共用產品組合 - AWS Service Catalog
一個ccount-to-account 分享以 AWS Organizations 共用共享 TagOptions 時的投資組合分享投資組合時共享主要姓名

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

共用產品組合

若要讓其他AWS帳戶的AWS Service Catalog管理員能夠將您的產品發佈給使用者,請使用共用或與他們 account-to-account 共用您的產品AWS Service Catalog組合AWS Organizations。

當您使用「 account-to-account 共用」或「組 Organizations」共用學檔時,您正在分享該學檔的參考資料。在匯入的產品組合中的產品和限制條件,會與您對共用產品組合 (您所共用的原始產品組合) 所做的變更同步。

收件者無法變更產品或條件約束,但可以新增使用者的AWS Identity and Access Management存取權。

注意

您無法共用共用資源。這包括包含已共用產品的產品組合。

一個ccount-to-account 分享

若要完成這些步驟,您必須取得目標帳戶的AWS帳號 ID。您可以在目標帳戶的「我AWS Management Console的帳戶」頁面上找到 ID。

與AWS帳戶分享投資組合

  1. https://console.aws.amazon.com/servicecatalog/ 開啟 Service Catalog 主控台。

  2. 在左側導覽選單中,選擇學檔,然後選取您要分享的投資組合。在 [動作] 功能表中,選取 [用]。

  3. 在 [輸入帳戶 ID] 中,輸入您要共用之AWS帳戶的帳戶 ID。(選擇性) 選取 [TagOption 共用]。然後,選擇「分享到」。

  4. 將該 URL 傳送給目標帳戶的 AWS Service Catalog 管理員。此 URL 會開啟「匯入學檔」頁面,並自動提供共用學檔的 ARN。

匯入一個產品組合

如果其他AWS帳戶的AWS Service Catalog管理員與您共用產品組合,請將該產品組合匯入您的帳戶,以便將其產品散佈給最終使用者。

如果投資組合是透過共用,則不需要匯入學檔AWS Organizations。

若要匯入學檔,您必須向管理員取得學檔 ID。

若要檢視所有匯入的學檔,請在 https://console.aws.amazon.com/servicecatalog/ 開啟AWS Service Catalog主控台。在「學檔」頁面上,選取「已匯入」標籤。檢閱「匯入的學檔」表。

以 AWS Organizations 共用

您可以使用 AWS Organizations 來共用 AWS Service Catalog 產品組合。

首先,您必須決定是從管理帳戶還是委派的系統管理員帳戶共用。如果您不想從管理帳戶共用,請註冊可用於共用的委派管理員帳戶。如需詳細資訊,請參閱《AWS CloudFormation 使用者指南》中的註冊委派管理員

接下來,您必須決定要共用的對象。您可以共用至下列實體:

  • 組織帳戶。

  • 組織單位 (OU)。

  • 組織本身。(這樣會與組織中的每個帳戶共用。)

從管理帳戶共用

當您使用組織結構或輸入組織節點的 ID 時,您可以與組織共用學檔。

使用組織結構與組織共用學檔

  1. 開啟主AWS Service Catalog控台,網址為 https://console.aws.amazon.com/servicecatalog/

  2. 學檔頁面上,選取您要分享的學檔。在 [動作] 功能表中,選取 [用]。

  3. 選取AWS Organizations並篩選至您的組織結構。

    您可以選取「根」節點,與整個組織、父系組織單位 (OU)、子 OU 或組織內的AWS帳戶共用產品組合。

    共用至父 OU 會將投資組合共用至該父 OU 內的所有帳戶和子系 OU。

    您可以選取 [僅檢視AWS帳戶] 以查看組織中所有AWS帳戶的清單。

若要透過輸入組織節點的 ID 與組織共用學檔

  1. 開啟主AWS Service Catalog控台,網址為 https://console.aws.amazon.com/servicecatalog/

  2. 學檔頁面上,選取您要分享的學檔。在 [動作] 功能表中,選取 [用]。

  3. 選取「組織節點」。

    選取要與整個組織共用、組織內的AWS帳戶或 OU 共用。

    輸入您所選組織節點的 ID,您可以在AWS Organizations主控台中找到此 ID,網址為 https://console.aws.amazon.com/organizations/

從委派的管理員帳戶共用

組織的管理帳戶可以將其他帳戶註冊並取消註冊為組織的委派系統管理員。

委派的管理員可以像管理帳戶一樣,在其組織中共用AWS Service Catalog資源。他們被授權創建,刪除和共享投資組合。

若要註冊或取消註冊委派的系統管理員,您必須使用管理帳戶中的 API 或 CLI。如需詳細資訊,請參閱RegisterDelegatedAdministratorAWS Organizations API 參考中的 DeregisterDelegatedAdministrator

注意

管理員必須先致電,才能指定代理人EnableAWSOrganizationsAccess

從委派的系統管理員帳戶共用產品組合的程序與從管理帳戶共用產品組合的程序相同,如上所示從管理帳戶共用

如果成員已取消註冊為委派管理員,則會發生下列情況:

  • 從該帳戶建立的產品組合共用會被移除。

  • 他們不能再建立新的產品組合共用。

注意

如果委派管理員取消註冊後,未移除委派管理員建立的學檔和共用,請再次註冊並取消註冊委派管理員。此動作會移除該帳戶建立的投資組合和股份。

在組織內移動帳戶

如果您在組織內移動帳戶,與該帳戶共用的AWS Service Catalog產品組合可能會變更。

帳戶只能存取與其目的地組織或組織單位共用的學檔。

共享 TagOptions 時的投資組合

身為管理員,您可以建立要包含的共用 TagOptions。 TagOptions 是可讓管理員執行下列作業的索引鍵值組:

  • 定義並強制執行標籤的分類法。

  • 定義標籤選項,並將其與產品和產品組合相關聯。

  • 與其他帳戶的產品組合和產品相關聯的分享標籤選項。

當您在主帳戶中新增或移除標籤選項時,變更會自動顯示在收件者帳戶中。在收件者帳戶中,當使用者佈建產品時 TagOptions,他們必須為成為已佈建產品標籤的標籤選擇值。

在收件者帳戶中,管理員可以將其他本 TagOptions 機與其匯入的產品組合相關聯,以強制執行該帳戶專屬的標記規則。

注意

要共享投資組合,您需要消費者的AWS帳戶 ID。在主機的「我的AWS帳戶」中找到帳戶 ID。

注意

如果 TagOption 具有單一值,則會在佈建程序期間AWS自動強制執行該值。

分享投資組合 TagOptions 時

  1. 在左側導覽選單中,選擇學檔

  2. 本地投資組合中,選擇並打開一個投資組合。

  3. 選擇分享到從上面的列表中,然後選擇分享到按鈕。

  4. 選擇與其他AWS帳戶或組織共用。

  5. 輸入 12 位數的帳戶 ID 號碼,選取 [啟用],然後選擇 [用]。

    您共用的帳戶會顯示在「共用對象」區段中。它指示是否 TagOptions 已啟用。

您也可以更新投資組合份額以包含在內 TagOptions。現在 TagOptions ,所有屬於投資組合和產品的內容都分享到此帳戶。

若要更新投資組合份額以包含 TagOptions

  1. 在左側導覽選單中,選擇學檔

  2. 本地投資組合中,選擇並打開一個投資組合。

  3. 選擇分享到從上面的列表中。

  4. 共用對象的帳戶中,選擇帳戶 ID,然後選擇 [動作]。

  5. 選取 [更新取消共用] 或 [取共用]

    當您選取 [更新取消共用] 時,請選擇 [啟用] 以啟動共 TagOptions用。您共用的帳戶會顯示在「共用對象」區段中。

    當您選取 [取消共用] 時,請確認您不想再共用該帳戶。

分享投資組合時共享主要姓名

身為管理員,您可以建立包含主參與者名稱的學檔共用。主參與者名稱是群組、角色和使用者的名稱,管理員可以在學檔中指定,然後與學檔共用。當您共用學檔時,請AWS Service Catalog驗證這些主要名稱是否已存在。如果存在,則AWS Service Catalog會自動將相符的 IAM 主體與共用產品組合建立關聯,以授予使用者存取權。

注意

當您將主體與產品組合建立關聯時,若該產品組合之後與其他帳戶共用,可能會出現潛在的權限提升途徑。對於收件者帳戶中是AWS Service Catalog管理員,但仍然可以建立主體 (使用者/角色) 的使用者,該使用者可以建立與產品組合的主要名稱關聯相符的 IAM 主體。雖然此使用者可能無法透過 AWS Service Catalog 知道與哪些主體名稱相關聯,但他們可能會猜到使用者。如果對這種潛在的提升途徑有所顧慮,那麼 AWS Service Catalog 建議使用 PrincipalType 作為 IAM。使用此組態時,收件者帳戶中必須已存在 PrincipalARN,才能建立關聯。

當您在主帳戶中新增或移除主要帳戶中的主要帳戶時,AWS Service Catalog會自動在收件者帳戶中套用這些變更。接著,收件者帳戶中的使用者可以根據其角色執行工作:

  • 最終用戶可以佈建,更新和終止產品組合的產品。

  • 管理員可以將其他 IAM 主體與其匯入的產品組合建立關聯,以授與該帳戶專屬的終端使用者存取權。

注意

主參與者名稱共用僅適用於AWS Organizations。

分享投資組合時共用主要名稱

  1. 在左側導覽選單中,選擇學檔

  2. 本地投資組合中,選擇您要分享的投資組合。

  3. 在 [動作] 功能表中,選擇 [用]。

  4. 在中選取一個組織AWS Organizations。

  5. 選取整個組織根目錄、組織單位 (OU) 或組織成員

  6. 用設定中,啟用主參與者共用選項。

您也可以更新投資組合共用以包含「主要使用者名稱」共用。這會與收款人帳戶共用屬於該投資組合的所有主要名稱。

若要更新學檔共用以啟用或停用主參與者名稱

  1. 在左側導覽選單中,選擇學檔

  2. 本地投資組合中,選擇要更新的投資組合。

  3. 選擇 [用] 索引標籤。

  4. 選取您要更新的共用,然後選擇 [用]。

  5. 選擇 [更新共用],然後選擇 [啟用] 以啟動主參與者共用。 AWS Service Catalog然後在收件者帳戶中共用主要名稱。

如果您想要停止與收件者帳戶共主參與者名稱,請停用主參與者共用。

共用主要名稱時使用萬用字元

AWS Service Catalog支援使用萬用字元 (例如 '*' 或 '?') 授與 IAM 主體 (使用者、群組或角色) 名稱的產品組合存取權。使用萬用字元模式可讓您一次涵蓋多個 IAM 主體名稱。ARN 路徑和主要名稱允許無限制的萬用字元。

可接受的萬用字元 ARN 範例:

  • arn:aws:iam:::role/ResourceName_*

  • arn:aws:iam:::role/*/ResourceName_?

不可接受的萬用字元 ARN 範例:

  • arn:aws:iam:::*/ResourceName

在 IAM 主要 ARN 格式 (arn:partition:iam:::resource-type/resource-path/resource-name) 中,有效值包括使用者/、群組/或角色/該「?」 和「*」僅在資源 ID 段中的資源類型之後被允許。您可以在資源 ID 中的任何位置使用特殊字符。

「*」字符也匹配「/」字符,允許在資源 ID 形成路徑。例如:

arn:aws:iam:::role/*/ResourceName_?匹配arn:aws:iam:::role/pathA/pathB/ResourceName_1arn:aws:iam:::role/pathA/ResourceName_1