AWS Service Catalog – Funktionen

Ein Produkt ist ein IT-Service, den Sie zur Bereitstellung auf AWS verfügbar machen wollen. Ein Produkt kann eine oder mehrere AWS-Ressourcen umfassen, etwa EC2-Instances, Speicher-Volumes, Datenbanken, Überwachungskonfigurationen und Netzwerkkomponenten, oder AWS Marketplace-Produktpakete. Bei einem Produkt kann es sich um eine einzelne Compute-Instance auf AWS Linux oder eine vollständig konfigurierte, in ihrer eigenen Umgebung laufende Webanwendung mit mehreren Ebenen handeln, oder um irgendetwas dazwischen. Sie erstellen Ihre Produkte durch Importieren von AWS CloudFormation-Vorlagen. Diese Vorlagen definieren die für das Produkt erforderlichen AWS-Ressourcen, die Beziehungen zwischen den Ressourcen und die Parameter, die der Endbenutzer beim Starten des Produkts implementieren kann, um Sicherheitsgruppen zu konfigurieren, Schlüsselpaare zu erstellen und andere Anpassungen vorzunehmen.

Ein Portfolio ist eine Produktsammlung einschließlich Konfigurationsdaten. Portfolios erleichtern das Verwalten der Produktkonfiguration und der zulässigen Benutzer und Nutzungsarten bestimmter Produkte. Mit AWS Service Catalog können Sie ein benutzerdefiniertes Portfolio für jeden Benutzertyp Ihrer Organisation erstellen und selektiv Zugriff auf das jeweilige Portfolio gewähren. Wenn Sie eine neue Version eines Produkts oder Portfolios hinzufügen, so ist diese automatisch für alle aktuellen Benutzer des jeweiligen Portfolios verfügbar. Sie können Ihre Portfolios auch für andere AWS-Konten freigeben und den Administratoren dieser Konten erlauben, Ihre Portfolios mit zusätzlichen Einschränkungen zu verteilen. Für Entwickler beispielsweise können Sie ein Portfolio mit Entwicklungsumgebungen definieren, etwa einen LAMP-Stack mit genehmigten Versionen, die Benutzer für das Entwickeln und Testen von Software verwenden dürfen. Sie können auch ein Portfolio für Marketing-Organisationen definieren, das Kampagnen-Websites und Marktanalyse-Anwendungen enthält.

Mit AWS Service Catalog können Sie mehrere Versionen des Produkts in Ihrem Katalog verwalten. Damit sind Sie in der Lage, neue Vorlagenversionen und die zugehörigen Ressourcen über Software-Updates oder Konfigurationsänderungen hinzuzufügen. Wenn Sie eine neue Version eines Produkts erstellen, wird das Update automatisch an alle Benutzer verteilt, die Zugriff auf das Produkt haben. Die Benutzer können auswählen, welche Version des Produkts sie verwenden möchten. Das Update laufender Produktinstanzen auf die neue Version ist für Benutzer schnell und einfach.

Ein Benutzer, dem Zugriff auf ein Portfolio gewährt wird, kann das Portfolio durchsuchen und die darin enthaltenen Produkte starten. Mit im AWS Identity and Access Management (IAM) festgelegten Berechtigungen kontrollieren Sie, wer Ihre Produkte und Portfolios anzeigen und modifizieren kann. IAM-Berechtigungen können IAM-Benutzern, -Gruppen und -Rollen zugewiesen werden. Wenn ein Benutzer ein Produkt startet, dem eine IAM-Rolle zugewiesen wurde, verwendet AWS Service Catalog die Rolle, um mittels AWS CloudFormation die Cloud-Ressourcen des Produkts zu starten. Durch Zuweisung einer IAM-Rolle an jedes Produkt lässt sich vermeiden, dass Benutzern Berechtigungen für die Durchführung nicht genehmigter Operationen erteilt werden, und sind Benutzer in die Lage, Ressourcen mittels des Katalogs bereitzustellen.

Einschränkungen begrenzen die spezifischen Möglichkeiten, AWS-Ressourcen für ein Produkt bereitzustellen. Sie können sie verwenden, um zu Governance- oder Kostenkontrollzwecken Beschränkungen für Produkte einzurichten. Es gibt zwei Arten von Einschränkungen: Vorlage- und Starteinschränkung. Vorlageeinschränkungen grenzen die Konfigurationsparameter ein, über die der Benutzer beim Start des Produkts verfügt (beispielsweise EC2-Instance-Typen oder IP-Bereiche). Mit Vorlageeinschränkungen können Sie generische AWS CloudFormation-Vorlagen für Produkte wiederverwenden und jeweils für ein Produkt oder Portfolio Einschränkungen für die Vorlagen erstellen. Mit Starteinschränkungen können Sie eine Rolle für ein Produkt im Portfolio festlegen. Die Rolle wird verwendet, um die Ressourcen beim Start bereitzustellen. Sie können also Benutzerberechtigungen einschränken, ohne dass sich das auf die Möglichkeit der Benutzer auswirkt, Produkte aus dem Katalog bereitzustellen. Marketing-Benutzern z. B. können Sie gestatten, Kampagnen-Websites zu erstellen, zugleich aber Einschränkungen festlegen, die den Zugriff auf die Bereitstellung der zugrunde liegenden Datenbanken begrenzen.

Jedes AWS Service Catalog-Produkt wird als AWS CloudFormation-Stack gestartet. Das ist eine Ressourcengruppe, die für diese Instanz des Produkts bereitgestellt wird. AWS CloudFormation-Stacks erleichtern die Verwaltung des Lebenszyklus Ihres Produkts, da Sie damit Ihre Produkt-Instance als gesonderte Einheit bereitstellen, markieren, aktualisieren und beenden können.

Mithilfe von Serviceaktionen können Sie Endbenutzern ermöglichen, betriebliche Aufgaben auszuführen, Probleme zu beheben, genehmigte Befehle auszuführen oder Berechtigungen in AWS Service Catalog für Ihre bereitgestellten Produkte anzufordern, ohne Endbenutzern vollen Zugriff auf AWS Services gewähren zu müssen. Sie verwenden AWS Systems Manager-Dokumente, um Serviceaktionen zu definieren. Die AWS Systems Manager-Dokumente bieten Zugriff auf vordefinierte Aktionen, die bewährte Methoden von AWS implementieren, z. B. das Stoppen und Neustarten von Amazon EC2. Sie können auch benutzerdefinierte Aktionen definieren.

Hersteller können ihre Anwendungen in Service Catalog AppRegistry definieren, indem sie einen Namen, eine Beschreibung, Zuordnungen zu Anwendungsmetadaten und Zuordnungen zu CloudFormation-Stapeln angeben. Die zugehörigen Attributgruppen stellen die Metadaten dar, die Ihr Unternehmen für die Anwendung erstellt und verwaltet. Die zugeordneten CloudFormation-Stapel repräsentieren die der Anwendung zugeordneten AWS-Ressourcen. Dies kann die in einer einzelnen Umgebung erforderliche Infrastruktur sein, oder sie kann auch die Code-Repositorys und Pipelines enthalten, die die Anwendung in allen Umgebungen unterstützen. Bestehenden oder neuen CloudFormation-Stapeln können Anwendungen zugeordnet werden. Stapel können Anwendungen innerhalb der Vorlage selbst zugeordnet werden, wodurch die Anwendungszuordnung während der Bereitstellung automatisiert wird.

Ihr Unternehmen erstellt und verwaltet Attribute, die die für Ihr Unternehmen wichtigen Anwendungsmetadaten erfassen. Anwendungsattribute unterstützen ein offenes JSON-Schema und bieten Ihnen die Flexibilität, die Sie benötigen, um die Komplexität Ihrer Taxonomie für Unternehmensmetadaten zu erfassen. Zu den Anwendungsattributen können Elemente wie die Anwendungssicherheitsklassifizierung, die organisatorische Eigentümerschaft, der Anwendungstyp, die Kostenstelle und Supportinformationen gehören. Hersteller ordnen ihren Anwendungen die erforderlichen Attribute zu. Wenn Attribute aktualisiert werden, wird dies automatisch in allen zugeordneten Anwendungen wiedergegeben.