本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 的安全最佳实践 AWS Service Catalog AWS Service Catalog 提供了许多安全功能,供您在制定和实施自己的安全策略时考虑。以下最佳实践是一般指导原则,并不代表完整安全解决方案。这些最佳实践可能不适合环境或不满足环境要求,请将其视为有用的考虑因素而不是惯例。 您可以定义规则,限制用户在启动产品时输入的参数值。这些值称为模板约束,因为它们约束部署产品的 CloudFormation 模板的方式。您可以使用简单的编辑器创建模板约束,然后将其应用到各个产品。 AWS Service Catalog 在配置新产品或更新已在使用的产品时应用限制。在应用到组合和产品的所有约束中,它始终应用限制性最强的约束。例如,请考虑下面一种情况:产品允许启动所有 Amazon EC2 实例且组合具有两项约束:一项允许启动所有非 GPU 类型的 EC2 实例,另一项仅允许启动 t1.micro 和 m1.small EC2 实例。在本示例中, AWS Service Catalog 应用第二个限制性更强的约束(t1.micro 和 m1.small)。 当您将 IAM 策略附加到启动角色时,您可以限制最终用户对 AWS 资源的访问权限。然后,您可以使用 AWS Service Catalog 创建启动约束,以便在启动产品时使用该角色。 要了解有关托管策略的更多信息 AWS Service Catalog,请参阅[的AWS 托管策略 AWS Service Catalog。](security-iam-awsmanpol.md)