Вопросы и ответы о Каталоге сервисов AWS

Общие вопросы

AWS Service Catalog позволяет ИТ-администраторам создавать, контролировать и распространять каталоги одобренных продуктов для конечных пользователей, которые в результате получают доступ к нужным продуктам на индивидуально настроенном портале. У администраторов есть возможность контролировать доступ пользователей к каждому продукту в целях обеспечения соответствия требованиям корпоративной политики. Администраторы могут также настраивать адаптированные роли, чтобы конечным пользователям для развертывания одобренных ресурсов требовался только доступ IAM к AWS Service Catalog. AWS Service Catalog позволит вашей организации повысить гибкость и снизить затраты, поскольку конечные пользователи смогут находить и запускать только нужные им продукты из каталога, контролируемого вами.

AWS Service Catalog разработан для организаций, ИТ-отделов и поставщиков управляемых сервисов (MSP), которым требуются централизованные политики. Он позволяет ИТ-администраторам распространять и контролировать ресурсы и сервисы AWS. Для крупных организаций этот продукт обеспечивает стандартный способ выделения облачных ресурсов тысячам пользователей. Но он также подходит и для небольших команд, в которых менеджеры разработки смогут создавать и поддерживать стандартную среду разработки и тестирования.

В разделе «Management Tools» Консоли управления AWS выберите «AWS Service Catalog». В консоли Каталога сервисов AWS администраторы могут создавать портфели, добавлять продукты и предоставлять пользователям разрешения на их использование с помощью всего нескольких щелчков мышью. Конечные пользователи, вошедшие в консоль Каталога сервисов AWS, могут просматривать и запускать продукты из списка, созданного для них администраторами.

Конечные пользователи получают простой портал, в котором можно найти и запустить продукты, соответствующие требованиям корпоративной политики и бюджетным ограничениям.

Портфель – это набор продуктов с дополнительной конфигурационной информацией, которая определяет, кто и каким образом может использовать данные продукты. Администраторы могут создавать собственные портфели для каждого типа пользователей в организации и выборочно предоставлять доступ к нужному портфелю. Когда администратор добавляет в портфель новую версию продукта, она автоматически становится доступна всем текущим пользователям портфеля. Один и тот же продукт можно включать в несколько портфелей. Также администраторы могут предоставлять другим аккаунтам AWS общий доступ к портфелям и разрешать администраторам этих аккаунтов расширять портфели путем применения дополнительных ограничений. Применяя портфели, разрешения, общий доступ и ограничения, администраторы могут гарантировать, что пользователи запускают продукты, правильно настроенные для целей организации.

Да. AWS Service Catalog полностью распределен по регионам, так что вы можете контролировать, в каких регионах хранятся данные. Портфели и продукты – это региональные компоненты, которые нужно создавать для каждого региона и которые видны/доступны только в регионах, где они созданы.

Полный список поддерживаемых регионов AWS см. в таблице регионов AWS.

Да, API доступны, их можно включить с помощью командной строки. Доступны действия от управления артефактами Service Catalog до выделения и отключения ресурсов. См. дополнительные сведения в документации по Каталогу сервисов AWS или загрузите последнюю версию AWS SDK или CLI.

Да, частный доступ к API-интерфейсам AWS Service Catalog из облака Amazon Virtual Private Cloud (VPC) можно получить, создав адреса VPC Endpoint. При использовании адресов VPC Endpoint маршрутизация между VPC и AWS Service Catalog осуществляется сетью AWS без необходимости использования шлюза Интернета, шлюза NAT или VPN-подключения. Последнее поколение адресов VPC Endpoint, используемое AWS Service Catalog, работает на основе AWS PrivateLink – технологии AWS, которая обеспечивает частное соединение между сервисами AWS, используя в VPC эластичные сетевые интерфейсы (ENI) с частными IP-адресами. Подробнее об AWS PrivateLink см. в документации по AWS PrivateLink.

Да. Соглашение об уровне обслуживания (SLA) для Каталога сервисов AWS предусматривает компенсацию в случае, если уровень бесперебойной работы за любой учетный период был ниже согласованного.

ИТ-администратор

Портфели создаются в консоли AWS Service Catalog. Для каждого портфеля указывается название, описание и владелец.

Каждый продукт Каталога сервисов основан на шаблоне «инфраструктура как код» (IaC). Можно использовать шаблоны CloudFormation или конфигурации Terraform (один файл tar.gz). Вы можете создать продукт с помощью консоли Каталога сервисов AWS, загрузив шаблон IaC, указав ссылку на корзину S3 или подключившись к внешнему репозиторию Git, где хранится шаблон. При создании продуктов можно указать дополнительную информацию для представления продукта в каталоге, включая подробное описание, сведения о версии, информацию о поддержке и теги.

Теги полезны для идентификации и группировки ресурсов AWS, выделяемых конечными пользователями. Кроме того, теги можно применять в политиках AWS Identity and Access Management (IAM) для предоставления или ограничения доступа пользователям, группам и ролям IAM либо для ограничения набора операций, которые могут быть выполнены пользователями, группами и ролями IAM. При добавлении тегов к портфелю они применяются ко всем инстансам ресурсов, выделяемых продуктами в портфеле.

Для того чтобы открыть в своем аккаунте AWS доступ к портфелям для пользователей IAM, требуется опубликовать созданный портфель или портфель, к которому вам был предоставлен доступ. При публикации портфеля в консоли AWS Service Catalog, перейдя на страницу описания портфеля, вы сможете добавить к портфелю пользователей, группы или роли IAM. После добавления пользователей к портфелю они получают возможность просматривать и запускать любые продукты их портфеля. Принято создавать несколько портфелей с различными продуктами и отдельные разрешения доступа для конкретных типов конечных пользователей. Например, продукты в портфеле для отдела разработки, скорее всего, будут отличаться от продуктов в портфеле, предназначенном для отдела продаж и маркетинга. Один продукт можно опубликовать в нескольких портфелях с различными разрешениями доступа и политиками выделения ресурсов.

Да. Предоставить доступ к портфелям можно пользователям в одном или нескольких других аккаунтах AWS. При предоставлении общего доступа к портфелю другим аккаунтам AWS вы продолжаете владеть и управлять портфелем. Только вы можете вносить изменения, например добавлять новые продукты или обновлять существующие. И только вы можете закрыть общий доступ к портфелю в любое время. Любые продукты, или стеки, используемые в настоящее время, продолжают работать, пока владелец стека не решит остановить их.

Для предоставления общего доступа к портфелю необходимо указать ID целевого аккаунта и отправить имя ARN (Amazon Resource Name) портфеля этому аккаунту. Владелец данного аккаунта может создать ссылку на общий портфель и назначить портфелю пользователей IAM своего аккаунта. Вы продолжаете курировать папку портфелей и предоставлять дополнительную информацию, чтобы помочь конечным пользователям.

Да. Можно использовать для создания продукта существующий образ AMI Amazon EC2, представив его в виде шаблона AWS CloudFormation.

Да. Пользователи могут подписаться на продукт в AWS Marketplace и использовать действие «Copy to Service Catalog», чтобы скопировать продукт из Marketplace непосредственно в Service Catalog. Кроме того, можно использовать образ AMI Amazon EC2 нужного продукта, чтобы создать продукт AWS Service Catalog. Для этого продукт с подпиской необходимо представить в виде шаблона AWS CloudFormation. Чтобы получить дополнительные сведения о копировании или упаковке продуктов в AWS Marketplace, нажмите здесь.

Для контроля доступа к портфелям и продуктам нужно назначить пользователей, группы и роли IAM на странице описания портфеля. После предоставления доступа пользователи смогут просматривать доступные продукты в консоли AWS Service Catalog.

Да. Процедура создания новых версий продукта аналогична созданию самих продуктов. После публикации новой версии продукта в портфеле конечные пользователи смогут выбрать для запуска его новую версию. Кроме того, они смогут обновить запущенные стеки до новой версии. AWS Service Catalog не предусматривает автоматического обновления продуктов, которые на момент публикации обновления уже используются.

Да. Вы сохраняете полный контроль над аккаунтами и ролями AWS, используемыми при выделении продуктов. Для выделения ресурсов AWS можно использовать либо разрешения доступа IAM данного пользователя, либо предопределенную роль IAM. Для сохранения полного контроля над ресурсами AWS необходимо указать определенную роль IAM на уровне продукта. AWS Service Catalog использует эту роль при выделении ресурсов в стеке.

Да. Вы можете определить правила, ограничивающие значения параметров, вводимых пользователем при запуске продукта. Эти правила называются ограничениями шаблона, потому что они ограничивают способ развертывания шаблона AWS CloudFormation для продукта. С помощью простого редактора можно создать ограничения шаблона, а затем применить их к отдельным продуктам.

AWS Service Catalog применяет ограничения при выделении нового продукта и обновлении уже используемого продукта. Сервис всегда применяет самое жесткое из ограничений, относящихся к портфелю и продукту. Например, рассмотрим сценарий, когда продукт разрешает запуск всех инстансов EC2, а портфель имеет два ограничения: первое разрешает запуск всех инстансов EC2, не имеющих тип GPU, а второе разрешает только запуск инстансов EC2 типов t1.micro и m1.small. В этом случае AWS Service Catalog применяет второе, более жесткое, ограничение (только t1.micro и m1.small). В настоящее время ограничения шаблонов для конфигураций Terraform не поддерживаются. 

Да, в настоящее время поддерживаются шаблоны как на языке JSON, так и на YAML.

Да. AWS Service Management Connector для ServiceNow и Jira Service Desk (прежнее название – AWS Service Catalog Connector) предоставляет возможности интеграции с проектами ServiceNow и Jira Service Desk. Это упрощает выделение облачных сервисов и управление ресурсами для администраторов ServiceNow и Jira Service Desk, а также помогает пользователям ServiceNow запрашивать продукты AWS, которые могут быть любыми ИТ‑сервисами, которые администраторы хотят сделать доступными для развертывания в AWS.

Администраторы ServiceNow и Jira Service Desk могут настроить связующую библиотеку для работы с существующими или новыми аккаунтами и ролями AWS. Пользователи ServiceNow и Jira Service Desk могут просматривать и запрашивать продукты AWS, утвержденные администраторами. Вы также можете просматривать сведения об элементах конфигурации для выделенных продуктов и выполнять документы AWS Systems Manager Automation в ServiceNow и Jira Service Desk. Это упрощает запрос продуктов AWS для пользователей ServiceNow и Jira Service Desk, а также позволяет администраторам ServiceNow и Jira Service Desk управлять продуктами AWS и контролировать их использование.

Коннектор управления сервисами AWS для ServiceNow можно бесплатно получить в магазине ServiceNow. Эта новая функция является общедоступной во всех регионах AWS, где доступен Каталог сервисов AWS. Дополнительные сведения см. в документации.

Коннектор управления сервисами AWS для Jira Service Management доступен бесплатно на торговой площадке Atlassian. Эта новая возможность общедоступна во всех регионах AWS, где доступен Каталог сервисов AWS. Дополнительные сведения представлены в документации.

Конечный пользователь

Просмотреть список доступных продуктов можно после входа в консоль AWS Service Catalog. Далее выполните поиск по порталу продуктов, соответствующих вашим требованиям, или перейдите на страницу с полным перечнем продуктов. Здесь можно выполнять сортировку для поиска нужного продукта.

Для каждого продукта можно просмотреть страницу описания продукта, на которой отображаются сведения о продукте, включая версию, наличие доступной новой версии продукта, описание, информацию о поддержке и связанные с продуктом теги. Страница сведений о продукте также может показывать способ выделения продукта: с помощью собственных разрешений доступа (Self) или указанной администратором роли (role‑arn).

Найдя в портале продукт, отвечающий вашим требованиям, нажмите кнопку «Launch». Вам предстоит ответить на ряд вопросов о том, как планируется использовать продукт. Вопросы могут относиться к задачам бизнеса или требованиям инфраструктуры (например, «Какой тип инстанса EC2 будет использоваться?»). После предоставления требуемой информации продукт появится в консоли AWS Service Catalog. Во время выделения продукта вы увидите, что он перешел в состояние «in progress». По завершении выделения отобразится надпись «complete», а также такая информация, как адреса сервера или имена ARN (Amazon Resource Name), которые можно использовать для доступа к продукту.

Да. Список используемых продуктов можно увидеть с помощью консоли AWS Service Catalog. Вы сможете увидеть все используемые стеки, а также версию продукта, использованную при их создании.

После публикации новой версии продукта для ее использования достаточно выполнить команду «Update Stack». Если продукт, для которого выпущено обновление, в настоящий момент запущен, его необходимо закрыть, чтобы можно было выполнить обновление до новой версии.

Список используемых продуктов и их состояние можно увидеть в консоли AWS Service Catalog.

Поддержка Terraform с открытым исходным кодом и облачных продуктов Terraform

Каталог сервисов AWS позволяет клиентам, использующим продукты Terraform с открытым исходным кодом и облачные продукты Terraform, предоставлять своим конечным пользователям в AWS сервисы с самостоятельным управлением. Центральные ИТ-подразделения могут использовать единый инструмент для организации, контроля и распространения конфигураций Terraform в AWS в любом масштабе. Они могут получить доступ к ключевым функциям Каталога сервисов AWS, включая каталогизацию стандартизированных и предварительно утвержденных шаблонов, контроль доступа, наименьшие привилегии при выделении ресурсов, управление версиями, совместное использование в тысячах аккаунтов AWS и маркировку. Конечные пользователи просто видят список продуктов и версий, к которым у них есть доступ, и могут развернуть их одним действием.

Чтобы начать работу, используйте предоставленный AWS эталонный движок Terraform, который устанавливает и настраивает код и инфраструктуру, необходимые для работы движка Terraform с открытым исходным кодом или облачного движка Terraform в Каталоге сервисов AWS. Эта одноразовая настройка занимает всего несколько минут.

Чтобы узнать, как каталогизировать, контролировать, распространять и развертывать продукты Terraform с помощью Каталога сервисов AWS, ознакомьтесь с нашей документацией.

Если Terraform с открытым исходным кодом или облачные продукты Terraform является вашим инструментом IaC, вы можете использовать Каталог сервисов, чтобы предложить своим командам самостоятельное выполнение конфигураций Terraform. Если вы используете сочетание конфигураций CloudFormation и Terraform в различных командах или сценариях использования, теперь можно применять Каталог сервисов AWS в качестве единого инструмента для каталогизации и совместного использования их обеих. Для конечных пользователей Каталог сервисов AWS предоставляет простой в использовании общий интерфейс для просмотра и предоставления ресурсов независимо от технологии IaC.

Чтобы использовать Каталог сервисов AWS с открытым исходным кодом Terraform, вам необходимо настроить движок Terraform с открытым исходным кодом в одном из своих аккаунтов. Создайте движок Terraform с открытым исходным кодом, используя предоставленный AWS эталонный движок Terraform, который устанавливает и настраивает код и инфраструктуру, необходимые для работы движка Terraform с открытым исходным кодом в Каталоге сервисов AWS. После этой одноразовой настройки, которая займет всего несколько минут, вы можете приступить к созданию продуктов Terraform с открытым исходным кодом в Каталоге сервисов AWS.

Чтобы использовать Каталог сервисов AWS с облачными продуктами Terraform, используйте предоставленный AWS эталонный движок Terraform для облачных продуктов Terraform, который устанавливает и настраивает код и инфраструктуру, необходимые для работы облачного движка Terraform в Каталоге сервисов AWS. Дополнительную информацию см. в нашей документации.

Да. Каталог сервисов AWS поддерживает веерную модель hub and spoke, согласно которой продукт определяется в одном центральном аккаунте, а затем им можно поделиться с тысячами аккаунтов AWS. Вы можете установить движок Terraform с открытым исходным кодом или облачный движок Terraform и создать продукты Terraform в этом центральном аккаунте. Затем вы можете поделиться ими с другими аккаунтами и разрешить доступ к ролям, пользователям и группам IAM в этих аккаунтах. Обратите внимание, что вам нужно будет определить роли запуска с достаточными разрешениями в каждом из этих аккаунтов.

Частично. AWS поддерживает каталогизацию, совместное использование и доступ конечных пользователей к продуктам Terraform. Вы несете ответственность за то, чтобы ваша среда Terraform с открытым исходным кодом или облачная среда Terraform была готова и хорошо интегрирована с Каталогом сервисов AWS. Вам также необходимо определить роль запуска с разрешениями на предоставление и маркирование всех ресурсов, связанных с продуктами Terraform.

Да. Каталог сервисов AWS позволяет синхронизировать продукты с файлами шаблонов, которыми управляют GitHub, GitHub Enterprise или Bitbucket. Независимо от выбранного репозитория, формат файла шаблона по-прежнему должен представлять собой один файл, заархивированный в Tar и сжатый в Gzip. 

Каждый продукт Terraform с открытым исходным кодом или облачный продукт Terraform имеет один файл состояния, который хранится в аккаунте AWS вашего движка Terraform с открытым исходным кодом или облачного движка Terraform в корзине AWS S3. Администраторы Каталога сервисов AWS увидят список файлов состояния, но не смогут прочитать или записать их содержимое. Делать это может только ваш движок Terraform с открытым исходным кодом или облачный движок Terraform.

Стоимость этой функции такая же, как и стоимость всех других функций Каталога сервисов AWS: 0,0007 USD за вызов API после первой 1000 вызовов в аккаунте или регионе. Чтобы узнать больше, посетите эту страницу

AppRegistry

AWS Service Catalog AppRegistry помогает организациям понять прикладной контекст своих ресурсов AWS. AppRegistry предоставляет репозиторий для информации, описывающей ваши корпоративные приложения и связанные ресурсы.

Сервис AWS Service Catalog AppRegistry был разработан для организаций, которым требуется единое актуальное определение приложений в среде AWS.

AWS Service Catalog AppRegistry позволяет определить приложение, включая имя, описание, связанные стеки CloudFormation и метаданные приложения, представленные группами атрибутов. Связанные стеки CloudFormation представляют собой все ресурсы, необходимые для приложения. Такие ресурсы могут быть инфраструктурой, необходимой в единственной среде, или включать в себя репозитории кода, конвейеры и ресурсы IAM, которые поддерживают приложение во всех средах. С приложениями можно связать существующие или новые стеки CloudFormation. Новые стеки можно связать с приложением после выделения, включив связь в приложение с шаблоном стека CloudFormation.

Группы атрибутов содержат метаданные приложения, которые имеют значение для вашей организации. Группы атрибутов включают в себя открытую JSON-схему, что обеспечивает гибкость при сборе комплексных корпоративных метаданных. Атрибуты приложения могут включать в себя такие метаданные, как классификация безопасности приложения, тип собственности организации, тип приложения, центр затрат и сведения о поддержке. Разработчики связывают группы атрибутов со своим приложением. При обновлении группы атрибутов изменения автоматически отражаются во всех приложениях, связанных с группой атрибутов.

Полный список поддерживаемых регионов AWS см. в таблице регионов AWS.

Да, доступны все действия API и CLI.