Вопрос: Что такое AWS Service Catalog?

AWS Service Catalog позволяет ИТ-администраторам создавать, контролировать и распространять каталоги одобренных продуктов для конечных пользователей, которые в результате получают доступ к нужным продуктам на индивидуально настроенном портале. У администраторов есть возможность контролировать доступ пользователей к каждому продукту в целях обеспечения соответствия требованиям корпоративной политики. Администраторы могут также настраивать адаптированные роли, чтобы конечным пользователям для развертывания одобренных ресурсов требовался только доступ IAM к каталогу AWS Service Catalog. AWS Service Catalog позволит вашей организации повысить гибкость и снизить затраты, поскольку конечные пользователи смогут находить и запускать только нужные им продукты из каталога, контролируемого вами.

 

Начните работать с AWS бесплатно

Создать бесплатный аккаунт
или войти в Консоль

Получите доступ к уровню бесплатного пользования AWS на год, включая преимущества базовой поддержки: круглосуточное обслуживание клиентов (без праздников и выходных), форумы и многое другое.

Вопрос: Для кого предназначен AWS Service Catalog?

AWS Service Catalog разработан для организаций, ИТ-отделов и поставщиков управляемых сервисов (MSP), которым требуются централизованные политики. Он позволяет ИТ-администраторам распространять и контролировать ресурсы и сервисы AWS. Для крупных организаций этот продукт обеспечивает стандартный способ выделения облачных ресурсов тысячам пользователей. Но он также подходит и для небольших команд, в которых менеджеры разработки смогут создавать и поддерживать стандартную среду разработки и тестирования.

Вопрос: Как начать работу с AWS Service Catalog?

В разделе «Management Tools» Консоли управления AWS выберите «AWS Service Catalog». В консоли AWS Service Catalog администраторы могут создавать портфели, добавлять продукты и предоставлять пользователям разрешения на их использование с помощью всего нескольких щелчков мышью. Конечные пользователи, вошедшие в консоль AWS Service Catalog, могут просматривать и запускать продукты из списка, созданного для них администраторами.

Вопрос: Какие функции AWS Service Catalog были недоступны конечным пользователям ранее?

Конечные пользователи получают простой портал, в котором можно найти и запустить продукты, соответствующие требованиям корпоративной политики и бюджетным ограничениям.

Вопрос: Что такое портфель?

Портфель – это набор продуктов с дополнительной конфигурационной информацией, которая определяет, кто и каким образом может использовать данные продукты. Администраторы могут создавать собственные портфели для каждого типа пользователей в организации и выборочно предоставлять доступ к нужному портфелю. Когда администратор добавляет в портфель новую версию продукта, она автоматически становится доступна всем текущим пользователям портфеля. Один и тот же продукт можно включать в несколько портфелей. Также администраторы могут предоставлять другим аккаунтам AWS общий доступ к портфелям и разрешать администраторам этих аккаунтов расширять портфели путем применения дополнительных ограничений. Применяя портфели, разрешения, общий доступ и ограничения, администраторы могут гарантировать, что пользователи запускают продукты, правильно настроенные для целей организации.

Вопрос: Что такое продукт?

Продукт – это сервис или приложение для конечных пользователей. Каталог представляет собой набор продуктов; администратор создает их, добавляет в портфели и обеспечивает необходимые обновления с помощью сервиса AWS Service Catalog. Продукт может включать в себя один или несколько ресурсов AWS, таких как инстансы Amazon Elastic Compute Cloud (Amazon EC2), тома хранилищ, базы данных, конфигурации мониторинга и компоненты сетевой конфигурации. Продукт может являться отдельным вычислительным инстансом с AWS Linux, полностью настроенным многоуровневым интернет-приложением, запущенным в изолированной среде, или комбинацией этих вариантов.

Администраторы распределяют продукты конечным пользователям с помощью портфелей. Администраторы создают каталоги продуктов, импортируя шаблоны AWS CloudFormation. Эти шаблоны определяют ресурсы AWS, необходимые для работы продукта, отношения между компонентами и параметры, которые конечные пользователи могут выбирать при запуске продукта для настройки групп безопасности, создания пар ключей и выполнения других настроек.

Конечный пользователь, имеющий доступ к портфелю, может воспользоваться Консолью управления AWS для поиска продукта со стандартной средой разработки и тестирования, например в форме шаблона AWS CloudFormation, а затем управлять полученными ресурсами с помощью консоли AWS CloudFormation. Информация о создании продукта приведена в разделе «Как создать продукт?» раздела для ИТ-администратора.

Вопрос: Распределен ли AWS Service Catalog по регионам?

Да. AWS Service Catalog полностью распределен по регионам, так что вы можете контролировать, в каких регионах хранятся данные. Портфели и продукты – это региональные компоненты, которые нужно создавать для каждого региона и которые видны/доступны только в регионах, где они созданы.

Вопрос: В каких регионах доступен AWS Service Catalog?

Полный список поддерживаемых регионов AWS см. в Таблице регионов AWS.

Вопрос: Доступны ли API? Можно ли использовать для доступа к AWS Service Catalog интерфейс командной строки?

Да, API доступны, их можно включить с помощью командной строки. Доступны действия от управления артефактами Service Catalog до выделения и отключения ресурсов. См. дополнительные сведения в документации AWS Service Catalog или загрузите последнюю версию AWS SDK или CLI.

Вопрос: Можно ли получить частный доступ к API AWS Service Catalog из облака Amazon Virtual Private Cloud (VPC) без использования публичных IP-адресов?

Да, частный доступ к API-интерфейсам AWS Service Catalog из облака Amazon Virtual Private Cloud (VPC) можно получить, создав конечные точки VPC. При использовании конечных точек VPC маршрутизация между VPC и AWS Service Catalog осуществляется сетью AWS без необходимости использования интернет-шлюза, шлюза NAT или VPN-подключения. Последнее поколение конечных точек VPC, используемое AWS Service Catalog, работает на основе AWS PrivateLink – технологии AWS, которая обеспечивает частное соединение между сервисами AWS, используя в VPC эластичные сетевые интерфейсы (ENI) с частными IP-адресами. Подробнее об AWS PrivateLink см. в документации AWS PrivateLink.


Вопрос: Как создать портфель?

Портфели создаются в консоли AWS Service Catalog. Для каждого портфеля указывается название, описание и владелец.

Вопрос: Как создать продукт?

Для того чтобы создать продукт, сначала создайте шаблон AWS CloudFormation, используя готовый шаблон AWS CloudFormation либо создав свой собственный. Затем используйте консоль AWS Service Catalog для загрузки шаблона и создания продукта. При создании продуктов можно указать дополнительную информацию для представления продукта в каталоге, включая подробное описание, сведения о версии, информацию о поддержке и теги.

Вопрос: Зачем использовать теги для портфеля?

Теги полезны для идентификации и группировки ресурсов AWS, выделяемых конечными пользователями. Кроме того, теги можно применять в политиках AWS Identity and Access Management (IAM) для предоставления или ограничения доступа пользователям, группам и ролям IAM либо для ограничения набора операций, которые могут быть выполнены пользователями, группами и ролями IAM. При добавлении тегов к портфелю они применяются ко всем инстансам ресурсов, выделяемых продуктами в портфеле.

Вопрос: Как открыть доступ к портфелю пользователям?

Для того чтобы открыть в своем аккаунте AWS доступ к портфелям для пользователей IAM, требуется опубликовать созданный портфель или портфель, к которому вам был предоставлен доступ. При публикации портфеля в консоли AWS Service Catalog, перейдя на страницу описания портфеля, вы сможете добавить к портфелю пользователей, группы или роли IAM. После добавления пользователей к портфелю они получают возможность просматривать и запускать любые продукты их портфеля. Принято создавать несколько портфелей с различными продуктами и отдельные разрешения доступа для конкретных типов конечных пользователей. Например, портфель для отдела разработки, скорее всего, будет содержать различные продукты из портфеля, предназначенного для отдела продаж и маркетинга. Один продукт можно опубликовать в нескольких портфелях с различными разрешениями доступа и политиками выделения ресурсов.

Вопрос: Можно ли предоставить доступ к портфелю другим аккаунтам AWS?

Да. Предоставить доступ к портфелям можно пользователям в одном или нескольких других аккаунтах AWS. При предоставлении общего доступа к портфелю другим аккаунтам AWS вы продолжаете владеть и управлять портфелем. Только вы можете вносить изменения, например добавлять новые продукты или обновлять существующие. И только вы можете закрыть общий доступ к портфелю в любое время. Любые продукты, или стеки, используемые в настоящее время, продолжают работать, пока владелец стека не решит остановить их.

Для предоставления общего доступа к портфелю необходимо указать ID целевого аккаунта и отправить имя ARN (Amazon Resource Name) портфеля этому аккаунту. Владелец данного аккаунта может создать ссылку на общий портфель и назначить портфелю пользователей IAM своего аккаунта. Вы продолжаете курировать папку портфелей и предоставлять дополнительную информацию, чтобы помочь конечным пользователям.

Вопрос: Можно ли изменять опыт взаимодействия с продуктом для разных конечных пользователей?

Да. Можно адаптировать опыт взаимодействия с продуктом под конкретных конечных пользователей. Шаблон AWS CloudFormation содержит входные параметры, определяющие опыт взаимодействия. Можно определить входные параметры на уровне бизнеса (например, «Сколько пользователей будет поддерживаться?» или «Планируется ли хранить личные данные пользователей?») или входные параметры на уровне инфраструктуры (например, «Какой тип инстанса Amazon EC2 используется?») для конкретного пользователя. После развертывания шаблона AWS CloudFormation пользователь увидит данные вопросы и сможет выбрать ответы на каждый из них из ограниченного списка. В зависимости от ответов шаблон может быть развернут с помощью разных инстансов Amazon Elastic Compute Cloud (EC2) и разных ресурсов AWS.

Вопрос: Можно ли создать продукт из существующего образа AMI Amazon EC2?

Да. Можно использовать для создания продукта существующий образ AMI Amazon EC2, представив его в виде шаблона AWS CloudFormation.

Вопрос: Можно ли использовать продукты из AWS Marketplace?

Да. Пользователи могут подписаться на продукт в AWS Marketplace и использовать действие «Copy to Service Catalog», чтобы скопировать продукт из Marketplace непосредственно в Service Catalog.Кроме того, можно использовать образ Amazon EC2 AMI нужного продукта, чтобы создать продукт AWS Service Catalog. Для этого продукт с подпиской необходимо представить в виде шаблона AWS CloudFormation. Для получения дополнительных подробностей о копировании или представлении продуктов из AWS Marketplace нажмите здесь.

Вопрос: Как контролировать доступ к портфелям и продуктам?

Для контроля доступа к портфелям и продуктам нужно назначить пользователей, группы и роли IAM на странице описания портфеля. После предоставления доступа пользователи смогут просматривать доступные продукты в консоли AWS Service Catalog.

Вопрос: Можно ли добавить новую версию продукта?

Да. Процедура создания новых версий продукта аналогична созданию самих продуктов. После публикации новой версии продукта в портфеле конечные пользователи смогут выбрать для запуска его новую версию. Кроме того, они смогут обновить запущенные стеки до новой версии. AWS Service Catalog не предусматривает автоматического обновления продуктов, которые на момент публикации обновления уже используются.

Вопрос: Можно ли предоставить пользователю продукт и сохранить полный контроль над связанными ресурсами AWS?

Да. Вы сохраняете полный контроль над аккаунтами и ролями AWS, используемыми при выделении продуктов. Для выделения ресурсов AWS можно использовать либо разрешения доступа IAM данного пользователя, либо предопределенную роль IAM. Для сохранения полного контроля над ресурсами AWS необходимо указать определенную роль IAM на уровне продукта. AWS Service Catalog использует эту роль при выделении ресурсов в стеке.

Вопрос: Можно ли ограничить набор ресурсов AWS, которые могут выделять пользователи?

Да. Вы можете определить правила, ограничивающие значения параметров, вводимых пользователем при запуске продукта. Эти правила называются ограничениями шаблона, потому что они ограничивают способ развертывания шаблона AWS CloudFormation для продукта. С помощью простого редактора можно создать ограничения шаблона, а затем применить их к отдельным продуктам.

AWS Service Catalog применяет ограничения при выделении нового продукта и обновлении уже используемого продукта. Сервис всегда применяет самое жесткое из ограничений, относящихся к портфелю и продукту. Например, рассмотрим сценарий, когда продукт разрешает запуск всех инстансов EC2, а портфель имеет два ограничения: первое разрешает запуск всех инстансов EC2, не имеющих тип GPU, а второе разрешает только запуск инстансов EC2 типов t1.micro и m1.small. В этом случае AWS Service Catalog применяет второе, более жесткое, ограничение (только t1.micro и m1.small).

Вопрос: Можно ли использовать в Service Catalog шаблон CloudFormation на языке YAML?

Да, в настоящее время поддерживаются шаблоны как на языке JSON, так и на YAML.  


Вопрос: Как узнать список доступных продуктов?

Просмотреть список доступных продуктов можно после входа в консоль AWS Service Catalog. Далее выполните поиск по порталу продуктов, соответствующих вашим требованиям, или перейдите на страницу с полным перечнем продуктов. Здесь можно выполнять сортировку для поиска нужного продукта.

Для каждого продукта можно просмотреть страницу описания продукта, на которой отображаются сведения о продукте, включая версию, наличие доступной новой версии продукта, описание, информацию о поддержке и связанные с продуктом теги. Страница сведений о продукте также может показывать способ выделения продукта: с помощью ваших разрешений доступа (Self) или указанной администратором роли (role-arn).  

Вопрос: Как выполнить развертывание продукта?

Найдя в портале продукт, отвечающий вашим требованиям, нажмите кнопку «Launch». Вам предстоит ответить на ряд вопросов о том, как планируется использовать продукт. Вопросы могут относиться к задачам бизнеса или требованиям инфраструктуры (например, «Какой тип инстанса EC2 будет использоваться?»). После предоставления требуемой информации продукт появится в консоли AWS Service Catalog. Во время выделения продукта вы увидите, что он перешел в состояние «in progress». По завершении выделения отобразится надпись «complete», а также такая информация, как адреса сервера или имена ARN (Amazon Resource Name), которые можно использовать для доступа к продукту.

Вопрос: Можно ли увидеть список используемых продуктов?

Да. Список используемых продуктов можно увидеть с помощью консоли AWS Service Catalog. Вы сможете увидеть все используемые стеки, а также версию продукта, использованную при их создании.

Вопрос: Как обновить продукты после выпуска новой версии?

После публикации новой версии продукта для ее использования достаточно выполнить команду «Update Stack». Если продукт, для которого выпущено обновление, в настоящий момент запущен, его необходимо закрыть, чтобы можно было выполнить обновление до новой версии.

Вопрос: Как контролировать состояние продуктов?

Список используемых продуктов и их состояние можно увидеть в консоли AWS Service Catalog.