本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中的 Identity and Access Management AWS Service Catalog
存取 AWS Service Catalog 需要登入資料。這些登入資料必須具有存取 AWS 資源的許可,例如 AWS Service Catalog 產品組合或產品。 與 AWS Identity and Access Management (IAM) AWS Service Catalog 整合,可讓您授予 AWS Service Catalog 管理員建立和管理產品所需的許可,以及授予 AWS Service Catalog 最終使用者啟動產品和管理佈建產品所需的許可。這些政策是由 建立和管理 AWS ,或由管理員和最終使用者個別建立和管理。若要控制存取,請將這些政策連接到搭配 使用的使用者、群組和角色 AWS Service Catalog。
## 目標對象
您使用 AWS Identity and Access Management (IAM) 擁有*的*許可可以取決於您扮演的角色 AWS Service Catalog。
您*透過* AWS Identity and Access Management (IAM) 擁有的許可也可以取決於您扮演的角色 AWS Service Catalog。
**管理員** - 身為 AWS Service Catalog 管理員,您需要管理員主控台和 IAM 許可的完整存取權,才能執行任務,例如建立和管理產品組合和產品、管理限制條件,以及授予最終使用者的存取權。
**最終使用者** - 最終使用者可以使用您的產品之前,您需要授予他們許可,讓他們能夠存取 AWS Service Catalog 最終使用者主控台。他們也可以擁有啟動產品與管理佈建產品的許可。
**IAM 管理員** - 如果您是 IAM 管理員,建議您了解如何撰寫政策以管理存取權的詳細資訊 AWS Service Catalog。若要檢視您可以在 IAM 中使用的以 AWS Service Catalog 身分為基礎的政策範例,請參閱 [AWS 的 受管政策 AWS Service Catalog AppRegistry](security-iam-awsmanpol.md)。
# 的身分型政策範例 AWS Service Catalog
**Topics**
+ [最終使用者的主控台存取](#permissions-end-users-console)
+ [最終使用者的產品存取](#permissions-end-users-product)
+ [管理佈建產品的範例政策](#example-policies)
## 最終使用者的主控台存取
****`AWSServiceCatalogEndUserFullAccess`**** 和 ****`AWSServiceCatalogEndUserReadOnlyAccess`**** 政策會將存取權授予 AWS Service Catalog 最終使用者主控台檢視。當具有這些政策之一的使用者 AWS Service Catalog 在 中選擇時 AWS 管理主控台,最終使用者主控台檢視會顯示他們具有啟動許可的產品。
在最終使用者可以成功啟動 AWS Service Catalog 您授予存取權的產品之前,您必須提供他們額外的 IAM 許可,讓他們能夠使用產品 AWS CloudFormation 範本中的每個基礎 AWS 資源。例如,如果產品範本包含 Amazon Relational Database Service (Amazon RDS),您必須授予使用者 Amazon RDS 啟動產品的許可。
若要了解如何讓最終使用者在強制執行最低存取 AWS 資源許可的同時啟動產品,請參閱 [使用 AWS Service Catalog 限制條件](constraints.md)。
若您套用 **`AWSServiceCatalogEndUserReadOnlyAccess`** 政策,使用者有權存取最終使用者主控台,但他們沒有啟動產品與管理佈建產品所需的權限。您可以使用 IAM 將這些許可直接授予最終使用者,但如果您想要限制最終使用者對 AWS 資源的存取,則應將政策連接至啟動角色。然後 AWS Service Catalog ,您可以使用 將啟動角色套用至產品的啟動限制。如需套用啟動角色、啟動角色限制和範例啟動角色的更多資訊,請參閱 [AWS Service Catalog 啟動限制條件](constraints-launch.md)。
**注意**
如果您授予使用者 AWS Service Catalog 管理員的 IAM 許可,則會改為顯示管理員主控台檢視。請勿授予最終使用者這些權限,除非您希望他們擁有管理員主控台檢視的存取權。
## 最終使用者的產品存取
在最終使用者可以使用您授予存取權的產品之前,您必須提供他們額外的 IAM 許可,以允許他們使用產品 CloudFormation 範本中的每個基礎 AWS 資源。例如,如果產品範本包含 Amazon Relational Database Service (Amazon RDS),您必須授予使用者 Amazon RDS 啟動產品的許可。
若您套用 **`AWSServiceCatalogEndUserReadOnlyAccess`** 政策,使用者有權存取最終使用者主控台檢視,但他們沒有啟動產品與管理佈建產品所需的權限。您可以直接將這些許可授予 IAM 中的最終使用者,但如果您想要限制最終使用者對 AWS 資源的存取,則應將政策連接至啟動角色。然後 AWS Service Catalog ,您可以使用 將啟動角色套用至產品的啟動限制。如需套用啟動角色、啟動角色限制和範例啟動角色的更多資訊,請參閱 [AWS Service Catalog 啟動限制條件](constraints-launch.md)。
## 管理佈建產品的範例政策
您可以建立自訂政策以協助符合組織的安全性要求。下列範例說明如何使用使用者、角色和帳戶層級的支援為每個動作自訂存取層級。您可以授予使用者檢視、更新、終止與管理佈建產品的存取權,該佈建產品的建立對象僅為該使用者或由在其角色下的其他人或他人登入的帳戶所建立。此存取權是階層式 – 授予帳戶層級存取權也會授予角色層級存取權和使用者層級存取權,而新增角色層級存取權也會授予使用者層級存取權,但不會授予帳戶層級存取權。您可以使用 `Condition` 區塊在 policy JSON 指定這些做為 `accountLevel`、`roleLevel` 或 `userLevel`。
這些範例也適用於 AWS Service Catalog API 寫入操作的存取層級: `UpdateProvisionedProduct`和 `TerminateProvisionedProduct`,以及讀取操作:`ScanProvisionedProducts`、 `DescribeRecord`和 `ListRecordHistory`。`ScanProvisionedProducts` 和 `ListRecordHistory` API 操作使用 `AccessLevelFilterKey` 做為輸入,且該金鑰值與在此討論的 `Condition` 區塊層級相對應 (`accountLevel` 等於「帳戶」的 `AccessLevelFilterKey` 值,`roleLevel` 對「角色」和 `userLevel` 對「使用者」)。如需詳細資訊,請參閱 [Service Catalog 開發人員指南](https://docs.aws.amazon.com/servicecatalog/latest/dg/)。
**Topics**
+ [佈建產品的完整管理員存取權](#full-admin)
+ [最終使用者對佈建產品的存取](#examples-end-user)
+ [已佈建產品的部分管理員存取權](#partial-admin)
### 佈建產品的完整管理員存取權
下列政策允取對在帳戶層級之目錄中佈建產品和報告的完整讀取和寫入存取權。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"servicecatalog:*"
],
"Resource":"*",
"Condition": {
"StringEquals": {
"servicecatalog:accountLevel": "self"
}
}
}
]
}
```
------
此政策的功能與下列政策相等:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"servicecatalog:*"
],
"Resource":"*"
}
]
}
```
------
在任何 政策中未指定`Condition`區塊 AWS Service Catalog ,會被視為與指定`"servicecatalog:accountLevel"`存取權相同的 。請注意,`accountLevel` 存取包含 `roleLevel` 和 `userLevel` 存取。
### 最終使用者對佈建產品的存取
下列政策會將讀取和寫入操作的存取權限制在只有目前使用者已建立的佈建產品和相關報告。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:DescribeRecord",
"servicecatalog:ListLaunchPaths",
"servicecatalog:ListRecordHistory",
"servicecatalog:ProvisionProduct",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
}
]
}
```
------
### 已佈建產品的部分管理員存取權
以下兩個政策 (若同時適用於相同使用者) 透過提供完整唯讀存取與限制寫入存取來允許一種被稱為「部分管理存取」的存取權。此表示使用者可以看到目錄帳戶中的任何佈建產品或相關報告,但無法對非該使用者擁有的任何佈建產品或報告執行任何動作。
第一個政策允許使用者對目前使用者建立的佈建產品進行寫入操作,但不得對其他人建立的佈建產品進行相同操作。第二個政策會新增對所有 (使用者、角色或帳戶) 建立之佈建產品的讀取操作存取權。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ListLaunchPaths",
"servicecatalog:ProvisionProduct",
"servicecatalog:SearchProducts",
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeRecord",
"servicecatalog:ListRecordHistory",
"servicecatalog:ScanProvisionedProducts"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:accountLevel": "self"
}
}
}
]
}
```
------
# AWS 的 受管政策 AWS Service Catalog AppRegistry
## AWS 受管政策: `AWSServiceCatalogAdminFullAccess`
您可以將 `AWSServiceCatalogAdminFullAccess` 連接到 IAM 實體。AppRegistry 也會將此政策連接至服務角色,以允許 AppRegistry 代表您執行動作。
此政策會授予*管理*許可,以允許完整存取管理員主控台檢視,並授予建立和管理產品和產品組合的許可。
**許可詳細資訊**
此政策包含以下許可。
+ `servicecatalog` – 允許主體對管理員主控台檢視的完整許可,以及能夠建立和管理產品組合和產品、管理限制、授予最終使用者的存取權,以及在其中執行其他管理任務 AWS Service Catalog。
+ `cloudformation`– 允許列出、讀取、寫入和標記 AWS CloudFormation 堆疊 AWS Service Catalog 的完整許可。
+ `config`– 允許透過 對產品組合、產品和佈建產品的 AWS Service Catalog 有限許可 AWS Config。
+ `iam`– 允許主體檢視和建立建立和管理產品和產品組合所需的服務使用者、gropus 或角色的完整許可。
+ `ssm` – 允許 AWS Service Catalog 使用 AWS Systems Manager 列出和讀取目前 AWS 帳戶和 AWS 區域中的 Systems Manager 文件。
檢視政策:[AWSServiceCatalogAdminFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminFullAccess.html)。
## AWS 受管政策: `AWSServiceCatalogAdminReadOnlyAccess`
您可以將 `AWSServiceCatalogAdminReadOnlyAccess` 連接到 IAM 實體。AppRegistry 也會將此政策連接至服務角色,以允許 AppRegistry 代表您執行動作。
此政策授予*唯讀*許可,允許完整存取管理員主控台檢視。此政策不會授予建立或管理產品和產品組合的存取權。
**許可詳細資訊**
此政策包含以下許可。
+ `servicecatalog` – 允許主體對管理員主控台檢視的唯讀許可。
+ `cloudformation`– 允許列出和讀取 AWS CloudFormation 堆疊的 AWS Service Catalog 有限許可。
+ `config`– 允許透過 對產品組合、產品和佈建產品的 AWS Service Catalog 有限許可 AWS Config。
+ `iam`– 允許主體檢視建立和管理產品和產品組合所需的服務使用者、群組或角色的有限許可。
+ `ssm` – 允許 AWS Service Catalog 使用 AWS Systems Manager 列出和讀取目前 AWS 帳戶和 AWS 區域中的 Systems Manager 文件。
檢視政策:[AWSServiceCatalogAdminReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminReadOnlyAccess.html)。
## AWS 受管政策: `AWSServiceCatalogEndUserFullAccess`
您可以將 `AWSServiceCatalogEndUserFullAccess` 連接到 IAM 實體。AppRegistry 也會將此政策連接至服務角色,以允許 AppRegistry 代表您執行動作。
此政策授予*參與者*許可,以允許完整存取最終使用者主控台檢視,並授予許可,以啟動產品和管理佈建產品。
**許可詳細資訊**
此政策包含以下許可。
+ `servicecatalog` – 允許主體對最終使用者主控台檢視的完整許可,以及啟動產品和管理佈建產品的能力。
+ `cloudformation`– 允許列出、讀取、寫入和標記 AWS CloudFormation 堆疊 AWS Service Catalog 的完整許可。
+ `config`– 允許 AWS Service Catalog 有限許可列出和讀取有關產品組合、產品和佈建產品的詳細資訊 AWS Config。
+ `ssm` – 允許 AWS Service Catalog 使用 AWS Systems Manager 讀取目前 AWS 帳戶和 AWS 區域中的 Systems Manager 文件。
檢視政策:[AWSServiceCatalogEndUserFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserFullAccess.html)。
## AWS 受管政策: `AWSServiceCatalogEndUserReadOnlyAccess`
您可以將 `AWSServiceCatalogEndUserReadOnlyAccess` 連接到 IAM 實體。AppRegistry 也會將此政策連接至服務角色,以允許 AppRegistry 代表您執行動作。
此政策授予*唯讀*許可,允許對最終使用者主控台檢視進行唯讀存取。此政策不會授予啟動產品或管理佈建產品的許可。
**許可詳細資訊**
此政策包含以下許可。
+ `servicecatalog` :允許主體對最終使用者主控台檢視的唯讀許可。
+ `cloudformation`– 允許列出和讀取 AWS CloudFormation 堆疊的 AWS Service Catalog 有限許可。
+ `config`– 允許 AWS Service Catalog 有限許可透過 列出和讀取有關產品組合、產品和佈建產品的詳細資訊 AWS Config。
+ `ssm` – 允許 AWS Service Catalog 使用 AWS Systems Manager 讀取目前 AWS 帳戶和 AWS 區域中的 Systems Manager 文件。
檢視政策:[AWSServiceCatalogEndUserReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserReadOnlyAccess.html)。
## AWS 受管政策: `AWSServiceCatalogSyncServiceRolePolicy`
AWS Service Catalog 將此政策連接至`AWSServiceRoleForServiceCatalogSync`服務連結角色 (SLR),允許 AWS Service Catalog 將外部儲存庫中的範本同步至 AWS Service Catalog 產品。
此政策會授予許可,允許有限存取 AWS Service Catalog 動作 (例如 API 呼叫) 和 AWS Service Catalog 依賴的其他 AWS 服務動作。
**許可詳細資訊**
此政策包含以下許可。
+ `servicecatalog` – 允許 AWS Service Catalog 成品同步角色限制對 AWS Service Catalog 公有 APIs存取。
+ `codeconnections`– 允許 AWS Service Catalog 成品同步角色限制對 CodeConnections 公有 APIs存取。
+ `cloudformation`– 允許 AWS Service Catalog 成品同步角色限制對 AWS CloudFormation 公有 APIs存取。
檢視政策:[AWSServiceCatalogSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogSyncServiceRolePolicy.html)。
**服務連結角色詳細資訊**
AWS Service Catalog 會將上述許可詳細資訊用於使用者建立或更新使用 CodeConnections AWS Service Catalog 的產品時所建立`AWSServiceRoleForServiceCatalogSync`的服務連結角色。您可以使用 AWS CLI、 AWS API 或透過 AWS Service Catalog 主控台修改此政策。如需如何建立、編輯和刪除服務連結角色的詳細資訊,請參閱[使用服務連結角色 (SLRs) AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles)。
`AWSServiceRoleForServiceCatalogSync` 服務連結角色中包含的許可 AWS Service Catalog 允許 代表客戶執行下列動作。
+ `servicecatalog:ListProvisioningArtifacts` — 允許 AWS Service Catalog 成品同步角色列出同步至儲存庫中範本檔案之指定 AWS Service Catalog 產品的佈建成品。
+ `servicecatalog:DescribeProductAsAdmin` — 允許 AWS Service Catalog 成品同步角色使用 `DescribeProductAsAdmin` API 來取得 AWS Service Catalog 產品的詳細資訊,及其與儲存庫中範本檔案同步的相關佈建成品。成品同步角色會使用來自此呼叫的輸出來驗證佈建成品的產品服務配額限制。
+ `servicecatalog:DeleteProvisioningArtifact` — 允許 AWS Service Catalog 成品同步角色刪除佈建的成品。
+ `servicecatalog:ListServiceActionsForProvisioningArtifact` — 允許 AWS Service Catalog 成品同步角色判斷服務動作是否與佈建成品相關聯,並確保如果與服務動作相關聯,則不會刪除佈建成品。
+ `servicecatalog:DescribeProvisioningArtifact` — 允許 AWS Service Catalog 成品同步角色從 `DescribeProvisioningArtifact` API 擷取詳細資訊,包括`SourceRevisionInfo`輸出中提供的遞交 ID。
+ `servicecatalog:CreateProvisioningArtifact` — 如果偵測到對外部儲存庫中的來源範本檔案進行變更 (例如,遞交 git-push),允許 AWS Service Catalog 成品同步角色建立新的佈建成品。
+ `servicecatalog:UpdateProvisioningArtifact` — 允許 AWS Service Catalog 成品同步角色更新已連線或同步產品的佈建成品。
+ `codeconnections:UseConnection` — 允許 AWS Service Catalog 成品同步角色使用現有的連線來更新和同步產品。
+ `cloudformation:ValidateTemplate` — 允許 AWS Service Catalog 成品同步角色限制對 的存取 AWS CloudFormation ,以驗證外部儲存庫中使用的範本的範本格式,並驗證 是否可以 CloudFormation 支援範本。
## AWS 受管政策: `AWSServiceCatalogOrgsDataSyncServiceRolePolicy`
AWS Service Catalog 將此政策連接到`AWSServiceRoleForServiceCatalogOrgsDataSync`服務連結角色 (SLR) AWS Service Catalog ,允許 與 同步 AWS Organizations。
此政策會授予許可,允許有限存取 AWS Service Catalog 動作 (例如 API 呼叫) 和 AWS Service Catalog 依賴的其他 AWS 服務動作。
**許可詳細資訊**
此政策包含以下許可。
+ `organizations`— 允許 AWS Service Catalog 資料同步角色限制對 AWS Organizations 公有 APIs存取。
檢視政策:[AWSServiceCatalogOrgsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogOrgsDataSyncServiceRolePolicy.html)。
**服務連結角色詳細資訊**
AWS Service Catalog 會將上述許可詳細資訊用於使用者啟用 AWS Organizations 共用產品組合存取或建立產品組合共用時所建立`AWSServiceRoleForServiceCatalogOrgsDataSync`的服務連結角色。您可以使用 AWS CLI、 AWS API 或透過 AWS Service Catalog 主控台修改此政策。如需如何建立、編輯和刪除服務連結角色的詳細資訊,請參閱[使用服務連結角色 (SLRs) AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles)。
`AWSServiceRoleForServiceCatalogOrgsDataSync` 服務連結角色中包含的許可 AWS Service Catalog 允許 代表客戶執行下列動作。
+ `organizations:DescribeAccount` — 允許 AWS Service Catalog Organizations Data Sync 角色擷取指定帳戶的 AWS Organizations相關資訊。
+ `organizations:DescribeOrganization` — 允許 AWS Service Catalog Organizations Data Sync 角色擷取有關使用者帳戶所屬組織的資訊。
+ `organizations:ListAccounts` — 允許 AWS Service Catalog Organizations Data Sync 角色列出使用者組織中的帳戶。
+ `organizations:ListChildren` — 允許 AWS Service Catalog Organizations Data Sync 角色列出指定父 OU 或根中包含的所有組織單位 (UOs) 或帳戶。
+ `organizations:ListParents` — 允許 AWS Service Catalog Organizations Data Sync 角色列出做為指定子 OUs 或帳戶之直接父項的根或 OU。
+ `organizations:ListAWSServiceAccessForOrganization` — 允許 AWS Service Catalog Organizations Data Sync 角色擷取使用者啟用與其組織整合 AWS 的服務清單。
## 已棄用的政策
下列管理的政策已作廢。
+ **ServiceCatalogAdminFullAccess** – 改用 **AWSServiceCatalogAdminFullAccess**。
+ **ServiceCatalogAdminReadOnlyAccess** — 請改用 **AWSServiceCatalogAdminReadOnlyAccess**。
+ **ServiceCatalogEndUserFullAccess** – 改用 **AWSServiceCatalogEndUserFullAccess**。
+ **ServiceCatalogEndUserAccess** — 請改用 **AWSServiceCatalogEndUserReadOnlyAccess**。
使用下列程序以使用目前的政策確保系統管理員和最終使用者獲授予權限。
若要從已棄用的政策遷移到目前的政策,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。
## AWS 受管政策的 AppRegistry 更新
檢視自此服務開始追蹤這些變更以來 AppRegistry AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 AppRegistry 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy) – 更新受管政策 | AWS Service Catalog 已更新`AWSServiceCatalogSyncServiceRolePolicy`政策以`codestar-connections`變更為 `codeconnections`。 | 2024 年 5 月 7 日 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess) – 更新受管政策 | AWS Service Catalog 已更新`AWSServiceCatalogAdminFullAccess`政策,以包含 AWS Service Catalog 管理員在其帳戶中建立`AWSServiceRoleForServiceCatalogOrgsDataSync`服務連結角色 (SLR) 所需的許可。 | 2023 年 4 月 14 日 |
| [AWSServiceCatalogOrgsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy) – 新的受管政策 | AWS Service Catalog 新增了連接到`AWSServiceRoleForServiceCatalogOrgsDataSync`服務連結角色 (SLR) 的 `AWSServiceCatalogOrgsDataSyncServiceRolePolicy`, AWS Service Catalog 允許 與 同步 AWS Organizations。此政策允許有限存取 AWS Service Catalog 動作 (例如 API 呼叫),以及 AWS Service Catalog 所依賴的其他 AWS 服務動作。 | 2023 年 4 月 14 日 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess) – 更新受管政策 | AWS Service Catalog 已更新`AWSServiceCatalogAdminFullAccess`政策,納入 AWS Service Catalog 管理員的所有許可,並建立與 AppRegistry 的相容性。 | 2023 年 1 月 12 日 |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy) – 新受管政策 | AWS Service Catalog 已新增 政策,該`AWSServiceCatalogSyncServiceRolePolicy`政策會連接至`AWSServiceRoleForServiceCatalogSync`服務連結角色 (SLR)。此政策允許 AWS Service Catalog 將外部儲存庫中的範本同步至 AWS Service Catalog 產品。 | 2022 年 11 月 18 日 |
| [AWSServiceRoleForServiceCatalogSync](using-service-linked-roles.md#slr-permissions) – 新的服務連結角色 | AWS Service Catalog 已新增`AWSServiceRoleForServiceCatalogSync`服務連結角色 (SLR)。需要此角色 AWS Service Catalog 才能使用 CodeConnections,以及建立、更新和描述產品的 AWS Service Catalog 佈建成品。 | 2022 年 11 月 18 日 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess) – 更新了受管政策 | AWS Service Catalog 已更新`AWSServiceCatalogAdminFullAccess`政策,以包含 AWS Service Catalog 管理員的所有必要許可。政策會識別管理員可以對所有 AWS Service Catalog 資源採取的特定動作,例如建立、描述、刪除等。此外,政策已變更為支援最近啟動的功能,屬性型存取控制 (ABAC) AWS Service Catalog。ABAC 可讓您使用`AWSServiceCatalogAdminFullAccess`政策作為範本,以允許或拒絕根據標籤對 AWS Service Catalog 資源執行的動作。如需 ABAC 的詳細資訊,請參閱《》中的[什麼是 ABAC for AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)*AWS Identity and Access Management*。 | 2022 年 9 月 30 日 |
| AppRegistry 已開始追蹤變更 | AppRegistry 開始追蹤其 AWS 受管政策的變更。 | 2022 年 9 月 15 日 |
# 使用 的服務連結角色 AWS Service Catalog
AWS Service Catalog use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS Service Catalog。服務連結角色由 預先定義, AWS Service Catalog 並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更 AWS Service Catalog 輕鬆地設定,因為您不必手動新增必要的許可。 AWS Service Catalog 會定義其服務連結角色的許可,除非另有定義,否則只能 AWS Service Catalog 擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除服務連結角色的相關資源,才能將其刪除。這可保護您的 AWS Service Catalog 資源,因為您不會不小心移除存取資源的許可。
如需有關支援服務連結角色的其他 服務的資訊,請參閱 [AWS 服務與 IAM 搭配使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並在**服務連結角色**欄中尋找具有**是**的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## `AWSServiceRoleForServiceCatalogSync` 的服務連結角色許可
AWS Service Catalog 可以使用名為 的服務連結角色 **`AWSServiceRoleForServiceCatalogSync`** – 必須使用此服務連結角色 AWS Service Catalog , 才能使用 CodeConnections 並建立、更新和描述 AWS Service Catalog 產品的佈建成品。
`AWSServiceRoleForServiceCatalogSync` 服務連結角色信任下列服務以擔任角色:
+ `sync.servicecatalog.amazonaws.com`
名為 **AWSServiceCatalogSyncServiceRolePolicy** 的角色許可政策允許 對指定的資源 AWS Service Catalog 完成下列動作:
+ 動作:`CodeConnections` 上的 `Connection`
+ 動作:`ProvisioningArtifact` AWS Service Catalog 產品在 `Create, Update, and Describe`上的
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
### 建立 `AWSServiceRoleForServiceCatalogSync` 服務連結角色
您不需要手動建立`AWSServiceRoleForServiceCatalogSync`服務連結角色。 AWS Service Catalog 當您在 AWS CLI、 或 AWS API 中建立 CodeConnections 時 AWS 管理主控台, 會自動為您建立服務連結角色。
**重要**
此服務連結角色可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。此外,如果您在 2022 年 11 月 18 日之前使用 AWS Service Catalog 服務,當服務連結角色開始支援服務時, 會在您的帳戶中 AWS Service Catalog 建立該`AWSServiceRoleForServiceCatalogSync`角色。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您建立 CodeConnections 時, 會再次為您 AWS Service Catalog 建立服務連結角色。
您也可以使用 IAM 主控台建立具有**同步 AWS Service Catalog 產品**使用案例的服務連結角色。在 AWS CLI 或 AWS API 中,使用服務名稱建立`sync.servicecatalog.amazonaws.com`服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」。如果您刪除此服務連結角色,您可以使用此相同的程序以再次建立該角色。
## `AWSServiceRoleForServiceCatalogOrgsDataSync` 的服務連結角色許可
AWS Service Catalog 可以使用名為 的服務連結角色 **`AWSServiceRoleForServiceCatalogOrgsDataSync`** – AWS Service Catalog 組織需要此服務連結角色才能保持同步 AWS Organizations。
`AWSServiceRoleForServiceCatalogOrgsDataSync` 服務連結角色信任下列服務以擔任角色:
+ `orgsdatasync.servicecatalog.amazonaws.com`
除了 `AWSServiceCatalogOrgsDataSyncServiceRolePolicy`受管政策之外,`AWSServiceRoleForServiceCatalogOrgsDataSync`服務連結角色還要求您使用下列信任政策: [AWS 受管政策: `AWSServiceCatalogOrgsDataSyncServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "orgsdatasync.servicecatalog.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
名為 **AWSServiceCatalogOrgsDataSyncServiceRolePolicy** 的角色許可政策允許 對指定的資源 AWS Service Catalog 完成下列動作:
+ 動作:`Organizations accounts` 上的 `DescribeAccount`、`DescribeOrganization` 和 `ListAWSServiceAccessForOrganization`
+ 動作:`Organizations accounts` 上的 `ListAccounts`、`ListChildren` 和 `ListParent`
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
### 建立 `AWSServiceRoleForServiceCatalogOrgsDataSync` 服務連結角色
您不需要手動建立`AWSServiceRoleForServiceCatalogOrgsDataSync`服務連結角色。 AWS Service Catalog 會將您啟用 [與 共用 AWS Organizations](catalogs_portfolios_sharing_how-to-share.md#portfolio-sharing-organizations)或 的動作[共用產品組合](catalogs_portfolios_sharing_how-to-share.md)視為 代表您在背景建立 SLR AWS Service Catalog 的許可。
AWS Service Catalog 當您在 AWS CLI、 `EnableAWSOrganizationsAccess`或 AWS API `CreatePortfolioShare`中請求 或 時 AWS 管理主控台, 會自動為您建立服務連結角色。
**重要**
此服務連結角色可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您請求 `EnableAWSOrganizationsAccess`或 時`CreatePortfolioShare`, 會再次為您 AWS Service Catalog 建立服務連結角色。
## 編輯 的服務連結角色 AWS Service Catalog
AWS Service Catalog 不允許您編輯 `AWSServiceRoleForServiceCatalogSync``AWSServiceRoleForServiceCatalogOrgsDataSync`或服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 的服務連結角色 AWS Service Catalog
您可以使用 IAM 主控台、CLI AWS 或 AWS API 來手動刪除 `AWSServiceRoleForServiceCatalogSync`或 `AWSServiceRoleForServiceCatalogOrgsDataSync` SLR。若要這麼做,您必須先手動移除使用服務連結角色的所有資源 (例如,同步至外部儲存庫的任何 AWS Service Catalog 產品),然後才能手動刪除服務連結角色。
## AWS Service Catalog 服務連結角色支援的區域
AWS Service Catalog 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊,請參閱 [AWS 區域與端點](https://docs.aws.amazon.com/general/latest/gr/rande.html)。
****
| 區域名稱 | 區域身分 | 中的支援 AWS Service Catalog |
| --- | --- | --- |
| 美國東部 (維吉尼亞北部) | us-east-1 | 是 |
| 美國東部 (俄亥俄) | us-east-2 | 是 |
| 美國西部 (加利佛尼亞北部) | us-west-1 | 是 |
| 美國西部 (奧勒岡) | us-west-2 | 是 |
| Africa (Cape Town) | af-south-1 | 是 |
| 亞太地區 (香港) | ap-east-1 | 是 |
| 亞太地區 (雅加達) | ap-southeast-3 | 是 |
| 亞太區域 (孟買) | ap-south-1 | 是 |
| 亞太區域 (大阪) | ap-northeast-3 | 是 |
| 亞太區域 (首爾) | ap-northeast-2 | 是 |
| 亞太區域 (新加坡) | ap-southeast-1 | 是 |
| 亞太區域 (雪梨) | ap-southeast-2 | 是 |
| 亞太區域 (東京) | ap-northeast-1 | 是 |
| 加拿大 (中部) | ca-central-1 | 是 |
| 歐洲 (法蘭克福) | eu-central-1 | 是 |
| 歐洲 (愛爾蘭) | eu-west-1 | 是 |
| 歐洲 (倫敦) | eu-west-2 | 是 |
| 歐洲 (米蘭) | eu-south-1 | 是 |
| 歐洲 (巴黎) | eu-west-3 | 是 |
| Europe (Stockholm) | eu-north-1 | 是 |
| Middle East (Bahrain) | me-south-1 | 是 |
| 南美洲 (聖保羅) | sa-east-1 | 是 |
| AWS GovCloud (美國東部) | us-gov-east-1 | 否 |
| AWS GovCloud (美國西部) | us-gov-west-1 | 否 |
# 對 AWS Service Catalog 身分和存取進行故障診斷
使用以下資訊來協助您診斷和修正使用 AWS Service Catalog 和 IAM 時可能遇到的常見問題。
**Topics**
+ [我無權在 中執行動作 AWS Service Catalog](#troubleshoot-one)
+ [我未獲得執行 `iam:PassRole` 的授權](#troubleshoot-two)
+ [我想要允許 AWS 帳戶外的人員存取我的 AWS Service Catalog 資源](#troubleshoot-five)
## 我無權在 中執行動作 AWS Service Catalog
如果 AWS 管理主控台 告訴您無權執行 動作,則必須聯絡您的管理員尋求協助。您的管理員是為您提供簽署憑證的人員。當 mateojackson 使用者嘗試使用主控台檢視虛構 my-example-widget 資源的詳細資訊,但沒有虛構`aws:GetWidget`許可時,會發生下列範例錯誤。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: aws:GetWidget on resource: my-example-widget
```
在此情況下,Mateo 會請求管理員更新他的政策,允許他使用 `my-example-widget` 動作存取 `aws:GetWidget` 資源。
## 我未獲得執行 `iam:PassRole` 的授權
若您收到錯誤,告知您並未獲得執行 `iam:PassRole` 動作的授權,您必須聯絡您的管理員以取得協助。您的管理員是為您提供使用者名稱和密碼的人員。要求該人員更新您的政策,允許您將角色傳遞給 AWS Service Catalog。
有些 AWS 服務可讓您將現有角色傳遞給該服務,而不是建立新的服務角色或服務連結角色。如需執行此作業,您必須擁有將角色傳遞至該服務的許可。
當名為 marymajor 的使用者嘗試使用主控台在其中執行動作時,會發生下列範例錯誤 AWS Service Catalog。不過, 動作需要服務具有服務角色授予的許可。Mary 沒有將角色傳遞給服務的許可。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在這種情況下,Mary 要求她的管理員更新她的政策,以允許她執行 iam:PassRole 動作。
## 我想要允許 AWS 帳戶外的人員存取我的 AWS Service Catalog 資源
您可以建立一個角色,讓其他帳戶中的使用者或您組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。針對支援基於資源的政策或存取控制清單 (ACL) 的服務,您可以使用那些政策來授予人員存取您的資源的許可。
如需進一步了解,請參閱以下內容:
+ 若要了解 是否 AWS Service Catalog 支援這些功能,請參閱《 *AWS Service Catalog 管理員指南*[AWS Identity and Access ManagementAWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/controlling_access.html)》中的 。
+ 若要了解如何在您擁有的 AWS 帳戶中提供資源的存取權,請參閱《[IAM 使用者指南》中的為您擁有的另一個 AWS 帳戶中的 IAM 使用者提供存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。 **
+ 若要了解如何將資源的存取權提供給第三方 AWS 帳戶,請參閱《*IAM 使用者指南*》中的[將存取權提供給第三方擁有 AWS 的帳戶](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。
+ 如需了解如何透過聯合身分提供存取權,請參閱 *IAM 使用者指南*中的[將存取權提供給在外部進行身分驗證的使用者 (聯合身分)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 若要了解使用角色和資源型政策進行跨帳戶存取之間的差異,請參閱 *IAM 使用者指南*中的 [IAM 角色與資源型政策的差異](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)。
# 控制存取
AWS Service Catalog 產品組合為您的管理員提供最終使用者群組的存取控制層級。當您將使用者新增到產品組合時,這些使用者可以瀏覽並啟動產品組合中的任何產品。如需詳細資訊,請參閱[管理產品組合](catalogs_portfolios.md)。
## Constraints
限制條件控制最終使用者自特定產品組合啟動產品時要套用哪些規則。您會使用它們來套用限制到產品以便監管或控制成本。如需限制條件的詳細資訊,請參閱 [使用 AWS Service Catalog 限制條件](constraints.md)。
AWS Service Catalog 啟動限制可讓您進一步控制最終使用者所需的許可。當管理員為產品組合中的一項產品建立啟動限制條件時,啟動限制條件便會關聯至當最終使用者從該產品組合啟動該產品時所使用的角色 ARN。使用此模式,您可以控制 AWS 資源建立的存取。如需詳細資訊,請參閱[AWS Service Catalog 啟動限制條件](constraints-launch.md)。