本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理产品组合
您可以在 AWS Service Catalog 管理员控制台的**产品组合**页面上创建、查看和更新产品组合。
**Topics**
+ [创建、查看和删除产品组合](#portfoliomgmt-menu)
+ [查看产品组合详细信息](#portfoliomgmt-portdetails)
+ [创建和删除产品组合](portfoliomgmt-create.md)
+ [添加产品](portfoliomgmt-products.md)
+ [添加约束](portfoliomgmt-constraints.md)
+ [向用户授予访问权限](catalogs_portfolios_users.md)
+ [共享产品组合](catalogs_portfolios_sharing_how-to-share.md)
+ [共享和导入产品组合](catalogs_portfolios_sharing.md)
## 创建、查看和删除产品组合
**产品组合**页面显示您在当前区域中创建的产品组合的列表。使用此页面可创建新的产品组合、查看产品组合的详细信息或从您的账户中删除产品组合。
**查看**产品组合**页面**
1. 打开 Service Catalog 控制台,网址为[https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/)。
1. 根据需要选择不同的区域。
1. 如果您是新手 AWS Service Catalog,则会看到起 AWS Service Catalog 始页。选择 **Get started** 以创建产品组合。按照说明创建您的第一个产品组合,然后继续进入**产品组合**页面。
使用时 AWS Service Catalog,您可以随时返回 “**投资组合**” 页面;在导航栏中选择 S **ervice Catalog**,然后选择 Portf **ol** ios。
## 查看产品组合详细信息
在 AWS Service Catalog 管理员控制台中,**投资组合详细信息**页面列出了投资组合的设置。使用此页可以管理产品组合中的产品、授予用户对产品的访问权限以及应用 TagOptions 和限制。
**查看 **Portfolio details** 页面**
1. 打开 Service Catalog 控制台,网址为[https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/)。
1. 选择要管理的产品组合。
# 创建和删除产品组合
使用**产品组合**页面创建和删除产品组合。
**创建新的产品组合**
1. 从左侧导航菜单中,选择**产品组合**。
1. 选择**创建产品组合**。
1. 在**创建产品组合**页面输入所需信息。
1. 选择 “**创建**”。 AWS Service Catalog 创建投资组合并显示投资组合的详细信息。
**删除产品组合**
**注意**
您只能删除*本地*产品组合。您可以删除*导入*的(共享)产品组合,但不能删除导入的产品组合。
在删除投资组合之前,必须先移除其所有产品、约束、群组、角色、用户、共享和 TagOptions。为此,请打开一个产品组合以显示**产品组合详细信息**。然后选择选项卡将其删除。
**注意**
为避免错误,请在删除任何产品*之前*从产品组合中删除约束。
1. 从左侧导航菜单中,选择**产品组合**。
1. 选择要删除的产品组合。
1. 选择**删除**。您只能删除*本地*产品组合。如果您正在尝试删除*导入*的(共享)产品组合,则**操作**菜单不可用。
1. 在确认窗口中,选择**删除**。
# 添加产品
您可以通过将新产品直接上传到现有产品组合或将目录中的现有产品与产品组合关联来将产品添加到产品组合。
**注意**
创建 AWS Service Catalog 产品时,您可以上传 CloudFormation 模板或 Terraform 配置文件。该 CloudFormation 模板存储在亚马逊简单存储服务 (Amazon S3) 存储桶中,存储桶名称以 ***“cf-templates-”*** 开头。在预配置产品时,您还必须具有从其他存储桶中检索对象的权限。有关更多信息,请参阅[创建产品](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/productmgmt-cloudresource.html#productmgmt-cloudresource-troubleshooting)。
## 添加新产品
您可以直接从**产品组合详细信息**页面添加新产品。通过此页面创建产品时,将其 AWS Service Catalog 添加到当前选定的产品组合中。
**添加新产品**
1. 导航到**产品组合**页面,然后选择要将产品添加到的产品组合的名称。
1. 在**产品组合详细信息**页面上,展开**产品**部分,然后选择**上传新产品**。
1. 对于 **Enter product details**,输入以下内容:
+ **产品名称** - 产品的名称。
+ **产品描述**(可选) - 产品描述。此描述显示在产品列表中,可帮助您选择正确的产品。
+ **描述** - 完整描述。此描述显示在产品列表中,可帮助您选择正确的产品。
+ **所有者或分销商** - 所有者的姓名或电子邮件地址。经销商的联系信息是可选的。
+ **供应商**(可选) – 应用程序发布者的名称。利用此字段,您可以对其产品列表进行排序,以便更轻松地找到产品。
1. 在 **Version details** 页面上,输入以下内容:
+ **选择模板** — 对于 CloudFormation 产品,请选择您自己的模板文件、本地驱动器中的 CloudFormation 模板或指向 Amazon S3 中存储的模板的 URL、现有 CloudFormation 堆栈 ARN 模板或存储在外部存储库中的模板文件。
对于 Terraform 产品,请选择您自己的模板文件、本地驱动器中的 tar.gz 配置文件或指向 Amazon S3 中存储模板的 URL,或者存储在外部存储库中的 tar.gz 配置文件。
+ **版本名称**(可选) – 产品版本的名称(例如,“v1”、“v2beta”)。不允许使用空格。
+ **Description**(可选) – 产品版本的说明,包括此版本与早期版本的区别。
1. 对于 **Enter support details**,输入以下内容:
+ **Email contact** (可选) – 用于报告与产品有关的问题的电子邮件地址。
+ **支持链接**(可选) – 用户可从中找到支持信息或文件票证的站点的 URL。URL 必须以 `http://` 或 `https://` 开头。管理员负责维护支持信息的准确性和可访问性。
+ **支持描述**(可选) – 有关用户应如何使用**联系电子邮件**和**支持链接**的描述。
1. 选择**创建产品**。
## 添加现有产品
您可以从三个位置将现有产品添加到产品组合:**产品组合**列表、**产品组合详细信息**页面或**产品列表**页面。
**将现有产品添加到产品组合**
1. 导航至**产品组合**页面。
1. 选择产品组合。然后选择**操作** - **将产品添加到产品组合**。
1. 选择产品,然后选择**添加产品至产品组合**。
## 从产品组合中删除产品
当您不再希望使用某个产品时,可将该产品从产品组合中删除。产品在**产品**页面的目录中仍然可用,并且您仍可将其添加到其他产品组合。可以一次性从产品组合中删除多个产品。
**从产品组合中删除产品**
1. 导航到**产品组合**页面,然后选择包含该产品的产品组合。**产品组合详细信息**页面随即打开。
1. 展开**产品**部分。
1. 选择一个或多个产品,然后选择**删除**。
1. 确认您的选择。
# 添加约束
您应该添加约束以控制用户与产品的互动方式。有关 AWS Service Catalog 支持的约束类型的更多信息,请参阅[使用 AWS Service Catalog 约束](constraints.md)。
可在产品放置到产品组合后向其添加约束。
**将约束添加到产品**
1. 打开 Service Catalog 控制台,网址为[https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/)。
1. 选择**产品组合**,然后选择一个产品组合。
1. 在产品组合详细信息页面上,展开**创建约束**部分,然后选择**添加约束**。
1. 对于**产品**,请选择要向其应用约束的产品。
1. 对于**约束类型**,选择以下选项之一:
**启动** — 允许您为用于配置 AWS 资源的产品分配 IAM 角色。有关更多信息,请参阅 [AWS Service Catalog 启动限制](constraints-launch.md)。
**通知** - 允许将产品通知流式传输到 Amazon SNS 主题。有关更多信息,请参阅 [AWS Service Catalog 通知限制](constraints-notification.md)。
**模板** - 允许您限制最终用户在启动产品时可用的选项。模板包含 JSON 格式的文本文件,其中包含一个或多个规则。规则已添加到产品使用的 CloudFormation 模板中。有关更多信息,请参阅 [模板约束规则](reference-template_constraint_rules.md)。
**堆栈集**-允许您使用配置跨账户和地区的产品部署 CloudFormation StackSets。有关更多信息,请参阅 [AWS Service Catalog 堆栈集约束](constraints-stackset.md)。
**标签更新** - 允许您在预配置产品后更新标签。有关更多信息,请参阅 [AWS Service Catalog 标签更新约束](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/constraints-resourceupdate.html)。
1. 选择**继续**,然后输入所需信息。
**编辑约束**
1. 登录 AWS 管理控制台 并打开 AWS Service Catalog 管理员控制台,网址为[https://console.aws.amazon.com/catalog/](https://console.aws.amazon.com/catalog/)。
1. 选择**产品组合**,然后选择一个产品组合。
1. 在**产品组合详细信息**页面,展开**创建约束**部分,然后选择要编辑的约束。
1. 选择**编辑约束**。
1. 根据需要编辑约束,然后选择**保存**。
# 向用户授予访问权限
允许用户拥有通过组或角色对产品组合的访问权限。为多个用户提供对产品组合的访问权限的最佳方式是,将用户置于 IAM 用户组中并向该组授予访问权限。这样一来,您只需在组中添加或删除用户即可管理产品组合访问权限。有关更多信息,请参阅 *IAM 用户指南* 中的 [IAM 用户和组](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_WorkingWithGroupsAndUsers.html)。
除了访问产品组合外,用户还必须有权访问 AWS Service Catalog 最终用户控制台。您可以通过在 IAM 中应用权限来授予对该控制台的访问权限。有关更多信息,请参阅 [Identity and Access Management AWS Service Catalog](controlling_access.md)。
如果您想与其他账户共享产品组合及其主体,可以将主体名称(群组、角色或用户)与投资组合相关联。主体名称与产品组合共享,并在收件人账户中用以向最终用户授予访问权限。
**向用户或组授予产品组合访问权限**
1. 打开 Service Catalog 控制台,网址为[https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/)。
1. 在导航窗格中,选择**管理**,然后选择**产品组合**。
1. 选择要向群组、角色或用户授予访问权限的产品组合。 AWS Service Catalog 定向到**投资组合详情**页面。
1. 在**产品组合详细信息**页面上,选择**访问权限**选项卡。
1. 在**产品组合访问权限**下,选择**授予访问权限**。
1. 对于**类型**,选择**主体名称**,然后选择**组/**、**角色/**或**用户/**类型。您最多可以添加 9 个主体名称。
1. 选择**授予访问权限**,关联主体与当前产品组合。
**删除对产品组合的访问权限**
1. 在**产品组合详细信息页面**上,选择组、角色和用户选项卡。
1. 然后选择**删除访问权限**。
# 共享产品组合
要使其他 AWS 账户的 AWS Service Catalog 管理员能够将您的产品分发给最终用户,请使用共享或与他们 account-to-account共享您的产品 AWS Service Catalog 组合 AWS Organizations。
当您使用共享或 Organizations account-to-account 共享作品集时,您就是在共享该作品集的*引用*。导入的产品组合中产品和约束与您对*共享的产品组合*(共享的原始产品组合)进行的更改保持同步。
收件人不能更改产品或约束,但可以为最终用户添加 AWS Identity and Access Management 访问权限。
**注意**
您无法共享已共享的资源。这包括含有共享产品的产品组合。
## Account-to-account 共享
要完成这些步骤,您必须获取目标账户的 AWS 账户 ID。您可以在目标账户的 “**我的账户**” 页面上找到该ID。 AWS 管理控制台
**与 AWS 账户共享投资组合**
1. 打开 Service Catalog 控制台,网址为[https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/)。
1. 在左侧导航菜单中,选择**产品组合**,然后选择要共享的产品组合。在**操作**菜单中,选择**共享**。
1. 在**输入账户 ID** 中,输入您要与之共享的 AWS 账户的账户 ID。(可选)选择 “[TagOption 共享](#tagoptions-share)”。然后选择**共享**。
1. 将 URL 发送给目标账户的 AWS Service Catalog 管理员。URL 将打开**导入产品组合**页面,并会自动提供共享产品组合的 ARN。
### 导入产品组合
如果其他 AWS 账户的 AWS Service Catalog 管理员与您共享投资组合,请将该投资组合导入您的账户,以便您可以将其产品分发给最终用户。
如果投资组合是通过共享的,则无需导入该投资组合 AWS Organizations。
要导入产品组合,您必须从管理员处获取产品 ID。
要查看所有导入的投资组合,请打开 AWS Service Catalog 控制台,网址为[https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/)。在**产品组合**页面上,选择**已导入**选项卡。查看**导入的产品组合**表。
## 与共享 AWS Organizations
您可以使用共享 AWS Service Catalog 投资组合 AWS Organizations。
首先,您必须决定是从管理账户还是从委托管理员账户进行共享。如果您不想从管理账户进行共享,请注册一个委托管理员账户并使用它进行共享。有关更多信息,请参阅《CloudFormation 用户指南》中的[注册委托管理员](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)。
接下来,您必须决定与谁共享。您可以与以下实体共享:
+ 组织账户。
+ 组织部门(OU)。
+ 组织本身。(这将与组织中的每个账户共享。)
### 从管理账户共享
当使用组织结构或输入组织节点的 ID 时,您可以与组织共享产品组合。
****使用组织结构与组织共享投资组合****
1. 打开 AWS Service Catalog 控制台,网址为[https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/)。
1. 在**产品组合**页面上,选择要共享的产品组合。在**操作**菜单中,选择**共享**。
1. 选择 **AWS Organizations** 并筛选到您的组织结构。
您可以选择根节点与整个组织、上级组织单位 (OU)、子组织单位或组织内的 AWS 帐户共享产品组合。
共享给父级组织单位会将此产品组合共享给该父级组织单位中的所有账户和子组织单位。
您可以选择 “**仅查看 AWS 帐户**” 以查看组织中所有 AWS 帐户的列表。
****要通过输入组织节点的 ID与组织共享投资组合****
1. 打开 AWS Service Catalog 控制台,网址为[https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/)。
1. 在**产品组合**页面上,选择要共享的产品组合。在**操作**菜单中,选择**共享**。
1. 选择**组织节点**。
选择与整个组织、组织内的 AWS 账户或 OU 共享。
输入您选择的组织节点的 ID,您可以在 AWS Organizations 控制台中找到该节点,网址为[ https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/)。
### 从委托管理员账户共享
组织的管理账户可以将其他账户注册为组织的委托管理员,也可取消注册。
委派的管理员可以像管理账号一样共享其组织中的 AWS Service Catalog 资源。他们有权创建、删除和共享产品组合。
要注册或取消注册委托管理员,您必须从管理账户中使用 API 或 CLI。有关更多信息,请参阅《*AWS Organizations API 参考*》中的[RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)和[DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)。
**注意**
管理员必须先致电 [https://docs.aws.amazon.com/servicecatalog/latest/dg/API_EnableAWSOrganizationsAccess.html](https://docs.aws.amazon.com/servicecatalog/latest/dg/API_EnableAWSOrganizationsAccess.html),然后才能指定委托 。
从委托管理员账户共享产品组合的过程与从管理账户共享相同,如 [从管理账户共享](#sharing-from-master) 中上述所示。
如果某个成员被取消注册为委托管理员,则会发生以下情况:
+ 从该账户创建的产品组合共享将被删除。
+ 他们不能再创建新的产品组合共享。
**注意**
如果取消注册委托管理员后,委托管理员创建的产品组合和共享未被删除,请重新注册并取消注册委托管理员。此操作将删除由该账户创建的产品组合和共享。
### 在组织内移动账户
如果您在组织内转移账户,则与该账户共享 AWS Service Catalog 的产品组合可能会发生变化。
账户只能访问与其目标组织或组织单位共享的产品组合。
## 共享作品集 TagOptions 时共享
作为管理员,您可以创建要包含的共享 TagOptions。 TagOptions 是键值对,使管理员能够:
+ 定义并强制执行标签分类法。
+ 定义标签选项并将其与产品和产品组合相关联。
+ 与其他账户共享与产品组合和产品关联的标签选项。
当您在主账户中添加或删除标签选项时,更改会自动显示在收件人账户中。在收款人账户中,当最终用户使用配置产品时 TagOptions,他们必须为标签选择值,这些标签将成为预配置产品上的标签。
在收款人账户中,管理员可以将其他本地账户关联 TagOptions 到其导入的投资组合,以强制执行特定于该账户的标记规则。
**注意**
要共享投资组合,您需要消费者的 AWS 账户 ID。在控制台的 AWS “**我的账户**” 中找到账户 ID。
**注意**
如果 a TagOption 只有一个值,则会在置备过程中 AWS 自动强制使用该值。
**共享作品集 TagOptions 时共享**
1. 从左侧导航菜单中,选择**产品组合**。
1. 在**本地产品组合**中,选择并打开产品组合。
1. 从上方的列表中选择**共享**,然后选择**共享**按钮。
1. 选择与其他 AWS 账户或组织共享。
1. 输入 12 位的账户 ID 号,选择**启用**,然后选择**共享**。
您共享的账户显示在**与之共享的账户**部分中。它表示是否 TagOptions 已启用。
您也可以更新投资组合份额以包含在内 TagOptions。现在 TagOptions ,所有属于产品组合和产品的产品都将共享到该账户。
**更新投资组合份额以包括 TagOptions**
1. 从左侧导航菜单中,选择**产品组合**。
1. 在**本地投资组合**中,选择并打开投资组合。
1. 从上方的列表中选择**共享**。
1. 在**与之共享的账户**中,选择账户 ID,然后选择**操作**。
1. 选择**更新取消共享**或**取消共享**。
选择 “**更新取消共享**” 时,选择 “**启用**” 以启动共享 TagOptions。您共享的账户显示在**与之共享的账户**部分中。
选择**取消共享**时,请确认您不想再共享该账户。
## 共享产品组合时共享主体名称
作为管理员,您可以创建包含主体名称的产品组合共享。主体名称是群组、角色和用户的名称,管理员可以在产品组合中指定这些名称,然后与产品组合共享。当您共享投资组合时,请 AWS Service Catalog 验证这些委托人名称是否已经存在。如果确实存在,则 AWS Service Catalog 自动将匹配的 IAM 委托人与共享产品组合关联以向用户授予访问权限。
**注意**
当您将主体与产品组合相关联时,当该产品组合随后与其他账户共享时,可能会出现潜在的权限提升路径。对于收款人账户中*不是* AWS Service Catalog 管理员但仍有能力创建委托人(用户/角色)的用户,该用户可以创建与投资组合的委托人名称关联相匹配的 IAM 委托人。尽管该用户可能不知道通过哪些主体名称相关联 AWS Service Catalog,但他们可能能够猜出该用户。如果担心这种潜在的升级路径,则 AWS Service Catalog 建议使用 a `PrincipalType` s `IAM`。使用此配置,`PrincipalARN` 必须先存在于收件人账户中,然后才能将其关联。
当您在主账户中添加或删除委托人姓名时, AWS Service Catalog 会自动将这些更改应用到收款人账户中。然后,收件人账户中的用户可以根据其角色执行任务:
+ **最终用户**可以预配置、更新和终止产品组合的产品。
+ **管理员**可以将其他 IAM 主体关联到其导入的产品组合,以向特定于该账户的最终用户授予访问权限。
**注意**
主人姓名共享仅适用于 AWS Organizations。
**要在共享产品组合时共享主体名称**
1. 从左侧导航菜单中,选择**产品组合**。
1. 在**本地产品组合**中,选择要共享的产品组合。
1. 在**操作**菜单中,选择**共享**。
1. 在 AWS Organizations中选择一个组织。
1. 选择整个**组织根目录**、**组织单位(OU)** 或**组织成员**。
1. 在**共享**设置中,启用**主体共享**选项。
您也可以更新产品组合共享,使其包含主体名称共享。这会与收件人账户共享属于该产品组合的所有主体名称。
**要更新投资组合共享以启用或禁用主体名称**
1. 从左侧导航菜单中,选择**产品组合**。
1. 在**本地产品组合**中,选择要更新的产品组合。
1. 选择**共享** 选项卡。
1. 选择要更新的共享,然后选择**共享**。
1. 选择 “**更新共享**”,然后选择 “**启用**” 以启动委托人共享。 AWS Service Catalog 然后在收款人账户中共享主体姓名。
如果您想停止与收件人账户共享主体名称,请**禁用**委托人共享。
### 在共享主体名称时使用通配符
AWS Service Catalog 支持使用通配符(例如 “\$1” 或 “?”)向 IAM 委托人(用户、群组或角色)名称授予投资组合访问权限。使用通配符模式可以同时覆盖多个 IAM 主体名称。ARN 路径和主体名称允许使用无限制通配符。
**可接受的**通配符 ARN 示例:
+ **arn:aws:iam:::role/ResourceName\$1\$1**
+ **arn:aws:iam:::role/\$1/ResourceName\$1?**
**不可接受的**通配符 ARN 示例:
+ **arn:aws:iam:::\$1/ResourceName**
在 IAM 主体 ARN 格式(**arn:partition:iam:::resource-type/resource-path/resource-name**)中,有效值包括**用户/**、**组/**或**角色/**。“?”和“\$1”只能在 resource-id 段中的 resource-type 后使用。您可以在 resource-id 中的任何位置使用特殊字符。
“\$1”字符还与“/”字符匹配,从而允许在 resource-id *中*形成路径。例如:
**arn:aws:iam:::role/**\$1**/ResourceName\$1?** 匹配 **arn:aws:iam:::role/pathA/pathB/ResourceName\$11** 和 **arn:aws:iam:::role/pathA/ResourceName\$11**。
# 共享和导入产品组合
要向不在您的 AWS 账户用户中的用户(例如属于其他组织或组织 AWS 账户 中其他组织的用户)提供您的 AWS Service Catalog 产品,您可以与他们共享您的产品组合。您可以通过多种方式进行共享,包括 account-to-account共享、组织共享和使用堆栈集部署目录。
在将产品和产品组合与其他账户共享之前,您必须决定是要共享目录的引用,还是要将目录的副本部署到每个收件人账户。请注意,如果部署副本,则当有要传播到收件人账户的更新时,必须重新部署。
您可以使用堆栈集同时将目录部署到多个账户。如果您想共享参考文献(与原始作品集保持同步的导入版本),则可以使用 account-to-account共享或使用进行共享 AWS Organizations。
要使用堆栈集部署目录副本,请参阅[如何设置公司标准 AWS Service Catalog 产品的多区域、多账户目录](https://aws.amazon.com/blogs/mt/how-to-set-up-a-multi-region-multi-account-catalog-of-company-standard-aws-service-catalog-products/)。
当您使用共享或 account-to-account共享产品组合时 AWS Organizations,您允许其他 AWS 账户的 AWS Service Catalog 管理员将您的产品组合导入他们的账户,并将产品分发给该账户中的最终用户。
此*导入的产品组合* 不是独立副本。导入的产品组合中产品和约束与您对*共享的产品组合*(共享的原始产品组合)进行的更改保持同步。*收件人管理员*,即您与之共享产品组合的管理员,不能更改产品或限制,但可以为最终用户添加 AWS Identity and Access Management (IAM) 访问权限。有关更多信息,请参阅 [向用户授予访问权限](catalogs_portfolios_users.md)。
收件人管理员可以通过以下方式将产品分发给属于其 AWS 账户的最终用户:
+ 将用户、组或角色添加到导入的产品组合。
+ 通过将导入的投资组合中的产品添加到**本地产品组合**,即收款人管理员创建的属于其 AWS 账户的单独产品组合。然后,收件人管理员将用户、组和角色添加到本地产品组合。对共享的产品组合中的产品原本应用的任何约束也存在于本地产品组合中。本地产品组合收件人管理员可添加其他约束,但无法删除原本从共享产品组合中导入的约束。
当您在共享的产品组合中添加或删除产品或约束时,此更改会传播到该产品组合的所有导入实例。例如,如果从共享的产品组合中删除产品,则也会从导入的产品组合中删除该产品。还会从导入的产品所添加到的所有本地产品组合中删除该产品。如果最终用户在您删除产品之前已启动产品,则最终用户的预配置产品会继续运行,但该产品在将来无法启动。
如果将启动约束应用于共享的产品组合中的产品,则该启动约束会传播到该产品的所有导入实例。要覆盖此启动约束,收件人管理员需将产品添加到本地产品组合中,然后将不同的启动约束应用于该本地产品组合。生效的启动约束将设置产品的启动角色。
*启动角色*是一个 IAM 角色, AWS Service Catalog 用于在最终用户启动产品时预配置 AWS 资源(例如 Amazon EC2 实例或 Amazon RDS 数据库)。作为管理员,您可以选择指定特定启动角色 ARN 或本地角色名称。如果您使用角色 ARN,即使最终用户不属于拥有启动角色的 AWS 账户,也使用此启动角色。如果您使用本地角色名称,则将使用最终用户的账户中具有该名称的 IAM 角色。
有关启动约束和启动角色的更多信息,请参阅[AWS Service Catalog 启动限制](constraints-launch.md)。拥有启动角色的 AWS 账户会配置 AWS 资源,该账户将产生这些资源的使用费。有关更多信息,请参阅[AWS Service Catalog 定价](https://aws.amazon.com/servicecatalog/pricing/)。
该视频向您展示了如何在中跨账户共享投资组合 AWS Service Catalog。
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/BVSohYOppjk)
**注意**
您无法重新共享已导入或已共享的产品组合中的产品。
**注意**
产品组合导入必须发生在管理账户和相关账户间的同一区域。
## 共享的产品组合和导入的产品组合之间的关系
此表汇总了导入的产品组合和共享的产品组合之间的关系,以及导入产品组合的管理员对该产品组合和其中的产品能执行和不能执行的操作。
| 共享的产品组合的元素 | 与导入的产品组合的关系 | 收件人管理员能够 | 收件人管理员不能 |
| --- | --- | --- | --- |
| 产品和产品版本 | 已继承。 如果产品组合创建者在共享的产品组合中添加或删除产品,则此更改会传播到导入的产品组合。 | 将导入的产品添加到本地产品组合。产品与共享的产品组合保持同步。 | 将产品上传或添加到导入的产品组合中,或从导入的产品组合中删除产品。 |
| 启动约束 | 已继承。 如果产品组合创建者在*共享的产品*中添加或删除启动约束,则更改会传播到该产品的所有导入实例。 如果收件人管理员将导入的产品添加到*本地*产品组合,则导入的启动约束不会存在于共享产品组合中。 | 在本地产品组合中,管理员可以应用影响产品本地启动的启动限制。 | 在导入的产品组合中添加或删除启动约束。 |
| 模板约束 | 已继承。 如果产品组合创建者在共享的产品中添加或删除模板约束,则更改会传播到该产品的所有导入实例。 如果收件人管理员将导入的产品添加到本地产品组合,则导入的模板约束将不会应用于本地产品组合。 | 在本地产品组合中,管理员可以添加约束本地产品的模板约束。 | 删除导入的模板约束。 |
| 用户、组和角色 | 未继承。 | 添加管理员 AWS 账户中的用户、组和角色。 | 不适用。 |