Perguntas frequentes sobre o AWS Service Catalog

Geral

O AWS Service Catalog permite que administradores de TI criem, gerenciem e distribuam catálogos de produtos aprovados para usuários finais, que podem, então, acessar os produtos de que precisam em um portal personalizado. Os administradores podem controlar quais usuários têm acesso a cada produto para reforçar a conformidade com as políticas empresariais organizacionais. Os administradores também podem configurar funções adotadas para que os usuários finais só solicitem acesso do IAM para o AWS Service Catalog para implantar recursos aprovados. O AWS Service Catalog permite que sua empresa se beneficie de maior agilidade e custos mais baixos, pois os usuários finais podem localizar e executar apenas os produtos necessários em um catálogo que você controla.

O AWS Service Catalog foi desenvolvido para empresas, equipes de TI e prestadores de serviços gerenciados (MSPs) que precisam centralizar suas políticas. Ele permite que administradores de TI comercializem e gerenciem recursos e serviços da AWS. Para grandes empresas, ele oferece um método padrão de provisionamento de recursos de nuvem para milhares de usuários. Também é ideal para pequenas equipes, nas quais gerentes de desenvolvimento da linha de frente podem disponibilizar e manter um ambiente de desenvolvimento e teste padrão.

No Console de Gerenciamento da AWS, selecione AWS Service Catalog na seção Ferramentas de Gerenciamento. No console do AWS Service Catalog, os administradores podem criar portfólios, adicionar produtos e conceder permissões a usuários para que possam usá-las com apenas alguns cliques. Os usuários finais conectados ao console do AWS Service Catalog podem visualizar e iniciar os produtos que os administradores criaram para eles.

Os usuários finais têm um simples portal no qual podem descobrir e inicializar produtos em conformidade com as políticas organizacionais e as restrições orçamentárias.

Um portfólio é um conjunto de produtos, com informações sobre configuração que determinam quem pode usar esses produtos e como eles podem usá-los. Os administradores podem criar um portfólio personalizado para cada tipo de usuário em uma empresa e conceder acesso de modo seletivo ao portfólio adequado. Quando o administrador adiciona uma nova versão de um produto a um portfólio, essa versão é disponibilizada automaticamente para todos os usuários atuais do portfólio. O mesmo produto pode ser incluído em vários portfólios. Os administradores também podem compartilhar portfólios com outras contas da AWS e permitir que os administradores dessas contas os ampliem aplicando restrições adicionais. Com o uso de portfólios, permissões, compartilhamento e restrições, os administradores podem garantir que os usuários estão inicializando produtos configurados corretamente de acordo com as necessidades da empresa.

Sim. O AWS Service Catalog é totalmente regionalizado, para que você possa controlar as regiões nas quais os dados encontram-se armazenados. Os portfólios e produtos são uma elaboração regional. Eles devem ser criados por região, e só são visíveis/usáveis nas regiões em que foram concebidos.

Para obter uma lista completa das regiões da AWS aceitas, consulte a tabela de regiões da AWS.

Sim, as APIs estão disponíveis e são habilitadas por meio da ILC. Estão disponíveis as ações de gestão dos artefatos do catálogo de serviços para provisionamento e encerramento. Você pode encontrar mais informações na documentação do AWS Service Catalog ou fazendo download do AWS SDK ou CLI mais recente.

Sim. Você pode acessar de modo privado as APIs do AWS Service Catalog por meio da Amazon Virtual Private Cloud (VPC) ao criar VPC endpoints. Com os VPC endpoints, o roteamento entre a VPC e o AWS Service Catalog é processado pela rede da AWS sem a necessidade de um Internet Gateway, um gateway NAT ou uma conexão VPN. A geração mais recente de VPC endpoints usados pelo AWS Service Catalog é desenvolvida pelo AWS PrivateLink, uma tecnologia da AWS que habilita a conectividade privada entre os Serviços da AWS usando interfaces de rede elástica (ENI) com IPs privados nas VPCs. Para saber mais sobre o AWS PrivateLink, acesse a documentação do AWS PrivateLink.

Sim. O SLA do AWS Service Catalog oferecerá um crédito de serviço se a porcentagem mensal de tempo de atividade do cliente ficar abaixo do nosso compromisso de serviço em qualquer ciclo de faturamento.

Administrador de TI

Você cria portfólios no console do AWS Service Catalog. Para cada portfólio, você especifica o nome, uma descrição e o detentor.

Cada produto do Service Catalog é baseado em um modelo de infraestrutura como código (IaC). Você pode usar modelos do CloudFormation ou configurações do Terraform (arquivo tar.gz único). Você pode criar um produto por meio do console do AWS Service Catalog fazendo o upload de um modelo de IaC, fornecendo um link para um bucket do S3 em que o modelo está armazenado ou conectando-se a um repositório externo do Git no qual o modelo está armazenado. Ao criar produtos, você poderá disponibilizar informações adicionais para a lista de produtos, incluindo a descrição detalhada do produto, informações sobre versão e suporte, e tags.

As tags são úteis para identificar e categorizar recursos da AWS provisionados por usuários finais. Você também pode usar tags nas políticas do AWS Identity and Access Management (IAM) para permitir ou recusar acesso aos usuários, grupos e funções do IAM ou para restringir as operações que podem ser executadas por usuários, grupos e funções do IAM. Ao adicionar tags ao seu portfólio, as tags são aplicadas a todas as instâncias de recursos provisionados de produtos no portfólio.

Você publica portfólios que criou ou que foram compartilhados com você para disponibilizá-los para usuários do IAM na conta da AWS. Para publicar um portfólio, adicione usuários, grupos ou funções de IAM ao portfólio do console do AWS Service Catalog navegando até a página de detalhes do portfólio. Ao adicionar usuários a um portfólio, eles podem navegar e inicializar os produtos no portfólio. Geralmente, você cria vários portfólios com diferentes produtos e permissões de acesso personalizados para tipos específicos de usuários finais. Por exemplo, um portfólio de uma equipe de desenvolvimento provavelmente conterá produtos diferentes de um portfólio direcionado para a equipe de vendas e marketing. Um único produto pode ser publicado em vários portfólios com diferentes permissões de acesso e políticas de provisionamento.

Sim. Você pode compartilhar seus portfólios com usuários em uma ou mais contas diferentes da AWS. Ao compartilhar o seu portfólio com outras contas da AWS, você detém a propriedade e o controle do portfólio. Só você pode fazer alterações, como adicionar novos produtos ou atualizar produtos antigos. Você, e somente você, também pode “descompartilhar” o seu portfólio a qualquer momento. Qualquer produto, ou pilha, em uso no momento continuará a ser executado até que o detentor da pilha decida eliminá-lo.

Para compartilhar o seu portfólio, especifique o ID da conta com quem você deseja compartilhar e, então, envie o Amazon Resource Number (ARN) do portfólio da conta especificada. O proprietário dessa conta pode criar um link para o seu portfólio compartilhado e, em seguida, atribuí-lo a usuários do IAM da conta especificada para o portfólio. Para ajudar usuários finais com a descoberta, você pode organizar um diretório de portfólios.

Sim. Você pode usar um Amazon EC2 AMI já instalado para criar um produto integrando-o em um modelo do AWS CloudFormation.

Sim. Você pode fazer a inscrição para um produto no AWS Marketplace e usar a cópia da ação Service Catalog para copiar o produto do Marketplace diretamente no Service Catalog. Além disso, você também pode usar Amazon EC2 AMI para que o produto crie um produto do AWS Service Catalog. Para fazer isso, integre o produto inscrito a um modelo do AWS CloudFormation. Para obter mais detalhes sobre como copiar ou criar pacotes com seus produtos do AWS Marketplace, clique aqui.

Para controlar o acesso a portfólios e produtos, você atribui usuários, grupos ou funções de IAM na página de detalhes do portfólio. O fornecimento de acesso permite que usuários vejam os produtos que estão disponíveis para eles no console do AWS Service Catalog.

Sim. Você pode criar novas versões de produto do mesmo modo que você cria novos produtos. Quando uma nova versão de um produto é publicada em um portfólio, os usuários finais podem optar por inicializar a nova versão. Eles também podem optar por atualizar suas pilhas em execução para esta nova versão. Quando uma atualização é disponibilizada, o AWS Service Catalog não atualiza automaticamente os produtos em uso.

Sim. Você tem controle total sobre as contas e funções da AWS usadas para provisionar produtos. Para provisionar recursos da AWS, você pode usar as permissões de acesso de IAM do usuário ou a sua função de IAM predefinida. Para manter o controle total sobre os recursos da AWS, defina uma função do IAM específica no nível do produto. O AWS Service Catalog usa a função para provisionar os recursos na pilha.

Sim. Você pode definir regras que limitam os valores de parâmetro que um usuário informa quando está inicializando um produto. Essas regras são chamadas de restrições de modelo porque elas limitam como o modelo do AWS CloudFormation do produto é implantado. Você usa um editor simples para criar restrições e as aplica individualmente aos produtos.

O AWS Service Catalog aplica restrições durante o provisionamento de um novo produto ou atualização de um produto que já está sendo utilizado. Ele sempre aplica a restrição mais rígida entre todas as restrições aplicadas ao portfólio e ao produto. Por exemplo, considere um cenário em que o produto permite que todas as instâncias do EC2 sejam inicializadas e o portfólio tem duas restrições: uma que permite que todas as instâncias do EC2 do tipo que não seja GPU sejam inicializadas e uma que permite apenas que instâncias do EC2 t1.micro e m1.small sejam inicializadas. Para este exemplo, o AWS Service Catalog aplica a segunda e mais rígida restrição (t1.micro e m1.small). Atualmente, as restrições de modelo não são suportadas nas configurações do Terraform. 

Sim. No momento, os modelos de linguagem JSON e YAML são aceitos.

Sim. O AWS Service Management Connector for ServiceNow e Jira Service Desk (anteriormente, AWS Service Catalog Connector) oferece recursos de integração em projetos do ServiceNow e do Jira Service Desk. Isso simplifica o provisionamento da nuvem e o gerenciamento de recursos para os administradores do ServiceNow e do Jira Service Desk e também facilita para os usuários do ServiceNow solicitar produtos da AWS, que podem ser qualquer serviço de TI que os administradores querem disponibilizar para implantação na AWS.

Os administradores do ServiceNow e do Jira Service Desk podem configurar o conector para operar com contas e funções novas ou existentes da AWS. Os usuários do ServiceNow e do Jira Service Desk podem pesquisar e solicitar produtos da AWS aprovados pelos administradores. Você também pode visualizar detalhes do item de configuração dos produtos provisionados e executar documentos do AWS Systems Manager Automation no ServiceNow e no Jira Service Desk. Isso simplifica as ações de solicitação de produtos da AWS para os usuários do ServiceNow e do Jira Service Desk, além de oferecer governança e supervisão dos produtos da AWS aos administradores do ServiceNow e do Jira Service Desk.

O AWS Service Management Connector para ServiceNow está disponível sem custo adicional na ServiceNow Store. Esse novo atributo está geralmente disponível em todas as regiões da AWS em que o AWS Service Catalog está disponível. Para obter mais informações, consulte a documentação.

O AWS Service Management Connector para Jira Service Desk está disponível gratuitamente no Atlassian Marketplace. Esse novo recurso está disponível em todas as regiões da AWS com o AWS Service Catalog. Para obter mais informações, acesse a documentação.

Usuário final

Você pode ver quais produtos estão disponíveis fazendo log-in no console do AWS Service Catalog e procurando no portal por produtos que atendam às suas necessidades, ou você pode navegar até a página com a lista completa de produtos. Você pode classificar para encontrar o produto desejado.

Para cada produto, você pode visualizar uma página de detalhes que exibe suas informações, inclusive sobre a versão, esteja uma versão mais recente do produto disponível ou não, uma descrição, informações de suporte e as tags associadas ao produto. A página de detalhes do produto também pode indicar se o produto será provisionado usando as suas permissões de acesso (Self) ou uma função especificada pelo administrador (role-arn).

Ao localizar um produto que atende aos seus requisitos no portal, selecione Inicializar. Você será guiado por uma série de perguntas sobre como você pretende utilizar o produto. As perguntas podem ser sobre as necessidades da sua empresa ou a respeito dos seus requisitos de infraestrutura (como “Qual tipo de instância do EC2?”). Após ter enviado as informações necessárias, você verá o produto no console do AWS Service Catalog. Enquanto o produto está sendo provisionado, você verá que ele está “em andamento”. Após a conclusão do provisionamento, você verá a mensagem "concluído" e obterá informações, como terminais e Amazon Resource Names (ARNs), que você pode usar para acessar o produto.

Sim. Você pode ver quais produtos você está usando no console do AWS Service Catalog. Você pode ver todas as pilhas em uso, junto com a versão do produto usado para criá-las.

Quando uma nova versão de um produto é publicada, você pode utilizar o comando Update Stack para usar essa versão. Se agora você estiver usando um produto para o qual existe uma atualização, ele continuará sendo executado até que você o encerre. Nesse momento você poderá escolher usar a nova versão.

Você pode ver os produtos que está utilizando e o estado em que se encontram no console do AWS Service Catalog.

Suporte para código aberto do Terraform e Terraform Cloud

O AWS Service Catalog permite que os clientes que usam o código aberto do Terraform e o Terraform Cloud forneçam provisionamento de autoatendimento com governança para seus usuários finais na AWS. A TI central pode usar uma única ferramenta para organizar, administrar e distribuir suas configurações do Terraform na AWS em grande escala. Eles podem acessar os principais recursos do AWS Service Catalog, incluindo catalogação de modelos padronizados e pré-aprovados, controle de acesso, privilégios mínimos durante o provisionamento, versionamento, compartilhamento com milhares de contas da AWS e marcação com tags. Os usuários finais simplesmente veem a lista de produtos e versões aos quais têm acesso e podem implantá-los em uma única ação.

Para começar, use o Terraform Reference Engine para código aberto do Terraform ou o Terraform Reference Engine para Terraform Cloud fornecidos pela AWS, que instalam e configuram o código e a infraestrutura necessários para que o mecanismo de código aberto Terraform funcione com o AWS Service Catalog. Essa configuração única leva apenas alguns minutos.

Para saber como catalogar, administrar, compartilhar e implantar produtos Terraform usando o AWS Service Catalog, leia nossa documentação.

Se o código aberto do Terraform ou o Terraform Cloud for sua ferramenta IaC preferencial, você pode usar o Service Catalog para oferecer às suas equipes o provisionamento de autoatendimento das configurações do Terraform. Se você usa uma combinação de configurações do CloudFormation e do Terraform em diferentes equipes ou casos de uso, agora você pode usar o AWS Service Catalog como a única ferramenta para catalogar e compartilhar ambos. Para seus usuários finais, o AWS Service Catalog fornece uma interface comum e fácil de usar para visualizar e provisionar recursos, independentemente da tecnologia IaC.

Para usar o AWS Service Catalog com o código aberto do Terraform, você precisa configurar um mecanismo de código aberto do Terraform em uma de suas contas. Crie um mecanismo de código aberto do Terraform usando o Terraform Reference Engine fornecido pela AWS, que instalará e configurará o código e a infraestrutura necessários para que seu mecanismo de código aberto do Terraform funcione com o AWS Service Catalog. Após essa configuração única, que leva apenas alguns minutos, você pode começar a criar produtos de código aberto do Terraform no AWS Service Catalog.

Para usar o AWS Service Catalog com o Terraform Cloud, use o Terraform Reference Engine para Terraform Cloud, que instalará e configurará o código e a infraestrutura necessários para que seu Terraform Cloud Engine funcione com o AWS Service Catalog. Para saber mais, leia a nossa documentação.

Sim. O AWS Service Catalog oferece suporte a um modelo “hub e spoke” em que um produto é definido em uma única conta central e pode então ser compartilhado com milhares de contas da AWS. Para o Terraform, você pode instalar seu código aberto do Terraform ou mecanismo do Terraform Cloud e criar seus produtos Terraform nessa conta central do Hub. Em seguida, você pode compartilhá-los com contas subordinadas e permitir o acesso a perfis/usuários/grupos do IAM nessas contas. Observe que você precisará definir perfis de execução com permissões suficientes em cada uma dessas contas.

Parcialmente. A AWS oferece suporte para catalogação, compartilhamento e acesso do usuário final aos produtos Terraform. Você é responsável por garantir que seu ambiente de código aberto do Terraform ou do Terraform Cloud esteja pronto e bem integrado ao AWS Service Catalog. Você também precisa definir um perfil de execução com permissões para provisionar e marcar com tags todos os recursos associados aos produtos Terraform.

Sim. O AWS Service Catalog permite que você sincronize produtos com arquivos de modelo que são gerenciados por meio do GitHub, GitHub Enterprise ou Bitbucket. Independentemente do repositório escolhido, o formato do arquivo de modelo ainda precisa ser um único arquivo arquivado em Tar e compactado em Gzip. 

Cada produto de código aberto do Terraform ou do Terraform Cloud tem um único arquivo de estado, que é armazenado na conta da AWS do seu mecanismo de código aberto do Terraform ou do mecanismo do Terraform Cloud no bucket AWS S3. Os administradores do AWS Service Catalog verão a lista de arquivos de estado, mas não poderão ler nem gravar seu conteúdo. Somente o mecanismo de código aberto do Terraform ou o Terraform Cloud Engine pode ler e gravar o conteúdo dos arquivos de estado.

Esse recurso tem o mesmo preço de todos os outros recursos do AWS Service Catalog, USD 0,0007 por chamada de API após as primeiras mil chamadas em uma conta/região. Para saber mais, leia aqui

AppRegistry

O AWS Service Catalog AppRegistry permite que as organizações entendam o contexto de aplicação de seus recursos da AWS. O AppRegistry fornece um repositório de informações que descreve as aplicações e os recursos associados que você utiliza dentro de sua empresa.

O AWS Service Catalog AppRegistry foi desenvolvido para organizações que precisam de uma definição única, atualizada, de aplicações dentro de seu ambiente AWS.

O AWS Service Catalog AppRegistry permite definir sua aplicação incluindo um nome, descrição, as pilhas do CloudFormation associadas e os metadados da aplicação representados por Grupos de atributos. As pilhas do CloudFormation associadas representam todos os recursos necessários para a aplicação. Esta pode ser a infraestrutura necessária em um único ambiente, ou também pode incluir os repositórios de código, dutos e recursos IAM que suportam a aplicação em todos os ambientes. Tanto as pilhas do CloudFormation Stacks existentes ou novas podem ser associadas a aplicações. Novas pilhas podem ser associadas à aplicação após o provisionamento, incluindo uma associação à aplicação com o modelo de CloudFormation da pilha.

Os grupos de atributos contêm os metadados de aplicação que são importantes para sua empresa. Os grupos de atributos incluem um esquema JSON aberto, proporcionando-lhe a flexibilidade para capturar metadados empresariais complexos. Os atributos de aplicação podem incluir metadados como a classificação de segurança da aplicação, propriedade organizacional, tipo de aplicação, centro de custo e informações de suporte. As associações de construtores atribuem grupos de atributos à sua aplicação. Quando grupos de atributos são atualizados, essas atualizações são automaticamente refletidas em todas as aplicações associadas ao grupo de atributos.

Para obter uma lista completa das regiões da AWS aceitas, consulte a tabela de regiões da AWS.

Sim, um conjunto completo de ações API e CLI está disponível.