AWS Service CatalogGuide de l'administrateur

AWS Service Catalog Guide de l'administrateur

AWS Service Catalog: Guide de l'administrateurCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.

AWS Service Catalog Guide de l'administrateur

Table of ContentsQu'est-ce qu'AWS Service Catalog ? ..................................................................................................... 1

Présentation ............................................................................................................................... 1Utilisateurs ......................................................................................................................... 1Produits ............................................................................................................................. 2Produits provisionnés .......................................................................................................... 2Portefeuilles ....................................................................................................................... 2Contrôle de version ............................................................................................................. 2Autorisations ...................................................................................................................... 3Contraintes ........................................................................................................................ 3Flux de travail initial pour un administrateur ............................................................................ 3Flux de travail initial pour un utilisateur final ........................................................................... 4

Restrictions ................................................................................................................................ 5Configuration ...................................................................................................................................... 7

Inscription à Amazon Web Services .............................................................................................. 7Octroi d'autorisations aux administrateurs et aux utilisateurs finaux ..................................................... 7Accorder des autorisations aux administrateurs ............................................................................... 8Octroi d'autorisations aux utilisateurs finaux .................................................................................... 9

Mise en route ................................................................................................................................... 11Étape 1 : Télécharger le modèle .................................................................................................. 11

Téléchargement du modèle ................................................................................................ 11Présentation du modèle ..................................................................................................... 11

Étape 2 : Créer une paire de clés ............................................................................................... 14Étape 3 : Création d'un portefeuille .............................................................................................. 15Étape 4  : Création d'un produit .................................................................................................... 15Étape 5 : Ajout d'une contrainte de modèle ................................................................................... 16Étape 6 : Ajout d'une contrainte de lancement ............................................................................... 16Étape 7 : Octroi aux utilisateurs finaux d'un accès au portefeuille ...................................................... 18Étape 8 : Test de l'expérience utilisateur final ................................................................................ 18

Authentification et contrôle d'accès ...................................................................................................... 20Stratégies gérées par AWS prédéfinies ........................................................................................ 20

Stratégies obsolètes .......................................................................................................... 21Accès à la console pour les utilisateurs finaux ............................................................................... 21Accès à un produit pour les utilisateurs finaux ............................................................................... 22Exemples de stratégies .............................................................................................................. 22

Exemple : Accès administrateur complet aux produits provisionnés ........................................... 23Exemple : Accès des utilisateurs finaux aux produits provisionnés ............................................ 23Exemple : Accès administrateur partiel aux produits provisionnés ............................................. 24

Gestion des catalogues ..................................................................................................................... 26Gestion des portefeuilles ............................................................................................................ 26

Création, affichage et suppression de portefeuilles ................................................................. 26Affichage des détails d'un portefeuille .................................................................................. 27Création et suppression de portefeuilles ............................................................................... 27Ajout de produits .............................................................................................................. 27Ajout de contraintes .......................................................................................................... 29Octroi d'accès à des utilisateurs .......................................................................................... 30

Gestion des produits ................................................................................................................. 30Affichage de la page des produits ....................................................................................... 30Création de produits .......................................................................................................... 31Ajout de produits à des portefeuilles .................................................................................... 32Mise à jour de produits ...................................................................................................... 32Suppression de produits .................................................................................................... 32

Utilisation de contraintes ............................................................................................................ 33Contraintes de lancement ................................................................................................... 33Contraintes de notification .................................................................................................. 35

iii

AWS Service Catalog Guide de l'administrateur

Contraintes de modèle ....................................................................................................... 36Ajout de produits AWS Marketplace à votre portefeuille .................................................................. 45

Gestion des produits AWS Marketplace à l'aide d'AWS Service Catalog ..................................... 45Gestion et ajout de produits AWS Marketplace à l'aide de l'option manuelle ................................ 45

Partage de portefeuille ............................................................................................................... 50Relation entre des portefeuilles partagés et des portefeuilles importés ....................................... 51Partage d'un portefeuille .................................................................................................... 52Importation d'un portefeuille ................................................................................................ 52

Gestion des produits provisionnés ....................................................................................................... 53Gestion de tous les produits provisionnés en tant qu'administrateur .................................................. 53Didacticiel : Identification de l'utilisateur pour l'allocation des ressources ............................................ 53

Bibliothèque TagOption ...................................................................................................................... 57Lancement d'un produit avec des TagOptions ............................................................................... 58

Exemple 1 : Clé TagOption unique ...................................................................................... 58Exemple 2 : Ensemble de TagOptions avec la même clé sur un portefeuille ............................... 58Exemple 3 : Ensemble de TagOptions avec la même clé sur le portefeuille et un produit de ceportefeuille ....................................................................................................................... 59Exemple 4 : Plusieurs TagOptions avec la même clé et des valeurs conflictuelles ........................ 60

Gestion des TagOptions ............................................................................................................ 60Historique du document ..................................................................................................................... 62

iv

AWS Service Catalog Guide de l'administrateurPrésentation

Qu'est-ce qu'AWS Service Catalog ?AWS Service Catalog permet aux organisations de créer et gérer des catalogues de services informatiquesqui sont approuvés pour être utilisés sur AWS. Ces services informatiques peuvent comprendre toutesles solutions depuis les images de machine virtuelle, les serveurs, les logiciels et les bases de données,jusqu'aux architectures d'application à plusieurs niveaux complètes. AWS Service Catalog permet auxorganisations de gérer de façon centralisée des services informatiques couramment déployés et debénéficier d'une gouvernance uniforme, tout en respectant les exigences de conformité. Les utilisateursfinaux peuvent déployer rapidement uniquement les services informatiques approuvés dont ils ont besoin,en respectant les contraintes définies par votre organisation.

AWS Service Catalog offre les avantages suivants :

• Normalisation

Administrez et gérez des ressources approuvées en limitant l'emplacement où le produit peut êtrelancé, le type d'instance qui peut être utilisé et de nombreuses autres options de configuration. Cela setraduit par un environnement normalisé pour le provisionnement de produits pour l'ensemble de votreentreprise.

• Découverte et lancement en libre service

Les utilisateurs parcourent des listes de produits (services ou applications) auxquels ils ont accès, etrecherchent le produit qu'ils souhaitent utiliser et lancer par eux-mêmes en tant que produit provisionné.

• Contrôle précis des accès (FGAC)

Les administrateurs assemblent des portefeuilles de produits à partir de leur catalogue, ajoutent descontraintes et des balises de ressource à utiliser lors du provisionnement, puis accordent l'accès auportefeuille via des utilisateurs et des groupes AWS Identity and Access Management (IAM).

• Extensibilité et contrôle de version

Les administrateurs peuvent ajouter un produit à un nombre quelconque de portefeuilles et le restreindresans créer une autre copie. La mise à jour du produit vers une nouvelle version propage la mise à jourvers tous les produits dans tous les portefeuilles qui le référencent.

Pour plus d'informations, consultez Description détaillée d'AWS Service Catalog.

L'API AWS Service Catalog offre un contrôle par programmation sur toutes les actions de l'utilisateurfinal et se présente comme une alternative à l'utilisation de AWS Management Console. Pour plusd'informations, consultez le manuel Manuel du développeur AWS Service Catalog

Présentation de AWS Service CatalogLorsque vous faites vos premiers pas avec AWS Service Catalog, il est important de comprendre sescomposants et les flux de travail initiaux pour les administrateurs et les utilisateurs finaux.

UtilisateursAWS Service Catalog prend en charge les types d'utilisateurs suivants :

• Administrateurs de catalogue (administrateurs) – Gèrent un catalogue de produits (applications etservices), en les organisant en portefeuilles et en accordant l'accès à des utilisateurs finaux. Lesadministrateurs de catalogue préparent des modèles AWS CloudFormation, configurent des contrainteset gèrent des rôles IAM qui sont affectés à des produits pour assurer la gestion de ressources avancées.

1

AWS Service Catalog Guide de l'administrateurProduits

• Utilisateurs finaux – Reçoivent des informations d'identification AWS de leur service ou responsableinformatique et utilisent la AWS Management Console pour lancer des produits auxquels l'accèsleur a été accordé. Parfois appelés simplement utilisateurs, les utilisateurs finaux peuvent bénéficierd'autorisations différentes selon vos besoins opérationnels. Par exemple, un utilisateur peut avoir leniveau d'autorisation maximum (pour lancer et gérer toutes les ressources requises par les produits qu'ilutilise) ou uniquement l'autorisation d'utiliser des fonctions de service particulières.

ProduitsUn produit est un service informatique que vous souhaitez mettre à disposition à des fins de déploiementsur AWS. Il comprend une ou plusieurs ressources AWS, telles que des instances, volumes de stockage,bases de données, configurations de surveillance et composants de mise en réseau EC2, ou des produitsAWS Marketplace prêts à l'emploi. Il peut s'agir, entre autres, d'une instance de calcul unique fonctionnantsous AWS Linux, une application Web à plusieurs niveaux entièrement configurée et s'exécutant dansson propre environnement. Vous créez un produit en important un modèle AWS CloudFormation. Lesmodèles AWS CloudFormation déterminent les ressources AWS nécessaires pour le produit, les relationsentre les ressources, et les paramètres que les utilisateurs finaux peuvent installer lorsqu'ils lancent leproduit afin de configurer des groupes de sécurité, de créer des paires de clés ou de procéder à d'autrespersonnalisations.

Produits provisionnésLes piles AWS CloudFormation facilitent la gestion du cycle de vie de votre produit en vous permettantde provisionner, d'ajouter une balise, de mettre à jour et de résilier l'instance de votre produit en tantqu'unité unique. Une pile AWS CloudFormation comprend un modèle AWS CloudFormation, écrit au formatJSON ou YAML, et son ensemble associé de ressources. Un produit provisionné est une pile. Quand unutilisateur final lance un produit, l'instance du produit qui est provisionné par AWS Service Catalog estune pile contenant les ressources nécessaires pour exécuter le produit. Pour de plus amples informations,consultez le manuel AWS CloudFormation Guide de l'utilisateur.

PortefeuillesUn portefeuille est un ensemble de produits, accompagné d'informations de configuration. Les portefeuillesvous permettent de gérer qui peut utiliser un produit en particulier et de quelle façon. Avec AWS ServiceCatalog, vous pouvez créer un portefeuille personnalisé pour chaque type d'utilisateur dans votreentreprise et accorder de façon sélective l'accès au portefeuille approprié. Lorsque vous ajoutez unenouvelle version d'un produit à un portefeuille, cette version est automatiquement mise à la disposition detous les utilisateurs actuels du portefeuille en question. Vous pouvez également partager vos portefeuillesavec d'autres comptes AWS et permettre à l'administrateur de ces comptes de distribuer vos portefeuillesavec des contraintes supplémentaires, comme limiter les instances EC2 qu'un utilisateur peut créer. Grâceà l'utilisation de portefeuilles, d'autorisations, du partage et de contraintes, vous pouvez vous assurer queles utilisateurs lancent des produits qui sont correctement configurés pour les besoins et les normes del'entreprise.

Contrôle de versionAWS Service Catalog vous permet de gérer plusieurs versions des produits dans votre catalogue. Vouspouvez ainsi ajouter les nouvelles versions des modèles et des ressources associées en fonction desmises à jour logicielles ou des modifications de configuration. Lorsque vous créez une nouvelle versiond'un produit, la mise à jour est automatiquement distribuée à tous les utilisateurs ayant accès au produit,ce qui leur permet de sélectionner la version du produit à utiliser. Les utilisateurs peuvent rapidement etfacilement mettre à jour des instances du produit en cours d'exécution vers la nouvelle version.

2

AWS Service Catalog Guide de l'administrateurAutorisations

AutorisationsAccorder l'accès à un portefeuille à un utilisateur permet à l'utilisateur en question de parcourir leportefeuille et de lancer les produits y figurant. Vous appliquez des autorisations AWS Identity and AccessManagement (IAM) pour contrôler qui peut afficher et modifier votre catalogue. Les autorisations IAMpeuvent être attribuées à des utilisateurs, groupes et rôles IAM. Lorsqu'un utilisateur lance un produitdoté d'un rôle IAM, AWS Service Catalog utilise le rôle pour démarrer les ressources cloud du produit àl'aide d'AWS CloudFormation. En attribuant un rôle IAM à chaque produit, vous évitez ainsi d'accorder auxutilisateurs le droit d'effectuer des opérations non approuvées et vous leur permettez de provisionner desressources à l'aide du catalogue.

ContraintesLes contraintes contrôlent les modalités de déploiement de ressources AWS spécifiques pour un produit. Vous pouvez les utiliser pour appliquer des limites aux produits à des fins de contrôle de la gouvernance oudes coûts. Il existe différents types de contraintes AWS Service Catalog : les contraintes de lancement, lescontraintes de notification et les contraintes de modèle.

Les contraintes de lancement vous permettent de spécifier un rôle pour un produit au sein d'un portefeuille.Ce rôle est utilisé pour allouer des ressources au lancement, vous pouvez donc limiter les autorisationsd'un utilisateur sans compromettre sa capacité à acquérir des produits depuis le catalogue.

Les contraintes de notification vous permettent de recevoir des notifications concernant des événements depile à l'aide d'une rubrique Amazon SNS.

Les contraintes de modèle limitent les paramètres de configuration mis à la disposition de l'utilisateurlors du lancement du produit (par exemple, les types d'instance EC2 ou les plages d'adresses IP). Lescontraintes de modèle vous permettent de réutiliser des modèles AWS CloudFormation génériques pourles produits et d'appliquer des restrictions aux modèles pour chaque produit ou portefeuille.

Flux de travail initial pour un administrateurLe diagramme suivant illustre le flux de travail initial pour un administrateur lors de la création d'uncatalogue.

3

AWS Service Catalog Guide de l'administrateurFlux de travail initial pour un utilisateur final

Flux de travail initial pour un utilisateur finalEn utilisant l'état du flux de travail pour un administrateur comme point de départ, le diagramme suivantillustre le flux de travail initial pour un utilisateur final. Cet exemple illustre les tâches d'affichage et deprovisionnement des produits de l'utilisateur final sur la droite, et les tâches de l'administrateur sur lagauche. Les tâches sont numérotées dans l'ordre.

4

AWS Service Catalog Guide de l'administrateurRestrictions

Limites de service par défaut d'AWS ServiceCatalog

Voici les limites de votre compte AWS liées à AWS Service Catalog. Pour demander une augmentation deslimites, utilisez le formulaire de demande d'augmentation de limite de service.

Limites régionales

• Portefeuilles : 25• Produits : 100

Limites des portefeuilles

• Utilisateurs, groupes et rôles par portefeuille : 25• Produits par portefeuille : 25• Balises par portefeuille : 20

Limites des produits

• Versions de produit par produit : 50• Balises par produit : 20

Limites des produits provisionnés

• Balises par produit provisionné : 50

5

AWS Service Catalog Guide de l'administrateurRestrictions

Limites des contraintes

• Contraintes par produit par portefeuille : 25

6

AWS Service Catalog Guide de l'administrateurInscription à Amazon Web Services

Configuration pour AWS ServiceCatalog

Avant de commencer à utiliser AWS Service Catalog, effectuez les tâches suivantes.

Inscription à Amazon Web ServicesPour utiliser Amazon Web Services (AWS), vous devez vous inscrire pour un compte AWS.

Pour créer un compte AWS

1. Ouvrez https://aws.amazon.com/, puis choisissez Create an AWS Account.

Note

Il est probable que cette opération soit indisponible dans votre navigateur si vous vousêtes déjà connecté à AWS Management Console auparavant. Dans ce cas, choisissez Seconnecter à un autre compte, puis Créer un nouveau compte AWS.

2. Suivez les instructions en ligne.

Dans le cadre de la procédure d'inscription, vous recevrez un appel téléphonique et vous saisirez uncode PIN en utilisant le clavier numérique du téléphone.

AWS vous envoie un e-mail de confirmation lorsque le processus d'inscription est terminé. A tout moment,vous pouvez afficher l'activité en cours de votre compte et gérer votre compte en accédant à https://aws.amazon.com/ et en choisissant My Account, AWS Management Console.

Octroi d'autorisations aux administrateurs et auxutilisateurs finaux

Les administrateurs de catalogue et les utilisateurs finaux ont besoin d'autorisations IAM différentespour utiliser AWS Service Catalog. En tant qu'administrateur de catalogue, vous devez disposer desautorisations IAM qui vous permettent d'accéder à la console Administrateur AWS Service Catalog, et decréer et gérer des produits. Pour que vos utilisateurs finaux puissent utiliser vos produits, vous devez leuraccorder des autorisations qui leur permettant d'accéder à la console Utilisateur final AWS Service Catalog,de lancer des produits et de gérer des produits lancés en tant que produits provisionnés.

AWS Service Catalog fournit un grand nombre de ces autorisations à l'aide des stratégies gérées. AWSgère ces stratégies et les fournit au service AWS Identity and Access Management (IAM). Vous pouvezutiliser ces stratégies en les associant à des utilisateurs, groupes ou rôles IAM utilisés par vos utilisateursfinaux et vous-même.

• Authentification et contrôle d'accès pour AWS Service Catalog (p. 20)• Accorder des autorisations aux administrateurs AWS Service Catalog (p. 8)• Octroi d'autorisations aux utilisateurs finaux AWS Service Catalog (p. 9)

7

AWS Service Catalog Guide de l'administrateurAccorder des autorisations aux administrateurs

Accorder des autorisations aux administrateursAWS Service Catalog

En tant qu'administrateur de catalogue, vous avez besoin d'un accès à la vue de la console AdministrateurAWS Service Catalog et d'autorisations IAM qui vous permettent d'effectuer des tâches telles que lestâches suivantes :

• Création et gestion de portefeuilles• Création et gestion de produits• Ajout de contraintes de modèle pour contrôler les options qui sont disponibles pour les utilisateurs finaux

lorsqu'ils lancent un produit• Ajout de contraintes de lancement pour définir les rôles IAM assumés par AWS Service Catalog lorsque

des utilisateurs finaux lancent des produits• Attribution aux utilisateurs finaux d'un accès à vos produits

Vous-même ou un administrateur qui gère vos autorisations IAM doit attacher à votre utilisateur, groupe ourôle IAM les stratégies requises pour exécuter ce didacticiel.

Pour accorder des autorisations à un administrateur de catalogue

1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.2. Dans le volet de navigation, sélectionnez Users. Si vous avez déjà créé un utilisateur IAM que vous

souhaitez utiliser comme administrateur de catalogue, choisissez le nom de cet utilisateur, puis Addpermissions. Sinon, créez un utilisateur comme suit :

a. Choisissez Add user.b. Pour User name, tapez ServiceCatalogAdmin.c. Sélectionnez Programmatic access et AWS Management Console access.d. Choisissez Next: Permissions.

3. Choisissez Attacher directement les stratégies existantes.4. Choisissez Create policy, puis effectuez les opérations suivantes :

a. Pour Create Your Own Policy, choisissez Select.b. Pour Policy Name, tapez ServiceCatalogAdmin-AdditionalPermissions.c. Copiez l'exemple de stratégie suivant et collez-le dans Policy Document :

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateKeyPair", "iam:AddRoleToInstanceProfile", "iam:AddUserToGroup", "iam:AttachGroupPolicy", "iam:CreateAccessKey", "iam:CreateGroup", "iam:CreateInstanceProfile", "iam:CreateLoginProfile", "iam:CreateRole", "iam:CreateUser", "iam:Get*", "iam:List*",

8

AWS Service Catalog Guide de l'administrateurOctroi d'autorisations aux utilisateurs finaux

"iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy" ], "Resource": [ "*" ] } ]}

d. (Facultatif) Vous devez accorder aux administrateurs des autorisations supplémentaires pourAmazon S3 s'ils ont besoin d'utiliser un modèle CloudFormation privé. Pour plus d'informations,consultez Exemples de stratégies utilisateur dans le Amazon Simple Storage Service Manuel dudéveloppeur.

e. Choisissez Créer une stratégie.5. Revenez dans la fenêtre de navigateur avec la page des autorisations, puis choisissez Refresh.6. Dans le champ de recherche, tapez ServiceCatalog pour filtrer la liste de stratégies.7. Cochez les cases en regard des stratégies AWSServiceCatalogAdminFullAccess et

ServiceCatalogAdmin-AdditionalPermissions, puis choisissez Next: Review.8. Si vous mettez à jour un utilisateur, choisissez Add permissions.

Si vous créez un utilisateur, choisissez Create user. Vous pouvez télécharger ou copier lesinformations d'identification, puis choisir Close.

9. Pour vous connecter en tant qu'utilisateur de catalogue, utilisez l'URL propre à votre compte. Pourtrouver cette URL, choisissez Dashboard dans le volet de navigation, puis Copy Link. Collez le liendans votre navigateur, puis utilisez le nom et le mot de passe de l'utilisateur IAM que vous avez crééou mis à jour dans cette procédure.

Octroi d'autorisations aux utilisateurs finaux AWSService Catalog

Pour que l'utilisateur final puisse utiliser AWS Service Catalog, vous devez lui accorder l'accès à la vuede la console Utilisateur final AWS Service Catalog. Pour accorder l'accès, vous attachez des stratégiesà l'utilisateur, au groupe ou au rôle IAM dont se sert l'utilisateur final. Dans la procédure suivante, nousattachons la stratégie ServiceCatalogEndUserAccess à un groupe IAM. Pour plus d'informations, consultezStratégies gérées par AWS prédéfinies (p. 20).

Pour permettre à un utilisateur final de lancer un produit, vous devez accorder l'accès à l'actionProvisionProduct. Pour ce faire, utilisez une stratégie en ligne, comme illustré dans la procéduresuivante.

Pour accorder des autorisations à un utilisateur final

1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.2. Dans le volet de navigation, choisissez Policies.3. Choisissez Create policy, puis effectuez les opérations suivantes :

a. Pour Create Your Own Policy, choisissez Select.b. Pour Policy Name, tapez ServiceCatalogEndusers-AdditionalPermissions.c. Copiez l'exemple de stratégie suivant et collez-le dans Policy Document :

{ "Version": "2012-10-17",

9

AWS Service Catalog Guide de l'administrateurOctroi d'autorisations aux utilisateurs finaux

"Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:ProvisionProduct" ], "Resource": "*" } ]}

d. Choisissez Créer une stratégie.4. Dans le volet de navigation, choisissez Groups.5. Choisissez Create New Group, puis effectuez les opérations suivantes :

a. Pour Group Name, tapez Endusers, puis choisissez Next Step.b. Dans le champ de recherche, tapez ServiceCatalog pour filtrer la liste de stratégies.c. Cochez les cases en regard des stratégies ServiceCatalogEndUserAccess et

ServiceCatalogEndusers-AdditionalPermissions, puis choisissez Next Step.d. Sur la page Review page, choisissez Create Group.

6. Dans le volet de navigation, sélectionnez Users.7. Choisissez Add user, puis effectuez les opérations suivantes :

a. Pour User name, tapez le nom de l'utilisateur.b. Sélectionnez AWS Management Console access.c. Choisissez Next: Permissions.d. Choisissez Add user to group.e. Cochez la case en regard du groupe Endusers, puis choisissez Next: Review.f. Sur la page Review, choisissez Create user. Téléchargez ou copiez les informations

d'identification, puis choisissez Close.

10

AWS Service Catalog Guide de l'administrateurÉtape 1 : Télécharger le modèle

Mise en routeCe didacticiel vous présente les tâches clés que vous effectuez en tant qu'administrateur de catalogue.Vous créez un produit qui s'appuie sur un modèle AWS CloudFormation définissant les ressources AWSutilisées par le produit. Le produit, Linux Desktop, est un environnement de développement cloud quis'exécute sur Amazon Linux. Vous ajoutez le produit à un portefeuille et vous le distribuez à l'utilisateurfinal. Enfin, vous vous connectez en tant qu'utilisateur final pour tester le produit.

Avant de commencer

Effectuez les tâches décrites dans Configuration pour AWS Service Catalog (p. 7).

Tâches• Étape 1 : Télécharger le modèle AWS CloudFormation (p. 11)• Étape 2 : Créer une paire de clés (p. 14)• Étape 3 : Création d'un portefeuille AWS Service Catalog (p. 15)• Étape 4 : Création d'un produit AWS Service Catalog (p. 15)• Étape 5 : Ajout d'une contrainte de modèle pour limiter la taille d'instance (p. 16)• Étape 6 : Ajout d'une contrainte de lancement pour attribuer un rôle IAM (p. 16)• Étape 7 : Octroi aux utilisateurs finaux d'un accès au portefeuille (p. 18)• Étape 8 : Test de l'expérience utilisateur final (p. 18)

Étape 1 : Télécharger le modèle AWSCloudFormation

Pour provisionner et configurer des portefeuilles et des produits, vous pouvez utiliser des modèles AWSCloudFormation, qui sont des fichiers texte au format JSON ou YAML. Pour plus d'informations, consultezFormats de modèle dans le AWS CloudFormation User Guide. Ces modèles décrivent les ressources quevous souhaitez provisionner. Vous pouvez utiliser l'éditeur AWS CloudFormation ou n'importe quel éditeurde texte pour créer et enregistrer des modèles. Pour ce didacticiel, nous avons fourni un modèle simplepour vous aider à démarrer. Ce modèle lance une seule instance Linux configurée pour un accès SSH.

Téléchargement du modèleL'exemple de modèle fourni pour ce didacticiel, development-environment.template, est disponibleà l'adresse https://awsdocs.s3.amazonaws.com/servicecatalog/development-environment.template.

Présentation du modèleLe texte de l'exemple de modèle est le suivant :

{

11

AWS Service Catalog Guide de l'administrateurPrésentation du modèle

"AWSTemplateFormatVersion" : "2010-09-09",

"Description" : "AWS Service Catalog sample template. Creates an Amazon EC2 instance running the Amazon Linux AMI. The AMI is chosen based on the region in which the stack is run. This example creates an EC2 security group for the instance to give you SSH access. **WARNING** This template creates an Amazon EC2 instance. You will be billed for the AWS resources used if you create a stack from this template.",

"Parameters" : { "KeyName": { "Description" : "Name of an existing EC2 key pair for SSH access to the EC2 instance.", "Type": "AWS::EC2::KeyPair::KeyName" },

"InstanceType" : { "Description" : "EC2 instance type.", "Type" : "String", "Default" : "t2.micro", "AllowedValues" : [ "t2.micro", "t2.small", "t2.medium", "m3.medium", "m3.large", "m3.xlarge", "m3.2xlarge" ] },

"SSHLocation" : { "Description" : "The IP address range that can SSH to the EC2 instance.", "Type": "String", "MinLength": "9", "MaxLength": "18", "Default": "0.0.0.0/0", "AllowedPattern": "(\\d{1,3})\\.(\\d{1,3})\\.(\\d{1,3})\\.(\\d{1,3})/(\\d{1,2})", "ConstraintDescription": "Must be a valid IP CIDR range of the form x.x.x.x/x." } },

"Metadata" : { "AWS::CloudFormation::Interface" : { "ParameterGroups" : [{ "Label" : {"default": "Instance configuration"}, "Parameters" : ["InstanceType"] },{ "Label" : {"default": "Security configuration"}, "Parameters" : ["KeyName", "SSHLocation"] }], "ParameterLabels" : { "InstanceType": {"default": "Server size:"}, "KeyName": {"default": "Key pair:"}, "SSHLocation": {"default": "CIDR range:"} } } },

"Mappings" : { "AWSRegionArch2AMI" : { "us-east-1" : { "HVM64" : "ami-08842d60" }, "us-west-2" : { "HVM64" : "ami-8786c6b7" }, "us-west-1" : { "HVM64" : "ami-cfa8a18a" }, "eu-west-1" : { "HVM64" : "ami-748e2903" }, "ap-southeast-1" : { "HVM64" : "ami-d6e1c584" }, "ap-northeast-1" : { "HVM64" : "ami-35072834" }, "ap-southeast-2" : { "HVM64" : "ami-fd4724c7" }, "sa-east-1" : { "HVM64" : "ami-956cc688" }, "cn-north-1" : { "HVM64" : "ami-ac57c595" }, "eu-central-1" : { "HVM64" : "ami-b43503a9" } }

12

AWS Service Catalog Guide de l'administrateurPrésentation du modèle

},

"Resources" : { "EC2Instance" : { "Type" : "AWS::EC2::Instance", "Properties" : { "InstanceType" : { "Ref" : "InstanceType" }, "SecurityGroups" : [ { "Ref" : "InstanceSecurityGroup" } ], "KeyName" : { "Ref" : "KeyName" }, "ImageId" : { "Fn::FindInMap" : [ "AWSRegionArch2AMI", { "Ref" : "AWS::Region" }, "HVM64" ] } } },

"InstanceSecurityGroup" : { "Type" : "AWS::EC2::SecurityGroup", "Properties" : { "GroupDescription" : "Enable SSH access via port 22", "SecurityGroupIngress" : [ { "IpProtocol" : "tcp", "FromPort" : "22", "ToPort" : "22", "CidrIp" : { "Ref" : "SSHLocation"} } ] } } },

"Outputs" : { "PublicDNSName" : { "Description" : "Public DNS name of the new EC2 instance", "Value" : { "Fn::GetAtt" : [ "EC2Instance", "PublicDnsName" ] } }, "PublicIPAddress" : { "Description" : "Public IP address of the new EC2 instance", "Value" : { "Fn::GetAtt" : [ "EC2Instance", "PublicIp" ] } } }}

Ressources du modèle

Le modèle déclare les ressources à créer lorsque le produit est lancé. Il se compose des sectionssuivantes :

• AWSTemplateFormatVersion : Version du format de modèle AWS utilisé pour créer ce modèle.• Description : Description du modèle.• Parameters : Paramètres que votre utilisateur doit spécifier pour lancer le produit. Pour chaque

paramètre, le modèle inclut une description et des contraintes qui doivent être satisfaites par la valeursaisie. Pour plus d'informations sur les contraintes, consultez Utilisation de contraintes AWS ServiceCatalog (p. 33).

Le paramètre KeyName vous permet de spécifier un nom de paire de clés Amazon Elastic ComputeCloud (Amazon EC2) que les utilisateurs finaux doivent fournir lorsqu'ils utilisent AWS Service Catalogpour lancer votre produit. Vous allez créer la paire de clés à l'étape suivante.

• Metadata : Section facultative qui définit des détails sur le modèle. La cléAWS::CloudFormation::Interface définit la façon dont la vue de la console Utilisateur final affiche lesparamètres. La propriété ParameterGroups définit la façon dont les paramètres sont regroupés et lesen-têtes pour ces groupes. La propriété ParameterLabels définit des noms de paramètre conviviaux.Lorsqu'un utilisateur spécifie des paramètres pour lancer un produit basé sur ce modèle, la vue dela console Utilisateur final affiche le paramètre étiqueté Server size: sous l'en-tête Instance

13

AWS Service Catalog Guide de l'administrateurÉtape 2 : Créer une paire de clés

configuration, et les paramètres étiquetés Key pair: et CIDR range:, sous l'en-tête Securityconfiguration.

• Mappings : Liste de régions et l'Amazon Machine Image (AMI) qui correspond à chacune. AWS ServiceCatalog utilise le mappage pour déterminer quelle AMI utiliser en fonction de la région que l'utilisateursélectionne dans la AWS Management Console.

• Resources : Instance EC2 exécutant Amazon Linux et groupe de sécurité qui autorise l'accès SSH àl'instance. La section Properties de la ressource d'instance EC2 utilise les informations que l'utilisateurentre pour configurer le type d'instance et un nom de clé pour l'accès SSH.

AWS CloudFormation utilise la région actuelle pour sélectionner l'ID d'AMI à partir des mappages définisprécédemment et lui attribue un groupe de sécurité. Le groupe de sécurité est configuré pour autoriserl'accès entrant sur le port 22 à partir de la plage d'adresses IP CIDR que spécifie l'utilisateur.

• Outputs : Texte qui informe l'utilisateur lorsque le lancement du produit est terminé. Le modèle fourniobtient le nom DNS public de l'instance lancée et l'affiche pour l'utilisateur. L'utilisateur a besoin du nomDNS pour se connecter à l'instance à l'aide de SSH.

Étape 2 : Créer une paire de clésPour permettre à vos utilisateurs finaux de lancer le produit basé sur l'exemple de modèle pour cedidacticiel, vous devez créer une paire de clés Amazon EC2. Une paire de clés est une combinaison d'uneclé publique utilisée pour chiffrer les données et d'une clé privée utilisée pour déchiffrer les données. Pourplus d'informations sur les paires de clés, consultez la section Paires de clés Amazon EC2 du manuelAmazon EC2 Guide de l'utilisateur pour les instances Linux.

Le modèle AWS CloudFormation pour ce didacticiel, development-environment.template, inclut leparamètre KeyName :

. . . "Parameters" : { "KeyName": { "Description" : "Name of an existing EC2 key pair for SSH access to the EC2 instance.", "Type": "AWS::EC2::KeyPair::KeyName" },. . .

Les utilisateurs finaux doit spécifier le nom d'une paire de clés lorsqu'ils utilisent AWS Service Catalog pourlancer le produit basé sur le modèle.

Si vous disposez déjà dans votre compte d'une paire de clés que vous préférez utiliser, vous pouvezpassez directement à Étape 3 : Création d'un portefeuille AWS Service Catalog (p. 15). Sinon, effectuezles étapes suivantes.

Pour créer une paire de clés

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, sous Network & Security, choisissez Key Pairs.3. Sur la page Key Pairs, choisissez Create Key Pair.4. Pour Key pair name, tapez un nom facile à mémoriser, puis choisissez Create.5. Lorsque la console vous invite à enregistrer le fichier de clé privée, enregistrez-le dans un endroit sûr.

Important

C'est votre seule occasion d'enregistrer le fichier de clé privée.

14

AWS Service Catalog Guide de l'administrateurÉtape 3 : Création d'un portefeuille

Étape 3 : Création d'un portefeuille AWS ServiceCatalog

Pour fournir des produits à des utilisateurs, commencez par créer un portefeuille pour ces produits.

Pour créer un portefeuille

1. Ouvrez la console AWS Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/.2. Si vous utilisez la console Administrateur AWS Service Catalog pour la première fois, choisissez Get

started afin de démarrer l'assistant pour la configuration d'un portefeuille. Sinon, choisissez Createportfolio.

3. Entrez les valeurs suivantes :

• Portfolio name : Engineering Tools• Description : Sample portfolio that contains a single product.• Owner : IT (it@example.com)

4. Sélectionnez Create.

Étape 4 : Création d'un produit AWS ServiceCatalog

Une fois que vous avez créé un portefeuille, vous êtes prêt à ajouter un produit. Pour ce didacticiel, vousallez créer un produit appelé Linux Desktop, un environnement de développement cloud qui s'exécute surAmazon Linux.

Pour créer un produit

1. Si vous venez de terminer l'étape précédente, la page Portfolios sera déjà affichée. Sinon, ouvrezhttps://console.aws.amazon.com/servicecatalog/.

2. Choisissez le nom Engineering Tools pour ouvrir la page des détails du portefeuille, puis choisissezUpload new product.

3. Sur la page Enter product details, saisissez ce qui suit, puis cliquez sur Next :

• Product name : Linux Desktop• Description : Cloud development environment configured for engineering staff.Exécutez Linux AWS.

• Provided by : IT• Vendor : (vide)

4. Sur la page Enter support details, saisissez ce qui suit, puis cliquez sur Next :

• Email contact : ITSupport@example.com• Support link : https://wiki.example.com/IT/support• Support description : Contactez le service informatique pour les problèmes dedéploiement ou de connexion à ce produit.

5. Sur la page Version details, choisissez Specify an Amazon S3 template URL, saisissez ce qui suit,puis cliquez sur Next :

• Select template – https://awsdocs.s3.amazonaws.com/servicecatalog/development-environment.template

15

AWS Service Catalog Guide de l'administrateurÉtape 5 : Ajout d'une contrainte de modèle

• Version title : v1.0• Description : Version de base

6. Sur la page Review, choisissez Create.

Étape 5 : Ajout d'une contrainte de modèle pourlimiter la taille d'instance

Les contraintes ajoutent une autre couche de contrôle sur les produits au niveau du portefeuille. Lescontraintes peuvent contrôler le contexte de lancement d'un produit (contraintes de lancement), ou ajouterdes règles au modèle AWS CloudFormation (contraintes de modèle). Pour plus d'informations, consultezUtilisation de contraintes AWS Service Catalog (p. 33).

A présent, ajoutez au produit Linux Desktop une contrainte de modèle qui empêche les utilisateursde sélectionner des types d'instance volumineux au moment du lancement. Le modèle development-environment permet à l'utilisateur de choisir parmi six types d'instance ; cette contrainte limite les typesd'instance valides aux deux types les plus petits, t2.micro et t2.small. Pour plus d'informations,consultez Instances T2 dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Pour ajouter une contrainte de modèle au produit Linux Desktop

1. Sur la page des détails du portefeuille, développez la section Constraints, puis choisissez Addconstraints.

2. Dans la fenêtre Select product and type, pour Product, choisissez Linux Desktop. Ensuite, pourConstraint type, choisissez Template.

3. Choisissez Continue.4. Pour Description, tapez Small instance sizes.5. Collez ce qui suit dans la zone de texte Template constraint :

{ "Rules": { "Rule1": { "Assertions": [ { "Assert" : {"Fn::Contains": [["t2.micro", "t2.small"], {"Ref": "InstanceType"}]}, "AssertDescription": "Instance type should be t2.micro or t2.small" } ] } }}

6. Choisissez Submit.

Étape 6 : Ajout d'une contrainte de lancement pourattribuer un rôle IAM

Une contrainte de lancement désigne un rôle IAM assumé par AWS Service Catalog lorsqu'un utilisateurfinal lance un produit. Pour cette étape, vous allez ajouter une contrainte de lancement au produit LinuxDesktop pour qu'AWS Service Catalog puisse utiliser les ressources AWS qui font partie du modèleAWS CloudFormation du produit. Cette contrainte de lancement va permettre à l'utilisateur final de lancer

16

AWS Service Catalog Guide de l'administrateurÉtape 6 : Ajout d'une contrainte de lancement

le produit et, une fois que ce dernier est lancé, de le gérer en tant que produit provisionné. Pour plusd'informations, consultez Contraintes de lancement AWS Service Catalog (p. 33).

Sans contrainte de lancement, vous devrez accorder des autorisations IAM supplémentaires à vosutilisateurs finaux pour qu'ils puissent utiliser le produit Linux Desktop. Par exemple, la stratégieServiceCatalogEndUserAccess que vous avez appliquée au groupe accorde uniquement lesautorisations IAM minimales requises pour accéder à la console Utilisateur final AWS Service Catalog.En utilisant une contrainte de lancement, vous pouvez réduire au minimum les autorisations IAM de vosutilisateurs finaux, ce qui est une bonne pratique IAM. Pour plus d'informations, consultez Accorder lesprivilèges les plus faibles possible dans le IAM Guide de l'utilisateur.

Pour ajouter une contrainte de lancement

1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.2. Dans le volet de navigation, choisissez Policies. Choisissez Create policy, puis effectuez les opérations

suivantes :

a. Pour Create Your Own Policy, choisissez Select.b. Pour Policy Name, saisissez linuxDesktopPolicy.c. Copiez l'exemple de stratégie suivant et collez-le dans Policy Document :

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "catalog-user:*", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "ec2:*", "s3:GetObject", "sns:*" ], "Resource": "*" } ]}

d. Choisissez Créer une stratégie.3. Dans le volet de navigation, choisissez Roles. Choisissez Create role, puis effectuez les opérations

suivantes :

a. Pour Select role type, choisissez AWS service, puis Service Catalog. Sélectionnez le casd'utilisation Service Catalog, puis choisissez Next: Permissions.

b. Cochez la case en regard de la stratégie linuxDesktopPolicy, puis choisissez Next: Review.c. Pour Role name, tapez linuxDesktopLaunchRole.d. Sélectionnez Create role.

4. Ouvrez la console AWS Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/.5. Choisissez le portefeuille Engineering Tools.6. Sur la page des détails du portefeuille, développez la section Constraints, puis choisissez Add

constraints.

17

AWS Service Catalog Guide de l'administrateurÉtape 7 : Octroi aux utilisateursfinaux d'un accès au portefeuille

7. Pour Product, choisissez Linux Desktop, et pour Constraint type, choisissez Launch. ChoisissezContinue.

8. Sur la page Launch constraint, pour IAM role, choisissez linuxDesktopLaunchRole, puis Submit.

Étape 7 : Octroi aux utilisateurs finaux d'un accèsau portefeuille

Maintenant que vous avez créé un portefeuille et ajouté un produit, vous êtes prêt à accorder un accès auxutilisateurs finaux.

Prérequis

Si vous n'avez pas encore créé de groupe IAM pour les utilisateurs finaux, consultez Octroi d'autorisationsaux utilisateurs finaux AWS Service Catalog (p. 9).

Pour donner accès au portefeuille

1. Sur la page des détails du portefeuille, développez la section Users, groups and roles.2. Choisissez Add user, group or role.3. Sous l'onglet Groups, cochez la case correspondant au groupe IAM pour les utilisateurs finaux.4. Choisissez Add Access.

Étape 8 : Test de l'expérience utilisateur finalPour vérifier que l'utilisateur final peut accéder à la vue de la console Utilisateur final et lancer votre produit,connectez-vous à AWS en tant qu'utilisateur final et effectuez les tâches suivantes.

Pour vérifier que l'utilisateur final peut accéder à la console Utilisateur final

1. Pour vous connecter en tant qu'utilisateur IAM, utilisez l'URL propre au compte. Pour trouver cetteURL, ouvrez la console IAM et choisissez Dashboard dans le volet de navigation, puis Copy Link.Collez le lien dans votre navigateur, puis utilisez le nom et le mot de passe de l'utilisateur IAM

2. Dans la barre de menu, choisissez la région dans laquelle vous avez créé le portefeuilleEngineering Tools.

3. Ouvrez la console AWS Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/,puis sélectionnez Service Catalog, Dashboard pour afficher ce qui suit :

• Products : Produits que l'utilisateur peut utiliser.• Provisioned products : Produits provisionnés que l'utilisateur a lancés.

Pour vérifier que l'utilisateur final peut lancer le produit Linux Desktop

1. Dans la section Products de la console, choisissez Linux Desktop.2. Choisissez Launch product afin de démarrer l'assistant pour la configuration de votre produit.3. Sur la page Product version, pour Name, tapez Linux-Desktop.4. Dans le tableau Version, choisissez v1.0.5. Choisissez Next.6. Sur la page Parameters, saisissez ce qui suit, puis cliquez sur Next :

• Server size : Choisissez t2.micro.

18

AWS Service Catalog Guide de l'administrateurÉtape 8 : Test de l'expérience utilisateur final

• Key pair : Sélectionnez la paire de clés que vous avez créée dans Étape 2 : Créer une paire declés (p. 14).

• CIDR range : Tapez une plage d'adresses CIDR valide pour l'adresse IP à partir de laquelle vousvous connecterez à l'instance. Cela peut être la valeur par défaut (0.0.0.0/0) pour autoriser l'accèsà partir de toute adresse IP, votre adresse IP suivie de /32 pour limiter l'accès à votre adresse IPuniquement, ou une valeur entre les deux.

7. Sur la page Review, vérifiez les informations que vous avez saisies, puis choisissez Launch pourlancer la pile. La console affiche la page des détails de pile pour la pile Linux-Desktop. Le statut initialdu produit est Launching. Le lancement du produit par AWS Service Catalog prend plusieurs minutes.Pour afficher l'état en cours, actualisez votre navigateur. Une fois que le produit est lancé, l'état estAvailable.

19

AWS Service Catalog Guide de l'administrateurStratégies gérées par AWS prédéfinies

Authentification et contrôle d'accèspour AWS Service Catalog

AWS Service Catalog s'intègre désormais à AWS Identity and Access Management (IAM) pour vouspermettre d'accorder aux administrateurs AWS Service Catalog les autorisations dont ils ont besoin pourcréer et gérer des produits, et d'accorder aux utilisateurs finaux les autorisations dont ils ont besoin pourlancer des produits et gérer des produits provisionnés. Ces stratégies sont créées et gérées par AWS, ouindividuellement par les administrateurs et les utilisateurs finaux. Pour contrôler l'accès, vous attachez cesstratégies à des utilisateurs, groupes et rôles IAM que vous utilisez avec AWS Service Catalog.

Table des matières• Stratégies gérées par AWS prédéfinies (p. 20)• Accès à la console pour les utilisateurs finaux (p. 21)• Accès à un produit pour les utilisateurs finaux (p. 22)• Exemples de stratégies pour la gestion des produits provisionnés (p. 22)

Stratégies gérées par AWS prédéfiniesLes stratégies gérées créées par AWS octroient les autorisations requises pour les cas d'utilisationcourants. Vous pouvez attacher ces stratégies aux utilisateurs et aux rôles IAM. Pour plus d'informations,consultez Stratégies gérées par AWS dans le manuel IAM Guide de l'utilisateur.

Voici les stratégies gérées par AWS pour AWS Service Catalog.

Administrators• AWSServiceCatalogAdminFullAccess : accorde un accès complet à la vue de la console

d'administration et l'autorisation de créer et de gérer des produits et des portefeuilles.• ServiceCatalogAdminReadOnlyAccess : accorde un accès complet à la vue de la console

d'administration. N'accorde pas l'accès pour créer ou gérer des produits et des portefeuilles.Utilisateurs finaux

• AWSServiceCatalogEndUserFullAccess : accorde un accès complet à la vue de la consoleUtilisateur final. Accorde l'autorisation de lancer des produits et de gérer les produits provisionnés.

• ServiceCatalogEndUserAccess : accorde un accès en lecture seule à la vue de la console Utilisateurfinal. N'accorde pas l'autorisation de lancer des produits ou de gérer les produits provisionnés.

Pour attacher une stratégie à un utilisateur IAM

1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.2. Dans le volet de navigation, sélectionnez Users.3. Choisissez le nom (pas la case à cocher) de l'utilisateur IAM.4. Sous l'onglet Permissions, choisissez Attach Policy.5. Sur la page Attach Policy, cochez la case en regard de la stratégie gérée pour AWS Service Catalog,

puis choisissez Attach Policy.

20

AWS Service Catalog Guide de l'administrateurStratégies obsolètes

6. (Facultatif) Vous devez accorder aux administrateurs des autorisations supplémentaires pour AmazonS3 s'ils ont besoin d'utiliser un modèle CloudFormation privé. Pour plus d'informations, consultezExemples de stratégies utilisateur dans le Amazon Simple Storage Service Manuel du développeur.

Stratégies obsolètesLes stratégies gérées obsolètes sont les suivantes :

• ServiceCatalogAdminFullAccess : utilisez AWSServiceCatalogAdminFullAccess à la place.• ServiceCatalogEndUserFullAccess : utilisez AWSServiceCatalogEndUserFullAccess à la place.

Utilisez la procédure suivante pour vous assurer que les autorisations sont accordées à vos administrateurset à vos utilisateurs finaux à l'aide des stratégies actuelles.

Pour procéder à une migration depuis les stratégies obsolètes vers les stratégies actuelles

1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.2. Dans le volet de navigation, choisissez Policies.3. Dans le champ de recherche, tapez ServiceCatalog pour filtrer la liste de stratégies. Choisissez le

nom du rôle ServiceCatalogAdminFullAccess (et non sa case à cocher).4. Pour chaque entité attachée (utilisateur, groupe ou rôle), procédez comme suit :

a. Ouvrez la page récapitulative pour l'entité.b. Ajoutez l'une des stratégies actuelles, comme décrit dans la procédure Pour attacher une stratégie

à un utilisateur IAM (p. 20).c. Sous l'onglet Autorisations, en regard de ServiceCatalogAdminFullAccess, choisissez Detach

Policy. Lorsque vous êtes invité à confirmer l'opération, choisissez Detach.5. Répétez l'opération pour ServiceCatalogEndUserFullAccess.

Accès à la console pour les utilisateurs finauxPour que des utilisateurs finaux puissent utiliser un produit auquel vous donnez accès, vous devez leurfournir des autorisations IAM supplémentaires pour leur permettre d'utiliser chacune des ressources AWSsous-jacentes dans un modèle AWS CloudFormation de produit. Par exemple, si un modèle de produitinclut Amazon Relational Database Service (Amazon RDS), vous devez accorder aux utilisateurs desautorisations Amazon RDS pour lancer le produit.

Les stratégies ServiceCatalogEndUserFullAccess et ServiceCatalogEndUserAccess accordent l'accès à lavue de la console Utilisateur final AWS Service Catalog. Lorsqu'un utilisateur disposant de l'une ou l'autrede ces stratégies choisit Catalogue des services dans AWS Management Console, la vue de la consoleUtilisateur final s'affiche.

Si vous appliquez la stratégie ServiceCatalogEndUserAccess, vos utilisateurs ont accès à la consoleUtilisateur final, mais ils n'auront pas les autorisations dont ils ont besoin pour lancer des produits et gérerdes produits provisionnés. Vous pouvez accorder directement ces autorisations à un utilisateur final àl'aide d'IAM, mais si vous souhaitez limiter l'accès des utilisateurs finaux aux ressources AWS, vous devezattacher la stratégie à un rôle de lancement. Utilisez ensuite AWS Service Catalog pour appliquer le rôlede lancement à une contrainte de lancement pour le produit. Pour plus d'informations sur l'application d'unrôle de lancement et les limitations d'un rôle de lancement, et trouver un exemple de rôle de lancement,consultez Contraintes de lancement AWS Service Catalog (p. 33).

Si vous accordez à des utilisateurs les autorisations IAM suivantes, qui sont destinées aux administrateursAWS Service Catalog, c'est la vue de la console Administrateur qui s'affiche :

21

AWS Service Catalog Guide de l'administrateurAccès à un produit pour les utilisateurs finaux

• catalog-admin:ListPortfolios

• catalog-admin:SearchListings

N'accordez pas ces autorisations à des utilisateurs finaux, sauf si vous voulez qu'ils aient accès à la vue dela console Administrateur.

Accès à un produit pour les utilisateurs finauxPour que des utilisateurs finaux puissent utiliser un produit auquel vous donnez accès, vous devez leurfournir des autorisations IAM supplémentaires pour leur permettre d'utiliser chacune des ressources AWSsous-jacentes dans un modèle AWS CloudFormation de produit. Par exemple, si un modèle de produitinclut Amazon Relational Database Service (Amazon RDS), vous devez accorder aux utilisateurs desautorisations Amazon RDS pour lancer le produit.

Si vous appliquez la stratégie ServiceCatalogEndUserAccess, vos utilisateurs ont accès à la vuede la console Utilisateur final, mais ils n'auront pas les autorisations dont ils ont besoin pour lancer desproduits et gérer des produits provisionnés. Vous pouvez accorder directement ces autorisations à unutilisateur final dans IAM, mais si vous souhaitez limiter l'accès des utilisateurs finaux aux ressourcesAWS, vous devez attacher la stratégie à un rôle de lancement. Utilisez ensuite AWS Service Catalog pourappliquer le rôle de lancement à une contrainte de lancement pour le produit. Pour plus d'informations surl'application d'un rôle de lancement et les limitations d'un rôle de lancement, et trouver un exemple de rôlede lancement, consultez Contraintes de lancement AWS Service Catalog (p. 33).

Exemples de stratégies pour la gestion des produitsprovisionnés

Vous pouvez créer des stratégies personnalisées pour mieux répondre aux exigences de sécurité devotre organisation. Les exemples suivants expliquent comment personnaliser le niveau d'accès pourchaque action avec la prise en charge des niveaux utilisateur, rôle et compte. Vous pouvez accorder auxutilisateurs l'accès pour afficher, mettre à jour, résilier et gérer des produits provisionnés créés uniquementpar ces utilisateurs, ou créés par d'autres personnes également sous leur rôle ou le compte auquel ils sontconnectés. Cet accès est hiérarchique : l'octroi de l'accès au niveau compte accorde également l'accès auniveau rôle et au niveau utilisateur, alors que l'ajout de l'accès au niveau rôle accorde également l'accès auniveau utilisateur, mais pas au niveau compte. Vous pouvez spécifier ces accès dans la stratégie JSON àl'aide d'un bloc Condition comme accountLevel, roleLevel ou userLevel.

Ces exemples s'appliquent également aux niveaux d'accès pour les opérations d'écriture d'API AWSService Catalog UpdateProvisionedProduct et TerminateProvisionedProduct, et lesopérations de lecture DescribeRecord, ScanProvisionedProducts et ListRecordHistory. Lesopérations d'API ScanProvisionedProducts et ListRecordHistory utilisent une entrée appeléeAccessLevelFilterKey, et les valeurs de cette clé correspondent aux niveaux du bloc Conditionprésentés ici (accountLevel équivaut à la valeur « Account » pour AccessLevelFilterKey,roleLevel à « Role », et userLevel à « User »). Pour plus d'informations, consultez Manuel dudéveloppeur AWS Service Catalog.

Exemples• Exemple : Accès administrateur complet aux produits provisionnés (p. 23)• Exemple : Accès des utilisateurs finaux aux produits provisionnés (p. 23)• Exemple : Accès administrateur partiel aux produits provisionnés (p. 24)

22

AWS Service Catalog Guide de l'administrateurExemple : Accès administrateur

complet aux produits provisionnés

Exemple : Accès administrateur complet aux produitsprovisionnésLa stratégie suivante donne un accès complet en lecture et écriture aux produits provisionnés etenregistrements au sein du catalogue au niveau compte.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicecatalog:*" ], "Resource":"*", "Condition": { "StringEquals": { "servicecatalog:accountLevel": "self" } } } ]}

Cette stratégie est fonctionnellement équivalente à la stratégie suivante :

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicecatalog:*" ], "Resource":"*" } ]}

En d'autres termes, ne pas spécifier un bloc Condition dans une stratégie pour AWS Service Catalog estconsidéré comme équivalent à définir un accès "servicecatalog:accountLevel". Notez que l'accèsaccountLevel inclut les accès roleLevel et userLevel.

Exemple : Accès des utilisateurs finaux aux produitsprovisionnésLa stratégie suivante restreint l'accès aux opérations de lecture et d'écriture aux seuls produits provisionnésou enregistrements associés, créés par l'utilisateur actuel.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeProduct", "servicecatalog:DescribeProductView",

23

AWS Service Catalog Guide de l'administrateurExemple : Accès administrateurpartiel aux produits provisionnés

"servicecatalog:DescribeProvisioningParameters", "servicecatalog:DescribeRecord", "servicecatalog:ListLaunchPaths", "servicecatalog:ListRecordHistory", "servicecatalog:ProvisionProduct", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } } ] }

Exemple : Accès administrateur partiel aux produitsprovisionnésLes deux stratégies ci-dessous, si elles sont toutes deux appliquées au même utilisateur, autorisent untype d'accès que l'on pourrait qualifier d'« accès administrateur partiel » en fournissant un accès en lectureseule complet et un accès en écriture limité. Cela signifie que l'utilisateur peut afficher n'importe quelproduit provisionné ou enregistrement associé au sein du compte du catalogue, mais qu'il ne peut exécuteraucune action sur aucun produit provisionné ou enregistrement n'appartenant pas à cet utilisateur.

La première stratégie donne à l'utilisateur l'accès aux opérations d'écriture sur les produits provisionnéscréés par l'utilisateur actuel, mais pas aux produits provisionnés créés par d'autres personnes. Ladeuxième stratégie ajoute un accès complet aux opérations de lecture sur les produits provisionnés crééspar tous (utilisateur, rôle ou compte).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeProduct", "servicecatalog:DescribeProductView", "servicecatalog:DescribeProvisioningParameters", "servicecatalog:ListLaunchPaths", "servicecatalog:ProvisionProduct", "servicecatalog:SearchProducts", "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } } ] }

{

24

AWS Service Catalog Guide de l'administrateurExemple : Accès administrateurpartiel aux produits provisionnés

"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeRecord", "servicecatalog:ListRecordHistory", "servicecatalog:ScanProvisionedProducts" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:accountLevel": "self" } } } ] }

25

AWS Service Catalog Guide de l'administrateurGestion des portefeuilles

Gestion des cataloguesAWS Service Catalog fournit une interface pour la gestion des portefeuilles, des produits et des contraintesà partir d'une console Administration.

Note

Pour effectuer des tâches de cette section, vous devez disposer des autorisations d'administrateurpour AWS Service Catalog. Pour plus d'informations, consultez Authentification et contrôle d'accèspour AWS Service Catalog (p. 20).

Tâches• Gestion des portefeuilles (p. 26)• Gestion des produits (p. 30)• Utilisation de contraintes AWS Service Catalog (p. 33)• Ajout de produits AWS Marketplace à votre portefeuille (p. 45)• Partage de portefeuille (p. 50)

Gestion des portefeuillesVous créez, affichez et mettez à jour des portefeuilles sur la page Portfolios à partir de la consoleAdministrateur AWS Service Catalog.

Tâches• Création, affichage et suppression de portefeuilles (p. 26)• Affichage des détails d'un portefeuille (p. 27)• Création et suppression de portefeuilles (p. 27)• Ajout de produits (p. 27)• Ajout de contraintes (p. 29)• Octroi d'accès à des utilisateurs (p. 30)

Création, affichage et suppression de portefeuillesLa page Portfolios affiche la liste des portefeuilles que vous avez créés dans la région actuelle. Utilisezcette page pour créer de nouveaux portefeuilles, afficher les détails d'un portefeuille ou supprimer desportefeuilles de votre compte.

Pour afficher la page Portfolios

1. Ouvrez la console AWS Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/.2. Sélectionnez une autre région, si nécessaire.3. Si vous utilisez AWS Service Catalog; pour la première fois, la page de démarrage de AWS Service

Catalog s'affiche. Sélectionnez Get started pour créer un portefeuille. Suivez les instructions pour créervotre premier portefeuille, puis passez à la page Portfolios.

26

AWS Service Catalog Guide de l'administrateurAffichage des détails d'un portefeuille

Pendant que vous utilisez AWS Service Catalog, vous pouvez revenir à la page Portfolios à tout moment.Choisissez Service Catalog dans la barre de navigation, puis Portfolios.

Affichage des détails d'un portefeuilleSur la console Administrateur AWS Service Catalog, la page Portfolio details répertorie les paramètres pourun portefeuille. Utilisez cette page pour gérer les produits du portefeuille, accorder à des utilisateurs l'accèsà des produits, et appliquer des TagOptions et des contraintes.

Pour afficher la page Portfolio details

1. Ouvrez la console AWS Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/.2. Choisissez le portefeuille que vous souhaitez gérer.

Création et suppression de portefeuillesUtilisez la page Portfolios pour créer et supprimer des portefeuilles. La suppression d'un portefeuille lesupprime de votre compte. Pour pouvoir supprimer un portefeuille, vous devez supprimer tous les produits,les contraintes et les utilisateurs que celui-ci contient.

Pour créer un nouveau portefeuille

1. Accédez à la page Portfolios.2. Choisissez Create portfolio.3. Sur la page Create portfolio, entrez les informations requises.4. Choisissez Create. AWS Service Catalog crée le portefeuille et affiche les détails du portefeuille.

Pour supprimer un portefeuille

1. Accédez à la page Portfolios.2. Sélectionnez le portefeuille en cliquant sur la case d'option correspondante ou dans n'importe quel

emplacement de la liste, sauf le titre du portefeuille.3. Choisissez Delete portfolio.4. Choisissez Continue.

Ajout de produitsPour ajouter des produits à un portefeuille, vous créez un nouveau produit ou vous ajoutez un produit auportefeuille à partir de votre catalogue.

Note

Le modèle AWS CloudFormation que vous chargez lorsque vous créez un produit AWS ServiceCatalog est stocké dans un compartiment Amazon Simple Storage Service (Amazon S3) quicommence par cf-templates- dans votre compte AWS. Ne supprimez pas ces fichiers sauf sivous êtes sûr qu'ils ne sont plus utilisés.

Ajout d'un nouveau produitVous ajoutez de nouveaux produits directement depuis la page des détails d'un portefeuille. Lorsquevous créez un produit à partir de cette page, AWS Service Catalog l'ajoute au portefeuille actuellementsélectionné. Vous pouvez également ajouter un produit à d'autres portefeuilles.

27

AWS Service Catalog Guide de l'administrateurAjout de produits

Pour ajouter un nouveau produit

1. Accédez à la page Portfolios, puis choisissez le nom du portefeuille auquel vous souhaitez ajouter leproduit.

2. Sur la page des détails du portefeuille, développez la section Products, puis choisissez Upload newproduct.

3. Pour Enter product details, entrez les informations suivantes :

• Product name : Nom du produit• Short description : Courte description. Cette description apparaît dans les résultats de recherche

pour aider l'utilisateur à choisir le bon produit.• Description : Description complète. Cette description apparaît dans la liste des produits pour aider

l'utilisateur à choisir le bon produit.• Provided by : Nom ou adresse e-mail de votre service ou administrateur informatique.• Vendor (facultatif) : Nom de l'éditeur de l'application. Ce champ permet aux utilisateurs de trier leur

liste de produits pour trouver plus facilement les produits dont ils ont besoin.

Choisissez Next.4. Pour Enter support details, entrez les informations suivantes :

• Email contact (facultatif) : Adresse e-mail pour signaler les problèmes liés au produit.• Support link (facultatif) : URL vers un site où les utilisateurs peuvent trouver des informations de

support ou des tickets de fichier. L'URL doit commencer par http:// ou https://.• Support description (facultatif) : Description de la façon dont les utilisateurs doivent utiliser les

champs Email contact et Support link.

Choisissez Next.5. Sur la page Version details, entrez ce qui suit :

• Select template : Modèle AWS CloudFormation issu d'un lecteur local ou d'une URL qui pointe surun modèle stocké dans Amazon S3. Si vous spécifiez une URL Amazon S3, celle-ci doit commencerpar https://. L'extension du fichier de modèle doit être .template.

• Version title : Nom de la version du produit (par exemple, « v1 », « v2beta »). Les espaces ne sontpas autorisés.

• Description (facultatif) : Description de la version du produit, avec notamment des informations sur lafaçon dont cette version diffère de la version précédente.

Choisissez Next.6. Sur la page Review, vérifiez que les informations sont correctes, puis choisissez Confirm and upload.

Après quelques secondes, le produit s'affiche dans votre portefeuille. Vous pouvez avoir besoind'actualiser votre navigateur pour voir le produit.

Ajout d'un produit existantVous pouvez ajouter des produits existants à un portefeuille à partir de trois emplacement : la listePortfolios, la page des détails du portefeuille ou la page Products.

Pour ajouter un produit existant à un portefeuille

1. Accédez à la page Portfolios.2. Choisissez un portefeuille, puis Add product.

28

AWS Service Catalog Guide de l'administrateurAjout de contraintes

3. Choisissez un produit, puis Add product to portfolio.

Suppression d'un produit d'un portefeuilleLorsque vous ne souhaitez plus que les utilisateurs se servent d'un produit, supprimez-le d'un portefeuille.Le produit est toujours disponible dans votre catalogue à partir de la page Products et vous pouvez toujoursl'ajouter à d'autres portefeuilles. Vous pouvez supprimer plusieurs produits d'un portefeuille en une seulefois.

Pour supprimer un produit d'un portefeuille

1. Accédez à la page Portfolios, puis choisissez le portefeuille qui contient le produit. La page des détailsdu portefeuille s'ouvre.

2. Développez la section Products.3. Choisissez un ou plusieurs produits, puis Remove product.4. Choisissez Continue.

Ajout de contraintesAjoutez des contraintes pour contrôler la façon dont les utilisateurs peuvent utiliser des produits. Pour plusd'informations sur les types de contraintes prises en charge par AWS Service Catalog, consultez Utilisationde contraintes AWS Service Catalog (p. 33).

Vous ajoutez des contraintes à des produits une fois qu'ils ont été placés dans un portefeuille.

Pour ajouter une contrainte à un produit

1. Ouvrez la console AWS Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/.2. Choisissez Portfolios et sélectionnez un portefeuille.3. Sur la page Détails du portefeuille, développez la section Constraints, puis choisissez Add constraints.4. Pour Product, sélectionnez le produit auquel vous voulez appliquer la contrainte.5. Pour Constraint type, choisissez l'une des options suivantes :

• Launch : Rôle IAM utilisé par AWS Service Catalog pour lancer et gérer le produit.• Template : Fichier texte au format JSON qui contient une ou plusieurs règles. Les règles sont

ajoutées au modèle AWS CloudFormation utilisé par le produit. Pour plus d'informations, consultezRègles de contrainte de modèle (p. 37).

6. Choisissez Continue.

Pour modifier une contrainte

1. Connectez-vous à AWS Management Console et ouvrez la console administrateur AWS ServiceCatalog à l'adresse https://console.aws.amazon.com/catalog/.

2. Choisissez Portfolios et sélectionnez un portefeuille.3. Sur la page Détails du portefeuille, développez la section Constraints et sélectionnez la contrainte à

modifier.4. Choisissez Edit constraints.5. Modifiez la contrainte si nécessaire et choisissez Submit.

29

AWS Service Catalog Guide de l'administrateurOctroi d'accès à des utilisateurs

Octroi d'accès à des utilisateursDonnez à des utilisateurs accès à des portefeuilles à l'aide d'utilisateurs, de groupes et de rôles IAM.Le meilleur moyen de fournir un accès à un portefeuille à de nombreux utilisateurs consiste à mettre lesutilisateurs dans un groupe IAM et de donner accès à ce groupe. Ainsi, vous pouvez simplement ajouteret supprimer des utilisateurs dans le groupe pour gérer l'accès au portefeuille. Pour plus d'informations,consultez IAM Users and Groups dans le manuel IAM Guide de l'utilisateurUtilisation d'IAM.

En plus de l'accès à un portefeuille, les utilisateurs IAM doivent également avoir accès à la consoleUtilisateur final AWS Service Catalog. Vous accordez l'accès à la console en appliquant des autorisationsdans IAM. Pour plus d'informations, consultez Authentification et contrôle d'accès pour AWS ServiceCatalog (p. 20).

Pour accorder l'accès à un portefeuille à des utilisateurs ou des groupes

1. Sur la page des détails du portefeuille, développez Users, groups and roles, puis choisissez Add user,group or role.

2. Choisissez l'onglet Groups, Users, ou Roles pour ajouter des groupes, des utilisateurs ou des rôles,respectivement.

3. Choisissez un ou plusieurs utilisateurs, groupes ou rôles, puis Add Access pour leur accorder l'accèsau portefeuille actuel.

Tip

Pour accorder l'accès à une combinaison de groupes, d'utilisateurs et de rôles, vous pouvezbasculer entre les onglets sans perdre votre sélection.

Pour supprimer l'accès à un portefeuille

1. Sur la page des détails du portefeuille, cochez la case pour l'utilisateur ou le groupe.2. Choisissez Remove user, group or role.

Gestion des produitsVous créez des produits en conditionnant un modèle AWS CloudFormation avec des métadonnées,vous mettez à jour des produits en créant une nouvelle version basée sur un modèle mis à jour, et vousregroupez des produits dans des portefeuilles pour les distribuer à des utilisateurs.

Les nouvelles versions de produits sont propagées vers tous les utilisateurs qui ont accès au produit grâceà un portefeuille. Lorsque vous distribuez une mise à jour, les utilisateurs finaux peuvent mettre à jour desproduits provisionnés existants en seulement quelques clics.

Tâches• Affichage de la page des produits (p. 30)• Création de produits (p. 31)• Ajout de produits à des portefeuilles (p. 32)• Mise à jour de produits (p. 32)• Suppression de produits (p. 32)

Affichage de la page des produitsVous gérez des produits à partir de la page Products dans la console Administrateur AWS Service Catalog.

30

AWS Service Catalog Guide de l'administrateurCréation de produits

Pour afficher la page Products

1. Ouvrez la console AWS Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/.2. Choisissez Service Catalog dans la barre de navigation.3. Choisissez Products.

Création de produitsPour créer un nouveau produit AWS Service Catalog

1. Accédez à la page Products.2. Choisissez Upload new product.3. Pour Enter product details, entrez les informations suivantes :

• Product name : Nom du produit• Short description : Courte description. Cette description apparaît dans les résultats de recherche

pour aider l'utilisateur à choisir le bon produit.• Description : Description complète. Cette description apparaît dans la liste des produits pour aider

l'utilisateur à choisir le bon produit.• Provided by : Nom de votre service ou administrateur informatique.• Vendor (facultatif) : Nom de l'éditeur de l'application. Ce champ permet aux utilisateurs de trier leur

liste de produits pour trouver plus facilement les produits dont ils ont besoin.

Choisissez Next.4. Pour Enter support details, entrez les informations suivantes :

• Email contact (facultatif) : Adresse e-mail pour signaler les problèmes liés au produit.• Support link (facultatif) : URL vers un site où les utilisateurs peuvent trouver des informations de

support ou des tickets de fichier. L'URL doit commencer par http:// ou https://.• Support description (facultatif) : Description de la façon dont les utilisateurs doivent utiliser les

champs Email contact et Support link.

Choisissez Next.5. Pour Version details, entrez les informations suivantes :

• Select template : Modèle AWS CloudFormation issu d'un lecteur local ou d'une URL qui pointe surun modèle stocké dans Amazon S3. Si vous spécifiez une URL Amazon S3, celle-ci doit commencerpar https://. L'extension du fichier de modèle doit être .template.

• Version title : Nom de la version du produit (par exemple, « v1 », « v2beta »). Les espaces ne sontpas autorisés.

• Description (facultatif) : Description de la version du produit, avec notamment des informations sur lafaçon dont cette version diffère de la version précédente.

6. Choisissez Next.7. Sur la page Review, vérifiez que les informations sont correctes, puis choisissez Confirm and upload.

Après quelques secondes, le produit s'affiche sur la page Products. Vous pouvez avoir besoind'actualiser votre navigateur pour voir le produit.

31

AWS Service Catalog Guide de l'administrateurAjout de produits à des portefeuilles

Ajout de produits à des portefeuillesVous pouvez ajouter des produits dans un nombre quelconque de portefeuilles. Lorsqu'un produit est misà jour, tous les portefeuilles contenant le produit reçoivent automatiquement la nouvelle version, y comprisles portefeuilles partagés.

Ajout d'un produit à un portefeuille à partir de votre catalogue

1. Accédez à la page Products.2. Choisissez un produit, Actions, puis Add product to portfolio.3. Choisissez un portefeuille, puis Add product to portfolio.

Mise à jour de produitsLorsque vous avez besoin mettre à jour le modèle AWS CloudFormation d'un produit, vous créez unenouvelle version de votre produit. Une nouvelle version du produit est automatiquement disponible pourtous les utilisateurs qui ont accès à un portefeuille qui contient le produit.

Les utilisateurs qui exécutent un produit provisionné de la version précédente du produit peuvent mettre àjour leur produit provisionné à l'aide de la vue de la console Utilisateur final. Lorsqu'une nouvelle versiond'un produit est disponible, les utilisateurs peuvent utiliser la commande Update provisioned product sur lapage Provisioned product list ou Provisioned product details.

Note

Avant de créer une nouvelle version d'un produit, testez les mises à jour de votre produit dansAWS CloudFormation pour vous assurer qu'elles fonctionnent.

Pour créer une nouvelle version de produit

1. Accédez à la page Products.2. Choisissez le nom du produit.3. Sur la page des détails du produit, développez la section Versions, puis choisissez Create new

version.4. Pour Version details, entrez les informations suivantes :

• Select template : Modèle AWS CloudFormation issu d'un lecteur local ou d'une URL qui pointe surun modèle stocké dans Amazon S3. Si vous spécifiez une URL Amazon S3, celle-ci doit commencerpar https://. L'extension du fichier de modèle doit être .template et il peut s'agir de fichierstexte au format JSON ou YAML. Pour plus d'informations, consultez Formats de modèle dans leAWS CloudFormation Guide de l'utilisateur.

• Version title : Nom de la version du produit (par exemple, « v1 », « v2beta »). Les espaces ne sontpas autorisés.

• Description (facultatif) : Description de la version du produit, avec notamment des informations sur lafaçon dont cette version diffère de la version précédente.

Choisissez Save.

Suppression de produitsPour supprimer totalement des produits de votre compte, supprimez-les de votre catalogue. La suppressiond'un produit supprime toutes les versions du produit de tous les portefeuilles qui contiennent le produit. Desproduits supprimés ne peuvent pas être récupérés.

32

AWS Service Catalog Guide de l'administrateurUtilisation de contraintes

Pour supprimer un produit de votre catalogue

1. Accédez à la page Products.2. Choisissez le produit, Actions, puis Delete product.3. Vérifiez que vous avez choisi le produit que vous voulez supprimer, puis choisissez Continue.

Utilisation de contraintes AWS Service CatalogPour contrôler les règles qui sont appliquées lorsque l'utilisateur final lance un produit à partir d'unportefeuille spécifique, vous appliquez des contraintes. Vous appliquez des contraintes à des produitsà partir de la page des détails d'un portefeuille. Les contraintes sont actives dès que vous les créez ets'appliquent à toutes les versions actuelles d'un produit qui ne sont pas encore lancées lorsque vous créezla contrainte.

Contraintes• Contraintes de lancement AWS Service Catalog (p. 33)• Contraintes de notification AWS Service Catalog (p. 35)• Contraintes de modèle AWS Service Catalog (p. 36)

Contraintes de lancement AWS Service CatalogUne contrainte de lancement spécifie le rôle AWS Identity and Access Management (IAM) assumépar AWS Service Catalog lorsqu'un utilisateur final lance un produit. Un rôle IAM est un ensembled'autorisations qu'un utilisateur IAM ou un service AWS peut assumer temporairement pour utiliser desservices AWS. Pour un exemple de présentation, consultez Étape 6 : Ajout d'une contrainte de lancementpour attribuer un rôle IAM (p. 16).

Les contraintes de lancement sont associées à un produit au sein du portefeuille (association produit-portefeuille), et non au niveau du portefeuille ou du produit sur l'ensemble des portefeuilles. Pour associerune contrainte de lancement à tous les produits d'un portefeuille, vous devez appliquer la contrainte delancement à chaque produit, de manière individuelle.

Sans contrainte de lancement, les utilisateurs finaux doivent lancer et gérer les produits à l'aide de leurspropres informations d'identification IAM. Pour ce faire, ils doivent détenir des autorisations pour AWSCloudFormation, les services AWS utilisés par les produits et AWS Service Catalog. En utilisant un rôlede lancement, vous pouvez plutôt limiter les autorisations des utilisateurs finaux au minimum dont ils ontbesoin pour ce produit. Pour plus d'informations sur les autorisations des utilisateurs finaux, consultezAuthentification et contrôle d'accès pour AWS Service Catalog (p. 20).

Pour créer et attribuer des rôles IAM, vous devez disposer des autorisations administratives IAMsuivantes :

• iam:CreateRole

• iam:PutRolePolicy

• iam:PassRole

• iam:Get*

• iam:List*

Configuration d'un rôle de lancementLe rôle IAM que vous affectez à un produit comme contrainte de lancement doit disposer des autorisationspour utiliser les éléments suivants :

33

AWS Service Catalog Guide de l'administrateurContraintes de lancement

• AWS CloudFormation• Services utilisés dans le modèle AWS CloudFormation pour le produit• Accès en lecture sur le modèle AWS CloudFormation dans Amazon S3

Le rôle IAM doit également disposer d'une relation d'approbation avec AWS Service Catalog, que vousattribuez en sélectionnant AWS Service Catalog comme type de rôle dans la procédure suivante. Larelation d'approbation permet à AWS Service Catalog d'assumer le rôle au cours du processus delancement pour créer les ressources.

Note

Les autorisations servicecatalog:ProvisionProduct,servicecatalog:TerminateProduct et servicecatalog:UpdateProduct ne peuventpas être attribuées à un rôle de lancement. Vous devez utiliser des rôles IAM, comme illustré dansles étapes de stratégie en ligne de la section Octroi d'autorisations aux utilisateurs finaux AWSService Catalog (p. 9).

Pour créer un rôle de lancement

1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.2. Sélectionnez Roles.3. Sélectionnez Create New Role.4. Entrez un nom de rôle, puis choisissez Next Step.5. Sous AWS Service Roles, en regard de AWS Service Catalog, choisissez Select.6. Sur la page Attach Policy, choisissez Next Step.7. Pour créer le rôle, choisissez Create Role.

Pour attacher une stratégie au nouveau rôle

1. Choisissez le rôle que vous avez créé pour afficher la page des détails du rôle.2. Choisissez l'onglet Permissions et développez la section Inline Policies. Puis, choisissez click here.3. Choisissez Custom Policy, puis Select.4. Entrez un nom pour la stratégie et collez ce qui suit dans l'éditeur Policy Document :

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "catalog-user:*", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "s3:GetObject" ], "Resource":"*" } ]}

34

AWS Service Catalog Guide de l'administrateurContraintes de notification

5. Ajoutez une ligne à la stratégie pour chaque service supplémentaire utilisé par le produit. Par exemple,pour ajouter des autorisations pour Amazon Relational Database Service (Amazon RDS), tapez unevirgule à la fin de la dernière ligne dans la liste "Action" et ajoutez la ligne suivante :

"rds:*"

6. Choisissez Apply Policy.

Application d'une contrainte de lancementEnsuite, attribuez le rôle au produit comme contrainte de lancement. Cela demande à AWS ServiceCatalog d'assumer le rôle lorsqu'un utilisateur final lance le produit.

Pour attribuer le rôle à un produit

1. Ouvrez la console AWS Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/.2. Choisissez le portefeuille qui contient le produit.3. Développez Constraints et choisissez Add constraints.4. Choisissez le produit dans Produit et définissez Constraint type sur Launch. Choisissez Continue.5. Pour IAM role, choisissez le rôle de lancement. Choisissez Submit.

Vérifiez que la contrainte de lancement est appliquéeVérifiez qu'AWS Service Catalog utilise le rôle pour lancer le produit et que le produit provisionné est crééavec succès en lançant le produit à partir de la console AWS Service Catalog. Pour tester une contrainteavant sa publication pour des utilisateurs, créez un portefeuille test qui contient les mêmes produits ettestez les contraintes avec ce portefeuille.

Pour lancer le produit

1. Dans le menu de la console AWS Service Catalog, choisissez Service Catalog, End user.2. Choisissez le produit pour ouvrir la page Product details. Dans le tableau Launch options, vérifiez que

l'Amazon Resource Name (ARN) du rôle s'affiche.3. Choisissez Launch product.4. Poursuivez les étapes de lancement en indiquant les informations requises.5. Vérifiez que le produit démarre correctement.

Contraintes de notification AWS Service CatalogUne contrainte de notification spécifie une rubrique Amazon SNS pour recevoir des notifications concernantdes événements de pile. La rubrique SNS spécifie l'adresse e-mail pour recevoir les notifications.

Utilisez la procédure suivante pour créer une rubrique SNS et vous y abonner.

Pour créer une rubrique SNS et un abonnement

1. Ouvrez la console Amazon SNS à l'adresse https://console.aws.amazon.com/sns/v2/home.2. Choisissez Create topic.3. Saisissez un nom de rubrique puis choisissez Create topic.4. Choisissez Créer un abonnement.

35

AWS Service Catalog Guide de l'administrateurContraintes de modèle

5. Pour Protocol, sélectionnez Email. Pour Endpoint, saisissez une adresse e-mail que vous pouvezutiliser pour recevoir les notifications. Choisissez Create subscription.

6. Vous recevrez un e-mail de confirmation avec la ligne d'objet AWS Notification -Subscription Confirmation. Ouvrez l'e-mail et suivez les instructions pour terminer votreabonnement.

Utilisez la procédure suivante pour appliquer une contrainte de notification utilisant la rubrique SNS quevous avez créée à l'aide de la procédure précédente.

Pour appliquer une contrainte de notification à un produit

1. Ouvrez la console AWS Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/.2. Choisissez le portefeuille qui contient le produit.3. Développez Constraints et choisissez Add constraints.4. Choisissez le produit dans Produit et définissez Constraint type sur Notification. Choisissez Continue.5. Choisissez Choisir une rubrique dans votre compte et sélectionnez la rubrique SNS que vous avez

créée dans Nom de la rubrique.6. Choisissez Submit.

Contraintes de modèle AWS Service CatalogPour limiter les options qui sont à disposition des utilisateurs finaux lorsqu'ils lancent un produit, vousappliquez des contraintes de modèle. Appliquez des contraintes de modèle pour vous assurer queles utilisateurs finaux peuvent utiliser des produits sans violer les exigences de conformité de votreorganisation. Vous appliquez des contraintes de modèle à un produit dans un portefeuille AWS ServiceCatalog. Un portefeuille doit contenir un ou plusieurs produits pour que vous puissiez définir des contraintesde modèle.

Une contrainte de modèle se compose d'une ou plusieurs règles qui restreignent les valeurs autoriséespour des paramètres définis dans le modèle AWS CloudFormation sous-jacent du produit. Les paramètresd'un modèle AWS CloudFormation définissent l'ensemble de valeurs que les utilisateurs peuvent spécifierlorsqu'ils créent une pile. Par exemple, un paramètre peut définir les différents types d'instance que lesutilisateurs peuvent choisir lors du lancement d'une pile incluant des instances EC2.

Si l'ensemble de valeurs de paramètre dans un modèle est trop large pour le public cible de votreportefeuille, vous pouvez définir des contraintes de modèle pour limiter les valeurs que les utilisateurspeuvent choisir lors du lancement d'un produit. Par exemple, si les paramètres de modèle incluent destypes d'instance EC2 qui sont trop volumineux pour des utilisateurs qui doivent utiliser uniquementdes types d'instance de petite taille (par exemple, t2.micro ou t2.small), vous pouvez ajouter unecontrainte de modèle pour limiter les types d'instance que les utilisateurs finaux peuvent choisir. Pour plusd'informations sur les paramètres de modèle AWS CloudFormation, consultez Paramètres dans le Guidede l'utilisateur AWS CloudFormation.

Les contraintes de modèle sont liées au sein d'un portefeuille. Si vous appliquez des contraintes de modèleà un produit dans un portefeuille et si vous ajoutez ensuite le produit à un autre portefeuille, les contraintesne s'appliquent pas au produit dans le deuxième portefeuille.

Si vous appliquez une contrainte de modèle à un produit qui a déjà été partagé avec des utilisateurs,la contrainte est active immédiatement pour tous les lancements de produit suivants et pour toutes lesversions du produit dans le portefeuille.

Vous définissez des règles de contrainte de modèle en utilisant un éditeur de règles ou en écrivant lesrègles sous forme d'un texte JSON dans la console Administrateur AWS Service Catalog. Pour plusd'informations sur les règles, y compris la syntaxe et des exemples, consultez Règles de contrainte demodèle (p. 37).

36

AWS Service Catalog Guide de l'administrateurContraintes de modèle

Pour tester une contrainte avant sa publication pour des utilisateurs, créez un portefeuille test qui contientles mêmes produits et testez les contraintes avec ce portefeuille.

Pour appliquer des contraintes de modèle à un produit

1. Ouvrez la console AWS Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/.2. Sur la page Portfolios, choisissez le portefeuille qui contient le produit auquel vous souhaitez appliquer

une contrainte de modèle.3. Développez la section Constraints et choisissez Add constraints.4. Dans la fenêtre Select product and type, pour Product, choisissez le produit pour lequel vous souhaitez

définir les contraintes de modèle. Ensuite, pour Constraint type, choisissez Template. ChoisissezContinue.

5. Sur la page Template constraint builder, modifiez les règles de la contrainte à l'aide de l'éditeur JSONou de l'interface de génération de règle.

• Pour modifier le code JSON pour la règle, choisissez l'onglet Constraint Text Editor. Plusieursexemples sont fournis sur cet onglet pour vous aider à démarrer.

Pour créer les règles à l'aide d'une interface de génération de règle, choisissez l'onglet Rule Builder.Sur cet onglet, vous pouvez choisir n'importe quel paramètre spécifié dans le modèle pour le produit,ainsi que les valeurs autorisées pour ce paramètre. En fonction du type du paramètre, vous spécifiezles valeurs autorisées en choisissant des éléments dans une liste de contrôle, en spécifiant unnombre ou en indiquant un ensemble de valeurs dans une liste séparée par des virgules.

Lorsque vous avez terminé de créer une règle, choisissez Add rule. La règle s'affiche dans letableau sous l'onglet Rule Builder. Pour vérifier et modifier la sortie JSON, choisissez l'ongletConstraint Text Editor.

6. Lorsque vous avez fini de modifier les règles pour votre contrainte, choisissez Submit. Pour afficher lacontrainte, accédez à la page des détails du portefeuille et développez Constraints.

Règles de contrainte de modèleLes règles qui permettent de définir des contraintes de modèle dans un portefeuille AWS Service Catalogdécrivent quand des utilisateurs finaux peuvent utiliser le modèle et quelles valeurs ils peuvent spécifierpour les paramètres qui sont déclarés dans le modèle AWS CloudFormation utilisé pour créer le produitqu'ils essaient d'utiliser. Les règles sont utiles pour empêcher les utilisateurs finaux de spécifier parinadvertance une valeur incorrecte. Par exemple, vous pouvez ajouter une règle pour vérifier si lesutilisateurs finaux ont spécifié un sous-réseau valide dans un VPC donné ou utilisé des types d'instancem1.small pour des environnements de test. AWS CloudFormation utilise des règles pour valider desvaleurs de paramètre avant de créer les ressources pour le produit.

Chaque règle se compose de deux propriétés : une condition de règle (facultative) et des assertions(obligatoire). La condition de règle détermine si une règle prend effet. Les assertions décrivent lesvaleurs que les utilisateurs peuvent spécifier pour un paramètre particulier. Si vous ne définissez pas decondition de règle, les assertions de la règle prennent toujours effet. Pour définir une condition de règleet des assertions, vous utilisez des fonctions intrinsèques spécifiques aux règles qui sont des fonctionsqui peuvent uniquement être utilisées dans la section Rules d'un modèle. Vous pouvez imbriquer desfonctions, mais le résultat final d'une condition de règle ou d'une assertion doit avoir la valeur true (vrai) oufalse (faux).

Par exemple, supposons que vous avez déclaré un VPC et un paramètre de sous-réseau dans la sectionParameters. Vous pouvez créer une règle qui vérifie qu'un sous-réseau donné est dans un VPCparticulier. Par conséquent, quand un utilisateur spécifie un VPC, AWS CloudFormation évalue l'assertionpour vérifier si la valeur du paramètre de sous-réseau est dans ce VPC avant de créer ou mettre à jour lapile. Si la valeur du paramètre n'est pas valide, AWS CloudFormation arrête immédiatement de créer ou

37

AWS Service Catalog Guide de l'administrateurContraintes de modèle

mettre à jour la pile. Si des utilisateurs ne spécifient pas de VPC, AWS CloudFormation ne vérifie pas lavaleur du paramètre de sous-réseau.

Syntaxe

La section Rules d'un modèle se compose du nom de clé Rules, suivi d'un seul signe deux points. Toutesles déclarations de règle sont placées entre des accolades. Si vous déclarez plusieurs règles, celles-ci sontséparées par des virgules. Pour chaque règle, vous déclarez un nom logique entre guillemets, suivi d'unsigne deux points et d'accolades qui entourent la condition de règle et les assertions.

Une règle peut inclure une propriété RuleCondition et doit inclure une propriété Assertions. Pourchaque règle, vous ne pouvez définir qu'une seule condition de règle ; vous pouvez définir une ou plusieursassertions au sein de la propriété Assertions. Vous définissez une condition et des assertions de règle àl'aide de fonctions intrinsèques spécifiques aux règles, comme illustré dans le pseudo-modèle suivant :

"Rules" : { "Rule01" : { "RuleCondition" : { Rule-specific intrinsic function }, "Assertions" : [ { "Assert" : { Rule-specific intrinsic function }, "AssertDescription" : "Information about this assert" }, { "Assert" : { Rule-specific intrinsic function }, "AssertDescription" : "Information about this assert" } ] }, "Rule02" : { "Assertions" : [ { "Assert" : { Rule-specific intrinsic function }, "AssertDescription" : "Information about this assert" } ] }}

Le pseudo-modèle montre une section Rules contenant deux règles nommées Rule01 et Rule02.Rule01 inclut une condition de règle et deux assertions. Si la fonction dans la condition de règle a la valeurtrue, les deux fonctions de chaque assertion sont évaluées et appliquées. Si la condition a la valeur false, larègle ne prend pas effet. Rule02 prend toujours effet, car il n'y a pas de condition de règle, ce qui signifiequ'une assertion est toujours évaluée et appliquée.

Vous pouvez utiliser les fonctions intrinsèques spécifiques aux règles suivantes pour définir des conditionsde règle et des assertions :

• Fn::And

• Fn::Contains

• Fn::EachMemberEquals

• Fn::EachMemberIn

• Fn::Equals

• Fn::If

• Fn::Not

• Fn::Or

• Fn::RefAll

38

AWS Service Catalog Guide de l'administrateurContraintes de modèle

• Fn::ValueOf

• Fn::ValueOfAll

Exemple : Vérification conditionnelle d'une valeur de paramètre

Les deux règles suivantes vérifient la valeur du paramètre InstanceType. En fonction de la valeur duparamètre d'environnement (test ou prod), l'utilisateur doit spécifier m1.small ou m1.large pour leparamètre InstanceType. Les paramètres InstanceType et Environment doivent être déclarés dansla section Parameters du même modèle.

"Rules" : { "testInstanceType" : { "RuleCondition" : {"Fn::Equals":[{"Ref":"Environment"}, "test"]}, "Assertions" : [ { "Assert" : { "Fn::Contains" : [ ["m1.small"], {"Ref" : "InstanceType"} ] }, "AssertDescription" : "For the test environment, the instance type must be m1.small" } ] }, "prodInstanceType" : { "RuleCondition" : {"Fn::Equals":[{"Ref":"Environment"}, "prod"]}, "Assertions" : [ { "Assert" : { "Fn::Contains" : [ ["m1.large"], {"Ref" : "InstanceType"} ] }, "AssertDescription" : "For the prod environment, the instance type must be m1.large" } ] }}

Fonctions de règle AWS Service CatalogDans la condition ou les assertions d'une règle, vous pouvez utiliser des fonctions intrinsèques, commeFn::Equals, Fn::Not et Fn::RefAll. La propriété de condition détermine si AWS CloudFormationapplique les assertions. Si la condition a la valeur true, AWS CloudFormation évalue les assertions pourvérifier si une valeur de paramètre est valide lorsqu'un produit provisionné est créé ou mis à jour. Si unevaleur de paramètre n'est pas valide, AWS CloudFormation ne crée pas ou ne met pas à jour la pile. Sila condition a la valeur false, AWS CloudFormation ne vérifie pas la valeur du paramètre et poursuitl'opération de pile.

Fonctions• Fn::And (p. 40)• Fn::Contains (p. 40)• Fn::EachMemberEquals (p. 41)• Fn::EachMemberIn (p. 41)• Fn::Equals (p. 42)• Fn::Not (p. 42)• Fn::Or (p. 42)• Fn::RefAll (p. 43)• Fn::ValueOf (p. 43)• Fn::ValueOfAll (p. 44)• Fonctions prises en charge (p. 44)

39

AWS Service Catalog Guide de l'administrateurContraintes de modèle

• Attributs pris en charge (p. 45)

Fn::And

Renvoie true si toutes les conditions spécifiées ont la valeur true ; renvoie false si l'une des conditionsa la valeur false. Fn::And agit en tant qu'opérateur AND. Le nombre minimum de conditions que vouspouvez inclure est deux, et le maximum est dix.

Déclaration

"Fn::And" : [{condition}, {...}]

Paramètres

condition

Fonction intrinsèque spécifique aux règles qui prend la valeur true ou false.

exemple 

L'exemple suivant a la valeur true si le nom du groupe de sécurité référencé est égal à sg-mysggroup etsi la valeur du paramètre InstanceType est m1.large ou m1.small :

"Fn::And" : [ {"Fn::Equals" : ["sg-mysggroup", {"Ref" : "ASecurityGroup"}]}, {"Fn::Contains" : [["m1.large", "m1.small"], {"Ref" : "InstanceType"}]}]

Fn::Contains

Renvoie true si une chaîne spécifiée correspond au moins à une valeur dans une liste de chaînes.

Déclaration

"Fn::Contains" : [[list_of_strings], string]

Paramètres

list_of_strings

Liste de chaînes comme "A", "B", "C".string

Chaîne, comme "A", que vous souhaitez comparer à une liste de chaînes.

exemple 

La fonction suivante a la valeur true si la valeur du paramètre InstanceType est contenu dans la liste(m1.large ou m1.small) :

"Fn::Contains" : [ ["m1.large", "m1.small"], {"Ref" : "InstanceType"}]

40

AWS Service Catalog Guide de l'administrateurContraintes de modèle

Fn::EachMemberEquals

Renvoie true si une chaîne spécifiée correspond à toutes les valeurs d'une liste.

Déclaration

"Fn::EachMemberEquals" : [[list_of_strings], string]

Paramètres

list_of_strings

Liste de chaînes comme "A", "B", "C".string

Chaîne, comme "A", que vous souhaitez comparer à une liste de chaînes.

exemple 

La fonction suivante renvoie true si la balise Department pour tous les paramètres de typeAWS::EC2::VPC::Id ont la valeur IT :

"Fn::EachMemberEquals" : [ {"Fn::ValueOfAll" : ["AWS::EC2::VPC::Id", "Tags.Department"]}, "IT"]

Fn::EachMemberIn

Renvoie true si chaque membre d'une liste de chaînes correspond au moins à une valeur d'une deuxièmeliste de chaînes.

Déclaration

"Fn::EachMemberIn" : [[strings_to_check], strings_to_match]

Paramètres

strings_to_check

Liste de chaînes comme "A", "B", "C". AWS CloudFormation vérifie si chaque membre duparamètre strings_to_check est dans le paramètre strings_to_match.

strings_to_match

Liste de chaînes comme "A", "B", "C". Chaque membre du paramètre strings_to_match estcomparé aux membres du paramètre strings_to_check.

exemple 

La fonction suivante vérifie si les utilisateurs spécifient un sous-réseau qui constitue un Virtual PrivateCloud (VPC) valide. Le VPC doit être dans le compte et la région dans lesquels les utilisateurs se serventde la pile. La fonction s'applique à tous les paramètres de type AWS::EC2::Subnet::Id.

"Fn::EachMemberIn" : [ {"Fn::ValueOfAll" : ["AWS::EC2::Subnet::Id", "VpcId"]}, {"Fn::RefAll" : "AWS::EC2::VPC::Id"}

41

AWS Service Catalog Guide de l'administrateurContraintes de modèle

]

Fn::EqualsCompare deux valeurs pour déterminer si elles sont égales. Renvoie true si les deux valeurs sont égaleset false si elles ne le sont pas.

Déclaration

"Fn::Equals" : ["value_1", "value_2"]

Paramètres

value

Valeur de tout type que vous voulez comparer à une autre valeur.

exemple 

L'exemple suivant prend la valeur true si la valeur du paramètre EnvironmentType est égale à prod :

"Fn::Equals" : [{"Ref" : "EnvironmentType"}, "prod"]

Fn::NotRenvoie true pour une condition qui prend la valeur false, et false pour une condition qui a la valeurtrue. Fn::Not agit en tant qu'opérateur NOT.

Déclaration

"Fn::Not" : [{condition}]

Paramètres

condition

Fonction intrinsèque spécifique aux règles qui prend la valeur true ou false.

exemple 

L'exemple suivant prend la valeur true si la valeur du paramètre EnvironmentType n'est pas égale àprod :

"Fn::Not" : [{"Fn::Equals" : [{"Ref" : "EnvironmentType"}, "prod"]}]

Fn::OrRenvoie true si l'une des conditions spécifiées a la valeur true ; renvoie false si toutes les conditionsont la valeur false. Fn::Or agit en tant qu'opérateur OR. Le nombre minimum de conditions que vouspouvez inclure est deux, et le maximum est dix.

Déclaration

"Fn::Or" : [{condition}, {...}]

42

AWS Service Catalog Guide de l'administrateurContraintes de modèle

Paramètres

condition

Fonction intrinsèque spécifique aux règles qui prend la valeur true ou false.

exemple 

L'exemple suivant a la valeur true si le nom du groupe de sécurité référencé est égal à sg-mysggroup,ou si la valeur du paramètre InstanceType est m1.large ou m1.small :

"Fn::Or" : [ {"Fn::Equals" : ["sg-mysggroup", {"Ref" : "ASecurityGroup"}]}, {"Fn::Contains" : [["m1.large", "m1.small"], {"Ref" : "InstanceType"}]}]

Fn::RefAll

Renvoie toutes les valeurs pour un type de paramètre spécifié.

Déclaration

"Fn::RefAll" : "parameter_type"

Paramètres

parameter_type

Type de paramètre spécifique à AWS, comme AWS::EC2::SecurityGroup::Id ouAWS::EC2::VPC::Id. Pour plus d'informations, consultez Paramètres dans le Manuel de l'utilisateurAWS CloudFormation.

exemple 

La fonction suivante renvoie une liste de tous les ID de VPC pour la région et le compte AWS dans lesquelsla pile est créée ou mise à jour :

"Fn::RefAll" : "AWS::EC2::VPC::Id"

Fn::ValueOf

Renvoie une valeur d'attribut ou une liste des valeurs pour un paramètre et un attribut spécifiques.

Déclaration

"Fn::ValueOf" : [ "parameter_logical_id", "attribute" ]

Paramètres

attribute

Nom d'un attribut à partir duquel vous souhaitez extraire une valeur. Pour plus d'informations sur lesattributs, consultez Attributs pris en charge (p. 45).

43

AWS Service Catalog Guide de l'administrateurContraintes de modèle

parameter_logical_id

Nom d'un paramètre pour lequel vous souhaitez extraire des valeurs d'attribut. Le paramètre doit êtredéclaré dans la section Parameters du modèle.

Exemples

L'exemple suivant renvoie la valeur de la balise Department pour le VPC spécifié par le paramètreElbVpc :

"Fn::ValueOf" : ["ElbVpc", "Tags.Department"]

Si vous spécifiez plusieurs valeurs pour un paramètre, la fonction Fn::ValueOf peut renvoyer une liste. Parexemple, vous pouvez spécifier plusieurs sous-réseaux et obtenir une liste de zones de disponibilité oùchaque membre est la zone de disponibilité d'un sous-réseau spécifique :

"Fn::ValueOf" : ["ListOfElbSubnets", "AvailabilityZone"]

Fn::ValueOfAll

Renvoie une liste de toutes les valeurs d'attribut pour un type de paramètre et d'attribut donné.

Déclaration

"Fn::ValueOfAll" : ["parameter_type", "attribute"]

Paramètres

attribute

Nom d'un attribut à partir duquel vous souhaitez extraire une valeur. Pour plus d'informations sur lesattributs, consultez Attributs pris en charge (p. 45).

parameter_type

Type de paramètre spécifique à AWS, comme AWS::EC2::SecurityGroup::Id ou AWS::EC2::VPC::Id.Pour plus d'informations, consultez Paramètres dans le Manuel de l'utilisateur AWS CloudFormation.

exemple 

Dans l'exemple suivant, la fonction Fn::ValueOfAll renvoie une liste de valeurs, où chaque membre estla valeur de balise Department pour les VPC avec cette balise :

"Fn::ValueOfAll" : ["AWS::EC2::VPC::Id", "Tags.Department"]

Fonctions prises en charge

Vous ne pouvez pas utiliser une autre fonction au sein des fonctions Fn::ValueOf et Fn::ValueOfAll.Par contre, vous pouvez utiliser les fonctions suivantes dans toutes les autres fonctions intrinsèquesspécifiques aux règles :

• Ref

• Autres fonctions intrinsèques spécifiques aux règles

44

AWS Service Catalog Guide de l'administrateurAjout de produits AWS Marketplace à votre portefeuille

Attributs pris en charge

La liste suivante décrit les valeurs d'attribut que vous pouvez extraire pour des ressources et des types deparamètre spécifiques :

Type de paramètre AWS::EC2::VPC::Id ou ID de VPC• DefaultNetworkAcl• DefaultSecurityGroup• Balises.clé-balise

Type de paramètre AWS::EC2::Subnet::Id ou ID de sous-réseau• AvailabilityZone• Balises.clé-balise• ID de VPC

Type de paramètre AWS::EC2::SecurityGroup::Id ou ID de groupe de sécurité• Balises.clé-balise

Ajout de produits AWS Marketplace à votreportefeuille

Vous pouvez ajouter des produits AWS Marketplace à vos portefeuilles pour mettre ces produits àdisposition de vos utilisateurs finaux AWS Service Catalog.

AWS Marketplace est une boutique en ligne dans laquelle vous pouvez trouver un large choix de logicielset services, vous y abonner et commencer à les utiliser immédiatement. Les types de produits dans AWSMarketplace incluent des bases de données, des serveurs d'applications, des outils de test, des outils desurveillance, des outils de gestion de contenu et des logiciels d'intelligence métier. AWS Marketplace estdisponible.à l'adresse https://aws.amazon.com/marketplace.

Vous distribuez un produit AWS Marketplace à des utilisateurs finaux AWS Service Catalog en définissantle produit dans un modèle AWS CloudFormation et en ajoutant le modèle à un portefeuille. Tout utilisateurfinal ayant accès au portefeuille pourra lancer le produit à partir de la console.

AWS Marketplace prend en charge AWS Service Catalog directement ou vous pouvez vous abonner etajouter des produits à l'aide de l'option manuelle. Nous vous recommandons d'ajouter des produits à l'aidede la fonctionnalité spécialement conçue pour AWS Service Catalog.

Gestion des produits AWS Marketplace à l'aide d'AWSService CatalogVous pouvez ajouter les produits AWS Marketplace auxquels vous êtes abonné directement à AWSService Catalog à l'aide de l'interface personnalisée. Dans AWS Marketplace, choisissez Catalogue desservices. Pour plus d'informations, consultez la section Copie de produits vers AWS Service Catalog dansl'Aide et questions fréquentes concernant AWS Marketplace.

Gestion et ajout de produits AWS Marketplace à l'aidede l'option manuelleComplétez les étapes suivantes pour vous abonner à un produit AWS Marketplace, définir ce produit dansun modèle AWS CloudFormation et ajouter le modèle à un portefeuille AWS Service Catalog.

45

AWS Service Catalog Guide de l'administrateurGestion et ajout de produits AWS

Marketplace à l'aide de l'option manuelle

Pour vous abonner à un produit AWS Marketplace

1. Accédez à AWS Marketplace à l'adresse https://aws.amazon.com/marketplace.2. Parcourez les produits ou recherchez le produit que vous souhaitez ajouter à votre portefeuille AWS

Service Catalog. Choisissez le produit pour afficher la page des détails du produit.3. Choisissez Continue pour afficher la page d'approvisionnement, puis choisissez l'onglet Manual

Launch.

Les informations de la page d'approvisionnement incluent les types d'instance Amazon ElasticCompute Cloud (Amazon EC2) pris en charge, les régions AWS prises en charge et l'ID d'AmazonMachine Image (AMI) que le produit utilise pour chaque région AWS. Veuillez noter que certains choixont une incidence sur les coûts. Vous utiliserez ces informations pour personnaliser le modèle AWSCloudFormation dans des étapes ultérieures.

4. Choisissez Accept Terms pour vous abonner au produit.

Une fois que vous vous êtes abonné à un produit, vous pouvez accéder aux informations sur la paged'approvisionnement de produit dans AWS Marketplace à tout moment en choisissant Votre logiciel,puis le produit.

Pour définir votre produit AWS Marketplace dans un modèle AWS CloudFormation

Pour effectuer les étapes suivantes, vous utiliserez l'un des exemples de modèle AWS CloudFormationcomme point de départ et vous personnaliserez le modèle pour qu'il représente votre produit AWSMarketplace. Pour accéder aux exemples de modèle, consultez Exemples de modèle dans le Guide del'utilisateur AWS CloudFormation.

1. Sur la page Exemples de modèles dans le Guide de l'utilisateur AWS CloudFormation, choisissez unerégion dans laquelle votre produit sera utilisé. La région doit être prise en charge par votre produitAWS Marketplace. Vous pouvez afficher les régions prises en charge sur la page d'approvisionnementde produit dans AWS Marketplace.

2. Pour afficher une liste d'exemples de modèle de service qui conviennent pour la région, choisissez lelien Services.

3. Vous pouvez utiliser tout modèle répondant à vos besoins comme point de départ. Les étapes de cetteprocédure utilisent le modèle Amazon EC2 instance in a security group. Pour afficher l'exemple demodèle, choisissez View, puis enregistrez une copie du modèle en local pour pouvoir le modifier. Votrefichier local doit avoir l'extension .template.

4. Ouvrez votre fichier de modèle dans un éditeur de texte.5. Personnalisez la description en haut du modèle. Votre description peut ressembler à l'exemple

suivant :

"Description": "Launches a LAMP stack from AWS Marketplace",

6. Personnalisez le paramètre InstanceType pour qu'il ne comprenne que les types d'instance EC2qui sont pris en charge par votre produit. Si votre modèle inclut des types d'instances EC2 non pris encharge, le lancement du produit échouera pour vos utilisateurs finaux.

a. Sur la page d'approvisionnement de produit dans AWS Marketplace, affichez les types d'instanceEC2 pris en charge dans la section Pricing Details, comme dans l'exemple suivant :

46

AWS Service Catalog Guide de l'administrateurGestion et ajout de produits AWS

Marketplace à l'aide de l'option manuelle

b. Dans votre modèle, modifiez le type d'instance par défaut en un type d'instance EC2 pris encharge de votre choix.

c. Modifiez la liste AllowedValues pour qu'elle ne comprenne que les types d'instances EC2 quisont pris en charge par votre produit.

d. Supprimez les types d'instances EC2 que vous ne souhaitez pas que vos utilisateurs finauxutilisent lorsqu'ils lancent le produit à partir de la liste AllowedValues.

Lorsque vous avez fini de modifier le paramètre InstanceType, celui-ci peut ressembler à l'exemplesuivant :

"InstanceType" : {

47

AWS Service Catalog Guide de l'administrateurGestion et ajout de produits AWS

Marketplace à l'aide de l'option manuelle

"Description" : "EC2 instance type", "Type" : "String", "Default" : "m1.small", "AllowedValues" : [ "t1.micro", "m1.small", "m1.medium", "m1.large", "m1.xlarge", "m2.xlarge", "m2.2xlarge", "m2.4xlarge", "c1.medium", "c1.xlarge", "c3.large", "c3.large", "c3.xlarge", "c3.xlarge", "c3.4xlarge", "c3.8xlarge" ], "ConstraintDescription" : "Must be a valid EC2 instance type." },

7. Dans la section Mappings de votre modèle, modifiez les mappages AWSInstanceType2Arch detelle sorte que seuls les types d'instances EC2 et architectures pris en charge soient inclus.

a. Modifiez la liste de mappages en supprimant tous les types d'instances EC2 qui ne sont pas inclusdans la liste AllowedValues pour le paramètre InstanceType.

b. Modifiez la valeur Arch pour chaque type d'instance EC2 pour qu'elle corresponde au typed'architecture pris en charge par votre produit. Les valeurs valides sont PV64, HVM64 et HVMG2.Pour savoir quelle architecture votre produit prend en charge, reportez-vous à la page des détailsdu produit dans AWS Marketplace. Pour savoir quelles architectures sont prises en charge par lesfamilles d'instance EC2, consultez Tableau des versions de l'AMI Linux Amazon selon les typesd'instances.

Lorsque vous avez fini de modifier les mappages AWSInstanceType2Arch, cela peut ressembler àl'exemple suivant :

"AWSInstanceType2Arch" : { "t1.micro" : { "Arch" : "PV64" }, "m1.small" : { "Arch" : "PV64" }, "m1.medium" : { "Arch" : "PV64" }, "m1.large" : { "Arch" : "PV64" }, "m1.xlarge" : { "Arch" : "PV64" }, "m2.xlarge" : { "Arch" : "PV64" }, "m2.2xlarge" : { "Arch" : "PV64" }, "m2.4xlarge" : { "Arch" : "PV64" }, "c1.medium" : { "Arch" : "PV64" }, "c1.xlarge" : { "Arch" : "PV64" }, "c3.large" : { "Arch" : "PV64" }, "c3.xlarge" : { "Arch" : "PV64" }, "c3.2xlarge" : { "Arch" : "PV64" }, "c3.4xlarge" : { "Arch" : "PV64" }, "c3.8xlarge" : { "Arch" : "PV64" } },

8. Dans la section Mappings de votre modèle, modifiez les mappages AWSRegionArch2AMI pourassocier chaque région AWS à l'architecture et l'ID d'AMI correspondantes pour votre produit.

a. Sur la page d'approvisionnement de produit dans AWS Marketplace, affichez l'ID d'AMI utilisé parvotre produit pour chaque région AWS, comme dans l'exemple suivant :

48

AWS Service Catalog Guide de l'administrateurGestion et ajout de produits AWS

Marketplace à l'aide de l'option manuelle

b. Dans votre modèle, supprimez les mappages pour toutes les régions que vous ne prenez pas encharge.

c. Modifiez le mappage pour chaque région afin de supprimer les architectures non prises en charge(PV64, HVM64 ou HVMG2) et leurs ID d'AMI associés.

d. Pour chaque mappage de région et d'architecture restant, spécifiez l'ID d'AMI correspondant àpartir de la page des détails du produit dans AWS Marketplace.

Lorsque vous avez fini de modifier les mappages AWSRegionArch2AMI, votre code peut ressemblerà l'exemple suivant :

"AWSRegionArch2AMI" : { "us-east-1" : {"PV64" : "ami-nnnnnnnn"}, "us-west-2" : {"PV64" : "ami-nnnnnnnn"}, "us-west-1" : {"PV64" : "ami-nnnnnnnn"}, "eu-west-1" : {"PV64" : "ami-nnnnnnnn"}, "eu-central-1" : {"PV64" : "ami-nnnnnnnn"}, "ap-northeast-1" : {"PV64" : "ami-nnnnnnnn"}, "ap-southeast-1" : {"PV64" : "ami-nnnnnnnn"}, "ap-southeast-2" : {"PV64" : "ami-nnnnnnnn"}, "sa-east-1" : {"PV64" : "ami-nnnnnnnn"} }

Vous pouvez maintenant utiliser le modèle pour ajouter le produit à un portefeuille AWS ServiceCatalog. Si vous souhaitez apporter des modifications supplémentaires, consultez Utilisation desmodèles AWS CloudFormation pour en savoir plus sur les modèles.

Pour ajouter votre produit AWS Marketplace à un portefeuille AWS Service Catalog

1. Connectez-vous à la AWS Management Console et accédez à la console Administrateur AWS ServiceCatalog à l'adresse https://console.aws.amazon.com/servicecatalog/.

2. Sur la page Portfolios, choisissez le portefeuille auquel vous souhaitez ajouter votre produit AWSMarketplace.

3. Sur la page des détails du portefeuille, choisissez Upload new product.4. Tapez les détails du produit et les détails du support.5. Sur la page Version details, choisissez Upload a template file, Browse, puis votre fichier de modèle.6. Tapez un titre et une description pour la version.

49

AWS Service Catalog Guide de l'administrateurPartage de portefeuille

7. Choisissez Next.8. Sur la page Review, vérifiez que le récapitulatif est exact, puis choisissez Confirm and upload. Le

produit est ajouté à votre portefeuille. Il est désormais disponible pour les utilisateurs finaux qui ontaccès au portefeuille.

Partage de portefeuillePour mettre vos produits AWS Service Catalog à disposition d'utilisateurs qui ne sont pas dans votrecompte AWS, par exemple, des utilisateurs qui appartiennent à d'autres organisations ou à d'autrescomptes AWS de votre organisation, vous partagez vos portefeuilles avec leurs comptes AWS.

Lorsque vous partagez un portefeuille, vous permettez à un administrateur AWS Service Catalogd'un autre compte AWS d'importer votre portefeuille dans son compte et de distribuer les produits auxutilisateurs finaux de ce compte. Ce portefeuille importé n'est pas une copie indépendante. Les produitset les contraintes du portefeuille importé restent synchronisés avec les modifications que vous apportezau portefeuille partagé, le portefeuille d'origine que vous avez partagé. L'administrateur destinataire,l'administrateur avec lequel vous partagez un portefeuille, ne peut pas modifier les produits ou lescontraintes, mais il peut ajouter un accès AWS Identity and Access Management (IAM) pour les utilisateursfinaux. Pour plus d'informations, consultez Octroi d'accès à des utilisateurs (p. 30).

L'administrateur destinataire peut distribuer les produits aux utilisateurs finaux qui appartiennent à soncompte AWS comme suit :

• En ajoutant des utilisateurs, des groupes et des rôles IAM au portefeuille importé.• En ajoutant des produits du portefeuille importé dans un portefeuille local, un portefeuille distinct que

l'administrateur destinataire crée et qui appartient à son compte AWS. L'administrateur destinataireajoute ensuite des utilisateurs, des groupes et des rôles IAM au portefeuille local. Les contraintesque vous avez appliquées aux produits dans le portefeuille partagé sont également présentes dansle portefeuille local. L'administrateur destinataire peut ajouter des contraintes supplémentaires auportefeuille local, mais ne peut pas supprimer les contraintes importées.

Lorsque vous ajoutez des produits ou des contraintes au portefeuille partagé, ou que vous supprimez desproduits ou des contraintes de celui-ci, la modification est propagée à toutes les instances importées duportefeuille. Par exemple, si vous supprimez un produit du portefeuille partagé, ce produit est égalementsupprimé du portefeuille importé. Il est également supprimé de tous les portefeuilles locaux auxquels leproduit importé a été ajouté. Si un utilisateur final a lancé un produit avant que vous ne le supprimiez, leproduit provisionné de l'utilisateur final continue de s'exécuter, mais le produit devient indisponible pour lesfuturs lancements.

Si vous appliquez une contrainte de lancement à un produit dans un portefeuille partagé, celle-ci estpropagée à toutes les instances importées du produit. Pour remplacer cette contrainte de lancement,l'administrateur destinataire ajoute le produit dans un portefeuille local, puis applique une contrainte delancement différente à ce produit. La contrainte de lancement en vigueur définit un rôle de lancementpour le produit. Un rôle de lancement est un rôle IAM utilisé par AWS Service Catalog pour provisionnerdes ressources AWS (par exemple, des instances EC2 ou des bases de données RDS) lorsqu'unutilisateur final lance le produit. Ce rôle de lancement est utilisé, même si l'utilisateur final appartientà un compte AWS autre que celui qui possède le rôle de lancement. Pour plus d'informations sur lescontraintes de lancement et les rôles de lancement, consultez Contraintes de lancement AWS ServiceCatalog (p. 33). Le compte AWS qui possède le rôle de lancement provisionne les ressources AWS, etles coûts d'utilisation sont facturés à ce compte pour ces ressources. Pour en savoir plus, consultez la pageTarification AWS Service Catalog.

Note

Vous ne pouvez pas repartager des produits à partir d'un portefeuille qui a été importé ou partagé.

50

AWS Service Catalog Guide de l'administrateurRelation entre des portefeuilles

partagés et des portefeuilles importés

Relation entre des portefeuilles partagés et desportefeuilles importésLe tableau suivant récapitule la relation entre un portefeuille importé et un portefeuille partagé, et lesactions qu'un administrateur qui importe un portefeuille peut et ne peut pas exécuter avec ce portefeuille etles produits contenus dans ce dernier.

Élément de portefeuillepartagé

Relation avec unportefeuille importé

L'administrateurdestinataire peut

L'administrateurdestinataire ne peut pas

Produits et versions deproduit

Héritées.

Si le créateur duportefeuille ajoute desproduits ou supprimedes produits dans leportefeuille partagé,la modification estpropagée vers leportefeuille importé.

Ajouter des produitsimportés à portefeuilleslocaux. Les produitsrestent synchronisésavec le portefeuillepartagé.

Télécharger ou ajouterdes produits auportefeuille importé, ousupprimer des produitsdu portefeuille importé.

Contraintes delancement

Héritées.

Si le créateur duportefeuille ajoutedes contraintes delancement à un produitpartagé ou en supprime,la modification estpropagée à toutes lesinstances importées duproduit.

Si l'administrateurdestinataire ajoute unproduit importé à unportefeuille local, lacontrainte de lancementimportée qui estappliquée à ce produitest présente dans leportefeuille local.

Dans un portefeuillelocal, l'administrateurpeut remplacer lacontrainte de lancementimportée en appliquantune autre au produit.

Ajouter des contraintesde lancement auportefeuille importé ouen supprimer.

Contraintes de modèle Héritées.

Si le créateur duportefeuille ajouteune contrainte demodèle ou supprimedes contraintes demodèle dans un produitpartagé, la modificationest propagée à toutesles instances importéesdu produit.

Dans un portefeuillelocal, l'administrateurpeut ajouter descontraintes de modèlequi sont appliquées enplus des contraintesimportées.

Supprimer lescontraintes de modèleimportées.

51

AWS Service Catalog Guide de l'administrateurPartage d'un portefeuille

Élément de portefeuillepartagé

Relation avec unportefeuille importé

L'administrateurdestinataire peut

L'administrateurdestinataire ne peut pas

Si l'administrateurdestinataire ajoute unproduit importé à unportefeuille local, lescontraintes de modèleimportées qui sontappliquées à ce produitsont héritées par leportefeuille local.

Utilisateurs, groupes etrôles IAM

Non héritée. Ajouter des utilisateurs,des groupes et desrôles IAM qui sont dansun compte AWS del'administrateur.

Ne s'applique pas.

Partage d'un portefeuillePour permettre à un administrateur AWS Service Catalog pour un autre compte AWS de distribuer vosproduits à des utilisateurs finaux partagez votre portefeuille AWS Service Catalog avec le compte AWS del'administrateur.

Pour effectuer les étapes suivantes, vous devez obtenir l'ID de compte du compte AWS cible. L'ID estfourni sur la page My Account (Mon compte) dans l'AWS Management Console du compte cible.

Pour partager un portefeuille

1. Ouvrez la console AWS Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/.2. Sur la page Portfolios, sélectionnez le portefeuille que vous souhaitez partager, puis choisissez Share

Portfolio.3. Dans la fenêtre Enter AWS account ID, tapez l'ID de compte du compte AWS avec lequel vous

partagez. Choisissez ensuite Share. Si le partage réussit, un message sur la page Portfolios confirmeque le portefeuille est lié au compte cible. Il fournit aussi une URL que l'administrateur destinataire doitutiliser pour importer le portefeuille.

4. Envoyez l'URL à l'administrateur AWS Service Catalog du compte cible. L'URL ouvre la page ImportPortfolio avec l'ARN du portefeuille partagé automatiquement fourni.

Importation d'un portefeuilleSi une administrateur AWS Service Catalog pour un autre compte AWS partage un portefeuille avec vous,importez ce portefeuille dans votre compte pour pouvoir distribuer ses produits à vos utilisateurs finaux.

Pour importer le portefeuille, vous devez obtenir une URL pour importer le portefeuille de l'administrateur.

Ouvrez l'URL, et sur la page Import Portfolio, choisissez Import. La page Portfolios s'affiche et leportefeuille apparaît dans le tableau Imported Portfolios.

52

AWS Service Catalog Guide de l'administrateurGestion de tous les produits

provisionnés en tant qu'administrateur

Gestion des produits provisionnésAWS Service Catalog fournit une interface pour la gestion des produits provisionnés. Vous pouvez afficher,mettre à jour et mettre fin à tous les produits provisionnés pour votre catalogue selon le niveau d'accès.Vous trouverez dans les sections suivantes des exemples de procédures.

Table des matières• Gestion de tous les produits provisionnés en tant qu'administrateur (p. 53)• Didacticiel : Identification de l'utilisateur pour l'allocation des ressources (p. 53)

Gestion de tous les produits provisionnés en tantqu'administrateur

Pour gérer tous les produits provisionnés pour le compte, vous aurez besoin de l'accèsServiceCatalogAdminFullAccess ou d'un accès équivalent aux opérations d'écriture sur les produitsprovisionnés. Pour plus d'informations, consultez Authentification et contrôle d'accès pour AWS ServiceCatalog (p. 20).

Pour afficher et gérer tous les produits provisionnés

1. Ouvrez la console AWS Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/.

Si vous êtes déjà connecté à la console AWS Service Catalog, choisissez Service Catalog, End user.2. Si nécessaire, faites défiler l'écran jusqu'à la section Provisioned products.3. Dans la section Provisioned products, choisissez la liste View: et sélectionnez le niveau d'accès que

vous souhaitez afficher : User, Role ou Account. Vous affichez ainsi tous les produits provisionnésdans le catalogue.

4. Choisissez un produit provisionné à afficher, mettre à jour ou résilier. Pour plus d'informations sur lesdétails fournis dans cette vue, consultez Affichage d'informations sur les produits provisionnés.

Didacticiel : Identification de l'utilisateur pourl'allocation des ressources

Vous pouvez identifier l'utilisateur qui a provisionné un produit et les ressources associées au produit àl'aide de la console AWS Service Catalog. Ce didacticiel vous aide à adapter cet exemple à vos propresproduits provisionnés spécifiques.

Pour gérer tous les produits provisionnés pour le compte, vous avez besoin de l'accèsServiceCatalogAdminFullAccess ou d'un accès équivalent aux opérations d'écriture sur les produitsprovisionnés. Pour plus d'informations, consultez Authentification et contrôle d'accès pour AWS ServiceCatalog (p. 20).

Pour identifier l'utilisateur qui a provisionné un produit et les ressources associées

1. Accédez à la console Produits provisionnés dans la console AWS Service Catalog.

53

AWS Service Catalog Guide de l'administrateurDidacticiel : Identification de l'utilisateur

pour l'allocation des ressources

2. Dans le volet Provisioned products, pour View, choisissez Account.

3. Identifiez le produit provisionné à examiner, puis sélectionnez le produit provisionné.

54

AWS Service Catalog Guide de l'administrateurDidacticiel : Identification de l'utilisateur

pour l'allocation des ressources

4. Développez la section Events, puis notez les valeurs de Provisioned product ID etCloudformationStackARN.

5. Utilisez l'ID de produit provisionné pour identifier l'enregistrement CloudTrail qui correspond à celancement, ainsi que l'utilisateur demandeur (généralement, il s'agit de celui qui est entré commeadresse e-mail lors de la fédération). Dans cet exemple, il s'agit de « steve ».

{ "eventVersion":"1.03","userIdentity": { "type":"AssumedRole", "principalId":"[id]:steve", "arn":"arn:aws:sts::[account number]:assumed-role/SC-usertest/steve", "accountId":[account number], "accessKeyId":[access key], "sessionContext": { "attributes": { "mfaAuthenticated":[boolean], "creationDate":[timestamp] }, "sessionIssuer": { "type":"Role", "principalId":"AROAJEXAMPLELH3QXY", "arn":"arn:aws:iam::[account number]:role/[name]", "accountId":[account number], "userName":[username] } } }, "eventTime":"2016-08-17T19:20:58Z","eventSource":"servicecatalog.amazonaws.com", "eventName":"ProvisionProduct", "awsRegion":"us-west-2", "sourceIPAddress":[ip address], "userAgent":"Coral/Netty", "requestParameters": { "provisioningArtifactId":[id], "productId":[id], "provisioningParameters":[Shows all the parameters that the end user entered], "provisionToken":[token], "pathId":[id], "provisionedProductName":[name], "tags":[], "notificationArns":[] }, "responseElements":

55

AWS Service Catalog Guide de l'administrateurDidacticiel : Identification de l'utilisateur

pour l'allocation des ressources

{ "recordDetail": { "provisioningArtifactId":[id], "status":"IN_PROGRESS", "recordId":[id], "createdTime":"Aug 17, 2016 7:20:58 PM", "recordTags":[], "recordType":"PROVISION_PRODUCT", "provisionedProductType":"CFN_STACK", "pathId":[id], "productId":[id], "provisionedProductName":"testSCproduct", "recordErrors":[], "provisionedProductId":[id] } }, "requestID":[id], "eventID":[id], "eventType":"AwsApiCall", "recipientAccountId":[account number]}

6. Utilisez la valeur CloudformationStackARN pour identifier des événements AWS CloudFormationafin de trouver des informations sur les ressources créées. Vous pouvez également utiliser l'APIAWS CloudFormation pour obtenir ces informations. Pour plus d'informations, consultez AWSCloudFormation API Reference.

Notez que vous pouvez exécuter les étapes 1 à 4 à l'aide de l'API AWS Service Catalog ou l'AWS CLI.Pour plus d'informations, consultez Manuel du développeur AWS Service Catalog and AWS ServiceCatalog Command Line Reference.

56

AWS Service Catalog Guide de l'administrateur

Bibliothèque TagOption dans AWSService Catalog

Pour permettre aux administrateurs de gérer facilement les balises sur les produits provisionnés, AWSService Catalog propose une bibliothèque TagOption. Une TagOption est une paire clé-valeur gérée dansAWS Service Catalog. Il ne s'agit pas d'une balise AWS ; cela tient lieu de modèle pour créer une baliseAWS basée sur la TagOption.

La bibliothèque TagOption facilite l'application des éléments suivants :

• Une taxonomie cohérente• Le balisage approprié des ressources AWS Service Catalog• Des options définies et sélectionnables par l'utilisateur pour les balises autorisées

Les administrateurs peuvent associer des TagOptions aux portefeuilles et aux produits. Lors du lancementd'un produit (mise en service), AWS Service Catalog agrège les TagOptions associées au portefeuille et auproduit, et les applique au produit mis en service, comme indiqué dans le schéma suivant.

Grâce à la bibliothèque de TagOptions, vous pouvez désactiver les TagOptions et conserver leursassociations aux portefeuilles ou produits, puis les réactiver lorsque vous en avez besoin. Cette approchepermet non seulement de maintenir l'intégrité de la bibliothèque, mais également de gérer des TagOptionsqui pourraient être utilisées par intermittence, ou uniquement dans des circonstances particulières.

Vous pouvez gérer les TagOptions avec la console AWS Service Catalog ou l'API de la bibliothèque deTagOptions. Pour plus d'informations, consultez la AWS Service Catalog API Reference.

Table des matières

57

AWS Service Catalog Guide de l'administrateurLancement d'un produit avec des TagOptions

• Lancement d'un produit avec des TagOptions (p. 58)• Gestion des TagOptions (p. 60)

Lancement d'un produit avec des TagOptionsLorsqu'un utilisateur lance un produit doté de TagOptions, AWS Service Catalog effectue les actionssuivantes en votre nom :

• Récupère toutes les TagOptions pour le produit et le portefeuille lié au lancement.• S'assure que seules les TagOptions avec des clés uniques sont utilisées dans une balise sur le produit

provisionné. Les utilisateurs obtiennent des listes de valeurs à choix multiples pour une clé. Lorsquel'utilisateur choisit une valeur, elle devient une balise sur le produit provisionné.

• Permet aux utilisateurs d'ajouter des balises non conflictuelles au produit pendant la mise en service.

Les cas d'utilisation suivants montrent comment les TagOptions fonctionnent pendant le lancement d'uneinstance.

Exemple 1 : Clé TagOption uniqueUn administrateur crée TagOption[Group=Finance] et l'associe à Portfolio1, qui dispose de Product1sans TagOptions. Lorsqu'un utilisateur lance le produit provisionné, la TagOption unique devientTag[Group=Finance], comme suit :

Exemple 2 : Ensemble de TagOptions avec la mêmeclé sur un portefeuilleUn administrateur a placé deux TagOptions avec la même clé sur un portefeuille, et il n'y a pas deTagOptions avec la même clé sur aucun autre produit de ce portefeuille. Lors du lancement, l'utilisateur doitsélectionner l'une des deux valeurs associées à la clé. Le produit provisionné est alors balisé avec la clé etla valeur sélectionnée par l'utilisateur.

58

AWS Service Catalog Guide de l'administrateurExemple 3 : Ensemble de TagOptions avec la mêmeclé sur le portefeuille et un produit de ce portefeuille

Exemple 3 : Ensemble de TagOptions avec la mêmeclé sur le portefeuille et un produit de ce portefeuilleUn administrateur a placé plusieurs TagOptions avec la même clé sur un portefeuille, et il y a aussiplusieurs TagOptions avec la même clé sur le produit au sein de ce portefeuille. AWS Service Catalogcrée un ensemble de valeurs à partir de l'agrégation (opération AND logique) des TagOptions. Lorsquel'utilisateur lance le produit, cet ensemble de valeurs s'affiche et il peut y faire son choix. Le produitprovisionné est balisé avec la clé et la valeur sélectionnée par l'utilisateur.

59

AWS Service Catalog Guide de l'administrateurExemple 4 : Plusieurs TagOptions avecla même clé et des valeurs conflictuelles

Exemple 4 : Plusieurs TagOptions avec la même clé etdes valeurs conflictuellesUn administrateur a placé plusieurs TagOptions avec la même clé sur un portefeuille, et il y a aussiplusieurs TagOptions avec la même clé sur le produit de ce portefeuille. AWS Service Catalog crée unensemble de valeurs à partir de l'agrégation (opération AND logique) des TagOptions. Si l'agrégation netrouve pas de valeurs pour la clé, AWS Service Catalog crée une balise avec la même clé et la valeursc-tagconflict-portfolioid-productid, où portfolioid et productid sont les ARN duportefeuille et du produit. Cela permet de s'assurer que le produit provisionné est balisé avec la cléappropriée et avec une valeur que l'administrateur peut trouver et corriger.

Gestion des TagOptionsEn tant qu'administrateur, vous pouvez créer, supprimer et modifier des TagOptions, mais aussi associerdes TagOptions à un portefeuille ou un produit, et les en dissocier.

Pour créer une TagOption (console)

1. Ouvrez la console AWS Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/.2. Choisissez Bibliothèque TagOption.3. Saisissez une nouvelle valeur pour l'un des principaux groupes de clés ou choisissez Créer une

nouvelle TagOption et saisissez une nouvelle clé et valeur.

Lorsque la nouvelle TagOption a été créée, elle est regroupée par paire clé-valeur et triée par ordrealphabétique. Vous pouvez supprimer une TagOption nouvellement créée en choisissant Supprimer de labibliothèque. Cette fonction de suppression est disponible uniquement pour les TagOptions nouvellementcréées. Elle est conçue pour faciliter la gestion des erreurs de saisie des TagOptions.

Pour créer une TagOption à l'aide de l'API AWS Service Catalog, consultez CreateTagOption.

Pour associer une TagOption à un portefeuille ou un produit (console)

1. Ouvrez la console AWS Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/.2. Choisissez TagOption, sélectionnez une TagOption et sélectionnez le portefeuille ou le produit à

associer à cette TagOption.

Sinon, à partir de la page Détails d'un portefeuille ou d'un produit, choisissez Ajouter une TagOption etsélectionnez la TagOption à associer.

3. Choisissez Save.

60

AWS Service Catalog Guide de l'administrateurGestion des TagOptions

Pour associer une TagOption à un portefeuille ou un produit à l'aide de l'API AWS Service Catalog,consultez AssociateTagOptionWithResource.

Pour supprimer (dissocier) une TagOption d'un portefeuille ou d'un produit (console)

1. Ouvrez la console AWS Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/.2. Choisissez TagOption, sélectionnez une TagOptionet ouvrez la page Détails.3. Sélectionnez le petit signe x à droite du portefeuille ou du produit à partir duquel vous souhaitez

supprimer l'association.

Sinon, à partir de la page Détails d'un produit ou d'un portefeuille, choisissez le petit signe x à droite dela TagOption que vous souhaitez supprimer.

Pour supprimer une TagOption à l'aide de l'API AWS Service Catalog, consultezDisassociateTagOptionFromResource.

Pour modifier une TagOption

1. Ouvrez la console AWS Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/.2. Choisissez Bibliothèque TagOption, sélectionnez une TagOption et modifiez la clé ou la valeur.3. Choisissez Save.

61

AWS Service Catalog Guide de l'administrateur

Historique du documentLe tableau ci-dessous décrit les ajouts majeurs de la documentation AWS Service Catalog.

Fonction Description Date de parution

Prise en charge deTagOptions

Pour gérer des balises, consultezBibliothèque TagOption dans AWSService Catalog (p. 57).

28 juin 2017

Importation d'unportefeuille

Pour importer un portefeuille partagé àpartir d'un autre compte AWS, consultezImportation d'un portefeuille (p. 52).

16 février 2016

Informations surles autorisationsmises à jour

Pour accorder l'accès à la vue deconsole Utilisateur final, consultezAccès à la console pour les utilisateursfinaux (p. 21).

16 février 2016

Première version Il s'agit de la version initiale du AWSService Catalog Administrator Guide.

9 juillet 2015

62