condividere il portafoglio con tutti gli account e le unità organizzative secondarie all'interno di tale unità organizzativa principale.

    È possibile selezionare Visualizza solo AWS gli account per visualizzare un elenco di tutti gli AWS account dell'organizzazione.

Per condividere un portafoglio con un'organizzazione inserendo l'ID del nodo organizzativo

  1. Apri la console AWS Service Catalog all'indirizzo https://console.aws.amazon.com/servicecatalog/.

  2. Nella pagina Portafogli, seleziona il portfolio che desideri condividere. Nel menu Azioni, seleziona Condividi.

  3. Seleziona Nodo dell'organizzazione.

    Seleziona se desideri condividere con l'intera organizzazione, un AWS account all'interno dell'organizzazione o un'unità organizzativa.

    Inserisci l'ID del nodo organizzativo selezionato, che puoi trovare nella AWS Organizations console all'indirizzo https://console.aws.amazon.com/organizations/.

Condivisione da un account di amministratore delegato

L'account di gestione di un'organizzazione può registrare e annullare la registrazione di altri account come amministratori delegati dell'organizzazione.

Un amministratore delegato può condividere AWS Service Catalog le risorse della propria organizzazione allo stesso modo di un account di gestione. Sono autorizzati a creare, eliminare e condividere portafogli.

Per registrare o annullare la registrazione di un amministratore delegato, è necessario utilizzare l'API o la CLI dell'account di gestione. Per ulteriori informazioni, consulta le pagine RegisterDelegatedAdministrator e DeregisterDelegatedAdministrator nella Documentazione di riferimento dell'API AWS Organizations.

Nota

Prima di poter designare un delegato, l'amministratore deve chiamare. EnableAWSOrganizationsAccess

La procedura per condividere un portfolio da un account amministratore delegato è la stessa della condivisione da un account di gestione, come illustrato sopra in. Condivisione da un account di gestione

Se un membro viene annullato dalla registrazione come amministratore delegato, si verifica quanto segue:

  • Le operazioni di portafoglio create da tale account vengono rimosse.

  • Gli account non possono più creare nuove quote di portafoglio.

Nota

Se il portafoglio e le azioni creati da un amministratore delegato non vengono rimossi dopo la cancellazione della registrazione dell'amministratore delegato, registra e annulla nuovamente la registrazione dell'amministratore delegato. Questa azione rimuove il portafoglio e le azioni creati da quell'account.

Spostamento degli account all'interno dell'organizzazione

Se trasferisci un account all'interno della tua organizzazione, i AWS Service Catalog portafogli condivisi con l'account potrebbero cambiare.

Gli account hanno accesso solo ai portafogli condivisi con l'organizzazione o l'unità organizzativa di destinazione.

Condivisione TagOptions durante la condivisione dei portafogli

In qualità di amministratore, puoi creare una condivisione da includere TagOptions. TagOptions sono coppie chiave-valore che consentono agli amministratori di:

  • Definire e applicare la tassonomia per i tag.

  • Definite le opzioni relative ai tag e associatele a prodotti e portafogli.

  • Condividi le opzioni di tag associate a portafogli e prodotti con altri account.

Quando aggiungi o rimuovi opzioni di tag nell'account principale, la modifica appare automaticamente negli account dei destinatari. Negli account dei destinatari, quando un utente finale fornisce un prodotto TagOptions, deve scegliere i valori per i tag che diventano tag sul prodotto fornito.

Negli account dei destinatari, gli amministratori possono associare altre informazioni locali TagOptions al portafoglio importato per applicare regole di etichettatura specifiche per quell'account.

Nota

Per condividere un portafoglio, è necessario l'ID dell'account del AWS consumatore. Trova l'ID AWS dell'account in Il mio account nella console.

Nota

Se a TagOption ha un solo valore, AWS lo applica automaticamente durante il processo di provisioning.

Da condividere TagOptions quando si condividono i portafogli

  1. Nel menu di navigazione a sinistra, scegli Portafogli.

  2. In Portafogli locali, scegli e apri un portfolio.

  3. Scegli Condividi dall'elenco qui sopra, quindi scegli il pulsante Condividi.

  4. Scegli di condividere con un altro AWS account o organizzazione.

  5. Inserisci il numero ID dell'account a 12 cifre, seleziona Abilita, quindi scegli Condividi.

    L'account che hai condiviso viene visualizzato nella sezione Account condivisi con. Indica se TagOptions sono stati abilitati.

Puoi anche aggiornare una quota di portafoglio da includere TagOptions. Tutto TagOptions ciò che appartiene al portafoglio e al prodotto viene ora condiviso su questo account.

Per aggiornare una condivisione di portafoglio da includere TagOptions

  1. Nel menu di navigazione a sinistra, scegli Portafogli.

  2. In Local portfolio, scegli e apri un portfolio.

  3. Scegli Condividi dalla lista qui sopra.

  4. In Account condivisi con, scegli un ID account, quindi scegli Azioni.

  5. Seleziona Aggiorna unshare o Annulla share.

    Quando selezioni Aggiorna non condividere, scegli Abilita per avviare la condivisione. TagOptions L'account che hai condiviso viene visualizzato nella sezione Account condivisi con.

    Quando selezioni Annulla condivisione, conferma che non desideri più condividere l'account.

Condivisione dei nomi principali durante la condivisione dei portafogli

In qualità di amministratore, puoi creare una condivisione di portafoglio che includa i nomi principali. I nomi principali sono nomi di gruppi, ruoli e utenti che gli amministratori possono specificare in un portfolio e quindi condividere con il portfolio. Quando condividi il portfolio, AWS Service Catalog verifica se tali nomi principali esistono già. Se esistono, associa AWS Service Catalog automaticamente gli IAM Principal corrispondenti al portafoglio condiviso per concedere l'accesso agli utenti.

Nota

Quando associ un principale a un portafoglio, può verificarsi una potenziale escalation di privilegi quando tale portafoglio viene condiviso successivamente con altri account. Per un utente in un account destinatario che non è un AWS Service Catalog amministratore, ma ha comunque la possibilità di creare Principal (Utenti/Ruoli), tale utente può creare un Principal IAM che corrisponda a un'associazione di nomi principali per il portafoglio. Anche se questo utente non conosce quali nomi principali sono associati tramite AWS Service Catalog, potrebbe indovinare l'utente. Se questo potenziale percorso di escalation è un problema, AWS Service Catalog consiglia di utilizzare PrincipalType come IAM. Con questa configurazione, PrincipalARN deve esistere già nell'account del destinatario prima dell’associazione.

Quando aggiungi o rimuovi i nomi principali nell'account principale, applica AWS Service Catalog automaticamente tali modifiche nell'account del destinatario. Gli utenti dell'account destinatario possono quindi eseguire attività in base al loro ruolo:

  • Gli utenti finali possono fornire, aggiornare e terminare il prodotto del portafoglio.

  • Gli amministratori possono associare ulteriori IAM Principal al portafoglio importato per concedere l'accesso agli utenti finali specifici di quell'account.

Nota

La condivisione dei nomi principali è disponibile solo per. AWS Organizations

Per condividere i nomi principali durante la condivisione dei portafogli

  1. Nel menu di navigazione a sinistra, scegli Portafogli.

  2. In Portafogli locali, scegli il portafoglio che desideri condividere.

  3. Nel menu Azioni, scegli Condividi.

  4. Seleziona un'organizzazione inAWS Organizations.

  5. Seleziona la radice dell'intera organizzazione, un'unità organizzativa (OU) o un membro dell'organizzazione.

  6. Nelle impostazioni di condivisione, abilita l'opzione di condivisione principale.

Puoi anche aggiornare una condivisione di portafoglio per includere la condivisione del nome principale. In questo modo tutti i nomi principali che appartengono a quel portafoglio vengono condivisi con l'account del destinatario.

Per aggiornare una condivisione di portafoglio per abilitare o disabilitare i nomi principali

  1. Nel menu di navigazione a sinistra, scegli Portafogli.

  2. In Local portfolio, scegli il portfolio che desideri aggiornare.

  3. Scegli la scheda Condividi.

  4. Seleziona la condivisione che desideri aggiornare, quindi scegli Condividi.

  5. Scegli Aggiorna condivisione, quindi scegli Abilita per avviare la condivisione principale. AWS Service Catalogquindi condivide i nomi principali negli account dei destinatari.

Disabilita la condivisione dei principali se desideri interrompere la condivisione dei nomi principali con gli account dei destinatari.

Utilizzo di caratteri jolly quando si condividono i nomi principali

AWS Service Catalogsupporta la concessione dell'accesso al portafoglio ai nomi dei principali IAM (utente, gruppo o ruolo) con caratteri jolly, come '*' o '?'. L'utilizzo di pattern wildcard consente di coprire più nomi principali IAM contemporaneamente. Il percorso ARN e il nome principale consentono un numero illimitato di caratteri jolly.

Esempi di un ARN con caratteri jolly accettabile:

  • arn:aws:iam:::role/ResourceName_*

  • arn:aws:iam:::role/*/ResourceName_?

Esempi di un ARN con caratteri jolly non accettabile:

  • arn:aws:iam:::*/ResourceName

Nel formato IAM Principal ARN (arn:partition:iam:::resource-type/resource-path/resource-name), i valori validi includono user/, group/ o role/. Il «?» e «*» sono consentiti solo dopo il tipo di risorsa nel segmento resource-id. Puoi usare caratteri speciali ovunque all'interno del resource-id.

Il carattere «*» corrisponde anche al carattere «/», permettendo la formazione di percorsi all'interno del resource-id. Per esempio:

arn:aws:iam:::role/*/ResourceName_?corrisponde a entrambi e. arn:aws:iam:::role/pathA/pathB/ResourceName_1 arn:aws:iam:::role/pathA/ResourceName_1