AWS Service Catalog – Features

Ein Produkt ist eine Reihe von AWS-Cloud-Ressourcen, die Sie für die Bereitstellung in AWS zur Verfügung stellen möchten. Ein Produkt kann eine oder mehrere AWS-Ressourcen umfassen, etwa EC2-Instances, Speicher-Volumes, Datenbanken, Überwachungskonfigurationen und Netzwerkkomponenten, oder AWS Marketplace-Produktpakete. Bei einem Produkt kann es sich um eine einzelne Computing-Instance in AWS Linux oder eine vollständig konfigurierte, in ihrer eigenen Umgebung laufende Webanwendung mit mehreren Ebenen handeln, oder um irgendetwas dazwischen. Mit AWS Service Catalog können Sie Produkte auf verschiedene Arten erstellen, einschließlich mit AWS-CloudFormation-Vorlagen oder Terraform-Konfigurationen. Diese Vorlagen definieren die für das Produkt erforderlichen AWS-Ressourcen, die Beziehungen zwischen den Ressourcen und die Parameter, die der Endbenutzer beim Launch des Produkts implementieren kann, um Sicherheitsgruppen zu konfigurieren, Schlüsselpaare zu erstellen und andere Anpassungen vorzunehmen.

Bei den Produkten von AWS Service Catalog handelt es sich entweder um Produkte vom Typ AWS CloudFormation oder um Open-Source-Produkte vom Typ Terraform oder Terraform-Cloud-Produkte. Produkte vom AWS-CloudFormation-Typ werden als AWS-CloudFormation-Stack gestartet. Das ist ein Satz von Ressourcen, der für diese Instance des Produkts bereitgestellt wird. Für Terraform-Open-Source- und Terraform-Cloud-Produkte werden die zugrunde liegenden Ressourcen in AWS Resource Groups gespeichert und markiert. AWS-CloudFormation-Stacks und AWS Resource Groups erleichtern die Verwaltung des Lebenszyklus Ihres Produkts, da Sie damit Ihre Produkt-Instance als gesonderte Einheit bereitstellen, markieren, aktualisieren und beenden können.

Ein Portfolio ist eine Produktsammlung einschließlich Konfigurationsdaten. Portfolios erleichtern das Verwalten der Produktkonfiguration und der zulässigen Benutzer und Nutzungsarten bestimmter Produkte. Mit AWS Service Catalog können Sie ein benutzerdefiniertes Portfolio für jeden Benutzertyp Ihrer Organisation erstellen und selektiv Zugriff auf das jeweilige Portfolio gewähren. Wenn Sie eine neue Version eines Produkts oder Portfolios hinzufügen, so ist diese automatisch für alle aktuellen Benutzer des jeweiligen Portfolios verfügbar. Sie können Ihre Portfolios auch für andere AWS-Konten freigeben und den Administratoren dieser Konten erlauben, Ihre Portfolios mit zusätzlichen Einschränkungen zu verteilen. Für Entwickler beispielsweise können Sie ein Portfolio mit Entwicklungsumgebungen definieren, etwa einen LAMP-Stack mit genehmigten Versionen, die Benutzer für das Entwickeln und Testen von Software verwenden dürfen. Sie können auch ein Portfolio für Marketing-Organisationen definieren, das Kampagnen-Websites und Marktanalyse-Anwendungen enthält. Ein Portfolio kann eine Mischung aus Produkten verschiedener Typen enthalten, darunter Produkte vom Typ AWS CloudFormation oder Produkte vom Typ Terraform Open Source und Terraform Cloud.

Mit AWS Service Catalog können Sie mehrere Versionen des Produkts in Ihrem Katalog verwalten. Damit sind Sie in der Lage, neue Vorlagenversionen und die zugehörigen Ressourcen über Software-Updates oder Konfigurationsänderungen hinzuzufügen. Wenn Sie eine neue Version eines Produkts erstellen, wird das Update automatisch an alle Benutzer verteilt, die Zugriff auf das Produkt haben. Die Benutzer können auswählen, welche Version des Produkts sie verwenden möchten. Das Update laufender Produktinstanzen auf die neue Version ist für Benutzer schnell und einfach.

Ein Benutzer, dem Zugriff auf ein Portfolio gewährt wird, kann das Portfolio durchsuchen und die darin enthaltenen Produkte starten. Mit im AWS Identity and Access Management (IAM) festgelegten Berechtigungen kontrollieren Sie, wer Ihre Produkte und Portfolios anzeigen und modifizieren kann. IAM-Berechtigungen können IAM-Benutzern, -Gruppen und -Rollen zugewiesen werden. Wenn ein Benutzer ein Produkt startet, dem eine IAM-Rolle zugewiesen wurde, verwendet AWS Service Catalog die Rolle, um mittels der Rolle die Cloud-Ressourcen des Produkts zu starten. Durch Zuweisung einer IAM-Rolle an jedes Produkt lässt sich vermeiden, dass Benutzern Berechtigungen für die Durchführung nicht genehmigter Operationen erteilt werden, während Benutzer in der Lage sind, Ressourcen mittels des Katalogs bereitzustellen.

Einschränkungen begrenzen die spezifischen Möglichkeiten, AWS-Ressourcen für ein Produkt bereitzustellen. Sie können sie verwenden, um zu Governance- oder Kostenkontrollzwecken Beschränkungen für Produkte einzurichten. Es gibt zwei Arten von Einschränkungen: Vorlage- und Starteinschränkung. Vorlageneinschränkungen grenzen die Konfigurationsparameter ein, über die Benutzer beim Start des Produkts verfügen (beispielsweise EC2-Instance-Typen oder IP-Bereiche). Mithilfe von Vorlagenbeschränkungen können Sie generische Infrastructure as Code (IaC)-Vorlagen für Produkte wiederverwenden und Einschränkungen für die Vorlagen auf Produkt- oder Portfoliobasis anwenden. Mit Launch-Einschränkungen können Sie eine Rolle für ein Produkt im Portfolio festlegen. Die Rolle wird verwendet, um die Ressourcen beim Start bereitzustellen. Sie können also Benutzerberechtigungen einschränken, ohne dass sich das auf die Möglichkeit der Benutzer auswirkt, Produkte aus dem Katalog bereitzustellen. Marketing-Benutzern z. B. können Sie gestatten, Kampagnen-Websites zu erstellen, zugleich aber Einschränkungen festlegen, die den Zugriff auf die Bereitstellung der zugrunde liegenden Datenbanken begrenzen. Startbeschränkungen werden für Terraform-Open-Source- und Terraform-Cloud-Produkte unterstützt. Vorlageneinschränkungen sind für Open-Source-Produkte von Terraform noch nicht verfügbar.

Mithilfe von Serviceaktionen können Sie Endbenutzern ermöglichen, betriebliche Aufgaben auszuführen, Probleme zu beheben, genehmigte Befehle auszuführen oder Berechtigungen in AWS Service Catalog für Ihre bereitgestellten Produkte anzufordern, ohne Endbenutzern vollen Zugriff auf AWS Services gewähren zu müssen. Sie verwenden AWS Systems Manager-Dokumente, um Serviceaktionen zu definieren. Die Dokumente von AWS Systems Manager bieten Zugriff auf vordefinierte Aktionen, die bewährte Methoden von AWS implementieren, z. B. das Anhalten und Neustarten von Amazon EC2. Sie können auch benutzerdefinierte Aktionen definieren. Serviceaktionen sind noch nicht für Terraform-Open-Source- und Terraform-Cloud-Produkte verfügbar.

Hersteller können ihre Anwendungen in Service Catalog AppRegistry definieren, indem sie einen Namen, eine Beschreibung, Zuordnungen zu Anwendungsmetadaten und Zuordnungen zu CloudFormation-Stapeln angeben. Die zugehörigen Attributgruppen stellen die Metadaten dar, die Ihr Unternehmen für die Anwendung erstellt und verwaltet. Die zugeordneten CloudFormation-Stapel repräsentieren die der Anwendung zugeordneten AWS-Ressourcen. Dies kann die in einer einzelnen Umgebung erforderliche Infrastruktur sein, oder sie kann auch die Code-Repositorys und Pipelines enthalten, die die Anwendung in allen Umgebungen unterstützen. Bestehenden oder neuen CloudFormation-Stapeln können Anwendungen zugeordnet werden. Stapel können Anwendungen innerhalb der Vorlage selbst zugeordnet werden, wodurch die Anwendungszuordnung während der Bereitstellung automatisiert wird.

Ihr Unternehmen erstellt und verwaltet Attribute, die die für Ihr Unternehmen wichtigen Anwendungsmetadaten erfassen. Anwendungsattribute unterstützen ein offenes JSON-Schema und bieten Ihnen die Flexibilität, die Sie benötigen, um die Komplexität Ihrer Taxonomie für Unternehmensmetadaten zu erfassen. Zu den Anwendungsattributen können Elemente wie die Anwendungssicherheitsklassifizierung, die organisatorische Eigentümerschaft, der Anwendungstyp, die Kostenstelle und Supportinformationen gehören. Hersteller ordnen ihren Anwendungen die erforderlichen Attribute zu. Wenn Attribute aktualisiert werden, wird dies automatisch in allen zugeordneten Anwendungen wiedergegeben.