- 管理与监管›
- AWS Service Catalog›
- 常见问题
AWS Service Catalog 常见问题
一般性问题
什么是 AWS Service Catalog?
利用 AWS Service Catalog,IT 管理员可以创建、管理和向最终用户分发已批准的产品目录,然后,最终用户可以在个性化的门户中访问他们所需的产品。管理员可以控制哪些用户具有各种产品的访问权限,从而强制遵守组织的业务策略。管理员还可以设置已被接受的角色,以便最终用户只需具有 IAM 访问权限即可访问 AWS Service Catalog 来部署获批资源。AWS Service Catalog 可让您的组织获益于灵活性的提高和成本的降低,因为最终用户从您控制的目录中只能找到和启动他们所需的产品。
哪些用户应使用 AWS Service Catalog?
AWS Service Catalog 面向需要使策略集中化的组织、IT 团队和托管服务提供商 (MSP)。它允许 IT 管理员发布和管理 AWS 资源和服务。对于大型组织,它可以提供为数以千计的用户预置云资源的标准方法。AWS Service Catalo 同样也适合小型团队,使一线开发管理员可以提供和维护标准开发/测试环境。
如何开始使用 AWS Service Catalog?
在 AWS 管理控制台中,选择“管理工具”中的“AWS Service Catalog”。在 AWS Service Catalog 控制台中,管理员只需单击几下便可以创建产品组合、添加产品以及向用户授予使用产品的权限。最终用户登录到 AWS Service Catalog 控制台后,可以看到并启动管理员为他们创建的产品。
最终用户可以利用 AWS Service Catalog 执行哪些之前无法执行的操作?
最终用户可以在一个简单的门户中找到和启动符合组织政策和预算限制的产品。
什么是产品组合?
产品组合是产品及配置信息的集合,配置信息确定了谁能够使用这些产品和如何使用。管理员可以为组织内的每类用户都创建一个自定义产品组合,并选择性授予相应组合的访问权限。管理员向组合中添加新版本的产品时,该版本可自动供当前的所有产品组合用户使用。同一个产品可以包含在多个产品组合中。管理员还可以与其他 AWS 账户共享产品组合,并允许这些账户的管理员通过应用附加约束扩展产品组合。通过使用组合、权限、共享和限制,管理员可以确保用户所启动的产品经过正确配置,符合组织的需要。
AWS Service Catalog 是否为区域性服务?
符合。AWS Service Catalog 是完全区域化的服务,因此,您可以控制数据所存储的区域。产品组合和产品是需要按区域进行创建的区域构造,并且仅在其创建区域内可见/可用。
AWS Service Catalog 在哪些区域提供?
要查看受支持的 AWS 区域的完整列表,请参阅 AWS 区域表。
是否提供 API? 我能否通过 CLI 访问 AWS Service Catalog?
能,API 可以通过 CLI 提供和启用。您可以执行从 Service Catalog 项目的管理到预置和终止的各项操作。您可以在 AWS Service Catalog 文档中找到更多信息,或下载最新的 AWS 软件开发工具包或 CLI。
我可以在不使用公有 IP 的情况下,从 Amazon Virtual Private Cloud(VPC)对 AWS Service Catalog API 进行私有访问吗?
可以,您可以通过创建 VPC 终端节点来实现从 Amazon Virtual Private Cloud (VPC) 对 AWS Service Catalog API 进行私有访问。借助 VPC 终端节点,VPC 和 AWS Service Catalog 之间的路由将由 AWS 网络处理,而无需 Internet 网关、NAT 网关或 VPN 连接。AWS Service Catalog 所使用的最新一代 VPC 终端节点由 AWS PrivateLink 提供支持。AWS PrivateLink 是一种通过使用 VPC 中带有私有 IP 的弹性网络接口来支持各 AWS 服务之间的私有连接的 AWS 技术。要了解有关 AWS PrivateLink 的更多信息,请访问 AWS PrivateLink 文档。
AWS Service Catalog 是否提供服务水平协议(SLA)?
符合。如果客户的月度正常运行时间百分比在任何账单周期内低于我们的服务承诺,则 AWS Service Catalog SLA 将提供服务积分。
IT 管理员
如何创建产品组合?
在 AWS Service Catalog 控制台中创建产品组合。需要为每个产品组合指定名称、说明和所有者。
如何创建产品?
每个 Service Catalog 产品都基于基础设施即代码 (IaC) 模板。您可以使用 CloudFormation 模板或 Terraform 配置(单个 tar.gz 文件)。您可以通过 AWS Service Catalog 控制台创建产品,方法是上传 IaC 模板,提供指向存储模板的 S3 存储桶的链接,或者连接到存储模板的外部 Git 存储库。创建产品时,可以向产品列表提供其他信息,如详细的产品说明、版本信息、支持信息和标记。
为什么要对产品组合使用标记?
标记有助于识别和分类最终用户预置的 AWS 资源。您还可以在 AWS Identity and Access Management (IAM) 策略中使用标记,以允许或拒绝访问 IAM 用户、组和角色,或限制 IAM 用户、组和角色可以执行的操作。向产品组合中添加标记时,标记应用于从组合中的产品置备的所有资源实例。
如何向我的用户提供产品组合?
您发布自己创建的或与您共享的产品组合,使其可供 AWS 账户中 IAM 用户使用。要发布产品组合,请从 AWS Service Catalog 控制台,导航到产品组合详细信息页面,然后将 IAM 用户、组或角色添加到产品组合中。将用户添加到某个产品组合后,这些用户可以浏览并启动其中的任何产品。通常,可以创建包含不同产品并针对特定类型的最终用户自定义访问权限的产品组合。例如,用于开发团队的产品组合包含的产品可能不同于面向销售和营销团队的产品组合。单个产品可以配置不同的访问权限和置备策略发布到多个产品组合。
是否可以与其他 AWS 账户共享我的产品组合?
符合。您可以与一个或多个其他 AWS 账户中的用户共享产品组合。与其他 AWS 账户共享产品组合时,您保留产品组合的所有权和控制权。只有您可以执行更改,如添加新产品或更新产品。您还可以随时“取消共享”您的产品组合,并且只有您可以执行此操作。当前正在使用的任何产品或堆栈将继续运行,直到堆栈所有者决定将其终止。
要共享产品组合,应指定要与其共享的账户 ID,然后向此账户发送产品组合的 Amazon 资源编号 (ARN)。该账户的所有者可以创建此共享组合的链接,然后从该账户向产品组合分配 IAM 用户。为了便于最终用户找到,您可以创建产品组合的目录。
是否可以通过现有的 Amazon EC2 AMI 创建产品?
符合。您可以使用现有 Amazon EC2 AMI,通过将其打包到 AWS CloudFormation 模板中来创建产品。
我是否可以使用 AWS Marketplace 中的产品?
符合。您可以订阅 AWS Marketplace 中的产品,并使用“复制到 Service Catalog”操作将 Marketplace 产品直接复制到 Service Catalog。您还可以针对相应产品使用 Amazon EC2 AMI 来创建 AWS Service Catalog 产品。为此,您需要将订阅的产品打包到 AWS CloudFormation 模板中。有关如何复制或打包您的 AWS Marketplace 产品的更多详细信息,请单击此处。
如何控制对产品组合和产品的访问?
要控制对产品组合和产品的访问,需要在产品组合详细信息页面分配 IAM 用户、组或角色。通过提供访问权限,用户可以在 AWS Service Catalog 控制台中看到他们可以使用的产品。
我是否可以提供新版本的产品?
符合。您可以按照创建新产品的方式创建新产品版本。新产品版本发布到产品组合中后,最终用户可以选择启动新版本。他们还可以选择更新正在运行的堆栈以使用此新版本。AWS Service Catalog 不会自动在更新可用时更新正在使用的产品。
我是否可以提供产品并保留对关联 AWS 资源的完全控制?
符合。您具有用于预置产品的 AWS 账户和角色的完全控制权。要预置 AWS 资源,可以使用用户的 IAM 访问权限或预定义的 IAM 角色。要保留 AWS 资源的完全控制权,需要在产品级别指定具体的 IAM 角色。AWS Service Catalog 使用角色置备堆栈中的资源。
我是否可以限制用户能够预置的 AWS 资源?
符合。您可以定义规则,限制用户在启动产品时输入的参数值。 这些值称为模板约束,因为它们约束部署产品的 AWS CloudFormation 模板的方式。您可以使用简单的编辑器创建模板约束,然后将其应用到各个产品。
AWS Service Catalog 在预置新产品或更新正在使用的产品时应用约束。在应用到组合和产品的所有约束中,它始终应用限制性最强的约束。例如,请考虑下面一种情况:产品允许启动所有 EC2 实例且组合具有两项约束:一项允许启动所有非 GPU 类型的 EC2 实例,另一项仅允许启动 t1.micro 和 m1.small EC2 实例。对于此情况,AWS Service Catalog 应用限制性更强的第二项约束(t1.micro 和 m1.small)。目前,Terraform 配置不支持模板约束。
我能否在 Service Catalog 中使用 YAML 语言 CloudFormation 模板?
可以,目前我们同时支持 JSON 和 YAML 语言模板。
我可以将 ServiceNow 和 Jira Service Desk 实例连接到 AWS Service Catalog 吗?
符合。适用于 ServiceNow 和 Jira Service Desk 的 AWS Service Management Connector(以前称为 AWS Service Catalog Connector)提供 ServiceNow 和 Jira Service Desk 项目的集成功能。这简化了 ServiceNow 和 Jira Service Desk 管理员的云配置和资源管理,并使 ServiceNow 用户更轻松地请求 AWS 产品,该产品可以是管理员希望可用于在 AWS 上进行部署的任何 IT 服务。
ServiceNow 和 Jira Service Desk 管理员可以将连接器配置为与现有或新的 AWS 账户和角色一起使用。ServiceNow 和 Jira Service Desk 用户可以浏览和请求管理员批准的 AWS 产品。您还可以查看有关预置产品的配置项目详细信息,并在 ServiceNow 和 Jira Service Desk 中执行 AWS Systems Manager 自动化文档。这简化了针对 ServiceNow 和 Jira Service Desk 用户的 AWS 产品请求操作,并为 ServiceNow 和 Jira Service Desk 管理员提供了对 AWS 产品的管理和监督。
适用于 ServiceNow 的 AWS 服务管理连接器在 ServiceNow Store 中免费提供。已推出 AWS Service Catalog 的所有 AWS 区域均已正式提供这项新功能。有关更多信息,请访问文档。
适用于 Jira Service Desk 的 AWS Service Management Connector 在 Atlassian Marketplace 上免费提供。已推出 AWS Service Catalog 的所有 AWS 区域均已正式提供这项新功能。有关更多信息,请访问文档。
最终用户
如何了解哪些产品可用?
要查看哪些产品可用,请登录 AWS Service Catalog 控制台,搜索门户以查找满足您需要的产品,或导航到完整的产品列表页面。您可以通过排序查找所需的产品。
对于每个产品,您可以查看产品详细信息页面,其中显示了产品的信息,包括版本、产品是否有可用的更新版、说明、支持信息以及产品关联的标记。产品详细信息页面可能还会指出预置此产品是使用您的访问权限 (Self) 还是使用管理员指定的角色(角色 ARN)。
如何部署产品?
在门户中找到满足要求的产品后,选择“启动”。您需要回答有关您计划如何使用产品的一组问题。问题可能关于您的业务需求或基础设施需求(如“什么 Amazon EC2 实例类型?”)。提供所需信息后,您将在 AWS Service Catalog 控制台中看到此产品。预置此产品时,您将看到其状态为“正在进行”。 置备完成后,您将看到“完成”和诸如端点或 Amazon 资源名称(ARN)之类的信息,您可以使用这些信息访问该产品。
我是否可以查看自己正在使用什么产品?
符合。您可以在 AWS Service Catalog 控制台中查看您正在使用什么产品。您可以看到正在使用的所有堆栈,以及用于创建他们的产品版本。
有可用新版本时,我如何更新我的产品?
产品发布新版本时,您可以使用 Update Stack 命令来使用新版本。如果您当前使用的产品有更新,该产品会继续运行,直到您将其关闭,此时您才可以选择使用新版本。
我应该如何监控产品的运行状况?
您可以在 AWS Service Catalog 控制台中查看您正在使用的产品及其运行状况。
支持 Terraform 开源和 Terraform Cloud
什么是适用于 Terraform 开源和 Terraform Cloud 的 AWS Service Catalog 支持?
使用 Terraform 开源和 Terraform Cloud 的客户可以借助 AWS Service Catalog 在 AWS 中为其最终用户提供自助配置和管理。中央 IT 部门可以使用单一工具在 AWS 中大规模组织、管理和分发他们的 Terraform 配置。他们可以访问 AWS Service Catalog 的关键功能,包括对标准化和预先批准的模板进行编目、访问控制、配置期间的最低权限、版本控制、与数千个 AWS 账户共享以及标记。最终用户只需查看他们有权访问的产品和版本列表,即可通过单个操作进行部署。
首先,使用 AWS 提供的适用于 Terraform 开源的 Terraform 参考引擎或适用于 Terraform Cloud 的 Terraform 参考引擎,安装和配置 Terraform 开源引擎与 AWS Service Catalog 配合使用所需的代码和基础设施。这种一次性设置仅需几分钟即可完成。
要了解如何使用 AWS Service Catalog 编目、管理、共享和部署 Terraform 产品,请阅读我们的文档。
哪些用户应使用适用于 Terraform 的 AWS Service Catalog 支持?
如果 Terraform 开源或 Terraform Cloud 是您的首选 IaC 工具,则您可以使用 Service Catalog 为团队提供 Terraform 配置自助配置。如果您在不同的团队或应用场景中混合使用 CloudFormation 和 Terraform 配置,那么现在可以使用 AWS Service Catalog 作为对两者进行编目和共享的单一工具。对于您的最终用户,AWS Service Catalog 提供了一个易于使用的通用界面,无论采用何种 IaC 技术,都可以查看和预置资源。
如何开始使用适用于 Terraform 开源和 Terraform Cloud 的 AWS Service Catalog 支持?
要将 AWS Service Catalog 与 Terraform 开源结合使用,您需要在其中一个账户中设置 Terraform 开源引擎。通过使用 AWS 提供的 Terraform 参考引擎创建 Terraform 开源引擎,该引擎将安装和配置 Terraform 开源引擎与 AWS Service Catalog 配合使用所需的代码和基础设施。完成一次性设置(只需几分钟)后,您就可以开始在 AWS Service Catalog 中创建 Terraform 开源类型产品了。
要将 AWS Service Catalog 与 Terraform Cloud 配合使用,请使用适用于 Terraform Cloud 的 Terraform 参考引擎,该引擎将安装和配置 Terraform Cloud 引擎与 AWS Service Catalog 配合使用所需的代码和基础设施。有关更多信息,请阅读我们的文档。
我能否让多个 AWS 账户使用单个集中式 Terraform 开源或 Terraform Cloud 引擎配置 Terraform 资源?
符合。AWS Service Catalog 支持“中心和分支”模型,在该模型下,产品在单个中央账户中定义,然后可以与数千个 AWS 账户共享。对于 Terraform,您可以安装自己的 Terraform 开源或 Terraform Cloud 引擎,并在这个中心 Hub 账户中创建自己的 Terraform 产品。然后,您可以与分支账户共享这些产品,并允许访问这些账户中的 IAM 角色/用户/群组。请注意,您需要在每个账户中定义具有足够权限的启动角色。
适用于 Terraform 开源或 Terraform Cloud 的 AWS Service Catalog 支持是托管服务吗?
不完全是。AWS 支持对 Terraform 产品的编目、共享和最终用户访问。您有责任确保您的 Terraform 开源或 Terraform Cloud 环境已准备就绪,并与 AWS Service Catalog 完美集成。您还需要定义一个启动角色,该角色有权配置和标记与 Terraform 产品关联的所有资源。
我能否将 AWS Service Catalog 连接到存储我的 Terraform 配置的源代码存储库?
符合。AWS Service Catalog 允许您将产品同步到通过 GitHub、GitHub Enterprise 或 Bitbucket 管理的模板文件。无论选择哪个存储库,模板文件格式仍然需要是在 Tar 中归档并在 Gzip 中压缩的单个文件。
AWS Service Catalog 如何管理我的 Terraform 开源和 Terraform Cloud 产品状态文件?
每个 Terraform 开源或 Terraform Cloud 产品都有一个状态文件,该文件存储在 AWS S3 存储桶中 Terraform 开源引擎或 Terraform Cloud 引擎的 AWS 账户中。AWS Service Catalog 管理员将看到状态文件列表,但无法读取或写入其内容。只有您的 Terraform 开源引擎或 Terraform Cloud 引擎才能读取和写入状态文件的内容。
此功能如何收费?
此功能的定价与所有其他 AWS Service Catalog 功能相同,在账户/区域中前 1000 次调用后,每次 API 调用 0.0007 美元。要了解更多信息,请阅读此处。
AppRegistry
什么是 AWS Service Catalog AppRegistry?
AWS Service Catalog AppRegistry 使组织可以了解其 AWS 资源的应用程序上下文。AppRegistry 提供一个信息存储库,描述您在企业中使用的应用程序和相关资源。
哪些用户应使用 AWS Service Catalog AppRegistry?
AWS Service Catalog AppRegistry 是为需要在其 AWS 环境中拥有应用程序的单个最新定义的组织而开发的。
什么是应用程序?
AWS Service Catalog AppRegistry 使您可以定义应用程序,包括名称、描述、关联的 CloudFormation 堆栈以及通过属性组表示的应用程序元数据。关联的 CloudFormation 堆栈表示应用程序所需的所有资源。这可能是单个环境中所需的基础设施,也可能包括支持所有环境中的应用程序的代码存储库、管道和 IAM 资源。现有或新的 CloudFormation 堆栈都可以与应用程序关联。通过包括应用程序与堆栈的 CloudFormation 模板的关联,可以在预置时将新堆栈关联到应用程序。
什么是属性组?
属性组包含对您的企业非常重要的应用程序元数据。属性组包括开放 JSON 模式,使您可以灵活地捕获复杂的企业元数据。应用程序属性可能包括元数据,例如应用程序安全分类、组织所有权、应用程序类型、成本中心和支持信息。构建者将属性组与其应用程序关联。在更新属性组时,这些更新将自动反映在与属性组关联的所有应用程序中。
AWS Service Catalog 在哪些区域提供?
要查看受支持的 AWS 区域的完整列表,请参阅 AWS 区域表。
是否提供 API? 我能否通过 CLI 访问 AWS Service Catalog AppRegistry?
是的,可以使用全套 API 和 CLI 操作。