Compartilhar um portfólio - AWS Service Catalog
Um ccount-to-account compartilhamentoCompartilhamento com o AWS OrganizationsCompartilhamento TagOptions ao compartilhar portfóliosCompartilhar Nomes de Entidades principais ao compartilhar portfólios

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compartilhar um portfólio

Para permitir que um AWS Service Catalog administrador de outra AWS conta distribua seus produtos aos usuários finais, compartilhe seu AWS Service Catalog portfólio com eles usando account-to-account compartilhamento ouAWS Organizations.

Quando você compartilha um portfólio usando account-to-account compartilhamento ou Organizations, você está compartilhando uma referência desse portfólio. Os produtos e as restrições no portfólio importado permanecem sincronizados com as alterações que você faz no portfólio compartilhado, o portfólio original que você compartilhou.

O destinatário não pode alterar os produtos ou as restrições, mas pode adicionar o acesso ao AWS Identity and Access Management para usuários finais.

nota

Não é possível compartilhar um recurso compartilhado. Isso inclui portfólios que contêm um produto compartilhado.

Um ccount-to-account compartilhamento

Para concluir estas etapas, você deve obter a ID da conta da AWS de destino. O ID é fornecido na página Minha conta no AWS Management Console da conta de destino.

Como compartilhar um portfólio com uma conta da AWS

  1. Abra o console do Service Catalog em https://console.aws.amazon.com/servicecatalog/.

  2. No menu de navegação à esquerda, selecione Portfólios e o portfólio que você deseja compartilhar. No menu Ações, selecione Compartilhar.

  3. Em Inserir ID da conta, insira a ID da conta da AWS com a qual você está compartilhando. (Opcional) Selecione TagOption Compartilhamento. Em seguida, escolha Compartilhar.

  4. Envie o URL ao administrador do AWS Service Catalog da conta de destino. A URL abre a página Importar Portfólio com o ARN do portfólio compartilhado fornecido automaticamente.

Importação de um portfólio

Se um administrador do AWS Service Catalog de outra conta da AWS compartilhar um portfólio com você, importe-o para sua conta e distribua os produtos para seus usuários finais.

Você não precisa importar um portfólio se o portfólio foi compartilhado por meio do AWS Organizations.

Para importar o portfólio, você deve ter uma URL para importar o portfólio do administrador.

Para ver todos os portfólios importados, abra o console do AWS Service Catalog em https://console.aws.amazon.com/servicecatalog/. Na página Portfólios, selecione a guia Importado. Revise a tabela Portfólios importados.

Compartilhamento com o AWS Organizations

Você pode compartilhar portfólios do AWS Service Catalog usando o AWS Organizations.

Primeiro, você deve decidir se está compartilhando a partir da conta de gerenciamento ou de uma conta de administração delegada. Se você não quiser compartilhar a partir de sua conta de gerenciamento, registre uma conta de administração delegada e use-a para compartilhar. Para obter mais informações, consulte Registrar um administrador delegado, no Guia do desenvolvedor do AWS CloudFormation.

Depois, você deve decidir com quem compartilhar. Você pode compartilhar com as seguintes entidades:

  • Uma conta da organização.

  • Uma unidade organizacional (OU).

  • A própria organização. (Essa ação compartilha com todas as contas da organização.)

Como compartilhar de uma conta de gerenciamento

Você pode compartilhar um portfólio com uma organização ao usar sua estrutura organizacional ou inserir a ID de um nó organizacional.

Para compartilhar um portfólio com uma organização usando a estrutura organizacional

  1. Abra o AWS Service Catalog console em https://console.aws.amazon.com/servicecatalog/.

  2. Na página Portfólios, selecione o portfólio que você deseja compartilhar. No menu Ações, selecione Compartilhar.

  3. Selecione AWS Organizations e filtre em sua estrutura organizacional.

    Você pode selecionar o nó raiz para compartilhar o portfólio com toda a sua organização, uma Unidade Organizacional (UO) principal, uma UO secundária ou uma conta da AWS dentro da sua organização.

    O compartilhamento com uma UO principal compartilha o portfólio com todas as contas e UOs secundárias dentro dessa UO principal.

    Você pode selecionar Exibir AWS contas somente para ver uma lista de todas as contas da AWS em sua organização.

Para compartilhar um portfólio com uma organização inserindo a ID do nó organizacional

  1. Abra o AWS Service Catalog console em https://console.aws.amazon.com/servicecatalog/.

  2. Na página Portfólios, selecione o portfólio que você deseja compartilhar. No menu Ações, selecione Compartilhar.

  3. Selecione Nó da organização.

    Selecione se você deseja compartilhar com toda a sua organização, uma conta da AWS dentro da sua organização ou uma UO.

    Insira a ID do nó organizacional que você selecionou, que pode ser encontrada no console AWS Organizations em https://console.aws.amazon.com/organizations/.

Compartilhar de uma conta de administrador delegado

A conta mestra de uma organização pode registrar e cancelar o registro de outras contas como administradores delegados da organização.

Um administrador delegado pode compartilhar recursos do AWS Service Catalog na organização dele da mesma maneira que uma conta mestra. Ele tem autorização para criar, excluir e compartilhar portfólios.

Para registrar ou cancelar o registro de um administrador delegado, você deve usar a API ou a CLI do gerenciamento de contas. Para obter mais informações, consulte RegisterDelegatedAdministrator e DeregisterDelegatedAdministrator na Referência da API do AWS Organizations.

nota

Antes que você possa designar um representante, o administrador deve chamar EnableAWSOrganizationsAccess.

O procedimento para compartilhar um portfólio de uma conta de administrador delegado é o mesmo que compartilhar de uma conta, conforme visto acima em Como compartilhar de uma conta de gerenciamento.

Se um membro tiver o registro cancelado como administrador delegado, ocorrerá o seguinte:

  • Os compartilhamentos de portfólio que foram criados por meio dessa conta serão removidos.

  • Ele não poderá mais criar compartilhamentos de portfólio.

nota

Se o portfólio e os compartilhamentos criados por um administrador delegado não forem removidos após o administrador delegado ter o registro cancelado, registre e cancele o registro do administrador delegado novamente. Essa ação removerá o portfólio e os compartilhamentos criados por essa conta.

Mover contas dentro da sua organização

Se você mover uma conta dentro da sua organização, os portfólios AWS Service Catalog compartilhados com a conta poderão mudar.

As contas só têm acesso aos portfólios compartilhados com a organização ou unidade organizacional de destino.

Compartilhamento TagOptions ao compartilhar portfólios

Como administrador, você pode criar um compartilhamento para incluir TagOptions. TagOptions são pares de valores-chave que permitem aos administradores:

  • Definir e aplicar a taxonomia das tags.

  • Definir as opções de tags e associá-las a produtos e portfólios.

  • Compartilhar opções de tags associadas a portfólios e produtos com outras contas.

Quando você adiciona ou remove opções de tag na conta principal, a alteração aparece automaticamente nas contas dos destinatários. Nas contas de destinatários, quando um usuário final provisiona um produto com TagOptions, ele deve escolher valores para tags que se tornam tags no produto provisionado.

Nas contas de destinatários, os administradores podem associar locais adicionais TagOptions ao portfólio importado para impor regras de marcação específicas para essa conta.

nota

Para compartilhar um portfólio, você precisa da ID da conta da AWS do consumidor. Encontre a ID da conta da AWS em Minha conta no console.

nota

Se a TagOption tiver um único valor, AWS aplicará automaticamente esse valor durante o processo de provisionamento.

Para compartilhar TagOptions ao compartilhar portfólios

  1. No menu de navegação à esquerda, escolha Portfólios.

  2. Em Portfólios locais, escolha e abra um portfólio.

  3. Escolha Compartilhar na lista acima e, em seguida, escolha o botão Compartilhar.

  4. Escolha compartilhar com outra conta da AWS ou organização.

  5. Insira o número de identificação da conta de 12 dígitos, selecione Habilitar e escolha Compartilhar.

    A conta que você compartilhou é exibida na seção Contas compartilhadas com. Indica se TagOptions estamos habilitados.

Você também pode atualizar um compartilhamento de portfólio para incluí-lo TagOptions. Todos os TagOptions que pertencem ao portfólio e ao produto agora são compartilhados nessa conta.

Para atualizar um compartilhamento de portfólio para incluir TagOptions

  1. No menu de navegação à esquerda, escolha Portfólios.

  2. Em Portfólio local, escolha e abra um portfólio.

  3. Escolha Compartilhar na lista acima.

  4. Em Contas compartilhadas com, escolha uma ID de conta e, em seguida, escolha Ações.

  5. Selecione Atualizar cancelar compartilhamento ou Cancelar compartilhamento.

    Ao selecionar Atualizar e cancelar compartilhamento, escolha Habilitar para iniciar o compartilhamento. TagOptions A conta que você compartilhou é exibida na seção Contas compartilhadas com.

    Ao selecionar Cancelar compartilhamento, confirme que não deseja mais compartilhar a conta.

Compartilhar Nomes de Entidades principais ao compartilhar portfólios

Como administrador, você pode criar um compartilhamento de portfólio que inclua Nomes de Entidades principais. Os Nomes de Entidades principais são nomes de grupos, perfis e usuários que os administradores podem especificar em um portfólio e depois compartilhar com o portfólio. Quando você compartilha o portfólio, AWS Service Catalog verifique se esses Nomes de Entidades principais já existem. Se existirem, AWS Service Catalog associe automaticamente as entidades principais do IAM correspondentes ao Portfólio compartilhado para conceder acesso aos usuários.

nota

Quando você associa uma entidade principal a um portfólio, um possível caminho de escalação de privilégios pode ocorrer quando então esse portfólio é compartilhado com outras contas. Para um usuário em uma conta de destinatário que não é um administrador do AWS Service Catalog, mas tem a capacidade de criar Entidades principais (usuários/perfis), esse usuário pode criar uma Entidade principal de IAM que corresponda à associação do nome da entidade principal do portfólio. Embora esse usuário talvez não saiba quais nomes de entidade principal estão associados ao AWS Service Catalog, pode conseguir adivinhar o usuário. Se esse possível caminho de escalação for motivo de preocupação, o AWS Service Catalog recomenda o uso de PrincipalType as IAM. Com essa configuração, o PrincipalARN já deve existir na conta do destinatário para que possa ser associado.

Quando você adiciona ou remove Nomes de Entidades principais na conta principal, AWS Service Catalog automaticamente aplica as alterações nas contas dos destinatários. Os usuários na conta do destinatário podem então realizar tarefas com base em seu perfil:

  • Os usuários finais podem provisionar, atualizar e encerrar o produto do portfólio.

  • Os administradores podem associar outras Entidades principais do IAM ao portfólio importado para conceder acesso a usuários finais específicos dessa conta.

nota

O compartilhamento de Nomes de entidades principais está disponível apenas para AWS Organizations.

Compartilhar Nomes de Entidades principais ao compartilhar portfólios

  1. No menu de navegação à esquerda, escolha Portfólios.

  2. Em Portfólios locais, escolha o portfólio que você deseja compartilhar.

  3. No menu Ações, escolha Compartilhar.

  4. Selecione uma organização em AWS Organizations.

  5. Selecione a raiz da organização inteira, uma unidade organizacional (UO) ou um membro da organização.

  6. Nas configurações de compartilhamento, ative a opção Compartilhamento de Entidade principal.

Você também pode atualizar um compartilhamento de portfólio para incluir o compartilhamento do Nome da Entidade principal. Isso compartilha todos os Nomes de Entidades principais que pertencem a esse portfólio com a conta do destinatário.

Para atualizar um compartilhamento de portfólio para ativar ou desativar os Nomes de Entidades principais

  1. No menu de navegação à esquerda, escolha Portfólios.

  2. Em Portfólio local, escolha o portfólio que você deseja atualizar.

  3. Escolha a guia Compartilhar.

  4. Selecione o compartilhamento que você deseja atualizar e escolha Compartilhar.

  5. Escolha Atualizar compartilhamento e, em seguida, escolha Habilitar para iniciar o compartilhamento principal. AWS Service Catalog então compartilha os Nomes da Entidades principais nas contas dos destinatários.

Desabilite o compartilhamento de entidades principais se quiser parar de compartilhar os Nomes da Entidades principais com contas de destinatários.

Usar curingas ao compartilhar Nomes de Entidades principais

AWS Service Catalog suporta a concessão de acesso ao portfólio aos Nomes das Entidades principais do IAM (usuário, grupo ou perfil) com curingas, como ‘*’ ou ‘?’. Usar padrões curinga permite que você cubra vários Nomes de Entidades principais do IAM ao mesmo tempo. O caminho do ARN e o nome da entidade principal permitem caracteres curinga ilimitados.

Exemplos de um ARN curinga aceitável:

  • arn:aws:iam:::role/ResourceName_*

  • arn:aws:iam:::role/*/ResourceName_?

Exemplos de um ARN curinga inaceitável:

  • arn:aws:iam:::*/ResourceName

No formato ARN da entidade principal do IAM (arn:partition:iam:::resource-type/resource-path/resource-name), os valores válidos incluem usuário/, grupo/ ou perfil/. O “?” e “*” são permitidos somente após o tipo de recurso no segmento resource-id. Você pode usar caracteres especiais em qualquer lugar dentro do resource-id.

O caractere “*” também corresponde ao caractere “/”, permitindo que caminhos sejam formados dentro do resource-id. Por exemplo: .

arn:aws:iam:::role/*/ResourceName_? corresponde a ambos arn:aws:iam:::role/pathA/pathB/ResourceName_1 e arn:aws:iam:::role/pathA/ResourceName_1.