View a markdown version of this page

共用產品組合 - AWS Service Catalog
帳戶對帳戶共用與 共用 AWS Organizations在共用產品組合時共用 TagOptions在共用產品組合時共用主體名稱

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

共用產品組合

若要讓另一個 AWS 帳戶的 AWS Service Catalog 管理員將您的產品分發給最終使用者,請使用account-to-account共用或 與他們共用您的 AWS Service Catalog 產品組合 AWS Organizations。

當您使用account-to-account共用產品組合時,您會共用該產品組合的參考。在匯入的產品組合中的產品和限制條件,會與您對共用產品組合 (您所共用的原始產品組合) 所做的變更同步。

收件人無法變更產品或限制條件,但可以為最終使用者新增 AWS Identity and Access Management 存取權。

注意

您無法共用共用的資源。這包括包含已共用產品的產品組合。

帳戶對帳戶共用

若要完成這些步驟,您必須取得目標帳戶的帳戶 ID AWS 。您可以在 AWS 管理主控台 目標帳戶的 中的我的帳戶頁面上找到 ID。

與 AWS 帳戶共用產品組合

  1. 在 https://https://console.aws.amazon.com/servicecatalog/ 開啟 Service Catalog 主控台。

  2. 在左側導覽功能表中,選擇產品組合,然後選取您要共用的產品組合。在動作功能表中,選取共用

  3. 輸入帳戶 ID 中,輸入您要共用 AWS 的帳戶的帳戶 ID。(選用) 選取 TagOption 共用。然後,選擇共用

  4. 將 URL 傳送給目標帳戶的 AWS Service Catalog 管理員。URL 會開啟匯入產品組合頁面,並自動提供共用產品組合的 ARN。

匯入一個產品組合

如果另一個 AWS 帳戶的 AWS Service Catalog 管理員與您共用產品組合,請將該產品組合匯入您的帳戶,以便您可以將其產品分發給最終使用者。

如果產品組合是透過 共用,則不需要匯入產品組合 AWS Organizations。

若要匯入產品組合,您必須從管理員取得產品組合 ID。

若要檢視所有匯入的產品組合,請開啟位於 https://https://console.aws.amazon.com/servicecatalog/ 的 AWS Service Catalog 主控台。在產品組合頁面上,選取匯入標籤。檢閱匯入的產品組合資料表。

與 共用 AWS Organizations

您可以使用 共用 AWS Service Catalog 產品組合 AWS Organizations。

首先,您必須決定要從管理帳戶或委派管理員帳戶共用。如果您不想從管理帳戶共用,請註冊可用於共用的委派管理員帳戶。如需詳細資訊,請參閱《CloudFormation 使用者指南》中的註冊委派管理員

接下來,您必須決定要共用的對象。您可以共用至下列實體:

  • 組織帳戶。

  • 組織單位 (OU)。

  • 組織本身。(這樣會與組織中的每個帳戶共用。)

從管理帳戶共用

當您使用組織結構或輸入組織節點的 ID 時,可以與組織共用產品組合。

使用組織結構與組織共用產品組合

  1. 在 https://https://console.aws.amazon.com/servicecatalog/ 開啟 AWS Service Catalog 主控台。

  2. 產品組合頁面上,選取您要共用的產品組合。在動作功能表中,選取共用

  3. 選取AWS Organizations並篩選至您的組織結構。

    您可以選擇根節點,與整個組織、父組織單位 (OU)、子 OU 或組織內 AWS 的帳戶共用產品組合。

    共用到父 OU 會將產品組合共用到該父 OU 內的所有帳戶和子 OU。

    您只能選取檢視 AWS 帳戶,以查看組織中所有 AWS 帳戶的清單。

輸入組織節點的 ID,與組織共用產品組合

  1. 在 https://https://console.aws.amazon.com/servicecatalog/ 開啟 AWS Service Catalog 主控台。

  2. 產品組合頁面上,選取您要共用的產品組合。在動作功能表中,選取共用

  3. 選取組織節點

    選取您要與整個組織、組織內的帳戶 AWS 或 OU 共用。

    輸入您選取的組織節點 ID,您可以在 AWS Organizations 主控台中找到該 ID,網址為 https://https://console.aws.amazon.com/organizations/

從委派的管理員帳戶共用

組織的管理帳戶可以將其他帳戶註冊和取消註冊為組織的委派管理員。

委派管理員可以像管理帳戶一樣在其組織中共用 AWS Service Catalog 資源。他們有權建立、刪除和共用產品組合。

若要註冊或取消註冊委派管理員,您必須從管理帳戶使用 API 或 CLI。如需詳細資訊,請參閱 AWS Organizations API 參考中的 RegisterDelegatedAdministratorDeregisterDelegatedAdministrator

注意

管理員必須先呼叫 ,才能指定委派代表 EnableAWSOrganizationsAccess

從委派管理員帳戶共用產品組合的程序與從管理帳戶共用的程序相同,如上所示從管理帳戶共用

如果成員取消註冊為委派管理員,會發生下列情況:

  • 從該帳戶建立的產品組合共用會被移除。

  • 他們不能再建立新的產品組合共用。

注意

如果委派管理員建立的產品組合和共用在委派管理員取消註冊後未移除,請再次註冊和取消註冊委派管理員。此動作會移除該帳戶建立的產品組合和共用。

在組織內移動帳戶

如果您在組織內移動帳戶,與帳戶共用的 AWS Service Catalog 產品組合可能會變更。

帳戶只能存取與其目的地組織或組織單位共用的產品組合。

在共用產品組合時共用 TagOptions

身為管理員,您可以建立共享以包含 TagOptions。TagOptions 是金鑰/值對,可讓管理員:

  • 定義和強制執行標籤的分類。

  • 定義標籤選項並將其與產品和產品組合建立關聯。

  • 與其他帳戶共用與產品組合和產品相關聯的標籤選項。

當您在主要帳戶中新增或移除標籤選項時,變更會自動出現在收件人帳戶中。在收件人帳戶中,當最終使用者使用 TagOptions 佈建產品時,他們必須為成為佈建產品上標籤的標籤選擇值。

在收件人帳戶中,管理員可以將其他本機 TagOptions 與其匯入的產品組合建立關聯,以強制執行該帳戶特有的標記規則。

注意

若要共用產品組合,您需要消費者 AWS 的帳戶 ID。在 主控台的我的 AWS 帳戶尋找帳戶 ID。

注意

如果 TagOption 具有單一值, 會在佈建程序期間 AWS 自動強制執行該值。

在共用產品組合時共用 TagOptions

  1. 在左側導覽功能表中,選擇產品組合

  2. 本機產品組合中,選擇並開啟產品組合。

  3. 從上面的清單中選擇共用,然後選擇共用按鈕。

  4. 選擇與其他 AWS 帳戶或組織共用。

  5. 輸入 12 位數帳戶 ID 號碼,選取啟用,然後選擇共用

    您共用的帳戶會顯示在與 共用的帳戶區段中。它指出是否已啟用 TagOptions。

您也可以更新產品組合共享以包含 TagOptions。屬於產品組合和產品的所有 TagOptions 現在都會共用到此帳戶。

更新產品組合共享以包含 TagOptions

  1. 在左側導覽功能表中,選擇產品組合

  2. 本機產品組合中,選擇並開啟產品組合。

  3. 從上述清單中選擇共用

  4. 與 共用的帳戶中,選擇帳戶 ID,然後選擇動作

  5. 選取更新取消共用或取消共用

    當您選取更新取消共用時,請選擇啟用以啟動共用 TagOptions。您共用的帳戶會顯示在與 共用的帳戶區段中。

    當您選取取消共用時,請確認您不想再共用帳戶。

在共用產品組合時共用主體名稱

身為管理員,您可以建立包含主體名稱的產品組合共享。主體名稱是管理員可以在產品組合中指定的群組、角色和使用者的名稱,然後與產品組合共用。當您共用產品組合時, 會 AWS Service Catalog 驗證這些委託人名稱是否已存在。如果它們確實存在, AWS Service Catalog 會自動將相符的 IAM 主體與共用產品組合建立關聯,以將存取權授予使用者。

注意

當您將主體與產品組合建立關聯時,若該產品組合之後與其他帳戶共用,可能會出現潛在的權限提升途徑。對於收件人帳戶中 AWS Service Catalog 管理員但仍能夠建立主體 (使用者/角色) 的使用者,該使用者可以建立符合產品組合主體名稱關聯的 IAM 主體。雖然此使用者可能不知道透過哪些委託人名稱建立關聯 AWS Service Catalog,但他們可能可以猜測使用者。如果此潛在的呈報路徑是問題,則 AWS Service Catalog 建議使用 PrincipalType做為 IAM。使用此組態時,收件者帳戶中必須已存在 PrincipalARN,才能建立關聯。

當您在主要帳戶中新增或移除主體名稱時, AWS Service Catalog 會自動將這些變更套用到收件人帳戶中。然後,收件人帳戶中的使用者可以根據其角色執行任務:

  • 最終使用者可以佈建、更新和終止產品組合的產品。

  • 管理員可以將其他 IAM 主體與其匯入的產品組合建立關聯,以將存取權授予該帳戶特定的最終使用者。

注意

主體名稱共用僅適用於 AWS Organizations。

在共用產品組合時共用主體名稱

  1. 在左側導覽功能表中,選擇產品組合

  2. 本機產品組合中,選擇您要共用的產品組合。

  3. 動作功能表中,選擇共用

  4. 選取 中的組織 AWS Organizations。

  5. 選取整個組織根目錄、組織單位 (OU)組織成員

  6. 共用設定中,啟用主體共用選項。

您也可以更新產品組合共享,以包含主體名稱共享。這會與收件人帳戶共用屬於該產品組合的所有主體名稱。

更新產品組合共用以啟用或停用主體名稱

  1. 在左側導覽功能表中,選擇產品組合

  2. 本機產品組合中,選擇您要更新的產品組合。

  3. 選擇共用索引標籤。

  4. 選取您要更新的共用,然後選擇共用

  5. 選擇更新共用,然後選擇啟用以啟動主體共用。 AWS Service Catalog 然後在收件人帳戶中共用主體名稱。

如果您想要停止與收件人帳戶共用主體名稱,請停用主體共用。

共用主體名稱時使用萬用字元

AWS Service Catalog 支援使用萬用字元將產品組合存取權授予 IAM 主體 (使用者、群組或角色) 名稱,例如「*」或「?」。使用萬用字元模式可讓您一次涵蓋多個 IAM 主體名稱。ARN 路徑和主體名稱允許無限萬用字元。

可接受的萬用字元 ARN 範例:

  • arn:aws:iam:::role/ResourceName_*

  • arn:aws:iam:::role/*/ResourceName_?

無法接受萬用字元 ARN 的範例:

  • arn:aws:iam:::*/ResourceName

在 IAM Principal ARN 格式 (arn:partition:iam:::resource-type/resource-path/resource-name) 中,有效值包括 user/group/role/。只有在 resource-id 區段中的 resource-type 之後,才允許使用 "?" 和 "*"。您可以在 resource-id 內的任何位置使用特殊字元。

"*" 字元也符合 "/" 字元,允許在 resource-id 形成路徑。例如:

arn:aws:iam:::role/*/ResourceName_? 同時符合 arn:aws:iam:::role/pathA/pathB/ResourceName_1arn:aws:iam:::role/pathA/ResourceName_1