Часто задаваемые вопросы по AWS Service Catalog

Вопрос. Как создать портфель?

Портфели создаются в консоли AWS Service Catalog. Для каждого портфеля можно указать название, описание и владельца.

Вопрос. Как создать продукт?

Каждый продукт Каталога сервисов основан на шаблоне «инфраструктура как код» (IaC). Можно использовать шаблоны CloudFormation или конфигурации Terraform (один файл tar.gz). Вы можете создать продукт с помощью консоли Каталога сервисов AWS, загрузив шаблон IaC, указав ссылку на корзину S3 или подключившись к внешнему репозиторию Git, где хранится шаблон. При создании продуктов можно указать дополнительную информацию для представления продукта в каталоге, включая подробное описание, сведения о версии, информацию о поддержке и теги.

Вопрос: Зачем использовать теги для портфеля?

Теги полезны для идентификации и группировки ресурсов AWS, выделяемых конечными пользователями. Кроме того, теги можно применять в политиках AWS Identity and Access Management (IAM) для предоставления или ограничения доступа пользователям, группам и ролям IAM либо для ограничения набора операций, которые могут быть выполнены пользователями, группами и ролями IAM. При добавлении тегов к портфелю они применяются ко всем инстансам ресурсов, выделяемых продуктами в портфеле.

Вопрос: Как открыть пользователям доступ к портфелю?

Для того чтобы открыть в своем аккаунте AWS доступ к портфелям для пользователей IAM, требуется опубликовать созданный портфель или портфель, к которому вам был предоставлен доступ. При публикации портфеля в консоли AWS Service Catalog, перейдя на страницу описания портфеля, вы сможете добавить к портфелю пользователей, группы или роли IAM. После добавления пользователей к портфелю они получают возможность просматривать и запускать любые продукты их портфеля. Принято создавать несколько портфелей с различными продуктами и отдельные разрешения доступа для конкретных типов конечных пользователей. Например, продукты в портфеле для отдела разработки, скорее всего, будут отличаться от продуктов в портфеле, предназначенном для отдела продаж и маркетинга. Один продукт можно опубликовать в нескольких портфелях с различными наборами разрешений и политиками выделения ресурсов.

Вопрос: Можно ли предоставить доступ к портфелю другим аккаунтам AWS?

Да. Предоставить доступ к портфелям можно пользователям в одном или нескольких других аккаунтах AWS. При предоставлении общего доступа к портфелю другим аккаунтам AWS вы продолжаете владеть и управлять портфелем. Только вы можете вносить изменения, например добавлять новые продукты или обновлять существующие. И только вы можете закрыть общий доступ к портфелю в любое время. Любые продукты, или стеки, используемые в настоящее время, продолжают работать, пока владелец стека не решит остановить их.

Для предоставления общего доступа к портфелю необходимо указать ID целевого аккаунта и отправить имя ARN (Amazon Resource Name) портфеля этому аккаунту. Владелец данного аккаунта может создать ссылку на общий портфель и назначить портфелю пользователей IAM своего аккаунта. Вы продолжаете курировать папку портфелей и предоставлять дополнительную информацию, чтобы помочь конечным пользователям.

Вопрос. Можно ли создать продукт из существующего образа AMI Amazon EC2?

Да. Для создания продукта можно использовать существующий образ AMI Amazon EC2, представив его в виде шаблона AWS CloudFormation.

Вопрос: Можно ли использовать продукты из AWS Marketplace?

Да. Пользователи могут подписаться на продукт в AWS Marketplace и использовать действие «Copy to Service Catalog», чтобы скопировать продукт из Marketplace непосредственно в Service Catalog. Кроме того, можно использовать образ AMI Amazon EC2 нужного продукта, чтобы создать продукт AWS Service Catalog. Для этого продукт с подпиской необходимо представить в виде шаблона AWS CloudFormation. Для получения дополнительных сведений о копировании или пакетировании продуктов из AWS Marketplace нажмите здесь.

Вопрос: Как контролировать доступ к портфелям и продуктам?

Для контроля доступа к портфелям и продуктам нужно назначить пользователей, группы и роли IAM на странице описания портфеля. После предоставления доступа пользователи смогут просматривать доступные продукты в консоли AWS Service Catalog.

Вопрос: Можно ли добавить новую версию продукта?

Да. Процедура создания новых версий продукта аналогична созданию самих продуктов. После публикации новой версии продукта в портфеле конечные пользователи смогут выбрать для запуска его новую версию. Кроме того, они смогут обновить запущенные стеки до новой версии. AWS Service Catalog не предусматривает автоматического обновления продуктов, которые на момент публикации обновления уже используются.

Вопрос: Можно ли предоставить пользователю продукт и сохранить полный контроль над связанными ресурсами AWS?

Да. Вы сохраняете полный контроль над аккаунтами и ролями AWS, используемыми при выделении продуктов. Для выделения ресурсов AWS можно использовать либо разрешения доступа IAM данного пользователя, либо предопределенную роль IAM. Для сохранения полного контроля над ресурсами AWS необходимо указать определенную роль IAM на уровне продукта. AWS Service Catalog использует эту роль при выделении ресурсов в стеке.

Вопрос: Можно ли ограничить набор ресурсов AWS, которые могут выделять пользователи?

Да. Вы можете определить правила, ограничивающие значения параметров, вводимых пользователем при запуске продукта. Эти правила называются ограничениями шаблона, потому что они ограничивают способ развертывания шаблона AWS CloudFormation для продукта. С помощью простого редактора можно создать ограничения шаблона, а затем применить их к отдельным продуктам.

AWS Service Catalog применяет ограничения при выделении нового продукта и обновлении уже используемого продукта. Сервис всегда применяет самое жесткое из ограничений, относящихся к портфелю и продукту. Например, рассмотрим сценарий, когда продукт разрешает запуск всех инстансов EC2, а портфель имеет два ограничения: первое разрешает запуск всех инстансов EC2, не имеющих тип GPU, а второе разрешает только запуск инстансов EC2 типов t1.micro и m1.small. В этом случае Каталог сервисов AWS применяет второе, более жесткое ограничение (только t1.micro и m1.small). В настоящее время ограничения шаблонов для конфигураций Terraform не поддерживаются. 

Вопрос. Можно ли использовать в Каталоге сервисов шаблон CloudFormation на языке YAML?

Да, в настоящее время поддерживаются шаблоны как на языке JSON, так и на YAML.

Вопрос. Можно ли подключить инстансы ServiceNow и Jira Service Desk к Каталогу сервисов AWS?

Да. AWS Service Management Connector для ServiceNow и Jira Service Desk (прежнее название – AWS Service Catalog Connector) предоставляет возможности интеграции с проектами ServiceNow и Jira Service Desk. Это упрощает выделение облачных сервисов и управление ресурсами для администраторов ServiceNow и Jira Service Desk, а также помогает пользователям ServiceNow запрашивать продукты AWS, которые могут быть любыми ИТ‑сервисами, которые администраторы хотят сделать доступными для развертывания в AWS.

Администраторы ServiceNow и Jira Service Desk могут настроить связующую библиотеку для работы с существующими или новыми аккаунтами и ролями AWS. Пользователи ServiceNow и Jira Service Desk могут просматривать и запрашивать продукты AWS, утвержденные администраторами. Вы также можете просматривать сведения об элементах конфигурации для выделенных продуктов и выполнять документы AWS Systems Manager Automation в ServiceNow и Jira Service Desk. Это упрощает запрос продуктов AWS для пользователей ServiceNow и Jira Service Desk, а также позволяет администраторам ServiceNow и Jira Service Desk управлять продуктами AWS и контролировать их использование.

Связующая библиотека AWS Service Management Connector для ServiceNow доступна бесплатно в магазине ServiceNow Store. Эта новая возможность является общедоступной во всех регионах AWS, где предоставляется сервис AWS Service Catalog. Дополнительные сведения см. в документации.

Связующая библиотека AWS Service Management Connector для Jira Service Desk доступна бесплатно в магазине Atlassian Marketplace. Эта новая возможность является общедоступной во всех регионах AWS, где предоставляется сервис AWS Service Catalog. Дополнительные сведения см. в документации.

Вопрос. Как узнать список доступных продуктов?

Просмотреть список доступных продуктов можно после входа в консоль AWS Service Catalog. Далее выполните поиск по порталу продуктов, соответствующих вашим требованиям, или перейдите на страницу с полным перечнем продуктов. Здесь можно выполнять сортировку для поиска нужного продукта.

Для каждого продукта можно просмотреть страницу описания продукта, на которой отображаются сведения о продукте, включая версию, наличие доступной новой версии продукта, описание, информацию о поддержке и связанные с продуктом теги. Страница сведений о продукте также может показывать способ выделения продукта: с помощью собственных разрешений доступа (Self) или указанной администратором роли (role‑arn).

Вопрос: Как выполнить развертывание продукта?

Найдя в портале продукт, отвечающий вашим требованиям, нажмите кнопку «Launch». Вам предстоит ответить на ряд вопросов о том, как планируется использовать продукт. Вопросы могут относиться к задачам бизнеса или требованиям инфраструктуры (например, «Какой тип инстанса EC2 будет использоваться?»). После предоставления требуемой информации продукт появится в консоли AWS Service Catalog. Во время выделения продукта вы увидите, что он перешел в состояние «in progress». По завершении выделения отобразится надпись «complete», а также такая информация, как адреса сервера или имена ARN (Amazon Resource Name), которые можно использовать для доступа к продукту.

Вопрос: Можно ли увидеть список используемых продуктов?

Да. Список используемых продуктов можно увидеть с помощью консоли AWS Service Catalog. Вы сможете увидеть все используемые стеки, а также версию продукта, использованную при их создании.

Вопрос: Как обновить продукты после выпуска новой версии?

После публикации новой версии продукта для ее использования достаточно выполнить команду «Update Stack». Если продукт, для которого выпущено обновление, в настоящий момент запущен, его необходимо закрыть, чтобы можно было выполнить обновление до новой версии.

Вопрос: Как контролировать состояние продуктов?

Список используемых продуктов и их состояние можно увидеть в консоли Каталога сервисов AWS.

Вопрос. Что такое поддержка Каталога сервисов AWS для Terraform с открытым исходным кодом и облачных продуктов Terraform?

Каталог сервисов AWS позволяет клиентам, использующим продукты Terraform с открытым исходным кодом и облачные продукты Terraform, предоставлять своим конечным пользователям в AWS сервисы с самостоятельным управлением. Центральные ИТ-подразделения могут использовать единый инструмент для организации, контроля и распространения конфигураций Terraform в AWS в любом масштабе. Они могут получить доступ к ключевым функциям Каталога сервисов AWS, включая каталогизацию стандартизированных и предварительно утвержденных шаблонов, контроль доступа, наименьшие привилегии при выделении ресурсов, управление версиями, совместное использование в тысячах аккаунтов AWS и маркировку. Конечные пользователи просто видят список продуктов и версий, к которым у них есть доступ, и могут развернуть их одним действием.

Чтобы начать работу, используйте предоставленный AWS эталонный движок Terraform, который устанавливает и настраивает код и инфраструктуру, необходимые для работы движка Terraform с открытым исходным кодом или облачного движка Terraform в Каталоге сервисов AWS. Эта одноразовая настройка занимает всего несколько минут.

Чтобы узнать, как каталогизировать, контролировать, распространять и развертывать продукты Terraform с помощью Каталога сервисов AWS, ознакомьтесь с нашей документацией.

Вопрос. Кому следует воспользоваться поддержкой Каталога сервисов AWS для Terraform?

Если Terraform с открытым исходным кодом или облачные продукты Terraform является вашим инструментом IaC, вы можете использовать Каталог сервисов, чтобы предложить своим командам самостоятельное выполнение конфигураций Terraform. Если вы используете сочетание конфигураций CloudFormation и Terraform в различных командах или сценариях использования, теперь можно применять Каталог сервисов AWS в качестве единого инструмента для каталогизации и совместного использования их обеих. Для конечных пользователей Каталог сервисов AWS предоставляет простой в использовании общий интерфейс для просмотра и предоставления ресурсов независимо от технологии IaC.

Вопрос. Как начать пользоваться поддержкой Каталога сервисов AWS для Terraform с открытым исходным кодом и облачными продуктами Terraform?

Чтобы использовать Каталог сервисов AWS с открытым исходным кодом Terraform, вам необходимо настроить движок Terraform с открытым исходным кодом в одном из своих аккаунтов. Создайте движок Terraform с открытым исходным кодом, используя предоставленный AWS эталонный движок Terraform, который устанавливает и настраивает код и инфраструктуру, необходимые для работы движка Terraform с открытым исходным кодом в Каталоге сервисов AWS. После этой одноразовой настройки, которая займет всего несколько минут, вы можете приступить к созданию продуктов Terraform с открытым исходным кодом в Каталоге сервисов AWS.

Чтобы использовать Каталог сервисов AWS с облачными продуктами Terraform, используйте предоставленный AWS эталонный движок Terraform для облачных продуктов Terraform, который устанавливает и настраивает код и инфраструктуру, необходимые для работы облачного движка Terraform в Каталоге сервисов AWS. Дополнительную информацию см. в документации.

Вопрос. Можно ли разрешить нескольким аккаунтам AWS предоставлять ресурсы Terraform с помощью одного централизованного движка Terraform с открытым исходным кодом или облачного движка Terraform?

Да. Каталог сервисов AWS поддерживает веерную модель hub and spoke, согласно которой продукт определяется в одном центральном аккаунте, а затем им можно поделиться с тысячами аккаунтов AWS. Вы можете установить движок Terraform с открытым исходным кодом или облачный движок Terraform и создать продукты Terraform в этом центральном аккаунте. Затем вы можете поделиться ими с другими аккаунтами и разрешить доступ к ролям, пользователям и группам IAM в этих аккаунтах. Обратите внимание, что вам нужно будет определить роли запуска с достаточными разрешениями в каждом из этих аккаунтов.

Вопрос. Является ли поддержка Каталога сервисов AWS для Terraform с открытым исходным кодом или облачных продуктов Terraform управляемым сервисом?

Частично. AWS поддерживает каталогизацию, совместное использование и доступ конечных пользователей к продуктам Terraform. Вы несете ответственность за то, чтобы ваша среда Terraform с открытым исходным кодом или облачная среда Terraform была готова и хорошо интегрирована с Каталогом сервисов AWS. Вам также необходимо определить роль запуска с разрешениями на предоставление и маркирование всех ресурсов, связанных с продуктами Terraform.

Вопрос. Можно ли подключить Каталог сервисов AWS к моему репозиторию исходного кода, где хранятся мои конфигурации Terraform?

Да. Каталог сервисов AWS позволяет синхронизировать продукты с файлами шаблонов, которыми управляют GitHub, GitHub Enterprise или Bitbucket. Независимо от выбранного репозитория, формат файла шаблона по-прежнему должен представлять собой один файл, заархивированный в Tar и сжатый в Gzip. 

Вопрос. Как Каталог сервисов AWS управляет файлами состояния моих продуктов Terraform с открытым исходным кодом и облачными продуктами Terraform?

Каждый продукт Terraform с открытым исходным кодом или облачный продукт Terraform имеет один файл состояния, который хранится в аккаунте AWS вашего движка Terraform с открытым исходным кодом или облачного движка Terraform в корзине AWS S3. Администраторы Каталога сервисов AWS увидят список файлов состояния, но не смогут прочитать или записать их содержимое. Делать это может только ваш движок Terraform с открытым исходным кодом или облачный движок Terraform.

Вопрос. Какова стоимость использования этой функции?

Стоимость этой функции такая же, как и стоимость всех других функций Каталога сервисов AWS: 0,0007 USD за вызов API после первой 1000 вызовов в аккаунте или регионе. Чтобы узнать больше, посетите эту страницу. 

Вопрос. Что такое AWS Service Catalog AppRegistry?

AWS Service Catalog AppRegistry помогает организациям понять прикладной контекст своих ресурсов AWS. AppRegistry предоставляет репозиторий для информации, описывающей ваши корпоративные приложения и связанные ресурсы.

Вопрос. Для кого предназначен AWS Service Catalog AppRegistry?

Сервис AWS Service Catalog AppRegistry был разработан для организаций, которым требуется единое актуальное определение приложений в среде AWS.

Вопрос. Что такое приложение?

AWS Service Catalog AppRegistry позволяет определить приложение, включая имя, описание, связанные стеки CloudFormation и метаданные приложения, представленные группами атрибутов. Связанные стеки CloudFormation представляют собой все ресурсы, необходимые для приложения. Такие ресурсы могут быть инфраструктурой, необходимой в единственной среде, или включать в себя репозитории кода, конвейеры и ресурсы IAM, которые поддерживают приложение во всех средах. С приложениями можно связать существующие или новые стеки CloudFormation. Новые стеки можно связать с приложением после выделения, включив связь в приложение с шаблоном стека CloudFormation.

Вопрос. Что такое группа атрибутов?

Группы атрибутов содержат метаданные приложения, которые имеют значение для вашей организации. Группы атрибутов включают в себя открытую JSON-схему, что обеспечивает гибкость при сборе комплексных корпоративных метаданных. Атрибуты приложения могут включать в себя такие метаданные, как классификация безопасности приложения, тип собственности организации, тип приложения, центр затрат и сведения о поддержке. Разработчики связывают группы атрибутов со своим приложением. При обновлении группы атрибутов изменения автоматически отражаются во всех приложениях, связанных с группой атрибутов.

Вопрос. В каких регионах доступен AWS Service Catalog?

Исчерпывающий список поддерживаемых регионов AWS см. в таблице регионов AWS.

Вопрос. Доступны ли API? Можно ли использовать для доступа к AWS Service Catalog AppRegistry интерфейс командной строки?

Да, доступны все действия API и CLI.